Regolamento UE 2016/679 (privacy)

10/11/2017 02:54:33 e modificato da ilgrandeinverno il 10/11/2017 03:03:12

dyrr ha scritto:
Una denuncia per un reato penale (bruttissima dicitura lo so ma era per far capire cosa intendo) non ha costi.
Eventuali costi sono per avvocati/periti in caso di procedimenti civili.

Non è esattamente così.
Magari.
Teoricamente puoi provvedere e preparare una denuncia/querela da solo.
Praticamente avere la preparazione per fare una denuncia penale in modo corretto rispettandone gli aspetti procedurali, nei quali l'errore può comportare, purtroppo, anche l'archiviazione della denuncia o che l'intero processo, per tale difetto procedurale, sia archiviato anche se riscontrato durante il procedimento, l'avvocato serve e ha un costo.

Se poi, per una qualsiasi ragione, perdi la causa (anche per errori procedurali) paghi le spese legali della parte avversa e non sono costi da ridere.

E sono gli aspetti a cui mi riferisco, quando dico che si pensa che nessuno s'imbarca in rotture di palle del genere ma, come espresso, in parecchi dei reati perpetrati su internet ai danni di terzi, si sottovaluta il fatto che genitori e/o case editrici, di gioco e via dicendo, denaro da spendere o rischiare lo hanno.

Il principio, comunque espresso è che, a prescindere dal fatto che si denunci o meno, c'è una legge e dovrebbe, sempre, essere rispettata.

10/11/2017 03:01:37 e modificato da ghennadi72 il 10/11/2017 03:16:17

Tecnicamente l'hashing si usa proprio per il fatto che la monodirezionalità garantisce che il contenuto non sia più leggibile. Ossia è l'operazione ideale per quei dati che si vogliono solo oscurare/anonimizzare, pur restando utilizzabili se confrontati ad altri dati oscurati con lo stesso algoritmo.

Tipicamente, password inserita dall'utente, hashata al volo e confrontata con quella hashata nel database. Se non sono stati fatti scherzetti da prete nel mezzo (tipo salvare comunque la password in chiaro altrove all'insaputa dell'utente) la password hashata non è conoscibile da chi accede al database e resta in possesso, in chiaro, solo dell'utente che l'ha impostata.

Usare un algoritmo di cifratura che permetta la decrittazione diciamo che rende più sicuro il dato, rispetto al dato salvato in chiaro, ma è assolutamente inutile ai fini di quello che interessa a noi, ossia concretizzare la condizione per cui solo l'utente é in possesso della propria password in chiaro.

L'uso su un indirizzo email è diverso, ma segue la stessa logica. Se l'obiettivo è garantire un ban a tempo indeterminato e, al tempo stesso, non avere noie per il fatto che stai trattenendo un dato personale oltre i normali tempi di conservazione dichiarati, hashi in modo irreversibile l'indirizzo email in modo che perdi l'unico effettivo dato che possa essere considerato personale, oscurandolo in modo irreversibile.

L'efficacia del ban viene garantita tecnicamente dal fatto che se qualcuno prova a riutilizzare lo stesso indirizzo per registrarsi, il sistema controlla se i due hash corrispondono, e se corrispondono risponde "Puppa! Indirizzo usato da un utente precedentemente bannato per aver violato i termini di utilizzo del servizio!" (e a quel punto l'utente bannato ma motivato a tornare si farà un nuovo indirizzo email e te lo ritroverai lo stesso tra le bolas).

Ma almeno tu gestore hai ottenuto l'obiettivo di non essere più in possesso del dato personale pur conservando la possibilità di impedire il riutilizzo di quel dato per violazioni regolamentari pregresse.
E l'utente bannato è contento perchè ha ottenuto la goduriosa, orgasmica soddisfazione di averti privato della sua email.

nb: si consideri anche che i dati normalmente collegati a un account identificativo, come IP, sesso, orari di connessione eccetera, che di per sè non sarebbero affatto dati personali finchè non vengono collegati a un vero e proprio dato personale che consenta l'identificazione di un utente, nel momento in cui il "dato padre" viene anonimizzato, perdono la loro natura di dato personale e possono essere ugualmente conservati per permettere tutti i necessari controlli tecnici del caso.

10/11/2017 08:28:31

ilgrandeinverno ha scritto:
Non è esattamente così.
Magari.
Teoricamente puoi provvedere e preparare una denuncia/querela da solo.
Praticamente avere la preparazione per fare una denuncia penale in modo corretto rispettandone gli aspetti procedurali, nei quali l'errore può comportare, purtroppo, anche l'archiviazione della denuncia o che l'intero processo, per tale difetto procedurale, sia archiviato anche se riscontrato durante il procedimento, l'avvocato serve e ha un costo.

Con la denuncia o querela, si mette al corrente l'autorità di fatti che costituiscono un reato procedibile d'ufficio nel primo caso o del quale si è la parte lesa nel secondo caso (detto senza entrare nei dettagli delle differenze tra i due).

Competenze legali per le due non sono assolutamente necessarie per la cosa visto soprattutto che possono essere fatte anche in forma orale e in quel caso spetterà all'autorita che le riceve fare il verbale.

Se poi, per una qualsiasi ragione, perdi la causa (anche per errori procedurali) paghi le spese legali della parte avversa e non sono costi da ridere.

Procedimento civile dove sussiste la regola della soccombenza.

In penale la cosa è un bel po' diversa in quanto da un lato hai il pubblico ministero dall'altra l'imputato.
Le spese legali dell'imputato sono a carico dell'imputato sia in caso di condanna che di assoluzione (salvo casi particolari dove riuscirà a recuperare le spese esempio patrocinio gratuito a carico dello stato).
Se non ci si costituisce parte civile, o se alla fine del procedimento penale non si inizia un procedimento civile per lo stesso fatto ma ci silimita al provedimento penale le speselegali di chi ha fatto la denuncia/querela sono pari a zero.

10/11/2017 14:14:58

dyrr ha scritto:

Con la denuncia o querela, si mette al corrente l'autorità di fatti che costituiscono un reato procedibile d'ufficio nel primo caso o del quale si è la parte lesa nel secondo caso (detto senza entrare nei dettagli delle differenze tra i due).

Competenze legali per le due non sono assolutamente necessarie per la cosa visto soprattutto che possono essere fatte anche in forma orale e in quel caso spetterà all'autorita che le riceve fare il verbale.

Ho spiegato, credo, in modo chiaro, per quale motivo serve un avvocato. Tu mi rispondi con altro, pazienza.

dyrr ha scritto:

Procedimento civile dove sussiste la regola della soccombenza. In penale la cosa è un bel po' diversa. In quanto da un lato hai il pubblico ministero dall'altra l'imputato.
Le spese legali dell'imputato sono a carico dell'imputato sia in caso di condanna che di assoluzione (salvo casi particolari dove riuscirà a recuperare le spese esempio patrocinio gratuito a carico dello stato).
Se non ci si costituisce parte civile, o se alla fine del procedimento penale non si inizia un procedimento civile per lo stesso fatto ma ci silimita al provedimento penale le speselegali di chi ha fatto la denuncia/querela sono pari a zero.

Di penale stiamo parlando, non di civile.
Io ti ringrazio per avermi spiegato la differenza, la conosco bene.

In tutti i casi di denuncia o querela che introducano un procedimento penale, conseguenza quasi naturale è che tu risponda con una accusa di calunnia nei confronti di chi ti denuncia e con la conseguente possibilità di risarcimento dei danni materiali e morali. Quindi no, non sono pari allo zero.


E ci sono altre possibilità e strade per il risarcimento, con esclusione delle iniziative della Polizia.

Non entro nel merito di citazioni di articoli, contro-articoli e sentenze di cassazione.
Ma è una delle ragioni per cui il nostro sistema giudiziario resta estremamente labile e difficilmente una persona consapevole di tutte le problematiche che un processo comporta, se assistita da una persona competente, si muove in tal senso.
C'è chi lo fa, ma raramente se ne pente.

10/11/2017 14:15:07

Me ne sono occupato per ragioni non inerenti ai GDR e ho l'impressione che sia sostanzialmente un aggiornamento rispetto alle vecchie disposizioni, con un paio di cosette che potrebbero mettere in difficoltà Facebook e Google, ma che non mi pare riguardino i GDR.

Le funzioni di hash sembrano avere trovato pace, perché il regolamento esclude sia trattamento la conservazione di dati in forma non riconoscibile, purché la chiave di decrittazione sia conservata in maniera autonoma ed esistano sistemi adeguati per garantirne l'anonimato. Per quel che capisco di informatica io, dovrebbe essere una benedizione della prassi in corso.

Le revisioni delle informative richiedono un po' più di attenzione, ma vanno verso la semplificazione. Cioè andranno scritte in termini chiari e semplici e non più in legalese, il che dovrebbe agevolare la modifica, senza dover per forza chiedere conferma ad un amico che ne capisce di diritto. Anche perché il regolamento è scritto in modo molto chiaro e non ha i rinvii a leggi, commi e codicilli delle tipiche leggi italiane.
Se serve, Twitter ha già da tempo adottato questa politica di ultrasemplificazione, quindi se ci si vuole ispirare, è un ottimo esempio


Il problema principale per i PBC mi sembra possa provenire dai Codici di Condootta che dovrebbero essere redatti nel corso del tempo.


Se posso poi lasciare un consiglio, io giustificherei il trattamento su tre basi: nella fase iniziale, sia sulla base di un contratto di utilizzo gratuito di una piattaforma che sulla base del consenso; in caso di sanzioni, sulla base dell'interesse del titolare del trattamento, facendo magari attenzione a chiedere esclusivamente i dati necessari all'iscrizione (in un'interpretazione restrittiva, la mail e basta).

10/11/2017 14:46:06

quartz ha scritto:
(...)

Mi riservo di verificare più tardi ma il Codice di condotta e le eventuali nomine di incaricati oltre il titolare riguardano solo le grandi aziende. Per fortuna.

10/11/2017 15:17:32

Estremamente interessante e utile questo thread.
Mi riservo di leggere la fonte con la dovuta attenzione e completezza non appena terminato il nostro raduno nazionale di questo weekend...

11/11/2017 20:59:45 e modificato da ghennadi72 il 11/11/2017 21:00:24

mirichy ha scritto: Scusate l'ignoranza ma queste nuove disposizioni cosa cambiano in pratica rispetto a quelle di adesso, ai gestori e a chi si vuole fare un nuovo pbc?

Dal punto di vista strettamente sostanziale non cambia moltissimo, perlomeno non per l'applicazione che ne facciamo noi. Per grandi aziende, enti e pubbliche amministrazioni cambiano parecchie cose, se non dal punto di vista sostanziale, per gli adempimenti formali a cui saranno chiamate.

C'è un generale "obbligo" alla chiarezza e all'uso di un linguaggio più comprensibile possibile nelle informative e negli impegni da presentare all'utente per la sottoscrizione.

C'è un impegno più stringente (anche se di dubbia applicabilità) sul consenso quando viene chiesto a minori di 16 anni, con la necessità che esso sia dato con l'autorizzazione dei genitori (o tutori)

Quella che era a distinzione tra dati personali e dati sensibili resta nella sostanza ma cambia un pochino nella formulazione (sono considerati entrambi dati personali ma hanno modalità e limitazioni di trattamento diverse)

Maggiore enfasi posta sulla sicurezza, perlomeno su quello che va detto all'utente sulle procedure e misure di sicurezza a protezione dei dati conservati e trattati.

I termini per il gestore/responsabile del trattamento dei dati si allungano a un mese in caso di risposte da dare a un utente che richieda di esercitare i vari diritti di accesso/rettifica/cancellazione/ecc (con la vecchia normativa erano 15 giorni)

Va indicata con maggiore chiarezza la figura del titolare del trattamento dei dati e, a seguire, dei responsabili ed incaricati (anche se quest'aspetto riguarda soprattutto le grandi aziende/enti/amministrazioni), dei Codici di condotta degli stessi e delle procedure organizzative di attuazione delle politiche di trattamento dei dati.

Per come è espressa la nuova normativa, all'entrata in vigore di un cambio di regolamento non dovrebbe essere sufficiente dare per scontato il silenzio assenso dell'utente ma dovrebbe essere necessario richiederne di nuoov la sottoscrizione.

A questo proposito ci sono anche indicazioni molto stringenti sulle vecchie pratiche basate sul silenzio/assenso, i form con le crocette già precompilate, e via dicendo.

12/11/2017 18:34:51

Molto utile grazie!

13/11/2017 13:58:33

ghennadi72 ha scritto: [quote]quartz ha scritto:
(...)

Mi riservo di verificare più tardi ma il Codice di condotta e le eventuali nomine di incaricati oltre il titolare riguardano solo le grandi aziende. Per fortuna.[/quote]

Siccome ho apprezzato l'intervento, ti lascio il quote e poi le mie considerazioni

Articolo 40
Codici di condotta (C98, C99, C167-C168)
1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggianol’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Parla, quindi, anche di micro imprese.
Siccome è un riferimento ad una prassi già in uso, ti posso dire che il Garante ha diffuso linee guida anche in materie non di stretta inerenza con l'attività di impresa e da qualche parte dovrei avere ancora la decisione sempre del Garante relativa alla mailing list del calcetto (eh...) che ho sempre ritenuto la cosa più vicina in spirito al PBC.
Quindi ho idea che potrebbero esserci linee guida astrattamente applicabili. Il che peraltro è di solito un bene, perché le linee guida per attività secondarie e non a scopo di lucro sono di solito permissivissime e quindi, se qualcosa ci viene dalle linee guida, è che allentino un po' gli adempimenti ;-)