9 maggio 2011
Se nel sito Web manca l’informativa sulla privacy può scattare una multa salata
Ho letto recentemente che, nell’ambito di una serie di controlli effettuati dal Nucleo Speciale Funzione Pubblica e Privacy della Guardia di Finanza, alcune aziende si sono viste infliggere multe ai sensi dell’art. 161 del D.Lgs. 196/03, per aver omesso di inserire l’informativa sul trattamento dei dati personali sul proprio sito Web o per averla inserita in maniera non idonea.
In effetti, creare un sito Web senza preoccuparsi dei riflessi connessi alla normativa sulla protezione del trattamento di dati personali, è una leggerezza che può costare cara al titolare del trattamento. L’omessa o inidonea informativa, infatti, è sanzionata dall’art. 161 del Codice con una sanzione amministrativa che va da un minimo di 6.000 a un massimo di 36.000 euro.
Nella mia attività professionale di consulente privacy mi sono reso conto che effettivamente molte aziende, quando raccolgono dati personali sul Web attraverso specifici form che il visitatore può compilare con i propri dati (nome e cognome, numero di telefono, indirizzo di posta elettronica, ecc.) ignorano l’obbligo di dare la prescritta informativa all’interessato. Questo succede, ad esempio, quando le imprese raccolgono tramite Internet informazioni personali e curricula di persone interessate a un’eventuale assunzione; ovvero quando raccolgono indirizzi e-mail per l’invio di informazioni commerciali. A volte in questi form l’azienda si limita a chiedere soltanto un consenso al trattamento dei dati raccolti, ma non si preoccupa di fornire all’interessato tutte le informazioni previste dall’art. 13 del D.Lgs. 196/03 circa l’utilizzo dei suoi dati personali, ovvero dà delle informazioni generiche e incomplete, dimenticando che il consenso deve essere “informato”, cioè dovrebbe essere espresso dall’interessato solo dopo l’avvenuta lettura dell’informativa prevista dalla normativa sulla tutela della privacy.
E’ evidente che, nel caso di un controllo da parte dell’autorità preposta, l’eventuale (e quasi scontato) consenso espresso dall’interessato non basta a evitare la multa che punisce l’omissione dell’informativa.
Inoltre, va considerato che siccome attraverso il Web si “diffonde” (art. 4 D.Lgs. 196/03) tutto a tutti (ovvero si mettono le informazioni raccolte a disposizione di soggetti indeterminati), omettere di dare nel proprio sito Web l’informativa ai sensi dell’art.13 del D.Lgs. 196/03 espone l’impresa titolare del trattamento di diffusione dei dati personali anche a possibili azioni di ritorsione di aziende concorrenti, che si trovano in mano un’arma per procurare facilmente un danno al concorrente, semplicemente segnalando all’autorità la sua omissione.
Perciò… attenzione all’informativa!
Scritto il 10-5-2011 alle ore 15:33
Che ridere che dopo un post del genere per poter mettere i commenti mi viene richiesto nome ed email senza informativa trattamento dei dati… vabbè l’ambito non è commerciale, ma se tanto mi da tanto… hihihi
Scritto il 10-5-2011 alle ore 17:05
Che dire, assurdo, magari potresti dire ad IPSOA di adeguarsi, visto che inoltrano spam, prelevando email da ordini e collegi professionali.
Poi se tenti di cancellare ti chiedono di effettuare un login, a non so che cosa, visto che la maggior parte di noi non si è mai registrato.
Magari fai una cosa inserisci un articolo sui guai che si passano quando interviene l’Autorità del Garante, che è già stata informata su IPSOA.
Ciao
Scritto il 10-5-2011 alle ore 18:43
In fondo avete ragione… comunque io sono semplicemente un modesto professionista che collabora saltuariamente con l’IPSOA.
A suo tempo ho effettivamente notato anch’io alcune “incongruenze” ed omissioni, ma non ho certo modo di intervenire…
Ad ogni modo, qualsiasi cittadino ha modo di far valere agevolmente tutti i diritti riconosciutigli dall’art. 7 del Codice, come ad esempio la cancellazione dei propri dati personali (nome, indirizzo e-mail, ecc.). Per farlo basta che l’interessato si rivolga al titolare del trattamento, ai sensi dell’art. 146 (nterpello preventivo); dopodichè, trascorsi 15 giorni senza avere avuto un riscontro ovvero avendo ricevuto un diniego anche parziale, l’interessato può proporre (gratuitamente) ricorso al Garante per la privacy, ai sensi dell’art. 145, per far valere (coattivamente) i propri diritti. A quel punto il titolare del trattamento è “costretto” ad esaudire la richiesta legittima dell’interessato, pagando anche le spese del procedimento dinanzi al Garante.
Per la omessa o incompleta informativa invece,l’art. 161 del Codice dice già tutto…!
Scritto il 10-5-2011 alle ore 19:36
ops mi ha tagliato il testo che riportavo testualmente
eccolo:
Scritto il 10-5-2011 alle ore 19:37
IPSOA, il fisco, CEDAM, UTET Giuridica, Indicitalia hanno promosso la creazione di questo network tra esperti della materia per promuovere il dibattito e lo scambio sui temi professionali in un libero spazio di comunicazione.
Scritto il 10-5-2011 alle ore 19:41
Ma questo articolo è copiato o è stato copiato?
(Togli gli spazi per il link giusto)
http://notizie . worldglobalservice . com/se-nel-sito-web-manca-linformativa-sulla-privacy-puo-scattare-una-multa-salata.shtm
Secondo me è stato copiato… questi sono famosi nel copiare articoli a destra e a manca senza citare le fonti e spacciarli per loro… per non dire altro!!!
Scritto il 10-5-2011 alle ore 21:42
Buonasera,
premetto dicendo che nelle note legali è presente l’informativa.
Verificheremo la fattibilità di visualizzarla vicino al modulo per la richiesta dei dati se questo può renderla più evidente e chiara. Non sono un esperto in materia di privacy e non so se ci sono indicazioni precise in proposito.
Rispondo a Giuseppe al commento #2.
Seguiamo la normativa sul trattamento dei dati nel modo più restrittivo possibile e costantemente miglioriamo le funzionalità per effettuare l’iscrizione e la disiscrizione. Purtroppo ci sono delle casistiche che rendono la gestione più complessa. E’ capitato ad esempio un unico indirizzo eMail veniva letto da 2 colleghi di studio, uno effettuava l’iscrizione e l’altro -all’insaputa del collega- la disiscrizione. Questo ovviamente aveva reso complesso capire perchè a quell’indirizzo continuavano ad arrivare le nostre comunicazioni. Così come utenti che hanno indirizzi che inoltrano in automatico eMail provenienti da altri indirizzi di posta. In questo caso l’indirizzo del destinatario è per noi assolutamente sconosciuto.
La casistica come potete immaginare è molto varia e a volte molto complessa sia dal punto di vista tecnico che normativo. Come ad esempio comportarsi se un utente utilizza due indirizzi di posta differenti e chiede di non ricevere più comunicazioni? Vale solo per un indirizzo? Per entrambi? Se si, come possiamo ricondurre i due indirizzi di posta allo stesso utente?
In ogni caso Wolters Kluwer Italia assolutamente non preleva indirizzi dal web o dagli ordini a meno che l’ordine non abbia avuto esplicita autorizzazione dall’utente. Se è a conoscenza di casi specifici la preghiamo di mettersi in contatto con noi che provvederemo subito a effettuare le verifiche necessarie.
-continua-
Scritto il 10-5-2011 alle ore 22:08
Ringrazio Marcello per la risposta.
Ringrazio anche l’Amministratore per le risposte, comprendendo che probabilmente non è lui il referente IPSOA, ma lo prenda pure come uno sfogo.
Il mio caso è differente, non rientro in questa casistica.
Rientro nell’altra casistica Ipsoa, email prese e caricate nei vostri DB da liste pubbliche.
Sono iscritto ad un Ordine degli Ingegneri, nel mio profilo all’Ordine vi è una email che non utilizzo da 7 anni, ma ricevo per forward.
Trovo proprio strano che riceva le comunicazioni Ipsoa, con quella email, svolgo un attività di non vostro interesse, e che non sapevo neanche chi fosse Ipsoa.
Ho provato ad eliminare, ma naturalmente mi chiede di logarmi, ma a cheeeeeeee.
La disiscrizione mi può chiedere si una conferma, tramite ulteriore email, ma non mi può chiedere le credenziali di una cosa che non ho mai chiesto e voluto, neanche per sbaglio.
Caro amministratore, sappiamo tutti come funziona, per cui per piacere comprendo che non è facile, ma metteteci una pezza e risolvete.
Le assicuro che ho visto aziende seriamente nei guai con il Garante, per cose del genere, se fossi in lei provvederei a chiarire il concetto a chi ha messo su il sistema.
Personalmente, che si risolva o no interessa poco, siete in SPAM da tempo, mi dica chi è che ci guadagna alla fine, il nome di IPSOA no, le email non vengono aperte, ne cliccate, l’utente, è incaz… come una biscia. Tragga pure le conclusioni.
La ringrazio comunque per lo sfogo e per lo spazio accordatomi.
Scritto il 10-5-2011 alle ore 22:16
a Giuseppe #8
se ci comunica privatamente il suo indirizzo di posta, verificheremo come questo sia stato possibile.
Come giustamente dice lei non abbiamo nessun interesse ne ad aumentare il livello di spam ne a inviare comunicazioni che non interessano.
Grazie per la collaborazione
Scritto il 11-5-2011 alle ore 11:44
Ad Anonimo #6
Il post pubblicato su Postilla è l’originale, poi ripreso e riutilizzato dal sito indicato (non fosse altro che per la successione delle date su Postilla il 9 maggio e sull’altro sito il 10). Dico anche che ritrovare post di Postilla su altri siti non ci scandalizza, purché siano citati l’autore e la fonte.
Comunque il suo commento mi dà modo di chiarire qualche aspetto di Postilla che, forse, presta il fianco ad una serie di equivoci. Intanto, i post pubblicati su Postilla sono di proprietà esclusiva dei blogger; ogni blog è personale e la Redazione, in qualità di amministratore, non interviene in alcun modo nel merito di ciò che i blogger scrivono né sull’uso che i medesimi fanno dei contenuti. La Redazione opera solo come supporto alle richieste del blogger o come moderatore dei commenti valutati in relazione alla policy di Postilla. Tutto questo per dire che i blogger possono fare ciò che vogliono dei propri post, compreso renderli disponibili altrove. Sicuramente non è il caso citato, appunto per la mancata citazione dell’autore e della fonte. In questo caso rendere disponibile un post interessante su un sito in modo non trasparente dà adito al dubbio e alla diffidenza a cui lei ha dato voce. Ugualmente, rendere pubblici questi dubbi è legittimo e utile, risulta un po’ meno efficace quando chi se ne fa paladino utilizza l’anonimato
Scritto il 11-5-2011 alle ore 12:20
Buongiorno a tutti.
Francamente non credevo di suscitare un simile vespaio, partendo dalla semplice constatazione di ciò che frequentemente mi capita di osservare (mancata informativa nei siti Internet) e che ho ritenuto utile commentare…!!
Ad ogni modo, confermo quanto riportato sopra dalla Redazione #12 e non mi scandalizzo per il fatto che il mio post è stato “ripreso” da altro sito… Mi è capitato moltissime volte (basta navigare un pò nel Web per accorgersene) e questo… probabilmente significa che le mie “opinioni” in tema di privacy sono apprezzate. C’è persino chi si è “appropriato” dell’intera premessa di uno dei libri che ho scritto in materia di privacy… ma a me francamente non interessa. Fortunatamente non “vivo” di privacy e lo studio e l’approfondimento di questa materia sono solamente una passione che coltivo quando non posso dedicarmi all’altra mia vera passione dalla quale traggo molta più soddisfazione personale. Io sono semplicemente un subacqueo, amo immergermi ovunque e scrivere libri e racconti sulla subacquea. Questo mi basta e avanza!
Riguardo al problema dello SPAM, in effetti qualche rimedio tecnico è necessario trovarlo e, in ogni caso, quando un utente chiede di essere cancellato da una mailing list occorre provvedere rapidamente. Resto a disposizione per verificare i contenuti e le modalità di informativa, che, ricordo, deve contenere tutte le informazioni indicate nell’art. 13 del Codice della privacy.
Scritto il 3-6-2011 alle ore 16:16
vorrei sapere in caso di omissione dei riferimenti alla normativa della privacy su un sito a chi è da imputare la colpa. all’agenzia web che ha realizzato il sito, oppure al committente del sito? non c’è molta chiarezza in merito
Scritto il 13-6-2011 alle ore 16:27
Franca il “titolare del trattamento dei dati personali” è l’azienda che ha commissionato la realizzazione del sito web attraverso il quale raccoglie i dati. E’ lei il soggetto obbligato a fornire una completa informativa.
Il soggetto che realizza materialmente il sito è un semplice fornitore che, se è a conoscenza degli obblighi scaturenti dalla normativa sulla tutela della privacy, può solo richiamare l’attenzione del titolare sulla necessità di inserire nel proprio sito Internet una completa informativa. Ma la decisione sulle modalità e sui contenuti dell’informativa spetta sempre e solo al titolare, il quale, ovviamente, è responsabile dell’eventuale omissione o incompletezza della medesima.
Scritto il 30-9-2011 alle ore 11:38
Buongiorno volevo sapere se lei può fornirci il testo corretto per l’ informativa sulla privacy, se ce ne sono diverse a seconda delle informazioni richieste o se c’è un testo che vada bene a chiunque.
La ringrazio.
Cordialmente
Scritto il 1-10-2011 alle ore 12:31
Buongiorno Silvia.
Purtroppo non mi è possibile soddisfare la sua richiesta. L’informativa sul trattamento dei dati personali è un “vestito confezionato su misura”… che deve fare riferimento ai trattamenti di dati personali EFFETTIVAMENTE fatti dal titolare e alle loro specifiche FINALITA’.
Posso soltanto dirle che qualunque informativa deve contenere tutti gli elementi indicati dal comma 1 dell’art. 13 del Dlgs. 196/03, vale a dire:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
e) i diritti di cui all’articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
Scritto il 11-10-2011 alle ore 14:58
La ringrazio per la risposta. E’ stato davvero gentile e le sue informazioni molto utili.
Buona giornata
Silvia
Scritto il 5-6-2012 alle ore 13:06
Salve ,
come regolarsi per un sito web in inglese visto quindi anche fuori dal ue
vale la stessa regola cioe mettere un riferimento
a una legge europea quando il sito è letto
ad esempio negli usa ?
Scritto il 7-6-2012 alle ore 19:48
Il Codice della privacy italiano (D.Lgs. n.196/03) si applica a tutti i trattamenti di dati personali effettuati da “titolari” che si trovano nello stato italiano o effettuati tramite “strumenti di trattamento” situati in Italia. Pertanto Giulio l’informativa va messa nel sito internet gestito in Italia e va tradotta in inglese.
Per sua conoscenza riporto qui di seguito i primi due commi dell’art. 5 del Codice della privacy(Oggetto ed ambito di applicazione).
“1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato”.
“2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali”.
Scritto il 7-6-2012 alle ore 21:01
esiste un documento standard (magari da adattare per
stare tranquilli)
Scritto il 8-6-2012 alle ore 21:18
No Giulio, non ci sono “standard” in materia di privacy.
L’informativa deve essere personalizzata e contenere tutti gli elementi indicati nell’art. 13 del D.Lgs. 196/03. Faccia riferimento a questo articolo di legge… E’ molto semplice.
Scritto il 10-6-2012 alle ore 00:24
ok
Pero’ volevo un po approfondire l’argomento
Se ho un sito web (un blog di un dato argomento a titolo di esempio)
ma che non richiedo nessuna mail o mail list
li posso stare tranquillo ?
o mi devo preoccupare di qualcosa ad esempio i cookie o sistemi di tracciamento degli utenti tipo analytics per intenderci ,ma anche in questo caso il tracciamento sarebbe anonimo ,
cioè io so che ho ad es 100 visitatori ,ma non so chi sono,non i loro indirizzi,nulla quindi in un certo senso è anonimo
un altro caso se un utente mi invia un email di sua spontanea volonta tipo ad es legge admin@miosito.com e mi invia un mail
per chiedermi qualcosa come mi devo regolare ?
un certo senso è un po assurdo e come se io di dassi il mio numero di telefono e tu mi rispondessi ok se mi serve ti chiamo pero’ devo avvisarti che per la legge sulla privacy devo dirti che trattero il tuo numero come
bla bla bla ,
Un po paradossale non trovi ?
eppoi per i commenti sui blog dove lasci l’emai vale la stessa cosa ? io non ho mai trovato un blog dove per rispondere accetto le condizioni,allora sono tutti sanzionabili
(compreso il tuo perche’ ho messo la mia mail ma che uso ne farai? )
infine volevo segnarti questo sito
http://www.iubaenda.com sembrerebbe un generatore di privacy free cosa ne pensi c’e da fidarsi ?
questo invece è un plugin per word press
http://www.synclastic.com/plugins/privacy-policy/
p.s. questa ultima parte non è spam e solo un parere qualora decidessi di tagliarla ti prego comunque di rispondermi via mail
….ti do il consenso di inviarmi una mail :-).
Scritto il 11-6-2012 alle ore 19:38
Giulio io non sono un tecnico informatico. Mi occupo solo di privacy nelle imprese.
In questo stesso blog vi sono altri professionisti ben più qualificati di me in materia informatica.
Provi a rivolgere le sue domande al dr. Iaselli, per esempio.
Ad ogni modo, ribadisco che se tramite un sito web si acquisiscono dati personali di visitatori/utenti (informazioni che si intende conservare e utilizzare per un qualunque fine lecito), è necessario pubblicare nel sito una precisa informativa ai sensi dell’art. 13 del Codice. Non facendolo si può incorrere nella violazione di “omessa o incompleta informativa” che è punita dal Codice stesso con una sanzione amministrativa.
Il caso tipico è quello delle imprese che acquisiscono i dati personali di potenziali candidati ad un’assunzione (i curriculum vitae) attraverso un form da compilare inserito nel loro sito web. Altro caso tipico è quello delle imprese che acquisiscono dati personali di potenziali clienti, che poi utilizzeranno per l’invio di offerte commerciali. Questo secondo caso è molto comune nel telemarketing o nelle televendite, fattispecie per le quali il Codice fissa delle regole particolari a tutela della privacy e per evitare lo spam.
Una precisazione: in tutti i blog esiste una informativa sul trattamento dei dati personali. Il problema è che spesso non la si trova facilmente o non la si cerca, perché… non interessa leggerla!
Scritto il 11-6-2012 alle ore 23:04
si pero mi hai risposto parzialmente
ok non sei un tecnico informatico
pero
il caso di un blog con i commenti anche li
ci vuole un informativa ?
e se un utente mi invia una mail di spontanea volonta (nel caso mettessi il link in fondo al sito)?
Tu dici che tutti i blog in teoria hanno una policy
ok anche il tuo, pero non mi spieghi che cosa farai della mia mail.
questa non è critica masolo per capire
Scritto il 13-9-2012 alle ore 14:03
Purtroppo è successo a un mio cliente, che si vuole rifare adesso su di me che sono il webmaster che non lo sapevo e non l’ho messo in guardia…e quindi la multa da 36000€ rischia di pagarla il webmaster…
vi pare possibile?
Scritto il 20-10-2012 alle ore 14:01
Vi aggiorno sulla questione, visto che ho notato che avevo già risposto…
Sono un webmaster, purtroppo per questa cosa sto rischiando di subire una causa da un mio cliente che pretende da me i soldi per l'”errore”…
purtroppo su un una pagina secondaria di un sito costato in tutto 2000€, un cantiere nautico a olbia, lui mi aveva fatto mettere un form per spedire dei CV e non avevo inserito la casellina di accettazione della privacy, si parla di ben tre anni fa quando certe cose non succedevano nemmeno, inoltre lui non si è mai preoccupato pur essendo una holding di far verificare che il sito fosse a norma, con me non ha mai siglato contratti e non ha mai preteso certificazioni, e ha smesso di pagare la gestione del sito già due anni fa, quindi in pratica non glielo gestivo nemmeno.
La multa è di 4800€ e pretende tutti i soldi indietro, ma io mi sono negato e a questo punto si va dagli avvocati.
Ho visto già la risposta che hai dato in merito e una ragazza e mi fa piacere…
tra l’altro mi domando in mancanza di un contratto, io ti realizzo un’applicazione web, ma quell’applicazione potrebbe girare anche soltanto in locale, o su una rete intranet, così come essere indicizzata in paesi dove certe regole non ci sono nemmeno o addirittura essere rivenduta a terzi.
Se poi avessi utilizzato un cms?…dove magari non ti fa mettere nemmeno la casellina?!?!?…
insomma venderò cara la pelle per questa questione…non si può su una persona che fa il suo lavoro onestamente e fattura poche decine di miglia di € l’anno, rispetto a certa gente che fattura milioni di €, scaricare le colpe in questo modo…fregarsene dei contratti e pagar poco finchè tutto va bene, e poi quando ci sono le grane pretendere i risarcimenti…
Scritto il 21-10-2012 alle ore 10:45
Alessandro, in primo luogo chiariamo bene quali sono i contorni della figura del webmaster, distinguendo tra il webmaster professionale e quello dilettantistico/amatoriale.
La figura professionale del webmaster, a differenza di quella dilettantistica/amatoriale, dovrebbe avere una serie di conoscenze specifiche, in particolare sulla struttura generale del web, sugli standard di qualità emanati dal World Wide Web Consortium, su uno o più linguaggi di programmazione e sul funzionamento generale dei motori di ricerca e dei sistemi di Information Retrieval. Inoltre, il webmaster professionale dovrebbe essere in grado di stendere documenti e di progettare contenuti facilmente accessibili agli utenti, oltre ad avere una buona conoscenza generale del settore informatico.
Il webmaster, di norma, gestisce lo sviluppo delle applicazioni sia client, che server, assumendo la responsabilità della loro progettazione e della messa online e segue il processo di sviluppo in tutte le fasi (analisi, progettazione, implementazione, test, ecc.).
L’avvocato Luca-Maria de Grazia, in un articolo pubblicato su InfoDir.Net (rivista di informatica, telematica e diritto) sostiene che il vero “webmaster” è solo colui il quale si occupi a livello di impostazione di sistema operativo della gestione ed amministrazione di un server web. In pratica webmaster è solo chi svolge le funzioni di “system administrator” di una rete locale trasferita su di un server web (intendendo con tale termine tutto quello che concerne il web, e quindi web server, mail server, ftp server, DNS, ecc.). Inoltre, nella pratica – secondo l’avv. Luca-M. de Grazia – sono webmaster, ad un livello meno elevato, anche coloro i quali abbiano “acquistato” un dominio con il relativo hosting, in quanto si trovano ad essere i gestori con poteri praticamente assoluti su tutto ciò che avviene all’interno del proprio sito. Conseguentemente, per esclusione, non svolgono attività effettiva di webmaster tutti coloro che si occupino soltanto di grafica e/o progettazione e realizzazione di siti web, così come non sono webmaster coloro che realizzino del software per la gestione di tali siti, oppure chi realizza database e quant’altro possa essere utilizzato per far funzionare un sito web.
Detto questo Alessandro, per quanto attiene alla responsabilità del webmaster nel suo caso, ribadisco quanto già scritto nel post n. 13 in risposta a Franca. Secondo la normativa sulla tutela della privacy il “titolare del trattamento dei dati personali” dei soggetti che accedono a un sito web è colui i quale ha commissionato la realizzazione del sito web attraverso il quale raccoglie i dati personali dei visitatori; e il soggetto obbligato a fornire una completa informativa sul trattamento dei dati personali altrui è proprio il “titolare”. Invece il webmaster che realizza materialmente il sito è un semplice fornitore di un prodotto/servizio. Se costui è a conoscenza degli obblighi scaturenti dalla normativa sulla tutela della privacy, per puro scrupolo professionale e per dare al suo cliente un servizio completo può richiamare l’attenzione del titolare sulla necessità di inserire nel proprio sito web una completa informativa per il rispetto della privacy. Ma in ogni caso la decisione sulle modalità e soprattutto sui contenuti dell’informativa da inserire nel sito a mio parere spetta sempre e soltanto al titolare del trattamento, il quale, ovviamente, è legalmente responsabile dell’eventuale omissione o incompletezza dell’informativa.
In ogni caso, per stabilire un’eventuale responsabilità o corresponsabilità del webmaster occorre fare riferimento al contenuto del contratto stipulato tra chi realizza il sito web e l’azienda cliente. Se nel contratto si parla genericamente di “realizzazione del sito” non credo si possa includere anche il rispetto di tutte le normative vigenti. Ovviamente, come già detto, un webmaster scrupoloso dovrebbe chiedere al cliente se ha già chi si occupa delle questioni legali e fiscali connesse alla realizzazione del sito web; tuttavia l’obbligo di fornire l’informativa e di verificare che la stessa sia rilasciata quando è necessario, ricade sempre sul titolare del trattamento dei dati, che di norma è il titolare dell’azienda cui fa riferimento il sito.
Diverso è il caso in cui il contratto stipulato tra committente e fornitore preveda una clausola espressa che demanda al fornitore la realizzazione del sito web “nel rispetto di tutte le normative di legge esistenti”. In questo caso si potrebbe sostenere che vi è una responsabilità contrattuale del webmaster per la mancanza di informativa sulla privacy all’interno del sito web commissionatogli, anche se – a mio avviso – una formulazione nel contratto come quella sopra riportata sarebbe da ritenersi troppo generica.
Scritto il 21-10-2012 alle ore 11:19
ciao grazie per la celere risposta…
il fatto è che in questo caso un contratto nemmeno c’era, e i suoi avvocati addirittura gli hanno detto: “ma guarda che basta una fattura e automaticamente lui diventa responsabile”…
insomma io non ci sto…se lui vuole andare avanti si vada pure…
vi terrò aggiornati,
Alessandro
Scritto il 21-10-2012 alle ore 11:56
Non c’è il contratto?!
Allora tieni duro Alessandro!
Scritto il 22-10-2012 alle ore 10:12
eh no, infatti quello che mi fa arrabbiare di questa gente…che fanno gli amiconi finchè tutto va bene, smettono di pagare la gestione annuale, tirano in basso il più possibile i prezzi, pretendono l’indicizzazione nel prezzo del sito e poi quando le cose vanno storto vogliono risarcimenti come se avessero fatto tutto per filo e per segno. Infatti per il momento non siamo scesi a nessun compromesso come avrebbero voluto loro. Vediamo ora, speriamo bene. Vi terrò aggiornati quando ci saranno sviluppi.
Scritto il 29-1-2013 alle ore 17:51
Ciao Alessandro,
ho letto tutti i tuoi commenti.
Sarei interessata a capire se esiste una normativa specifica in riferimento a cosa deve e cosa non deve esserci in un sito internet.
Ad esempio il check box per la privacy è obbligatorio? Lo chiedo a te dato che avrai approfondito l’argomento!
Grazie
Scritto il 30-1-2013 alle ore 17:44
non esiste nessuna normativa in pratica, perchè nel decreto si parla in generale di come possono essere trattati i dati, in teoria si potrebbe spedirla per posta ogni volta che arriva un cv questa privacy. Il discorso con il mio cliente nasce più che altro dal fatto che io non l’avevo avvisato del fatto che ci volesse la privacy, e che sulla multa si parla esplicitamente di pagina web e quindi siamo ancora in trattativa con gli avvocati. Dei 4800€ di multa sono arrivato a offrirgli prima 1500€ e ora dopo un po’ di trattativa 1800€…vediamo se la cosa si riesce a chiudere così o andranno oltre…se non gli avessi offerto nulla comunque penso mi avrebbero fatto causa al 100%…
Scritto il 4-2-2013 alle ore 13:06
Buongiorno, vorrei sapere se un sito non raccoglie dati deve ugualmente indicare la dicitura della privacy ?
Scritto il 4-2-2013 alle ore 13:36
Carla…. certe domande mi lasciano “perplesso”….
Ma scusi se lei non raccoglie (e perciò non “tratta”) dati personali, perchè mai dovrebbe applicare la legge sul trattamento dei dati personali??!
Non capisco….
Scritto il 4-2-2013 alle ore 13:47
ero certa della risposta, ma ho voluto porla ugualmente perchè un consulente privacy insiste
che va inserita a prescindere
Scritto il 4-2-2013 alle ore 17:25
Sigora Carla….. dica al suo “consulente privacy” che si vergogni!
Scritto il 25-2-2013 alle ore 03:24
Io ho un sito di ricette,
non archivio nessun dato dei miei utenti,
il sito non vende niente e un sito personale
mi diverto un po, un mio passatempo.
Devo ugualmente mettere la dicitura privacy ?
pensavo di mettere il link “privacy” che porta ad una pagina dove scriverò, “questo sito non gestisce o archivia dati di nessun genere, sui nostri server è stata disabilitata ogni forma di archiviazione, il sito è consultabile liberamente e ogni dato degli utenti non verrà memorizzato in nessuna forma”
Sarei in regola o devo mettere tutta quella pappardella ?
Scritto il 25-2-2013 alle ore 09:02
Aldo non ci siamo proprio con la sua idea della normativa a tutela della privacy altrui.
Se lei non raccoglie e non tratta dati personali (cioè dati identificativi) altrui, mi dice di chi dovrebbe tutelare la privacy?
Quella “pappardella” non è una cosa formale, ma deve dare complete e sostanziali informazioni sul trattamento dei dati che viene fatto effettivamente. Se lei i dati non li tratta perchè mai la dovrebbe scrivere?
Dia retta a me: le pappardelle le faccia al sugo di lepre e la ricetta la metta nel suo bel ricettario informatico, senza preoccuparsi della privacy …della lepre!
Scritto il 16-4-2013 alle ore 13:49
Note legali e privacy policy. Se metti l’una non devi mettere l’altra? Sono forse la stesa cosa?
Grazie
Scritto il 18-4-2013 alle ore 12:45
Si Luigi si tratta sostanzialmente della stessa cosa.
Altra cosa, invece, è l’informativa ex art. 13 sul trattamento dei dati personali.
Scritto il 28-4-2013 alle ore 21:15
Salve,
avrei bisogno di una informazione circa la necessità o meno di richiedere il consenso per il trattamento dei dati personali nell’ipotesi di creare un sito web che richieda per l’accesso username, password e email. Credo che username e password non siano considerati come dati personali, mentre la email, pur essendo memorizzata in un database serve unicamente per rispondere all’utente, quindi niente newsletter o pubblicità. Il dubbio mi sorge perchè anche se non richiedessi la mail nel form di registrazione, nel momento in cui l’utente mi invia una mail è come se mi autorizzasse implicitamente ad usarla per rispoindere e comunque le email rimangono memorizzate nel sistema di gestione della posta.
Inoltre, supponendo pure di inserire il consenso al trattamento dei dati sul sito, è possibile lasciare nell’anonimato il proprietario del sito, quindi evitare l’inserimento di tutti i suoi dati anagrafici nell’informativa?
Ringrazio anticipatamente per l’aiuto.
Saluti
Giuseppe
Scritto il 30-4-2013 alle ore 16:07
Giuseppe username e password possono essere considerati “dati personali”, perché consentono di identificare in maniera indiretta l’interessato (v. art. 4 D.Lgs. 196/03).
Anche l’indirizzo di posta elettronica è un “dato personale” indipendentemente dall’uso che se ne faccia, e la semplice raccolta e registrazione in data base di tale dato è un “trattamento” (v. art. 4 D.Lgs. 196/03), con la conseguenza della piena applicabilità del Codice della privacy e della necessità di dare una completa informativa sul trattamento dei dati.
Nell’informativa all’interessato in base all’art. 13 del D.Lgs. 196/03 deve obbligatoriamente essere indicato il “titolare del trattamento” con tutti i dati necessari per poterlo contattare per l’esercizio dei diritti che la legge riconosce agli interessati (art. 7).
Scritto il 9-5-2013 alle ore 15:35
Salve a tutti,
io sono in una situazione analoga,
abbiamo realizzato per un cliente un sito nel 2006, e nel form mail con 3 campi (nome, email e messaggio) abbiamo dimenticato di inserire la dicitura, al cliente è arrivata una pesante multa di 4800€ …che oggi il cliente chiede a me per questa mia dimenticanza…. l’avvocato mi sconsiglia di fare ricorso in quanto si rischia di pagare 4 volte tanto la sanzione, in caso di perdita… secondo voi cosa dovrei fare?
Scritto il 11-5-2013 alle ore 10:04
Steo, a parte il rischio di “pagare 4 volte tanto la sanzione” ….?? il suo avvocato purtroppo ha ragione.
L’art.161 del Codice della privacy (Omessa o inidonea informativa all’interessato)recita così:
“La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro”.
Scritto il 24-5-2013 alle ore 15:57
Buongiorno Dottore,
stiamo realizzando un sito e commerce dove gli utenti potranno registrarsi e compilare appositi moduli tra i quali anche moduli d’ordine dei prodotti.
Pensavamo di inserire un’informativa sulla privacy ai sensi dell’articolo 13 precisando le finalità, le modalità ecc. del trattamento dei dati personali.
Chiedo conferma di questo:
Vero che essendo nell’ambito della conclusione di un contratto di vendita, detta informativa non richiede il consenso?
Conferma che se viene dichiarato che non si svolgono attività di marketing non si rende necessario il consenso che invece sarebbe necessario se vi fosse una qualsiasi forma di pubblicità dei prodotti?
Tra le modalità di pagamento dei prodotti è prevista anche la carta di credito oltre al paypall e al contrassegno. Questo implica il trattamento di dati sensibili?
Non abbiamo banca dati poichè i nomi registrati sono utilizzati solo per concludere quella determinata vendita.
Chiedo ancora secondo lei è necessario predisporre anche la privacy policy?
Grazie e complimenti per la professionalità e trasparenza nella gestione del blog.
M.
Scritto il 28-5-2013 alle ore 19:16
Marta mi sa che dovrebbe assumermi come consulente… gratuito!!
Rispondo pazientemente e brevemente alle sue domande.
– L’art. 24 (Casi nei quali può essere effettuato il trattamento senza consenso) alla lettera b prevede che il consenso non è richiesto quando il trattamento “è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato” perciò…!
– Se non si svolgono attività di marketing non è necessario il consenso dell’interessato.
– Mi sa dire quali sono i dati “sensibili” trattati quando si accettano pagamenti fatti con carta di credito o paypal? Legga la lettera d) del primo comma dell’art. 4 del Codice Privacy, che dà la definizione (tassativa) di “dati sensibili”!
– Per quanto riguarda la privacy policy e la differenza con l’informativa ex art. 13 le ho già risposto a suo tempo… veda un po’ lei.
Scritto il 22-6-2013 alle ore 12:32
Molto interessante la discussione…
Mi domandavo se fosse possibile utilizzare una pagina con tutti i riferimenti per la privacy anche se poi non sono realmente contenuti nel sito web.
Mi spiego meglio: se utilizzo Google analytics devo avvisare l’utente che lo sto tracciando, ma se poi disattivo analytics devo ricordarmi di rimuoverlo dalla policy oppure non è un problema?
Il mio scopo è quello che avere una policy che mi contenga tutte le voci delle applicazioni che possono trattare dati dell’utente e che io possa usare nei diversi lavori che svolgo senza pensare se queste applicazioni sono attualmente presenti nel sito o se il cliente me le chiederà tra 2 mesi in modo da abbattere il tempo necessario per la realizzazione della privacy e abbassare il costo finale del lavoro.
Saluti
Sergio Di Mare
Scritto il 22-6-2013 alle ore 13:09
salve, ho un portale pubblicitario, ed ho inserito sul portale le varie autorizzazioni sul D.Leg 196/2003 (per la privacy)
ma mi è stato riferito che devo anche denunciare il database che sto compilando alle autorità competenti!!?
chiedo se possibile, qualche informazione dettagliata.. visto che il mio commercialista mi ha detto che non c’è bisogno di fare tutto cio’, ma che basta solo inserire il D.Leg e le varie autorizzazioni sul portale…
Grazie
Scritto il 14-10-2014 alle ore 06:47
Thankks , I’ve recently been looking for information about this
topic for a long time and yours is the best I have found out till now.
But, what concerning the bottom line? Are you positove concerning thhe
supply?
Scritto il 22-1-2015 alle ore 15:42
[…] le facciano sorridere e imparare qualcosa. Se queste motivazioni non ti bastano, sappi che rischi sanzioni amministrative dai 6mila ai 36mila euro. (Per me sono […]
Scritto il 24-2-2015 alle ore 02:33
Buonasera, riesumo la discussione che ho letto con interesse. In riferimento ai form di contatto mi chiedo se allora anche quello di postilla
http://postilla.it/contatti/
Non violi la privacy non avendo alcun consenso etc. Etc.
Un form di contatto non ‘salva’ alcun dato invia solo un email verso un determinato indirizzo. Se è obbligatorio e si rischia una pena per l utilizzo di contatto, allora ad ogni indicazione mailto: di un sito web occorrebbe indicare il consenso alla privacy.. Insomma ho qualche dubbio
Scritto il 12-5-2015 alle ore 14:37
[…] le facciano sorridere e imparare qualcosa. Se queste motivazioni non ti bastano, sappi che rischi sanzioni amministrative dai 6mila ai 36mila euro. (Per me sono […]
Scritto il 27-7-2015 alle ore 23:11
Nel 2009 ho realizzato un sito web.
Nel 2011 la guardia di finanza ha multato l’azienda perché nel sito web mancava il campo di spunta che acconsente al trattamento dei dati nella pagina newsletter e contatti. Ora a distanza di 6 anni dalla realizzazione e 4 dalla multa l’azienda mi chiede danni patrimoniali e non patrimoniali per 20000€ per non aver inserito i suddetti campi.
Voglio precisare che all’epoca non ero un professionista ma un neofita, infatti non è mai esistito nessun tipo di contratto con il cliente e sopratutto ho svolto funzioni solo di web designer come anche loro mi definiscono.
Secondo voi rischio di pagare questa cifra oppure la mia figura di web design non mi obbligava ad inserire i checkbox?
Esite una legge che obbliga un web design o web master a rendere un sito idoneo anche da un punto di vista legale?
Scritto il 27-7-2015 alle ore 23:12
Scusate dalla fretta mi sono dimenticato di dare la buonasera!!