Se ben ricordo, il consenso deve essere esplicito solo se fai
trattamenti ulteriori rispetto a quelli minimi necessari per gestire la
richiesta dell'utente (già per fargli vedere l'informativa stai
trattando i suoi dati, ma non ti ha ancora autorizzato, quindi non puoi
fargliela vedere, ma se non glie la fai vedere come può autorizzarti?
perfetta storia da comma 22! :) ).
Diego
Il 13/09/2023 12:03, Giuliano Curti ha scritto:
Il mer 13 set 2023, 11:32 Diego Zuccato <diego.zucc...@unibo.it
<mailto:diego.zucc...@unibo.it>> ha scritto:
Il 12/09/2023 17:45, Matteo Bini ha scritto:
> In breve, se non salvi gli indirizzi IP di chi visita il tuo
sito, non
> usi cookie e non raccogli dati personali, non devi scrivere nulla.
Neppure io sono un legale, ma mi sembra un consiglio pericoloso: per
gestire la richiesta, il server sta trattando un dato personale (l'IP),
per quanto in modo transiente e senza conservarne traccia.
Mettere un'informativa minimale ti mette comunque al riparo (se non
altro puoi dimostrare la buona fede di averci provato), mentre non
mettere nulla può esporre a rischi di contestazioni.
Cominciando a guardare la guida al GDPR 2020(?) sul sito del GDPD (spero
di non fare confusione con le sigle:-() ho avuto anch'io l'impressione
che il discorso sia più generale;
credo di aver capito che la seconda normativa (perché c'è anche
l'e-privacy) riguarda qualsiasi abbinamenti fra utente e 'contrassegno'
e questo può essere un cookie, ma anche l'IP (mi sembra il cap. 2).
Più avanti la guida analizza anche i casi dei cookie (depositati sulla
macchina dell'utente) e altri (chiamati 'fingerprinting'), tra cui l'IP,
che restano sulla macchina del publisher.
A quel punto l'orizzonte mi si è oscurato e mi sono fermato, con il
serio dubbio che sia tutto un po' più complesso di quanto immaginavo.
L'unico sollievo mi deriverebbe dalla nota che i cookies e gli elementi
'tecnici' necessari alla navigazione sono forse autorizzanti (anche in
assenza di consenso?), ma lo dico solo per sapere se almeno ho azzeccato
qualcosa o invece l'orizzonte è più buio di quanto temessi..... :-((
Per tentare una sintesi pratica: un avviso che:
a) non si fa uso di cookies
b) i soli dati tracciati possono essere l'indirizzo IP per esigente tecniche
c) un bel bottone che l'utente preme per entrare nel sito altrimenti
torna indietro (altro dettaglio: mi sembra di aver visto che il consenso
deve essere esplicito, il semplice scorrimento della pagina non basta)
può funzionare?
--
Diego Zuccato
Grazie infinite a tutti, saluti,
Giuliano
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
