On 19/03/19 14:25, Lorenzo Franceschini wrote:
> Prima di iniziare ad inserire i dati dei gasisti, però, mi sono posto
> una domanda: *_quali sono le implicazioni connesse alla privacy
> derivanti dall'uso di GASdotto in modalità SaaS?_*
>
Il tema GDPR e' stato sollevato in altre sedi da diversi GAS, e la
risposta tipicamente e': la maggioranza degli adempimenti introdotti
dalla norma (tipo il registro degli accessi e la figura del DPO)
riguardano, esplicitamente, aziende con almeno XXX dipendenti e YYY
fatturato annuo. Parametri entro cui personalmente non rientro, ne' in
qualita' di libero professionista (quale io sono) ne' come "progetto
GASdotto" (che giuridicamente manco esiste).
Alcune misure a tutela della privacy sono gia' state adottate (backups
criptati, completa rimozione dei dati del gruppo che ne fa richiesta o
la cui istanza scade, connessioni HTTPS), altre potrebbero magari essere
aggiunte (tipo: dare la possibilita' ai singoli utenti di disabilitare
il proprio account e far sparire i propri dati), altre ancora sono
discrezionali (l'accesso all'elenco completo degli utenti di una
istanza, completo di contatti, puo' essere abilitato o disabilitato da
ciascun amministratore configurando i permessi).
Dal punto di vista giuridico i titolari dei dati personali sono gli
amministratori dell'istanza (sei tu che carichi o meno il numero di
telefono dei membri del tuo GAS, dopo aver valutato se quella
informazione ti serve o meno per lo svolgimento della tua attivita')
mentre il responsabile sono io (se piglio quei numeri di telefono e li
vendo per fare marketing, laddove sulla privacy policy e' scritto che
non vengono condivisi con nessuno, sono nei guai).
E' forse vero che questo andrebbe esplicitato nella privacy policy,
benche' siano dinamiche abbastanza implicite date le definizioni stesse
dei suddetti ruoli.
--
Roberto Guido
http://www.madbob.org/