GASdotto & GDPR
33 views
Skip to first unread message
Lorenzo Franceschini
Mar 19, 2019, 9:25:03 AM3/19/19
to GASdotto
Ciao a tutti,
questo è il mio primo post in questo gruppo, perciò ritengo cosa buona e giusta presentarmi: mi chiamo Lorenzo Franceschini, e sono socio del GAS "La Fenice" di Senigallia.
Innanzitutto, ci tengo a porgere i miei complimenti agli sviluppatori, sia per l'applicazione realizzata, sia per l'approccio aperto e partecipativo con cui viene condotto lo sviluppo software, sia infine per l'eccellente supporto offerto agli utenti (documentazione, mailing list, istanze in hosting).
Vengo al punto: come GAS, stiamo valutando l'adozione di GASdotto come gestionale; a tal fine, ho provveduto a creare un'istanza e ho iniziato a sperimentare le funzionalità dell'applicazione.
Prima di iniziare ad inserire i dati dei gasisti, però, mi sono posto una domanda: quali sono le implicazioni connesse alla privacy derivanti dall'uso di GASdotto in modalità SaaS? In altri termini: anche e soprattutto in riferimento al recente aggiornamento del quadro normativo in materia di trattamento dei dati personali (la famigerata "GDPR"), come mi suggerireste di muovermi per gestire correttamente tale problematica? Ad esempio:
Saluti,
Lorenzo
questo è il mio primo post in questo gruppo, perciò ritengo cosa buona e giusta presentarmi: mi chiamo Lorenzo Franceschini, e sono socio del GAS "La Fenice" di Senigallia.
Innanzitutto, ci tengo a porgere i miei complimenti agli sviluppatori, sia per l'applicazione realizzata, sia per l'approccio aperto e partecipativo con cui viene condotto lo sviluppo software, sia infine per l'eccellente supporto offerto agli utenti (documentazione, mailing list, istanze in hosting).
Vengo al punto: come GAS, stiamo valutando l'adozione di GASdotto come gestionale; a tal fine, ho provveduto a creare un'istanza e ho iniziato a sperimentare le funzionalità dell'applicazione.
Prima di iniziare ad inserire i dati dei gasisti, però, mi sono posto una domanda: quali sono le implicazioni connesse alla privacy derivanti dall'uso di GASdotto in modalità SaaS? In altri termini: anche e soprattutto in riferimento al recente aggiornamento del quadro normativo in materia di trattamento dei dati personali (la famigerata "GDPR"), come mi suggerireste di muovermi per gestire correttamente tale problematica? Ad esempio:
- In questo scenario, chi si configura come titolare del trattamento dei dati personali?
- E come responsabile del trattamento dei dati personali?
- Sapreste indicarmi una modulistica da far sottoscrivere ai gasisti che funga sia da informativa sulla privacy sia da liberatoria per scongiurare eventuali contenziosi legali?
- I GAS che hanno adottato GASdotto in modalità SaaS si sono posti tali problemi? Se sì, come li hanno affrontati?
Saluti,
Lorenzo
Paolo Tiozzo
Mar 20, 2019, 5:52:46 AM3/20/19
to GASdotto
Ciao Lorenzo
In allegato ho messo il modulo che mi sono studiato io per richiedere l'adesione e il consenso all'inserimento dei dati nel sistema e nella mailinglist (per il nostro GAS usiamo googlegroups)
In realtà gasdotto non è completamente a norma in quanto vi sono dei dati "sensibili" (telefono e mail) che sono liberamente accessibili a tutti gli iscritti.
L'unica attenzione che facciamo noi è di non inviare il dettaglio consegne ai fornitori in quanto vi sono dei dati sensibili che uscirebbero dall'associazione.
L'unica attenzione che facciamo noi è di non inviare il dettaglio consegne ai fornitori in quanto vi sono dei dati sensibili che uscirebbero dall'associazione.
Vediamo se con BOB in futuro riusciamo ad effetuare delle modifiche per rendere il sistema più aderente alla normativa
Lorenzo Franceschini
Mar 20, 2019, 6:27:00 AM3/20/19
to GASdotto
Ciao Paolo,
intanto grazie per la risposta.
intanto grazie per la risposta.
Il giorno mercoledì 20 marzo 2019 10:52:46 UTC+1, Paolo Tiozzo ha scritto:
In allegato ho messo il modulo che mi sono studiato io per richiedere l'adesione e il consenso all'inserimento dei dati nel sistema e nella mailinglist (per il nostro GAS usiamo googlegroups)
Ho una perplessità: nel modulo che hai allegato trovo scritto:
I tuoi dati [..] non saranno ceduti a terzi e saranno visibili al direttivo ed agli addetti alla consegna.
Nessun dato sarà ceduto a terzi.
In realtà, a me pare che i dati inseriti su GASdotto vengano ceduti a terzi (ovvero, a chi gestisce l'hosting delle istanze). Sbaglio?
L.
L.
Roberto Guido
Mar 22, 2019, 5:26:38 AM3/22/19
to gasdot...@googlegroups.com
On 19/03/19 14:25, Lorenzo Franceschini wrote:
> Prima di iniziare ad inserire i dati dei gasisti, però, mi sono posto
> una domanda: *_quali sono le implicazioni connesse alla privacy
> Prima di iniziare ad inserire i dati dei gasisti, però, mi sono posto
> derivanti dall'uso di GASdotto in modalità SaaS?_*
>
Il tema GDPR e' stato sollevato in altre sedi da diversi GAS, e la
risposta tipicamente e': la maggioranza degli adempimenti introdotti
dalla norma (tipo il registro degli accessi e la figura del DPO)
riguardano, esplicitamente, aziende con almeno XXX dipendenti e YYY
fatturato annuo. Parametri entro cui personalmente non rientro, ne' in
qualita' di libero professionista (quale io sono) ne' come "progetto
GASdotto" (che giuridicamente manco esiste).
Alcune misure a tutela della privacy sono gia' state adottate (backups
criptati, completa rimozione dei dati del gruppo che ne fa richiesta o
la cui istanza scade, connessioni HTTPS), altre potrebbero magari essere
aggiunte (tipo: dare la possibilita' ai singoli utenti di disabilitare
il proprio account e far sparire i propri dati), altre ancora sono
discrezionali (l'accesso all'elenco completo degli utenti di una
istanza, completo di contatti, puo' essere abilitato o disabilitato da
ciascun amministratore configurando i permessi).
Dal punto di vista giuridico i titolari dei dati personali sono gli
amministratori dell'istanza (sei tu che carichi o meno il numero di
telefono dei membri del tuo GAS, dopo aver valutato se quella
informazione ti serve o meno per lo svolgimento della tua attivita')
mentre il responsabile sono io (se piglio quei numeri di telefono e li
vendo per fare marketing, laddove sulla privacy policy e' scritto che
non vengono condivisi con nessuno, sono nei guai).
E' forse vero che questo andrebbe esplicitato nella privacy policy,
benche' siano dinamiche abbastanza implicite date le definizioni stesse
dei suddetti ruoli.
--
Roberto Guido
http://www.madbob.org/
Reply all
Reply to author
Forward
0 new messages