GDPR - Documentazione Privacy
Documentazione - Modelli - Checklist - Guide
Introduzione
Con l’accountability nel GDPR si afferma la necessità di documentare in forma scritta anche informatica, quale prova a favore, le attività svolte.
Per semplificare il titolare deve:
- Pubblicare la propria informativa online
- Aggiornare il proprio audit delle risorse aziendali
- Richiamare nei contratti le proprie condizioni generali di privacy
- Incaricare per iscritto i collaboratori all’inizio e alla fine della collaborazione
- Istruire i collaboratori via email (o pec, inviandone copia al registro dei trattamenti se tenuto via email)
- Tenere traccia delle richieste dei clienti via email come sopra
- Valutare i rischi dei trattamenti esistenti e nuovi
Ancora più in breve:
- Informativa
- Audit risorse aziendali aggiornato
- Registro dei trattamenti aggiornato
- Incarichi scritti a collaboratori e dai clienti
- Analisi dei rischi per le nuove attività
- Richiamare nei contratti le proprie condizioni generali di privacy
Il materiale che segue è diviso in:
- Informativa (anche in html per la pubblicazione online)
- Audit
- Valutazione dei rischi
- Modelli di nomine
- Guida per il registro dei trattamenti
- Condizioni generali di Privacy (DPA data processing agreement)
Si tratta di documentare i comportamenti e le valutazioni oppoertune e richieste ai fini della privacy. Lo si faceva anche prima, ma senza tenerne traccia. Lo scopo è quello di rispondere alle «crisi» informatiche o di sicurezza in modo più consapevole e rendicontabile.
La documentazione che segue offre quanto necessario già compilato e i modelli e le linee guida per quanto potrà servire.
Nota sulle condizioni generali di privacy: andranno allegate, insieme alle condizioni generali, ai contratti firmati la prima volta; poi dovranno essere citate nelle trattative e richiamate nei contratti successivi. Possono essere aggiornate nello stesso modo in cui sono pubblicate, e cioè sul vostro sito. Si raccomanda di tenerne archivio (anche cartaceo) versionato e datato (così come per le informative privacy)
Informativa
Informativa privacy del 22.03.2024 19:12 Uaar
L’informativa è divisa in una prima parte di carattere generale e in una seconda parte dove sono affrontati i singoli trattamenti. Viene fornita ex art. 13 e le norme (v. dopo) correlate del GDPR, Regolamento 2016/679/UE disponibile su Garanteprivacy.it. Sono disponibili in versione multilingue comparata su PrivacyKit.it
Parte Generale
Uaar
E-mail: info@uaar.it - https://www.uaar.it/contatti/
Associazione
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
V.07 del 18.10.2022
Responsabile: il legale rappresentante pro tempore
Referente per la privacy: Coordinatore
Ove non specificato, il trattamento avviene tramite i siti di Uaar, anche domini di terzo livello: uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it
Hosting attuale: Host Europe GmbH
L’analisi di rischio è comune: a tutti i trattamenti. Il socio che voglia mantenere riservate le informazioni può indicare di non ricevere comunicazioni. In caso di violazione di un diritto ci possono comunque essere reazioni da parte di chi ha relazioni sociali o lavorative con l’interessato, di varia intensità, pur considerando che c’è chi vuole queste reazioni proprio per difendere la propria scelta.
Queste situazioni vanno quindi valutate insieme agli interessati per migliorare il livello caso dopo caso.
Informativa - parti comuni
- Uaar fornisce l’assistenza a richiestra tramite gli strumenti online e ai recapiti indicati.
- Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento). Ex art. 12, si gode dei diritti ex artt. 13 (e 14 in caso di dati raccolti da terzi), da 15 a 22 e all’articolo 34.
- In caso di data breach ex art.34 l’interessato riceverà comunicazione.
- Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
- La mancata contestazione specifica, completa e documentata («messa in mora») dell’interessato che dovrà identificarsi (artt. 11 e 12) prima dell’azione verrà valutata ai fini della richiesta danni o del maggior costo che l’azione senza contestazione causa se non vi è motivo specifico per non effettuarla.
- Le richieste manifestamente infondate o eccessive o ripetitive ex art.12 o in più copie (art. 15) sono valutate ai fini del contributo in 80 euro l’ora oltre oneri di legge.
- La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica. I dati saranno comunicati per via telematica alla casella pec comunicata dall’interessato, o in mancanza, ad altro recapito telematico.
- Possono essere cancellati dai browser, accedendo a opzioni/impostazioni sicurezza o cercando gestione cookies. Per informazioni: www.allaboutcookies.org
- La presente informativa si applica in quanto compatibile anche a tutti gli account social o presso servizi terzi usati insieme a questo sito.
CAPO III Diritti dell’interessato
Sezione 1 Trasparenza e modalità
Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti
Sezione 2 Informazione e accesso ai dati personali
Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Art. 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Art. 15 Diritto di accesso dell’interessato
Sezione 3 Rettifica e cancellazione
Art. 16 Diritto di rettifica
Art. 17 Diritto alla cancellazione («diritto all’oblio»)
Art. 18 Diritto di limitazione di trattamento
Art. 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Art. 20 Diritto alla portabilità dei dati
Sezione 4 Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Art. 21 Diritto di opposizione
Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la
Art. 34 Comunicazione di una violazione dei dati personali all’interessato
software v. 3.4
Trattamenti
indice dei trattamenti, descritti successivamente all’indice:
Associazione
I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.
Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.
Sono descritti nelle pagine successive.
Per ogni informazione sulla privacy contattare il referente indicato su www.uaar.it/contatti
Alla stessa pagina è disponibile l’elenco degli incaricati di singoli trattamenti che si intendono qui trascritti per non tenere due elenchi non sincronizzati.
Ad essi si aggiungano:
- Dipendenti: con funzione di segreteria
- Reparto it: webmaster e sistemista
- Coordinamento e organizzazione interna: referente privacy
- Contabile : l’addetto alla contabilità
- Paghe: l’addetto alle paghe
Biblioteca e uffici
Il servizio biblioteca viene gestito con semplicità, fornendo una tessera «bibliotecaria» indipendente dall’iscrizione.
Il prestito librario, annotato in un registro interno per tenere traccia della restituzione, e viene concesso a chi si presenta in sede.
Alla raccolta dei dati per l’identificazione non segue ulteriore trattamento, e alla restituzione (entro 7 gg per consentire un controllo delle condizioni di quanto restituito) i dati sono cancellati.
L’addetto che consegna il libro segue il trattamento.
La tessera bibliotecaria non scade, ma può essere restituita.
Circoli
Le indicazioni relative ai circoli sono contenute alla voce iscrizioni.
Qui vengono tratti invece gli aspetti di rendicontazione contabile e dei progetti dei Circoli.
Si chiarisce subito che titolare è Uaar nazionale, e i circoli agiscono come nominati e incaricati.
Chi diventa coordinatore di un circolo si intende nominato anche a trattare i dati secondo le mansioni e istruzioni qui indicate, per tutta la durata del rapporto e oltre secondo gli obblighi di legge.
Iscrizioni
L’iscrizione all’associazione è gestita a livello nazionale; territorialmente i circoli tramite il coordinatore inviano alla sede centrale gli elenchi dei soci nuovi, cessati e ogni modificazione.
L’iscrizione a Uaar include l’abbonamento alla rivista.
L’iscrizione richiede la registrazione dei dati anagrafici e del pagamento; per la ricezione della rivista cartacea sono richiesti separatamente i dati di spedizione.
Le iscrizioni sono nazionali, i circoli territoriali raccolgono le quote e comunicano alla sede centrale i nominativi e possono consultare quelli soli di competenza tramite software sviluppato internamente.
I circoli organizzano la vita e gli eventi associativi su iniziativa del coordinatore contattando gli associati territorialmente compententi, anche con l’aiuto di volontari appositamente istruiti caso per caso, sapendo di dover chiede al coordinatore per ogni dubbio.
Lavoro e Contabile
L’associazione tratta i comuni dati di gestione del personale e della contabilità avvalendosi di professionisti del settore.
Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Alla nomina, incarico e cambio di mansioni si aggiorna il registro
Le email, la cloud e gli altri servizi sono tutti servizi dell’ente dati in gestione con DIVIETO di uso personale e con strumenti personali e comunque diversamente da quanto previsto. E’ vietato usare altri strumenti, di archiviazione e documentazione e altro, diversi da quelli affidati in custodia, senza preventiva autorizzazione scritta.
Gli addetti sono informati che i log necessari per proteggere il patrimonio informatico associativo non sono usati per cercare illeciti, ma qualora vi siano delle verifiche opportune, e comunque a campione non periodicamente, potranno essere consultati per verificare usi diversi da quelli autorizzati espressamente.
Il lavoratore può e deve chiedere spiegazioni su ogni dubbio relativo ai trattamenti.
L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy. xxx
Videosorveglianza
Sensori di movimento ad infrarossi per antifurto. NON si tratta di videocamera, è in grado di acquisire foto solo dopo che il sensore rileva movimenti negli orari indicati.
Online
I trattamenti che seguono riguardano le attività tipicamente online.
Sono descritti nelle pagine successive.
I domini:
uaar.it
blog.uaar.it
go.uaar.it - Tool per redirect non traccianti
soci.uaar.it - Tesserateo - libro soci
disc.uaar.it - Forum privato
ywf.uaar.it - Rendicontazione circoli
nessundogma.it - Store
rivista.nessundogma.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti
raccolta firme (coming soon)
Email in uso:
elencate e aggiornate su: https://www.uaar.it/contatti/
Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web. Uno sforzo e una sensibilità notevole per una associazione che si preferisce gestirli pur essendo un costo in più
Analitiche
Per analitiche si intendono le attività di misurazione della consultazione di pagine e aree del sito internet.
Uaar utilizza software interno per la misurazione delle statistiche, anonimizzando l’ip in tutto se il software lo consente, per minimizzare il tracciamento dei visitatori.
Le analitiche così anonimizzate sono tenute per tutta la durata del servizio, anche in forma aggregata.
Blog
Il sito blog.uaar.it, gestito da UAAR.it, fornisce:
- notizie (blog) dette «A ragion veduta - Il mondo osservato dall’Uaar»
- commenti ai post
- condivisione sui social tramite plugin
- feed rss
- link ai social (Twitter Facebook Instagram Youtube)
- cookies funzionali al backend WordPress
- analitiche
- log server
- commenti
sui temi dell’associazione
- Il sito è aperto in lettura a tutti
- Titolare: **UAAR**
- Responsabile del Trattamento: il **segretario** pro tempore
- Contatti: **sede** di UAAR - assistenza anche telefonica, richieste formali ex privacy tramite PEC
### 1 cookies e log
- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso
### 2 analitiche
- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: negoziale
- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.
- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.
### 3 commenti
- Trattamento: **community** consentire ai lettori di ritrovarsi
- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati
- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.
- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).
## Rinvio a UAAR
- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it
Campagne informative
Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Vi sono ovviamente link al sito Uaar dove eventualmente possono essere chiesti ulteriori servizi.
Tra questi:
uaar.it
blog.uaar.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti e campagna informativa
Contatti
Vi rientra tutta l’attività di assistenza pre, post e contrattuale all’iscrizione e fruizione dei servizi offerti, ivi inclusi quelli informativi richiesti dagli interessati.
Avviente tipicamente via email; i dati sono condivisi via cloud così come stabilito dall’addetto.
Cookie e traccianti
Nello sviluppo della presenza online è stato incaricato un consulente per rimuovere ogni residuo tracciante, non solo cookies.
Attualmente i siti utilizzano font e contenuti da cdn solo in locale. Restano cookies tecnici per l’uso dei gestionali.
Detto questo i siti non sono usati per profilare e per vendere il traffico di profilazione.
Maggiori dettagli per ogni singolo trattamento.
Discussioni e commenti
AREA DISCOURSE
La comunità online è gestita tramite l’open source discourse, gestore moderno di forum online.
Ci sono meccanismi di gratificazione (Bravo, hai letto le faq), mi piace, e aree tematiche. Il traffico è mediamente basso.
Credenziali: gestite parzialmente con rinvio su www.uaar.it dopo il recupero password reimpostandone una nuova con controllo di complessità, per il resto tutto su disc.uaar.it; non è possibile cancellarsi da soli, bisogna chiederlo al moderatore.
Ogni utente può avere livelli diversi di accesso: admin, socio, comitato di coordinamento, staff amichevole per l’assistenza e altri funzionali all’attività associativa.
Contiene ampiamente faq, condizioni d’uso, aiuti per usarlo al meglio.
Traccia gli accessi e il browser usato per verificare gli accessi a posteriori.
Al momento sono disattivate tutte le notifiche via email, sono disponibili solo quelle tramite browser.
Dall’interno è possibile rinnovare la tessera associativa.
E’ possibile accedere anche dopo la scadenza della quota associativa.
COMMENTI SUL BLOG
I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. Come ogni commento a post su blog si può scrivere con uno pseudonimo, usato da tanti.
I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare. La moderazione sui contenuti aiuta a mantenere il rispetto della netiquette.
Hosting
La comune fornitura di servizi di pubblicazione statica e dinamica di contenuti online
Navigazione
Dati di navigazione raccolti ex Bassanini per finalità antiterrorismo o per autotela giudiziaria su contestazione specifica per le attività svolte tramite i siti.
Sono i log di apache, in altri casi le statistiche di sistema.
Dati di navigazione possono essere raccolti anche dal trattamento Analitiche.
Newsletter
Ai soci Uaar invia newsletter tramite phplist, un software affidabile e ben noto nel settore.
La newsletter non profila ed è una prestazione richiesta dall’iscritto alla newsletter che vuole restare aggiornato per la durata del servizio.
In essa confluiscono anche gli iscritti all’associazione, ma sono servizi indipendenti e non sincronizzati (alla scadenza dell’iscrizione all’associazione si può ricevere ancora la newsletter aperta a tutti per ricevere le novità del sito).
La cancellazione può essere richiesta in automatico in ogni momento tramite indicazioni online.
L’iscrizione è offerta ai soci.
I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Gli elenchi dei soci territoriali possono essere usati solo per le finalità associative, ma devono essere tenuti aggiornati su iniziativa dei coordinatori insieme a quelli locali informando il nazionale per l’annotazione nel registro.
A tal fine Uaar agisce come responsabile fornitore della piattaforma su soci.uaar.it che offre l’elenco degli iscritti (con flag di coloro che hanno chiesto di non inviarla) e consente ai circoli di inviare la newsletter anche ad altri interessati.
Redirection
Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Non è un servizio aperto al pubblico, i link però sono utilizzabili da chiunque.
Servizi
I servizi offerti da Uaar sono:
- iscrizione all’associazione (a pagamento)
- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)
- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque
- partecipazione ad eventi (gratis o pagamento)
- accesso a biblioteca (solo soci)
- invio rivista cartacea per associati (gratis) e interessati (a pagamento)
- invio newsletter digitale (gratis)
- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non
- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password
Per ognuno di questi si veda la sezione relativa.
Cerimonie
L’area cerimonie fornisce informazioni sui celebranti formati da UAAR che possano curare in autonomia cerimonie laiche.
Il sito cerimonieuniche.it fornisce informazioni, la mappa territoriale e l’elenco dei celebranti disponibili.
Menù esemplificativo: CHI SIAMO, CERIMONIE, TESTI, TROVA UN CELEBRANTE, DICONO DI NOI, BLOG, CONTATTI, Italiano
Supporta l’inglese tramite un cookie.
Il blog non offre newsletter nè commenti.
Ecommerce
Il sito nessundogma.it insiema a rivista.nessundogma.it e uaar.it, gestiti da UAAR.it, forniscono:
- informazioni (blog) e
- un catalogo di libri acquistabili su parti terzi (Amazon, Itunes, Ibs, Mondadori, LaFeltrinelli quali marketplace online) e su https://www.uaar.it/shop/
- la rivista associativa https://rivista.nessundogma.it/ (archivi) https://www.uaar.it/shop/ catalogo/rivista-nessun-dogma/ (abbonamento)
Si applica quindi in linea generale la privacy policy di UAAR, con quanto qui prevale [vedi nota su altro documento]] ed è indicato per condividere con gli interessati le opportunità e i rischi del trattamento di questi dati.
Per quanto la vendita di opere non sia indice di idee filosofiche, indirettamente e insieme ad eventuali altre informazioni l’utente può essere profilato.
L’ecommerce è di vari tipi:
- l’iscrizione all’associazione
- la vendita di libri diretta
- la vendita di libri tramite terzi (in autonomia)
- l’abbonamento alla rivista senza essere soci
- l’abbonamento alla rivista è incluso per i soci iscritti
- corsi formativi gratuiti riservati ai soci
- servizi gratuiti
Questa sezione serve ad elencarli, sono descritti singolarmente.
Formazione
Uaar organizza momenti di formazione, ad esempio di celebranti di cerimonie *laico-umaniste*, ma anche in contesti di serious games o formazione in contesti scolastici.
I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. E’ vietato ogni altro uso di dati personali dei frequentanti.
Dopo la formazione a buon fine il partecipante può avvalersi di servizi accessori come ad esempio far diffondere ad UAAR tramite i proprio siti la biografia del formatore con i dati di contatto, ad esempio per essere incluso nella lista pubblica sul sito sul sito cerimonieuniche.it
Gli strumenti per la formazione (videconferenza, cloud, altri tool) sono scelti a preferenza tra quelli open source hostati in Europa:( iorestoacasa.work pcloud.com european-alternatives.eu e quelli individuati da Uaar, e comunicati ai candidati volta per volta tenendone traccia nel registro delle attività o nel caso di formazione organizzata da terzi usando gli strumenti messi a disposizione da terzi.
Si noti che gli strumenti commerciali hanno qualità tecniche superiori senza simili prestazioni alle alternative open source, e saranno adottati a scelta di Uaar per non escludere candidati con limitate risorse hardware, di connettività e per semplicità d’uso ogni volta che lo stato dell’arte impedisca a tutti i partecipanti di fruire la formazione a distanza.
Rivista
Il trattamento dell’iscrizione con la rivista condivide la gestione dell’ecommerce e delle iscrizioni degli abbonamenti, alle quali si rinvia.
Sono trattamenti distinti ma per mantenere i dati aggiornati in entrambi sono gestiti operativamente insieme.
La rivista può non essere spedita a richiesta dell’interessato
Sbattezzati
Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.
1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa, testimonianze e statistiche di sbattezzo in Italia;
2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli,
Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi, ciascuno opzionale e indipendente dagli altri, per:
1. aiutare a presentare la domanda, ricevere le comunicazioni e avvisare l’interessato delle risposte;
2. pubblicare sulla mappa su sbattezzati.it documenti anonimi o pubblici di sbattezzo; note e commenti anonimi o firmati; avvisando l’interessato che una volta che viene chiesta la pubblicazione dell’informazione sarà possibile rimuoverla ma non sarà possibile seguire la domanda presso i terzi che su internet non rimuovano tale informazioni, come noto.
3. pubblicare testimonianze anonime su sbattezzati.it
Uaar non riceve deleghe per inviare le richieste in nome e per conto degli interessati.
Premi e concorsi
UAAR organizza eventi di promozione culturale. I candidati si registrano e vengono giudicate le loro opere
Nota: espandi le singole voci o stampa l’intero documento.
I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.
Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.
Sono descritti nelle pagine successive.
Per ogni informazione sulla privacy contattare il referente indicato su www.uaar.it/contatti
Alla stessa pagina è disponibile l’elenco degli incaricati di singoli trattamenti che si intendono qui trascritti per non tenere due elenchi non sincronizzati.
Ad essi si aggiungano:
- Dipendenti: con funzione di segreteria
- Reparto it: webmaster e sistemista
- Coordinamento e organizzazione interna: referente privacy
- Contabile : l’addetto alla contabilità
- Paghe: l’addetto alle paghe
Biblioteca e uffici
Il servizio biblioteca viene gestito con semplicità, fornendo una tessera «bibliotecaria» indipendente dall’iscrizione.
Il prestito librario, annotato in un registro interno per tenere traccia della restituzione, e viene concesso a chi si presenta in sede.
Alla raccolta dei dati per l’identificazione non segue ulteriore trattamento, e alla restituzione (entro 7 gg per consentire un controllo delle condizioni di quanto restituito) i dati sono cancellati.
L’addetto che consegna il libro segue il trattamento.
La tessera bibliotecaria non scade, ma può essere restituita.
Circoli
Le indicazioni relative ai circoli sono contenute alla voce iscrizioni.
Qui vengono tratti invece gli aspetti di rendicontazione contabile e dei progetti dei Circoli.
Si chiarisce subito che titolare è Uaar nazionale, e i circoli agiscono come nominati e incaricati.
Chi diventa coordinatore di un circolo si intende nominato anche a trattare i dati secondo le mansioni e istruzioni qui indicate, per tutta la durata del rapporto e oltre secondo gli obblighi di legge.
Iscrizioni
L’iscrizione all’associazione è gestita a livello nazionale; territorialmente i circoli tramite il coordinatore inviano alla sede centrale gli elenchi dei soci nuovi, cessati e ogni modificazione.
L’iscrizione a Uaar include l’abbonamento alla rivista.
L’iscrizione richiede la registrazione dei dati anagrafici e del pagamento; per la ricezione della rivista cartacea sono richiesti separatamente i dati di spedizione.
Le iscrizioni sono nazionali, i circoli territoriali raccolgono le quote e comunicano alla sede centrale i nominativi e possono consultare quelli soli di competenza tramite software sviluppato internamente.
I circoli organizzano la vita e gli eventi associativi su iniziativa del coordinatore contattando gli associati territorialmente compententi, anche con l’aiuto di volontari appositamente istruiti caso per caso, sapendo di dover chiede al coordinatore per ogni dubbio.
Lavoro e Contabile
L’associazione tratta i comuni dati di gestione del personale e della contabilità avvalendosi di professionisti del settore.
Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Alla nomina, incarico e cambio di mansioni si aggiorna il registro
Le email, la cloud e gli altri servizi sono tutti servizi dell’ente dati in gestione con DIVIETO di uso personale e con strumenti personali e comunque diversamente da quanto previsto. E’ vietato usare altri strumenti, di archiviazione e documentazione e altro, diversi da quelli affidati in custodia, senza preventiva autorizzazione scritta.
Gli addetti sono informati che i log necessari per proteggere il patrimonio informatico associativo non sono usati per cercare illeciti, ma qualora vi siano delle verifiche opportune, e comunque a campione non periodicamente, potranno essere consultati per verificare usi diversi da quelli autorizzati espressamente.
Il lavoratore può e deve chiedere spiegazioni su ogni dubbio relativo ai trattamenti.
L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy. xxx
Videosorveglianza
Sensori di movimento ad infrarossi per antifurto. NON si tratta di videocamera, è in grado di acquisire foto solo dopo che il sensore rileva movimenti negli orari indicati.
Online
I trattamenti che seguono riguardano le attività tipicamente online.
Sono descritti nelle pagine successive.
I domini:
uaar.it
blog.uaar.it
go.uaar.it - Tool per redirect non traccianti
soci.uaar.it - Tesserateo - libro soci
disc.uaar.it - Forum privato
ywf.uaar.it - Rendicontazione circoli
nessundogma.it - Store
rivista.nessundogma.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti
raccolta firme (coming soon)
Email in uso:
elencate e aggiornate su: https://www.uaar.it/contatti/
Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web. Uno sforzo e una sensibilità notevole per una associazione che si preferisce gestirli pur essendo un costo in più
Analitiche
Per analitiche si intendono le attività di misurazione della consultazione di pagine e aree del sito internet.
Uaar utilizza software interno per la misurazione delle statistiche, anonimizzando l’ip in tutto se il software lo consente, per minimizzare il tracciamento dei visitatori.
Le analitiche così anonimizzate sono tenute per tutta la durata del servizio, anche in forma aggregata.
Blog
Il sito blog.uaar.it, gestito da UAAR.it, fornisce:
- notizie (blog) dette «A ragion veduta - Il mondo osservato dall’Uaar»
- commenti ai post
- condivisione sui social tramite plugin
- feed rss
- link ai social (Twitter Facebook Instagram Youtube)
- cookies funzionali al backend WordPress
- analitiche
- log server
- commenti
sui temi dell’associazione
- Il sito è aperto in lettura a tutti
- Titolare: **UAAR**
- Responsabile del Trattamento: il **segretario** pro tempore
- Contatti: **sede** di UAAR - assistenza anche telefonica, richieste formali ex privacy tramite PEC
### 1 cookies e log
- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso
### 2 analitiche
- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: negoziale
- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.
- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.
### 3 commenti
- Trattamento: **community** consentire ai lettori di ritrovarsi
- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati
- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.
- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).
## Rinvio a UAAR
- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it
Campagne informative
Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Vi sono ovviamente link al sito Uaar dove eventualmente possono essere chiesti ulteriori servizi.
Tra questi:
uaar.it
blog.uaar.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti e campagna informativa
Contatti
Vi rientra tutta l’attività di assistenza pre, post e contrattuale all’iscrizione e fruizione dei servizi offerti, ivi inclusi quelli informativi richiesti dagli interessati.
Avviente tipicamente via email; i dati sono condivisi via cloud così come stabilito dall’addetto.
Cookie e traccianti
Nello sviluppo della presenza online è stato incaricato un consulente per rimuovere ogni residuo tracciante, non solo cookies.
Attualmente i siti utilizzano font e contenuti da cdn solo in locale. Restano cookies tecnici per l’uso dei gestionali.
Detto questo i siti non sono usati per profilare e per vendere il traffico di profilazione.
Maggiori dettagli per ogni singolo trattamento.
Discussioni e commenti
AREA DISCOURSE
La comunità online è gestita tramite l’open source discourse, gestore moderno di forum online.
Ci sono meccanismi di gratificazione (Bravo, hai letto le faq), mi piace, e aree tematiche. Il traffico è mediamente basso.
Credenziali: gestite parzialmente con rinvio su www.uaar.it dopo il recupero password reimpostandone una nuova con controllo di complessità, per il resto tutto su disc.uaar.it; non è possibile cancellarsi da soli, bisogna chiederlo al moderatore.
Ogni utente può avere livelli diversi di accesso: admin, socio, comitato di coordinamento, staff amichevole per l’assistenza e altri funzionali all’attività associativa.
Contiene ampiamente faq, condizioni d’uso, aiuti per usarlo al meglio.
Traccia gli accessi e il browser usato per verificare gli accessi a posteriori.
Al momento sono disattivate tutte le notifiche via email, sono disponibili solo quelle tramite browser.
Dall’interno è possibile rinnovare la tessera associativa.
E’ possibile accedere anche dopo la scadenza della quota associativa.
COMMENTI SUL BLOG
I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. Come ogni commento a post su blog si può scrivere con uno pseudonimo, usato da tanti.
I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare. La moderazione sui contenuti aiuta a mantenere il rispetto della netiquette.
Hosting
La comune fornitura di servizi di pubblicazione statica e dinamica di contenuti online
Navigazione
Dati di navigazione raccolti ex Bassanini per finalità antiterrorismo o per autotela giudiziaria su contestazione specifica per le attività svolte tramite i siti.
Sono i log di apache, in altri casi le statistiche di sistema.
Dati di navigazione possono essere raccolti anche dal trattamento Analitiche.
Newsletter
Ai soci Uaar invia newsletter tramite phplist, un software affidabile e ben noto nel settore.
La newsletter non profila ed è una prestazione richiesta dall’iscritto alla newsletter che vuole restare aggiornato per la durata del servizio.
In essa confluiscono anche gli iscritti all’associazione, ma sono servizi indipendenti e non sincronizzati (alla scadenza dell’iscrizione all’associazione si può ricevere ancora la newsletter aperta a tutti per ricevere le novità del sito).
La cancellazione può essere richiesta in automatico in ogni momento tramite indicazioni online.
L’iscrizione è offerta ai soci.
I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Gli elenchi dei soci territoriali possono essere usati solo per le finalità associative, ma devono essere tenuti aggiornati su iniziativa dei coordinatori insieme a quelli locali informando il nazionale per l’annotazione nel registro.
A tal fine Uaar agisce come responsabile fornitore della piattaforma su soci.uaar.it che offre l’elenco degli iscritti (con flag di coloro che hanno chiesto di non inviarla) e consente ai circoli di inviare la newsletter anche ad altri interessati.
Redirection
Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Non è un servizio aperto al pubblico, i link però sono utilizzabili da chiunque.
Servizi
I servizi offerti da Uaar sono:
- iscrizione all’associazione (a pagamento)
- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)
- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque
- partecipazione ad eventi (gratis o pagamento)
- accesso a biblioteca (solo soci)
- invio rivista cartacea per associati (gratis) e interessati (a pagamento)
- invio newsletter digitale (gratis)
- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non
- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password
Per ognuno di questi si veda la sezione relativa.
Cerimonie
L’area cerimonie fornisce informazioni sui celebranti formati da UAAR che possano curare in autonomia cerimonie laiche.
Il sito cerimonieuniche.it fornisce informazioni, la mappa territoriale e l’elenco dei celebranti disponibili.
Menù esemplificativo: CHI SIAMO, CERIMONIE, TESTI, TROVA UN CELEBRANTE, DICONO DI NOI, BLOG, CONTATTI, Italiano
Supporta l’inglese tramite un cookie.
Il blog non offre newsletter nè commenti.
Ecommerce
Il sito nessundogma.it insiema a rivista.nessundogma.it e uaar.it, gestiti da UAAR.it, forniscono:
- informazioni (blog) e
- un catalogo di libri acquistabili su parti terzi (Amazon, Itunes, Ibs, Mondadori, LaFeltrinelli quali marketplace online) e su https://www.uaar.it/shop/
- la rivista associativa https://rivista.nessundogma.it/ (archivi) https://www.uaar.it/shop/ catalogo/rivista-nessun-dogma/ (abbonamento)
Si applica quindi in linea generale la privacy policy di UAAR, con quanto qui prevale [vedi nota su altro documento]] ed è indicato per condividere con gli interessati le opportunità e i rischi del trattamento di questi dati.
Per quanto la vendita di opere non sia indice di idee filosofiche, indirettamente e insieme ad eventuali altre informazioni l’utente può essere profilato.
L’ecommerce è di vari tipi:
- l’iscrizione all’associazione
- la vendita di libri diretta
- la vendita di libri tramite terzi (in autonomia)
- l’abbonamento alla rivista senza essere soci
- l’abbonamento alla rivista è incluso per i soci iscritti
- corsi formativi gratuiti riservati ai soci
- servizi gratuiti
Questa sezione serve ad elencarli, sono descritti singolarmente.
Formazione
Uaar organizza momenti di formazione, ad esempio di celebranti di cerimonie *laico-umaniste*, ma anche in contesti di serious games o formazione in contesti scolastici.
I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. E’ vietato ogni altro uso di dati personali dei frequentanti.
Dopo la formazione a buon fine il partecipante può avvalersi di servizi accessori come ad esempio far diffondere ad UAAR tramite i proprio siti la biografia del formatore con i dati di contatto, ad esempio per essere incluso nella lista pubblica sul sito sul sito cerimonieuniche.it
Gli strumenti per la formazione (videconferenza, cloud, altri tool) sono scelti a preferenza tra quelli open source hostati in Europa:( iorestoacasa.work pcloud.com european-alternatives.eu e quelli individuati da Uaar, e comunicati ai candidati volta per volta tenendone traccia nel registro delle attività o nel caso di formazione organizzata da terzi usando gli strumenti messi a disposizione da terzi.
Si noti che gli strumenti commerciali hanno qualità tecniche superiori senza simili prestazioni alle alternative open source, e saranno adottati a scelta di Uaar per non escludere candidati con limitate risorse hardware, di connettività e per semplicità d’uso ogni volta che lo stato dell’arte impedisca a tutti i partecipanti di fruire la formazione a distanza.
Rivista
Il trattamento dell’iscrizione con la rivista condivide la gestione dell’ecommerce e delle iscrizioni degli abbonamenti, alle quali si rinvia.
Sono trattamenti distinti ma per mantenere i dati aggiornati in entrambi sono gestiti operativamente insieme.
La rivista può non essere spedita a richiesta dell’interessato
Sbattezzati
Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.
1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa, testimonianze e statistiche di sbattezzo in Italia;
2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli,
Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi, ciascuno opzionale e indipendente dagli altri, per:
1. aiutare a presentare la domanda, ricevere le comunicazioni e avvisare l’interessato delle risposte;
2. pubblicare sulla mappa su sbattezzati.it documenti anonimi o pubblici di sbattezzo; note e commenti anonimi o firmati; avvisando l’interessato che una volta che viene chiesta la pubblicazione dell’informazione sarà possibile rimuoverla ma non sarà possibile seguire la domanda presso i terzi che su internet non rimuovano tale informazioni, come noto.
3. pubblicare testimonianze anonime su sbattezzati.it
Uaar non riceve deleghe per inviare le richieste in nome e per conto degli interessati.
Premi e concorsi
UAAR organizza eventi di promozione culturale. I candidati si registrano e vengono giudicate le loro opere
Nota: espandi le singole voci o stampa l’intero documento.
☛ Associazione
| Informativa prima parte | |
| Note brevi | I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione. Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito. Sono descritti nelle pagine successive. Per ogni informazione sulla privacy contattare il referente indicato su www.uaar.it/contatti Alla stessa pagina è disponibile l’elenco degli incaricati di singoli trattamenti che si intendono qui trascritti per non tenere due elenchi non sincronizzati. Ad essi si aggiungano: - Dipendenti: con funzione di segreteria - Reparto it: webmaster e sistemista - Coordinamento e organizzazione interna: referente privacy - Contabile : l’addetto alla contabilità - Paghe: l’addetto alle paghe |
| Finalità del trattamento: | |
| Consenso: | V. per ogni trattamento- |
| Durata o criteri e perchè: | |
| Contratto: | V. per ogni trattamento |
| Durata o criteri e perchè: | |
| Legittimo interesse: | V. per ogni trattamento |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | V. per ogni trattamento |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | V. per ogni trattamento |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | V. per ogni trattamento |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | V. per ogni trattamento |
| Destinatari (categoria o fornitori / consulenti): | No |
| Link per cancellare: | Area Contatti di UAAR.it |
| Minori | No |
| Cookie banner | - |
| Cookies: natura, base, durata | - |
| Note | I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione. Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito. Sono descritti nelle pagine successive. I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile. Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali. In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’. Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore. |
☛ Biblioteca-e-uffici
| Informativa prima parte | |
| Note brevi | Il servizio biblioteca viene gestito con semplicità, fornendo una tessera «bibliotecaria» indipendente dall’iscrizione. Il prestito librario, annotato in un registro interno per tenere traccia della restituzione, e viene concesso a chi si presenta in sede. Alla raccolta dei dati per l’identificazione non segue ulteriore trattamento, e alla restituzione (entro 7 gg per consentire un controllo delle condizioni di quanto restituito) i dati sono cancellati. L’addetto che consegna il libro segue il trattamento. La tessera bibliotecaria non scade, ma può essere restituita. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Prestito librario |
| Durata o criteri e perchè: | Per la durata dello stesso, fino a 7 giorni dalla restituzione; la tessera resta fino a richiesta di cancellazione |
| Legittimo interesse: | In caso di non rispetto delle condizioni contrattuali del prestito i dati potranno essere separati e trattati per finalità giudiziarie |
| Durata o criteri e perchè: | I dati possono essere tenuti fino a completamente dall’azione giudiziaria |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Identificazione del richiedente il prestito e dati di contatto (email, telefono) |
| Dati facoltativi e conseguenze: | Altre informazioni fornite dell’interessato |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta presso la sede nazionale; il circolo che offra prestiti sarà unico titolare. |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Gestiti in s ede |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Gestione manuale, foglio Excel |
| Destinatari (categoria o fornitori / consulenti): | Non sono ceduti a terzi se non per attività giudiziaria |
| Link per cancellare: | Sezione contatti del sito |
| Minori | Non è destinato a minorenni |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso. |
☛ Circoli
| Informativa prima parte | |
| Note brevi | Le indicazioni relative ai circoli sono contenute alla voce iscrizioni. Qui vengono tratti invece gli aspetti di rendicontazione contabile e dei progetti dei Circoli. Si chiarisce subito che titolare è Uaar nazionale, e i circoli agiscono come nominati e incaricati. Chi diventa coordinatore di un circolo si intende nominato anche a trattare i dati secondo le mansioni e istruzioni qui indicate, per tutta la durata del rapporto e oltre secondo gli obblighi di legge. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Il servizio permette di gestire i dati dei progetti (obiettivi e spese) dei circoli e nazionali, ognuno per il proprio |
| Durata o criteri e perchè: | Per tutta la durata dell’associazione, anche oltre l’eventuale cessazione di un circolo, e per tutta la durata dei progetti, fino a cancellazione esauriti i progetti |
| Legittimo interesse: | In previsione o in caso di attività giudiziaria documentata i dati, tenuti separati, potranno essere usati in attività giudiziarie o stragiudiziali |
| Durata o criteri e perchè: | Per tutta la durata della procedura |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Le credenziali con username, email e password; i dati dei progetti e contabili, con approvazioni e commenti e previsioni di spesa |
| Dati facoltativi e conseguenze: | I documenti dei progetti con coorganizzatori e partner e della contabilità per ogni singolo circolo Elenco su https://github.com/loristissino/Yelloworkflow/blob/master/documentation/… |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta dei coordinatori dei Circoli territoriali |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | In Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Dati caricati a mano; la gestione credenziali e recupero password automatica |
| Destinatari (categoria o fornitori / consulenti): | Restano interni; ogni circolo può accedere ai propri dati, anche tramite la collaborazione dei volontari istruiti |
| Link per cancellare: | A richiesta presso i recapiti di Uaar; le richieste arrivate ai circoli vanno girate al nazionale |
| Minori | Non è rivolto a minori |
| Cookie banner | Non necessari Il tracciamento dopo il login avviene tramite sessioni interne. |
| Cookies: natura, base, durata | Tecnici per gestire gli accessi, per la durata degli stessi. |
| Note | Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente. Software autoprodotto per non subire tracciamenti da fornitori terzi. Il Manuale d’uso è online Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree: project-submissions/*/* planned-expenses/*/* project-comments/*/* transaction-submissions/*/* statements/*/* periodical-report-submissions/*/* periodical-report-comments/*/* Software è open source depositato su GitHub ed opportunamente anonimizzato. In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto. I TESTI presenti: Recupero Password: -Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.- -Le indicazioni relative ai circoli sono contenute alla voce iscrizioni Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo. L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo). Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. - |
☛ Iscrizioni
| Informativa prima parte | |
| Note brevi | L’iscrizione all’associazione è gestita a livello nazionale; territorialmente i circoli tramite il coordinatore inviano alla sede centrale gli elenchi dei soci nuovi, cessati e ogni modificazione. L’iscrizione a Uaar include l’abbonamento alla rivista. L’iscrizione richiede la registrazione dei dati anagrafici e del pagamento; per la ricezione della rivista cartacea sono richiesti separatamente i dati di spedizione. Le iscrizioni sono nazionali, i circoli territoriali raccolgono le quote e comunicano alla sede centrale i nominativi e possono consultare quelli soli di competenza tramite software sviluppato internamente. I circoli organizzano la vita e gli eventi associativi su iniziativa del coordinatore contattando gli associati territorialmente compententi, anche con l’aiuto di volontari appositamente istruiti caso per caso, sapendo di dover chiede al coordinatore per ogni dubbio. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | I dati identificativi dell’individuo e il versamento dell’iscrizione; i dati di comunicazione e/o invio della rivista o altri materiali o di non invio di nulla |
| Durata o criteri e perchè: | Per tutta la durata dell’iscrizione, fino a tre anni dopo la cessazione |
| Legittimo interesse: | Per finalità fiscali e contabili |
| Durata o criteri e perchè: | Per tutta la durata delle stesse (10 anni) |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Recapiti e indirizzi di spedizione, salvo non si desiderino spedizioni, e dati di pagamento |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta; i dati raccolti dai circoli e gestiti a livello nazionale, salvo per singoli eventi locali; i dati comunicati allo spedizioniere delle riviste |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Spedizioniere italiano |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Restano in Italia |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Gli iscritti ricevono la rivista cartacea, previa informativa, salvo diversa indicazione |
| Destinatari (categoria o fornitori / consulenti): | Lo spedizioniere si avvale di personale e proprie strutture; i dati raccolti tramite internet o direttamente (sede o telefonicamente) |
| Link per cancellare: | Tramite area contatti sul sito |
| Minori | Non è destinato a minorenni |
| Cookie banner | Sono solo tecnici, basta l’informativa. |
| Cookies: natura, base, durata | Cookie tecnici per la raccolta dell’ordine e del carrello (v. ecommerce): di sessione o 14 giorni per il carrello. |
| Note | NOTE I dati sono gestiti online per consentire il coordinamento con i circoli. L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno: - tenere traccia di password complesse - tenere traccia degli accessi - imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo) - istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale L’email inviata il 7.10.2022: OGGETTO: Conferma dell’iscrizione 2023 all’UAAR Caro socio ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023. Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR». L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale. L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato. Alcuni link utili: - Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina - Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina - Per prendere parte a community e canali UAAR sui social network visita questa pagina - Per leggere e commentare il blog A ragion veduta visita questa pagina - Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it - Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti” - Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì) - Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina Un cordiale saluto Il Comitato di Coordinamento dell’UAAR |
☛ Lavoro-e-Contabile
| Informativa prima parte | |
| Note brevi | L’associazione tratta i comuni dati di gestione del personale e della contabilità avvalendosi di professionisti del settore. Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Alla nomina, incarico e cambio di mansioni si aggiorna il registro Le email, la cloud e gli altri servizi sono tutti servizi dell’ente dati in gestione con DIVIETO di uso personale e con strumenti personali e comunque diversamente da quanto previsto. E’ vietato usare altri strumenti, di archiviazione e documentazione e altro, diversi da quelli affidati in custodia, senza preventiva autorizzazione scritta. Gli addetti sono informati che i log necessari per proteggere il patrimonio informatico associativo non sono usati per cercare illeciti, ma qualora vi siano delle verifiche opportune, e comunque a campione non periodicamente, potranno essere consultati per verificare usi diversi da quelli autorizzati espressamente. Il lavoratore può e deve chiedere spiegazioni su ogni dubbio relativo ai trattamenti. L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy. xxx |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Tutti i dati per gli adempimenti del contratto di lavoro |
| Durata o criteri e perchè: | Per la durata del rapporto e successivamente in caso di contestazioni giudiziarie |
| Legittimo interesse: | Tutti i dati per gli adempimenti ex lege correlati |
| Durata o criteri e perchè: | Per la durata degli obblighi di legge e successivamente in caso di contestazioni giudiziarie |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | I dati sono numerosi, si sintetizza: orari di lavoro, identificazione, credenziali, corrispondenza, log di uso degli strumenti informatici, |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Nota: in assenza del dipendente e per continuare l’operatività i servizi email e cloud e simili potranno essere letti dal collego più anziano; se necessario si adottano autorisponditori per inviare le comunicazioni ad altra email. Si raccomanda di usare nomi di email per individuare l’incarico, non per persona. |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | No, sono adeguati tutti quelli utilizzati per la sicurezza del patrimonio informatico associativo |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Oggi come oggi sono praticamente tutti automatizzati, le procedure non dettagliate dai fornitori saranno spiegate volte per volta e annotate nel registro |
| Destinatari (categoria o fornitori / consulenti): | I consulenti per gli adempimenti di legge |
| Link per cancellare: | Ai recapiti dell’associazione |
| Minori | I trattamenti non sono rivolti a minori |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati. |
☛ Videosorveglianza
| Informativa prima parte | |
| Note brevi | Sensori di movimento ad infrarossi per antifurto. NON si tratta di videocamera, è in grado di acquisire foto solo dopo che il sensore rileva movimenti negli orari indicati. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Verisure riceve 5 immagini in caso di movimento rilevato dal sensore |
| Durata o criteri e perchè: | Come indicato dalla privacy di Verisure, da 7 a 28 giorni non essendo video |
| Legittimo interesse: | Uaar tratta le immagini per tutela del patrimonio aziendale |
| Durata o criteri e perchè: | Per la durata sopra indicata; il servizio è autogestito dai dipendenti con esplicito permesso di gestirlo in autonomia ma non oltre i limiti indicati. |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | 5 immagini solo nel caso il sensore di movimento rilevi movimento |
| Dati facoltativi e conseguenze: | Possono essere richieste manualmente dopo avvisi |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Diretta, tramite i servizi di verisure; essendo sensori di movimento la raccolta viene attivata dopo che tutti lasciano i locali. |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Per le immagini, i dati di accensione e di attivazione Disattivazione, Verisure |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Si, tramite sensori di movimento |
| Destinatari (categoria o fornitori / consulenti): | Per uso interno di protezione patrimonio aziendale |
| Link per cancellare: | Tramite app o i servizi di Verisure |
| Minori | No |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Come installare i sensori di movimento Verisure Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo. Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze. Caratteristiche principali dei sensori di movimento Verisure Sensore PIR infrarossi Fotocamera a colori flash incorporato per visione notturna Modalità di attivazione (diurna, notturna, parziale) Alimentazione batteria tipo AA Autonomia batteria 36 mesi Sensori di Movimento: la mia Privacy è garantita? I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc. In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine |
☛ Online
| Informativa prima parte | |
| Note brevi | I trattamenti che seguono riguardano le attività tipicamente online. Sono descritti nelle pagine successive. I domini: uaar.it blog.uaar.it go.uaar.it - Tool per redirect non traccianti soci.uaar.it - Tesserateo - libro soci disc.uaar.it - Forum privato ywf.uaar.it - Rendicontazione circoli nessundogma.it - Store rivista.nessundogma.it sbattezzati.it - Campagna sbattezzo.it - Redirect a sbattezzati.it occhiopermille.it - Campagna icostidellachiesa.it - Campagna cerimonieuniche.it - Elenco celebranti raccolta firme (coming soon) Email in uso: elencate e aggiornate su: https://www.uaar.it/contatti/ Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web. Uno sforzo e una sensibilità notevole per una associazione che si preferisce gestirli pur essendo un costo in più |
| Finalità del trattamento: | |
| Consenso: | V. singoli trattamenti |
| Durata o criteri e perchè: | |
| Contratto: | V. singoli trattamenti |
| Durata o criteri e perchè: | |
| Legittimo interesse: | V. singoli trattamenti |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Di norma, dati inviati direttamente e spontaneamente dagli interessati |
| Dati facoltativi e conseguenze: | V. singoli trattamenti |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Diretta ( i pagamenti da banche e carte di credito) |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Registro privacy in sede, a cura dell’addetto privacy |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | No, particolare attenzione all’uso di software e fornitori compliant |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Non di profilazione |
| Destinatari (categoria o fornitori / consulenti): | Dati non diffusi se non in pubblico a richiesta, v. singoli trattamenti |
| Link per cancellare: | Ogni richiesta tramite la pagina contatti di Uaar.it |
| Minori | No |
| Cookie banner | No |
| Cookies: natura, base, durata | Di norma si usano cookie tecnici e link a youtube o mappe, salvo usare le alternative open source; nei casi eccezionali una richiesta di consenso preventivo tramite appositi software evita il tracciamento prima dell’accettazione. |
| Note | I trattamenti che seguono riguardano le attività tipicamente online. Sono descritti nelle pagine successive. Le email sono elencate aggiornate su uaar.it Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi: Comunità: disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google) ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale Siti: blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale Servizi tecnici interni: images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect localhost.uaar.it A 127.0.0.1 localhost Per blog di alcuni circoli bologna.uaar.it A 178.77.78.92 (su server 1 uaar) palermo.uaar.it A 46.166.165.110 (su server di terzi) pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi) ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi) In dismissione: mumble.uaar.it A 178.77.103.155 old.uaar.it A 178.77.78.92 circoli.uaar.it per la gestione dei circoli forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione bigbang.uaar.it A 176.28.19.20 bigbang2.uaar.it A 178.77.78.92 eva.uaar.it A 92.51.161.237 (su server 2 uaar ) webmail.uaar.it A 178.77.78.92 (su server 1 uaar) |
☛ Analitiche
| Informativa prima parte | |
| Note brevi | Per analitiche si intendono le attività di misurazione della consultazione di pagine e aree del sito internet. Uaar utilizza software interno per la misurazione delle statistiche, anonimizzando l’ip in tutto se il software lo consente, per minimizzare il tracciamento dei visitatori. Le analitiche così anonimizzate sono tenute per tutta la durata del servizio, anche in forma aggregata. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | |
| Durata o criteri e perchè: | |
| Legittimo interesse: | Le statistiche delle pagine più consultate e non dei visitatori sono raccolte per uso interno e per prevenzione attacchi |
| Durata o criteri e perchè: | Sono tenute anonimizzate, senza ip, per la durata del servizio |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Ip anonimizzati o gestiti tramite hash; nome della pagina consultata, data e ora, dati del client |
| Dati facoltativi e conseguenze: | Possono essere oscurati con la navigazione anonima, eccetto l’ip |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta con software interno. |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Le analitiche sono tenute presso i fornitori di hosting |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Fornitori europei noti per l’affidabili oltre che per la dichiarazione di conformità al GDPR |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Trattamento automatizzato di ogni connessione in ordine cronologico |
| Destinatari (categoria o fornitori / consulenti): | Non sono ceduti a terzi, sono raccolti presso i rispettivi fornitori di hosting |
| Link per cancellare: | Modulo contatti |
| Minori | Non è destinato a minorenni |
| Cookie banner | No (se usa solo cookie tencnici) |
| Cookies: natura, base, durata | No |
| Note | Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar |
☛ Blog
| Informativa prima parte | |
| Note brevi | Il sito blog.uaar.it, gestito da UAAR.it, fornisce: - notizie (blog) dette «A ragion veduta - Il mondo osservato dall’Uaar» - commenti ai post - condivisione sui social tramite plugin - feed rss - link ai social (Twitter Facebook Instagram Youtube) - cookies funzionali al backend WordPress - analitiche - log server - commenti sui temi dell’associazione - Il sito è aperto in lettura a tutti - Titolare: **UAAR** - Responsabile del Trattamento: il **segretario** pro tempore - Contatti: **sede** di UAAR - assistenza anche telefonica, richieste formali ex privacy tramite PEC ### 1 cookies e log - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso ### 2 analitiche - Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: negoziale - Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati. - Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime. ### 3 commenti - Trattamento: **community** consentire ai lettori di ritrovarsi - Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati - Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni. - Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress). ## Rinvio a UAAR - Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Le pagine del blog offrono gratuitamente la consultazione di novità tipo WordPress |
| Durata o criteri e perchè: | Per tutta la durata del servizio |
| Legittimo interesse: | Log di accesso - v. trattamento correlato alla voce hosting |
| Durata o criteri e perchè: | Per la durata di legge |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Dati di consultazione delle pagine dei siti; log di apache o simili, backend |
| Dati facoltativi e conseguenze: | Quelli per commentare (commenti aperti per pochi giorni dalla pubblicazione del post) |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta, tipici di motore WordPress |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Presso l’hosting, in Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Le statistiche, i commenti sono moderati automaticamente (chiusura dopo 7 giorni) |
| Destinatari (categoria o fornitori / consulenti): | Non sono comunicati a terzi se non a richiesta delle autorità |
| Link per cancellare: | Tramite pagina contatti |
| Minori | Il sito non è rivolto a minori |
| Cookie banner | Sono in uso solo cookie tecnici non profilanti, non c’è bisogno di banner. |
| Cookies: natura, base, durata | - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso |
| Note | ### 1 cookies e log - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso ### 2 analitiche - Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: negoziale - Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati. - Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime. ### 3 commenti - Trattamento: **community** consentire ai lettori di ritrovarsi - Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati - Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni. - Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress). ## Rinvio a UAAR - Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it |
☛ Campagne-informative
| Informativa prima parte | |
| Note brevi | Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Vi sono ovviamente link al sito Uaar dove eventualmente possono essere chiesti ulteriori servizi. Tra questi: uaar.it blog.uaar.it sbattezzati.it - Campagna sbattezzo.it - Redirect a sbattezzati.it occhiopermille.it - Campagna icostidellachiesa.it - Campagna cerimonieuniche.it - Elenco celebranti e campagna informativa |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | |
| Durata o criteri e perchè: | |
| Legittimo interesse: | Analitiche (v. area analitiche) |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Numero di pagine consultate |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | No |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | No |
| Destinatari (categoria o fornitori / consulenti): | Visitatori, chiunque |
| Link per cancellare: | Tramite la pagina contatti di Uaar.it |
| Minori | Il sito non è rivolto a minori |
| Cookie banner | Non necessario, solo tecnici. |
| Cookies: natura, base, durata | Solo in un caso cookies tecnici per supporto della lingua inglese; negli altri casi sono stati rimossi script di terze parti o traccianti, sostituendoli ove serve da copie locali o da servizi alternativi preferibilmente open source. Si veda (anche per la durata) ogni singolo sito. |
| Note | Siti informativi. Ove interattivi sono descritti nelle relative sezioni |
☛ Contatti
| Informativa prima parte | |
| Note brevi | Vi rientra tutta l’attività di assistenza pre, post e contrattuale all’iscrizione e fruizione dei servizi offerti, ivi inclusi quelli informativi richiesti dagli interessati. Avviente tipicamente via email; i dati sono condivisi via cloud così come stabilito dall’addetto. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Uaar risponde agli interessati ai recapiti indicati online per le finalità specificate sul sito |
| Durata o criteri e perchè: | Per la durata dell’assistenza. Per email, salvo seguano incarichi, le comunicazioni abbandonate sono rimosse entro tre mesi |
| Legittimo interesse: | Ove richiesto da autorità giudiziarie o per esigenze di autodifesa giudiziale, potranno essere trattate le comunicazioni ricevute |
| Durata o criteri e perchè: | Per la durata dell’attività giudiziaria |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | I dati sono necessari nel caso di richieste di servizi specifici: denominazione, residenza, documentazione correlata alla richiesta |
| Dati facoltativi e conseguenze: | I dati sono forniti dagli interessati, Uaar cura quali tenere per le richieste concordate |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Dati raccolti direttamente su iniziativa degli interessati |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | I dati sono trattati dagli operatori incaricati; avvalendosi di backup, cloud, email, telefono, banca a seconda del caso |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | I dati restano trattati in Europa da banche, operatori telematici e fornitori che garantiscono la conformità al GDPR |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Le operazioni sono prevalentemente trattate a mano, secondo protocolli concordati e indicati anche sui siti |
| Destinatari (categoria o fornitori / consulenti): | Le comunicazioni sono riservate, salvo non vengano richiesti servizi di pubblicazione nell’esercizio di promozione di valori condivisi dallo Stato italiano |
| Link per cancellare: | Pagina dei contatti |
| Minori | Non è destinato a minorenni |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie) |
☛ Cookie-e-traccianti
| Informativa prima parte | |
| Note brevi | Nello sviluppo della presenza online è stato incaricato un consulente per rimuovere ogni residuo tracciante, non solo cookies. Attualmente i siti utilizzano font e contenuti da cdn solo in locale. Restano cookies tecnici per l’uso dei gestionali. Detto questo i siti non sono usati per profilare e per vendere il traffico di profilazione. Maggiori dettagli per ogni singolo trattamento. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | I cookies tecnici sono usati per registrare il consenso o per eseguire le prestazioni richieste. |
| Durata o criteri e perchè: | Normalmente di sessione; quello di ecommerce ha breve durata ma adeguata a gestire il carrello |
| Legittimo interesse: | Tenuti anche per adempimenti fiscali e contabili |
| Durata o criteri e perchè: | Tenuti per la durata degli stessi |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Cookies random per l’accesso o gestione del carrello: id e recapiti e gestione ordini ecommerce |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Cookies solo di prima parte e tecnici |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Fornitori e gestione tutta in EU |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Sono automatizzati per consentire la gestione e ricordare il carrello |
| Destinatari (categoria o fornitori / consulenti): | Riservati agli addetti interni per la gestione dei servizi richiesti |
| Link per cancellare: | Tramite l’area Contatti del sito |
| Minori | Non è destinato a minorenni |
| Cookie banner | Ricorda: il cookie banner è obbligatorio solo in presenza di profilanti, ma comunque devono essere bloccati prima del consenso. Quindi se si può chiedere il consenso solo dove serve, è meglio. |
| Cookies: natura, base, durata | Le indicazioni relative ai cookies vanno estese anche a tutti gli strumenti traccianti o dati salvati in sqlite nei browsers. |
| Note | I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea. Il carrello contiene anche i prodotti. In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti |
☛ Discussioni-e-commenti
| Informativa prima parte | |
| Note brevi | AREA DISCOURSE La comunità online è gestita tramite l’open source discourse, gestore moderno di forum online. Ci sono meccanismi di gratificazione (Bravo, hai letto le faq), mi piace, e aree tematiche. Il traffico è mediamente basso. Credenziali: gestite parzialmente con rinvio su www.uaar.it dopo il recupero password reimpostandone una nuova con controllo di complessità, per il resto tutto su disc.uaar.it; non è possibile cancellarsi da soli, bisogna chiederlo al moderatore. Ogni utente può avere livelli diversi di accesso: admin, socio, comitato di coordinamento, staff amichevole per l’assistenza e altri funzionali all’attività associativa. Contiene ampiamente faq, condizioni d’uso, aiuti per usarlo al meglio. Traccia gli accessi e il browser usato per verificare gli accessi a posteriori. Al momento sono disattivate tutte le notifiche via email, sono disponibili solo quelle tramite browser. Dall’interno è possibile rinnovare la tessera associativa. E’ possibile accedere anche dopo la scadenza della quota associativa. COMMENTI SUL BLOG I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. Come ogni commento a post su blog si può scrivere con uno pseudonimo, usato da tanti. I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare. La moderazione sui contenuti aiuta a mantenere il rispetto della netiquette. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Area dove comunicare con gli associati, anche informandoli delle attività territoriali oltre che nazionali. I commenti ai post sul blog sono il classico servizio accessorio |
| Durata o criteri e perchè: | Per la durata del servizio. I commenti sono chiusi automaticamente dopo 7 giorni |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Credenziali di accesso, permessi variabili |
| Dati facoltativi e conseguenze: | I dati lasciati durante le discussioni, pseudonimi, dati di accesso per controlli di sicurezza |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta sul sito dell’associazione |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Hosting |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Restano in Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Notifiche di novità tramite browser e/o email |
| Destinatari (categoria o fornitori / consulenti): | Restano interni |
| Link per cancellare: | Tramite la sezione è possibile accedere e cancellarsi |
| Minori | Non è destinato a minorenni |
| Cookie banner | Non c’è profilazione |
| Cookies: natura, base, durata | Si, tecnici: uno di sessione; un altro durata settimanale per il login rapido |
| Note | Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali. In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile. |
☛ Hosting
| Informativa prima parte | |
| Note brevi | La comune fornitura di servizi di pubblicazione statica e dinamica di contenuti online |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Il servizio è un contratto a pagamento |
| Durata o criteri e perchè: | I dati sono conservati per la durata del contratto, tipicamente annuale salvo diversi accordi |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | L’hosting riceve per la pubblicazione i contenuti indicati dal titolare salvo diverso accorgimento tecnico |
| Dati facoltativi e conseguenze: | E’ il titolare che decide quali e provvede a inviarli; l’hosting li ospita solamente senza valutazioni |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | I contenuti raccolti durante l’attività del sito sono oggetto di trattamenti indicati separatamente per chiarezza |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | La gestione dei siti viene effettuata da Uaar |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | I restano in Europa presso l’hosting |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | La pubblicazione è automatica |
| Destinatari (categoria o fornitori / consulenti): | I contenuti sono pubblici salvo diversa organizzazione tecnica, trattamento per trattamento indicato separatamente |
| Link per cancellare: | A richiesta tramite qualsiasi contatto con la sede |
| Minori | Non è destinato a minorenni |
| Cookie banner | - |
| Cookies: natura, base, durata | - |
| Note | L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting. |
☛ Navigazione
| Informativa prima parte | |
| Note brevi | Dati di navigazione raccolti ex Bassanini per finalità antiterrorismo o per autotela giudiziaria su contestazione specifica per le attività svolte tramite i siti. Sono i log di apache, in altri casi le statistiche di sistema. Dati di navigazione possono essere raccolti anche dal trattamento Analitiche. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | |
| Durata o criteri e perchè: | |
| Legittimo interesse: | Traffico per finalità antiterrorismo |
| Durata o criteri e perchè: | Per la durata di sei mesi, secondo giurisprudenza e interpretazioni correnti |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Ip,data,pagina,browser e s.o. |
| Dati facoltativi e conseguenze: | Tramite navigazione anonimizzate alcuni dati possono non essere conferiti |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta, raccolta dal fornitore di hosting ex lege |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Fornitore di hosting di ogni sito |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Il fornitore adempie ex lege in forza di accordo di fornitura; viene scelto tra fornitori europei compliant |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Raccolti automaticamente |
| Destinatari (categoria o fornitori / consulenti): | A richiesta le autorità investigative; oppure in proprio per difesa in giudizio in casi di fondato dubbio documentato |
| Link per cancellare: | Non consentito ex lege |
| Minori | Non è destinato a minorenni |
| Cookie banner | |
| Cookies: natura, base, durata | No |
| Note | Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni. |
☛ Newsletter
| Informativa prima parte | |
| Note brevi | Ai soci Uaar invia newsletter tramite phplist, un software affidabile e ben noto nel settore. La newsletter non profila ed è una prestazione richiesta dall’iscritto alla newsletter che vuole restare aggiornato per la durata del servizio. In essa confluiscono anche gli iscritti all’associazione, ma sono servizi indipendenti e non sincronizzati (alla scadenza dell’iscrizione all’associazione si può ricevere ancora la newsletter aperta a tutti per ricevere le novità del sito). La cancellazione può essere richiesta in automatico in ogni momento tramite indicazioni online. L’iscrizione è offerta ai soci. I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Gli elenchi dei soci territoriali possono essere usati solo per le finalità associative, ma devono essere tenuti aggiornati su iniziativa dei coordinatori insieme a quelli locali informando il nazionale per l’annotazione nel registro. A tal fine Uaar agisce come responsabile fornitore della piattaforma su soci.uaar.it che offre l’elenco degli iscritti (con flag di coloro che hanno chiesto di non inviarla) e consente ai circoli di inviare la newsletter anche ad altri interessati. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Per restare aggiornato delle attività del sito. Non vi è pubblicità nè profilazione |
| Durata o criteri e perchè: | Per la durata del servizio del sito |
| Legittimo interesse: | Viene tenuta traccia di ogni iscrizione e cancellazione per tutela in caso di contestazione |
| Durata o criteri e perchè: | Per tutta la durata dell’esercizio dei diritti, 10 anni. |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Email, eventuali metadati collegati |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta, online o in sede |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Restano in Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Xxx Iscrizione e cancellazione avvengono in autonomia |
| Destinatari (categoria o fornitori / consulenti): | I dati restano internamente |
| Link per cancellare: | Tramite istruzioni fornite in ogni email xxx |
| Minori | Non è destinato a minorenni |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni. Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo |
☛ Redirection
| Informativa prima parte | |
| Note brevi | Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Non è un servizio aperto al pubblico, i link però sono utilizzabili da chiunque. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Servizio gratuito offerto a tutela di chiunque |
| Durata o criteri e perchè: | Per tutta la durata del servizio |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Nessun per gli utenti finali. Per chi ha accesso al gestionale le credenziali e viene registrato solo l’IP del server collegato al domini al momento della creazione del redirect, per evitare abusi con il trasferimento dei domini. |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Il gestionale dei redirect è riservato ai dipendenti |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Tutto in Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Un semplice contatore incrementale di accessi al link senza controllo di doppioni |
| Destinatari (categoria o fornitori / consulenti): | Nessuno |
| Link per cancellare: | Ai contatti indicati sul sito |
| Minori | Il servizio non è aperto ai minori |
| Cookie banner | Non traccia |
| Cookies: natura, base, durata | Non traccia: |
| Note | - utilizzato software non tracciante a tutela degli interessati - alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi - utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect. |
☛ Servizi
| Informativa prima parte | |
| Note brevi | I servizi offerti da Uaar sono: - iscrizione all’associazione (a pagamento) - elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento) - procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque - partecipazione ad eventi (gratis o pagamento) - accesso a biblioteca (solo soci) - invio rivista cartacea per associati (gratis) e interessati (a pagamento) - invio newsletter digitale (gratis) - informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non - aree riservate di discussione (gratis, aperto a tutti) previo accesso via password Per ognuno di questi si veda la sezione relativa. |
| Finalità del trattamento: | |
| Consenso: | V. singoli trattamenti |
| Durata o criteri e perchè: | |
| Contratto: | V. singoli trattamenti |
| Durata o criteri e perchè: | |
| Legittimo interesse: | V. singoli trattamentiù |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | V. singoli trattamenti |
| Dati facoltativi e conseguenze: | |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | V. singoli trattamenti |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | V. singoli trattamenti |
| Destinatari (categoria o fornitori / consulenti): | Restano interni, salvo quelli che l’interessato chiede vengano pubblicati sul web |
| Link per cancellare: | Tramite pagina contatti di Uaar.it |
| Minori | No |
| Cookie banner | No |
| Cookies: natura, base, durata | V. singoli trattamenti; in linea di massima tecnici per gli accessi e gestione del backend |
| Note | I servizi offerti da Uaar sono: - iscrizione all’associazione (a pagamento) - elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento) - procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque - partecipazione ad eventi (gratis o pagamento) - accesso a biblioteca (solo soci) - invio rivista cartacea per associati (gratis) e interessati (a pagamento) - invio newsletter digitale (gratis) - informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non - aree riservate di discussione (gratis, aperto a tutti) previo accesso via password Per ognuno di questi si veda la sezione relativa. xxx |
☛ Cerimonie
| Informativa prima parte | |
| Note brevi | L’area cerimonie fornisce informazioni sui celebranti formati da UAAR che possano curare in autonomia cerimonie laiche. Il sito cerimonieuniche.it fornisce informazioni, la mappa territoriale e l’elenco dei celebranti disponibili. Menù esemplificativo: CHI SIAMO, CERIMONIE, TESTI, TROVA UN CELEBRANTE, DICONO DI NOI, BLOG, CONTATTI, Italiano Supporta l’inglese tramite un cookie. Il blog non offre newsletter nè commenti. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | La pubblicazione di biografie di celebranti a loro richiesta |
| Durata o criteri e perchè: | Per la durata del servizio |
| Legittimo interesse: | Quelli correlati all’hosting di un sito (v. sezione hosting e analitiche) |
| Durata o criteri e perchè: | Per la durata indicata nelle relative sezioni |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | I dati dei celebranti: nome, recapito, biografia, presentazione |
| Dati facoltativi e conseguenze: | Quelli altri che vogliano comunicare |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta su iniziative dei soggetti elencati |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | - |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Nessuno |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | La pubblicazione dei curricula dei celebranti è manuale e su loro iniziativa, previa formazione. |
| Destinatari (categoria o fornitori / consulenti): | Dati tutti visibili in pubblico dai visitatori del sito |
| Link per cancellare: | Tramite pagina contatti di Uaar |
| Minori | Il servizio non è destinato a minori |
| Cookie banner | Banner non necessario se nell’unica pagina con la mappa gli script relativi sono caricati solo dopo un consenso esplicito |
| Cookies: natura, base, durata | Sono usati: - cookies tecnici per supporto lingua - cookies tecnici per gestione WordPress - cookies tecnici per la mappa di Google - eventuale profilazione di Google tramite mappa - tracciamento tecnico di cloudlflare per servizio negoziale di sicurezza |
| Note | I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati, Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori. |
☛ Ecommerce
| Informativa prima parte | |
| Note brevi | Il sito nessundogma.it insiema a rivista.nessundogma.it e uaar.it, gestiti da UAAR.it, forniscono: - informazioni (blog) e - un catalogo di libri acquistabili su parti terzi (Amazon, Itunes, Ibs, Mondadori, LaFeltrinelli quali marketplace online) e su https://www.uaar.it/shop/ - la rivista associativa https://rivista.nessundogma.it/ (archivi) https://www.uaar.it/shop/ catalogo/rivista-nessun-dogma/ (abbonamento) Si applica quindi in linea generale la privacy policy di UAAR, con quanto qui prevale [vedi nota su altro documento]] ed è indicato per condividere con gli interessati le opportunità e i rischi del trattamento di questi dati. Per quanto la vendita di opere non sia indice di idee filosofiche, indirettamente e insieme ad eventuali altre informazioni l’utente può essere profilato. L’ecommerce è di vari tipi: - l’iscrizione all’associazione - la vendita di libri diretta - la vendita di libri tramite terzi (in autonomia) - l’abbonamento alla rivista senza essere soci - l’abbonamento alla rivista è incluso per i soci iscritti - corsi formativi gratuiti riservati ai soci - servizi gratuiti Questa sezione serve ad elencarli, sono descritti singolarmente. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Il trattamento pre, post e contrattuale delle vendite online e delle iscrizioni |
| Durata o criteri e perchè: | Per la durata del contratto; gli ordini incompleti sono rimossi entro 6 mesi; gli ordini completati non sono rimossi per consentire all’utente di verificare quanto acquistato in passato xxx |
| Legittimo interesse: | La tenuta della scritture contabili presso il consulente e gli adempimenti fiscali; i dati possono essere tenuti ulteriormente separandoli in caso di attività stra e giudiziale |
| Durata o criteri e perchè: | Per la durata degli obblighi fiscali e di regolare tenuta delle scritture contabili. |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Identificativi, corrispondenza, spedizione, fiscali, dati di pagamento, data sottoscrizione e ordine |
| Dati facoltativi e conseguenze: | Note di consegna; per chi lo richiede, è possibile l’invio della rivista in busta chiusa senza che compaia il mittente |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta, non ceduti a terzi |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Banche e intermediari di pagamento e spedizionieri, hosting e fornitori di servizi online |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Europa |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | L’iscrizione e la raccolta dell’ordine viene controllata manualmente xxx |
| Destinatari (categoria o fornitori / consulenti): | Si utilizzano strumenti di pagamento bancari e spedizionieri |
| Link per cancellare: | Riferimenti alla pagina Contatti del sito |
| Minori | Il servizio non è rivolto a minori |
| Cookie banner | I cookies sono solo tecnici, non c’è bisogno di banner. |
| Cookies: natura, base, durata | Tecnici per l’accesso e gestione del carrello, per la durata di una settimana |
| Note | E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative. Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni» GDPR e fornitori i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti: marketplace banche / paypal commercialisti e adempimenti fiscali spedizionieri Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite tramite terzi: sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc). Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite dirette siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati. tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti). Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti. Rivista per non soci e per soci si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci. naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista. |
☛ Formazione
| Informativa prima parte | |
| Note brevi | Uaar organizza momenti di formazione, ad esempio di celebranti di cerimonie *laico-umaniste*, ma anche in contesti di serious games o formazione in contesti scolastici. I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. E’ vietato ogni altro uso di dati personali dei frequentanti. Dopo la formazione a buon fine il partecipante può avvalersi di servizi accessori come ad esempio far diffondere ad UAAR tramite i proprio siti la biografia del formatore con i dati di contatto, ad esempio per essere incluso nella lista pubblica sul sito sul sito cerimonieuniche.it Gli strumenti per la formazione (videconferenza, cloud, altri tool) sono scelti a preferenza tra quelli open source hostati in Europa:( iorestoacasa.work pcloud.com european-alternatives.eu e quelli individuati da Uaar, e comunicati ai candidati volta per volta tenendone traccia nel registro delle attività o nel caso di formazione organizzata da terzi usando gli strumenti messi a disposizione da terzi. Si noti che gli strumenti commerciali hanno qualità tecniche superiori senza simili prestazioni alle alternative open source, e saranno adottati a scelta di Uaar per non escludere candidati con limitate risorse hardware, di connettività e per semplicità d’uso ogni volta che lo stato dell’arte impedisca a tutti i partecipanti di fruire la formazione a distanza. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | Formazione |
| Durata o criteri e perchè: | Per la durata della formazione |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | I dati necess |
| Dati facoltativi e conseguenze: | La biografia è iniziativa dell’iscritto che ha superato la formazione positivamente |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Restano in Italia |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Dati trattati a mano. L’esito della formazione viene certificato quando a buon fine. I materiali trattenuti in caso di contestazione per autodifesa legale o giudiziaria |
| Destinatari (categoria o fornitori / consulenti): | Coinvolti i formatori che vengono istruiti per non trattare personalmente i dati degli iscritti senza passare tramite Uaar |
| Link per cancellare: | Può contattare l’associazione per aggiornare i dati ed esercitare ogni diritto |
| Minori | Non è destinato a minorenni; nel caso di formazione scolastica si seguiranno le istruzioni della scuola |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita. |
☛ Rivista
| Informativa prima parte | |
| Note brevi | Il trattamento dell’iscrizione con la rivista condivide la gestione dell’ecommerce e delle iscrizioni degli abbonamenti, alle quali si rinvia. Sono trattamenti distinti ma per mantenere i dati aggiornati in entrambi sono gestiti operativamente insieme. La rivista può non essere spedita a richiesta dell’interessato |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | La spedizione è inclusa per gli iscritti e gli abbonati, ma gli iscritti possono chiedere di non riceverla |
| Durata o criteri e perchè: | Per la durata dell’abbonamento / iscrizione |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Recapiti |
| Dati facoltativi e conseguenze: | Volontà di non spedire |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Spedizionieri |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | No, Italia |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Parte automatizzati, parte manuale. L’inserimento è manuale, le scadenze automatiche, le volontà di non spedire sono manuali. |
| Destinatari (categoria o fornitori / consulenti): | Soci ma anche chiunque |
| Link per cancellare: | Tramite la pagina contatti di UAAR |
| Minori | Non sono servizi rivolti a minori |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Note | Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente. |
☛ Sbattezzati
| Informativa prima parte | |
| Note brevi | Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato. 1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa, testimonianze e statistiche di sbattezzo in Italia; 2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli, Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi, ciascuno opzionale e indipendente dagli altri, per: 1. aiutare a presentare la domanda, ricevere le comunicazioni e avvisare l’interessato delle risposte; 2. pubblicare sulla mappa su sbattezzati.it documenti anonimi o pubblici di sbattezzo; note e commenti anonimi o firmati; avvisando l’interessato che una volta che viene chiesta la pubblicazione dell’informazione sarà possibile rimuoverla ma non sarà possibile seguire la domanda presso i terzi che su internet non rimuovano tale informazioni, come noto. 3. pubblicare testimonianze anonime su sbattezzati.it Uaar non riceve deleghe per inviare le richieste in nome e per conto degli interessati. |
| Finalità del trattamento: | |
| Consenso: | |
| Durata o criteri e perchè: | |
| Contratto: | L’assistenza viene richiesta negli incontri promozionali organizzati dai circoli o a livello nazionale |
| Durata o criteri e perchè: | Il trattamento durerà per la durata del servizio e ne verrà tenuta traccia nei registri interni dell’assocazione; un id consentirà la rimozione dei contenuti dalle risorse gestite dall’associazione. |
| Legittimo interesse: | |
| Durata o criteri e perchè: | |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | |
| Dati facoltativi e conseguenze: | I dati raccolti sono indicati in premessa: richiesta, data di battesimo e sbattesimo, eventuale promozione della identità anche digitale dell’interessato. |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Raccolta diretta, preferibilmente anonima, in sede o a distanza, anche tramite i volontari dei circoli che si coordinano immediatamente con il coordinatore del circolo e tutti secondo le policy nazionali indicate da Uaar |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Eventualmente email, poste, email, WhatsApp, in sede, su esclusiva scelta e iniziativa dell’interessato; inoltre tutti i servizi legati alla sezione hosting e cookies |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Dati trattati in Italia |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | Tutto manuale |
| Destinatari (categoria o fornitori / consulenti): | Il documento, anonimizzato, su richiesta viene pubblicata sulla mappa online pubblica degli sbattezzi |
| Link per cancellare: | Tramite la pagina contatti di Uaar; |
| Minori | Il servizio non è rivolto a minorenni |
| Cookie banner | Solo cookies tecnici: non necessario banner, ma necessaria informativa. |
| Cookies: natura, base, durata | - tecnici di sessione: sessione e crsf per la gestione del sito - sessione: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random - _csrf: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random |
| Note | Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato. 1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia 2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi: - Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social; - Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica. Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online. Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi. La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5) |
☛ Premi-e-concorsi
| Informativa prima parte | |
| Note brevi | UAAR organizza eventi di promozione culturale. I candidati si registrano e vengono giudicate le loro opere |
| Finalità del trattamento: | |
| Consenso: | Per comunicare dati di contatto del candidato ai membri di UAAR in caso di richiesta di contatto per finalità di collaborazione |
| Durata o criteri e perchè: | 10 |
| Contratto: | I dati i iscrizione (nome, contatto, cf per le omonimie) |
| Durata o criteri e perchè: | Fino ad un mese dopo la premiazione |
| Legittimo interesse: | No |
| Durata o criteri e perchè: | No |
| Dati raccolti | |
| Dati obbligatori e conseguenze: | Denominazione, recapito, identificazione univoca e altri specifici per l’evento |
| Dati facoltativi e conseguenze: | Titoli delle opere e altri specifici dell’evento |
| Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): | Diretta |
| Informativa seconda parte | |
| Subresponsabili (categoria o indicati): | Interno |
| Dati portati extra UE e base giuridica, adeguatezza e garanzie: | Server di UAAR |
| Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica | No |
| Destinatari (categoria o fornitori / consulenti): | Giuria per la premiazione e, previo consenso, dopo a chi cerca gli autori premiati |
| Link per cancellare: | Pagina contatti del sito |
| Minori | No |
| Cookie banner | Nessuno |
| Cookies: natura, base, durata | Nessuno |
| Note | Dati Personali: Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità; Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento; il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione; il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione; I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR. |
Misure di sicurezza generali e mansioni
Con il GDPR è necessario rispettare le vecchie misure minime di sicurezza ma anche tutte quelle più elevate richieste per evitare danni agli interessati.
Si ricorda inoltre di tenere traccia degli adempimenti (nel registro) per poter renderne conto.
Misure di sicurezza generali e mansioni
Le seguenti misure di sicurezza generali vanno integrate con quelle specifiche dei singoli trattamenti.
Sono quelle alle quali gli addetti si devono uniformare, insieme al seguente «allegato B», nel trattamento di dati personali.
Misure di sicurezza organizzative
- Il referente per la privacy è il coordinatore da coinvolgere in dubbi applicativi pratici sul trattamento di dati, anche non personali.
- Effettuare i backup e simulare i restore periodicamente
- Elencare le risorse (hardware, software, umane, banche dati, fornitori e personali solo se consentite).
- Tenere traccia delle attivà svolte, anche delle richieste ricevute e configurazioni cambiate.
- Predisporre il registro delle attività.
- Verificare che i permessi (proprio e di altri) di accesso siano coerenti con le funzioni organizzative nell’attività, comunicando le anomalie al referente privacy.
- Dare accesso alle risorse informatiche e non al collega più anziano o al superiore diretto in caso di assenza temporanea o permanente per consentire la prosecuzione delle attività. Eventuali risorse personali possono essere sospese o rimosse in relazione all’assenza.
- Gli strumenti di monitoraggio per la sicurezza del patrimonio aziendale possono, solo in caso di indizi di illecito, utilizzati per documentare l’illecito dal momento in cui l’indizio è emerso.
Misure di sicurezza tecniche quotidiane
Si raccomanda di verificarle periodicamente:
-
installare un antivirus e tenerlo aggiornato (es.: windows defender o simili)
-
installare un firewall e tenerlo aggiornato (es.: windows defender o simili)
-
installare un antimalware / phishing su email (meglio acquistando un servizio antivirus direttamente da chi fornisce l’email) e su navigazione (es: malwarebytes)
-
tenere un registro (puo’ essere una casella di posta elettronica dedicata, ad esempio registro@nomedominio) con le attività svolte: installazione hardware, software, nuovi fornitori, aggiornamenti, backup. Periodicamente stamparlo su carta o pdf firmato elettronicamente
-
le password devono essere
- personali e mai condivise;
- complesse (almeno 15 caratteri con minuscole, maiuscole, numeri e simboli);
- aggiornate non meno di una volta all’anno.
- personali e diverse per ogni servizio.
- elencare le risorse (pc, telefoni, hard disk, router etc) intestate all’attività usate per gestire dati
- premesso il divieto di uso di risorse personali di ogni tipo, elencare le risorse personali / software autorizzate all’accesso alle risorse aziendali
- tenere un elenco degli archivi di dati e dove si trovano (per i servizi basta il nome del fornitore)
- tenere la documentazione privacy in un unico faldone
- effettuare copie di sicurezza complete o incrementali (es. Uranium Backup) e tenere il backup scollegato
- aggiornare tutti i software
- restare aggiornati documentando le attività di formazione
- non condividere dati personali su cloud / social / risorse esterne o pubbliche se non per compiti autorizzati e con i soli destinatari autorizzati.
- usare un password manager (es. Keepassxc)
- istruire il personale fornendogli istruzioni documentabili
- verificare che i fornitori rispettino il GDPR e non trasferiscano dati negli USA
- non modificare le configurazioni
- non usare
Allegato B - Misure minime di sicurezza
ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato,
in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi
all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l’ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Cookie
COOKIE POLICY DEL SITO Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati
IN BREVE
Il sito utilizza cookies tecnici per la gestione e gli accessi alle aree di contenuti riservati del sito.
Ad alcune aree private per la gestione dei contenuti si può accedere tramite accesso diretto. Per la consultazione dei contenuti pubblici non è necessario avere attivi i cookies, anche se il sito li cerca per dare le funzionalità aggiuntive solo se impostati.
Non profila gli utenti. Non ha pubblicità di Adsense. Utilizza le analitiche anonime internet.
Non usiamo CDN, ma gli embed di terzi potrebbero usarli, ad esempio YouTube o mappe, che embeddiamo ma attiviamo previo consenso se non sono solo linkati.
Navigando il sito si accettano i cookies tecnici che si possono rimuovere con le funzioni dei browser, come spiegato sotto, e usando http://www.youronlinechoices.com/it/le-tue-scelte .
La nostra privacy policy integra questa informativa.
Tutte le indicazioni, in versione breve o estesa, sono tutte ugualmente applicate.
Ogni tracciante o cookie ha un nome, valore, durata, tipologie pubblicamente consultabili tramite pannello sviluppo / tasto f12. Consigliamo di usare estensioni come «privacy badger» e/o «ublock origin» e/o «decentral eyes» anche in navigazione anonima per migliorare la propria navigazione anonima che comunque non lo è mai completamente.
I traccianti e i cookies sono indicati per categoria, finalità di trattamento, durata, e tipologia come indicato per ogni singola voce della policy e come risultano dai browser, tasto F12/modalità sviluppatore. Le diverse risultanze non presumono trattamenti diversi, qui indicati per categorie.
VERSIONE ESTESA
Questo sito utilizza cookies tecnici per la gestione dei siti e l’accesso alle aree riservate come indicato nella versione breve che integra questo testo.
Senza di essi non è possibile aggiornare o accedere alle aree riservate del sito. La consultazione dei contenuti pubblici invece avviene senza bisogno di cookies.
COOKIES TECNICI
Sono usati i seguenti cookies tecnici e temporanei, utili per gestire il sito e personalizzare la navigazione o eseguire i servizi richiesti. I nostri cookies si distinguono facilmente e sono tecnici, solo per la gestione del sito. Se usati,i cookie di Google per le analitics sono gestiti direttamente da Google analitics o tramite Google Tag Manager con i suffissi da loro scelti (di solito _gxxx). In alternativa possono essere utilizzati in singoli siti tool open source (Matomo, OWA o plugin per WordPress) di analitiche interne, anonimizzati, eventualmente con tracciamento di aree calde (heat maps) per periodi limitati, per migliorare le interfacce dei siti. Si veda nei singoli siti
PROFILAZIONE E SERVIZI TERZI
Questo sito non profila gli utenti, non ha accordi con terzi per profilare, non ospita pubblicità di
Google Adsense o altri circuiti pubblicitari.
Questo sito potrebbe, in sede di aggiornamento del sito, utilizzare plugin di parti terze che possono essere inserite nella struttura del sito su richiesta dal gestore o direttamente da chi inserisce i contenuti. I più usati sono:
- Vimeo.
- Youtube,
- Mappe di Google,
- Mappe di Yahoo
- Mappe di Bing
- Mappe di Openstreetmap
- Slideshare,
- Issuu,
- Spreaker,
- Soundcloud,
- Facebook,
- Twitter,
- Linkedin,
- Servizi di Google / Youtube
- Google analytics
- Facebook connect
- Embed di commenti: disqus
- Social plugin di Facebook, di twitter
- e gli altri servizi idi embed che saranno inseriti nei contenuti per arricchirli, che cerchiamo
di tracciare per tenere la lista aggiornata
Per tutti i più diffusi servizi online di terzi è possibile gestire il proprio consenso tramite:
• www.youronlinechoices.com/it vai su http://www.youronlinechoices.com/it/le-tue-scelte
le cui policy sono visibili e i cookies gestibili da: http://www.youronlinechoices.com/it
Per le ulteriori informazioni e diritti sul trattamento dei dati personali si vedano, ex art. 12, i diritti ex artt. 13, da 15 a 22 e all’articolo 34.
SOFTWARE CONSIGLIATO E USO
Il visitatore può gestire i cookies tramite browser o programmi esterni. Rimuovendo o impedendo i cookies non potrà talora accedere agli eventuali servizi gestionali o personalizzati.
Per maggiori informazioni sull’uso dei cookie attraverso il proprio browser di navigazione, si leggano le istruzioni per: –
• Internet Explorer
• Firefox
• Chrome
• Opera
• Safari
Per sapere tutto sui cookie leggere wikipedia: https://it.wikipedia.org/wiki/Cookie
La presente cookie policy è parte della privacy policy del sito che si intende qui trascritta.
Si noti che Google offre degli strumenti per bloccare le statistiche anonime:
https://tools.google.com/dlpage/gaoptout
Audit
Associazione
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
☛ Audit per trattamento: Associazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche per ogni trattamento |
| Domini | Uaar.it e gli altri elencati |
| Dove sono i dati | Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati |
| Software e plugin usati | V. per ogni trattamento |
| Addetto | Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. per ogni trattamento |
| Cookie banner | - |
| Cookies: natura, base, durata | - |
| Valutazione Rischi (art. 35) | Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio) |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti |
| Note per audit | I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione. Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito. Sono descritti nelle pagine successive. I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile. Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali. In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’. Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno. Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR. Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati. |
| Modifiche | - Implementare una email privacy@uaar.it per chiunque (soci, coordinatori, volontari, referenti, etc) abbia domande, dovrebbe leggerla il referente per la privacy. - Implementare una email registro@uaar.it da stampare datata mensilmente (oppure firmare con firma elettronica) - completare censiment - Domini e gestione di terzi da capire e mansionare eva.uaar.it forum.uaar.it bigbang2.uaar.it - Verificare quali domini di terzo livello sono stati assegnati a circoli. - Verificare i ruoli dei referenti -Rimuovere: jquery da google google fonts (spostare in locale) open graph facebook v1.0 24.10.2022 |
☛ Audit per trattamento: Biblioteca-e-uffici
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari |
| Protezione dei dati | Ordinarie misure di sicurezza sui pc in uso in locale |
| Domini | Gestito sui dispositivi informatici interni, anche in cloud interna. |
| Dove sono i dati | Tutto in sede, salvo che non sia gestito dai circoli |
| Software e plugin usati | Fogli di calcolo |
| Addetto | I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | Nessuno |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia |
| Note per audit | Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente. Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti. Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy. Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale. Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Modifiche | Verificare la tenuta dei documenti identificativiti, delle tessere da cancellare. Proposta di modulo per le tessere bibliotecarie: Io xxxx nato xxx cf xxx residente xxx recapiti ai quali potete contattarmi: xxxx richiedo la tessera bibliotecaria che mi permette di prendere in prestito le opere disponibili. Sono consapevole che dopo due anni di inutilizzo sarà cancellata; che di ogni prestito verrà tenuta traccia, fino a restituzione dell’opera, nei termini previsti dal servizio. Per ogni altra informazione si applica la privacy policy generale di Uaar pubblicata sul sito v1.0 14.10.2022 |
☛ Audit per trattamento: Circoli
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione |
| Categorie di dati | Nazionale e Coordinatori dei Circoli |
| Protezione dei dati | Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email; |
| Domini | Ywf.uaar.it |
| Dove sono i dati | Hosting di Uaar |
| Software e plugin usati | YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti |
| Fornitore | YWF - open source sviluppato internamente |
| Cookie banner | Non necessari Il tracciamento dopo il login avviene tramite sessioni interne. |
| Cookies: natura, base, durata | Tecnici per gestire gli accessi, per la durata degli stessi. |
| Valutazione Rischi (art. 35) | I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati |
| Misure di sicurezza tecn. e org. | Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione |
| Note per audit | Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente. Software autoprodotto per non subire tracciamenti da fornitori terzi. Il Manuale d’uso è online Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree: project-submissions/*/* planned-expenses/*/* project-comments/*/* transaction-submissions/*/* statements/*/* periodical-report-submissions/*/* periodical-report-comments/*/* Software è open source depositato su GitHub ed opportunamente anonimizzato. In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto. I TESTI presenti: Recupero Password: -Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.- -Le indicazioni relative ai circoli sono contenute alla voce iscrizioni Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo. L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo). Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. - |
| Traccianti | Nessuno |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Le credenziali vengono fornite dalla sede centrale - Il coordinatore può autorizzare volontari alla gestione dei progetti - I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo - Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate - I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo - Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) - Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup. - Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento. - Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software. |
| Modifiche | - Meglio aggiungere una notifica via email ad ogni accesso di ogni utenza a sè stessa, giusto per evitare di loggare tutti gli accessi per poi individuare quelli strani. Se possibile tenere traccia dei tentativi di accesso con credenziali sbagliate - Da CAMBIARE: Non spiegare come sono create le utenze (3 +3), anzi potrebbe portare confusioni in caso di omonimia: bisognerebbe testare se il servizio impedisce o meno di avere due omonimi 3+3. Userei semplicemente solo l’email che è sempre unica, oppure username con parte nome e cognome e parte fantasia. Mi rendo conto che è una preoccupazioni forse eccessiva, ma questo è lo standard attuale. Piuttosto sarebbe da tenere traccia in un log vostro interno, o più semplicemente tramite una notifica a voi via email, che lo username - email … ha chiesto di cambiare password per tenerne traccia. - DOMANDA: dopo il login usi sessioni ? Non c’è traccia di cookies nè sessioni. - Verificare che i circoli tengano un registro degli incaricati, nomine e mansioni, inizio e fine, se il software nazionale già non può farlo. - Domini di terzo livello affidati a circoli senza mansioni, da stipulare bologna.uaar.it circoli.uaar.it palermo.uaar.it pordenone DOMANDA: altri ? predisporre altri mansioni„, v1.0 14.10.2022 |
☛ Audit per trattamento: Iscrizioni
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo |
| Categorie di dati | Gli iscritti; per la rivista si veda la sezione relativa |
| Protezione dei dati | Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) |
| Domini | Le iscrizioni partono dal web o dagli eventi organizzati dai circoli. I siti sono nessundogma.it , rivista.nessundogma.it e uaar.it dove si avvia l’iscrizione |
| Dove sono i dati | Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software |
| Software e plugin usati | Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal |
| Addetto | I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/ |
| Fornitore | Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email |
| Cookie banner | Sono solo tecnici, basta l’informativa. |
| Cookies: natura, base, durata | Cookie tecnici per la raccolta dell’ordine e del carrello (v. ecommerce): di sessione o 14 giorni per il carrello. |
| Valutazione Rischi (art. 35) | Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | NOTE I dati sono gestiti online per consentire il coordinamento con i circoli. L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno: - tenere traccia di password complesse - tenere traccia degli accessi - imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo) - istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale L’email inviata il 7.10.2022: OGGETTO: Conferma dell’iscrizione 2023 all’UAAR Caro socio ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023. Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR». L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale. L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato. Alcuni link utili: - Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina - Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina - Per prendere parte a community e canali UAAR sui social network visita questa pagina - Per leggere e commentare il blog A ragion veduta visita questa pagina - Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it - Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti” - Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì) - Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina Un cordiale saluto Il Comitato di Coordinamento dell’UAAR |
| Traccianti | Non presenti |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’iscrizione vengono chiesti: - dati dell’aspirante e dati di contatto - indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni) - dati di pagamento - notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere. |
| Modifiche | Rimuovere (per non avere cookie profilanti, terzi profilanti e non dover mettere un cookie banner): - Google tag manager /analytics - gstatic - fonts.gstatic.com - facebook open graph - addtoany Si raccomanda di chiedere all’iscrizione, online o cartacea, anche l’indirizzo di spedizione della rivisto o se non la si vuole ricevere. ALTRE MODIFICHE Il testo nell’email inviata all’iscrizione: «Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».» va cambiato in : «Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa privacy (link al sito). I tuoi diritti sono indicanti nel testo della normativa vigente (GDPR) e modificazioni. Dopo averla letta ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».» I contatti indicati sul sito sono a tua disposizione per ogni informazione. v 1.0 14.10.2022 |
☛ Audit per trattamento: Lavoro-e-Contabile
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Addetti e collaboratorit |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Domini | Dispositivi informatici interni |
| Dove sono i dati | Nei dispositi informatici in uso, in sede e presso i consulenti |
| Software e plugin usati | Windows, Servizi di hosting presso il fornitore, Client di posta, xxx |
| Addetto | I dipendenti per la preparazione dei dati per i consulenti |
| Fornitore | Commercialista e consulente del lavoro |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Note per audit | Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati. I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari. |
| Modifiche | Si potrebbero allegare i contratti adottati. v1.0 14.10.2022 |
☛ Audit per trattamento: Videosorveglianza
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure |
| Categorie di dati | Chiunque in sede negli orari di chiusura |
| Protezione dei dati | Servizio offerto da Verisure |
| Domini | Verisure |
| Dove sono i dati | Verisure |
| Software e plugin usati | Verisure |
| Addetto | David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene |
| Fornitore | Verisure https://www.verisure.it/antifurto/sensore-di-movimento |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti |
| Misure di sicurezza tecn. e org. | Verisure offre l’accesso tramite password complessa e smartphone. |
| Note per audit | Come installare i sensori di movimento Verisure Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo. Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze. Caratteristiche principali dei sensori di movimento Verisure Sensore PIR infrarossi Fotocamera a colori flash incorporato per visione notturna Modalità di attivazione (diurna, notturna, parziale) Alimentazione batteria tipo AA Autonomia batteria 36 mesi Sensori di Movimento: la mia Privacy è garantita? I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc. In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine |
| Traccianti | Non traccia sul web, nè localmente, a condizione che venga attivato all’uscito e disattivato all’ingresso. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura. Il dispositivo viene attivato solo dopo che l’ultimo è uscito. I dati sono hostati da Verisure secondo la documentazione fornita. Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro. In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente. L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove. |
| Modifiche | Verificare se stessi adempimenti di videosorveglianza solo notturna. v.1.0 del 24.10.2022 |
☛ Audit per trattamento: Online
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza indicate in generale e per ogni trattamento |
| Domini | V. singoli trattamenti |
| Dove sono i dati | In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | V. singoli trattamenti |
| Cookie banner | No |
| Cookies: natura, base, durata | Di norma si usano cookie tecnici e link a youtube o mappe, salvo usare le alternative open source; nei casi eccezionali una richiesta di consenso preventivo tramite appositi software evita il tracciamento prima dell’accettazione. |
| Valutazione Rischi (art. 35) | Alto, per i servizi ad accesso riservato |
| Misure di sicurezza tecn. e org. | V. singoli trattamenti |
| Note per audit | I trattamenti che seguono riguardano le attività tipicamente online. Sono descritti nelle pagine successive. Le email sono elencate aggiornate su uaar.it Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi: Comunità: disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google) ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale Siti: blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale Servizi tecnici interni: images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect localhost.uaar.it A 127.0.0.1 localhost Per blog di alcuni circoli bologna.uaar.it A 178.77.78.92 (su server 1 uaar) palermo.uaar.it A 46.166.165.110 (su server di terzi) pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi) ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi) In dismissione: mumble.uaar.it A 178.77.103.155 old.uaar.it A 178.77.78.92 circoli.uaar.it per la gestione dei circoli forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione bigbang.uaar.it A 176.28.19.20 bigbang2.uaar.it A 178.77.78.92 eva.uaar.it A 92.51.161.237 (su server 2 uaar ) webmail.uaar.it A 178.77.78.92 (su server 1 uaar) |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster curerà periodicamente: - la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni - Massimiliano Noto, il nostro sistemista, xxx |
| Modifiche | Elencare periodicamente le novità tramite audit presso gli addetti e consultando la contabilità. v1.0 del 24.10.2022 |
☛ Audit per trattamento: Analitiche
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque / qualcunque dispositivo navighi il sito |
| Protezione dei dati | Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente |
| Domini | Tutti i domini di Uaar |
| Dove sono i dati | Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH |
| Software e plugin usati | Interno - Wp Statistics per WordPress - xxx per Drupal |
| Addetto | Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche. |
| Fornitore | Host Europe GmbH |
| Cookie banner | No (se usa solo cookie tencnici) |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione |
| Misure di sicurezza tecn. e org. | Oltre alle generali, sono conservati sul sito in aree riservate |
| Note per audit | Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente. Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali. |
| Modifiche | Installare su un sito un unico tool di statistiche multisito per evitare di usarne altri o installarli più volte. v1.0.1 24.10.2022 |
☛ Audit per trattamento: Blog
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori del web che commentino (previa registrazione) |
| Protezione dei dati | Comuni ai siti gestiti WordPress - WordFence - SSL |
| Domini | Blog.uaar.it |
| Dove sono i dati | Host Europe GmbH |
| Software e plugin usati | WordPress |
| Addetto | Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | Host Europe GmbH e di hosting |
| Cookie banner | Sono in uso solo cookie tecnici non profilanti, non c’è bisogno di banner. |
| Cookies: natura, base, durata | - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso |
| Valutazione Rischi (art. 35) | I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati. |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Note per audit | ### 1 cookies e log - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso ### 2 analitiche - Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: negoziale - Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati. - Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime. ### 3 commenti - Trattamento: **community** consentire ai lettori di ritrovarsi - Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati - Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni. - Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress). ## Rinvio a UAAR - Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’addetto al blog: - controlli utenti non fake a commetare - controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link) - alla pubblicazione di contenuti verifichi l’uso di dati personali - controlli che il software vengano aggiornato opportunamente - controlli ed effettui backup automatici e prove di restore periodiche |
| Modifiche | Installre plugin di sicurezza: -wordfence Rimuover: - addtoany https://static.addtoany.com/menu/page.js - bootstrap - google analytics - typoteque - https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js - https://fonts.gstatic.com/s/imfellgreatprimer/v7/bx6aNwSJtayYxOkbYFsT6hM… - https://fonts.googleapis.com/css?family=IM+Fell+Great+Primer:400,400 - https://fonts.typotheque.com/WF-021118-002525.css - https://graph.facebook.com/?fields=og_object%7Bengagement%7D&id=https%3A… - https://netdna.bootstrapcdn.com/font-awesome/4.1.0/css/font-awesome.css - amazonas (server europeo ? va bene per esecuzione di contratto) - https://www.google.com/cse/cse.js?cx=013288380565126515496:sdvl0xcwesg - in wordpress rimuovere avatar (si collega a Gravatar, no) - Verifica avviso cookie tecnico (non necessario comunque) prima di commentare. v1.0 del 14.10.2022 |
☛ Audit per trattamento: Campagne-informative
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Non vengono raccolti dati per trattarli |
| Domini | Uaar.it blog.uaar.it sbattezzati.it - Campagna sbattezzo.it - Redirect a sbattezzati.it occhiopermille.it - Campagna icostidellachiesa.it - Campagna cerimonieuniche.it - Elenco celebranti e campagna informativa |
| Dove sono i dati | Presso i fornitori di hosting |
| Software e plugin usati | CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi |
| Addetto | Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | I fornitori di hosting |
| Cookie banner | Non necessario, solo tecnici. |
| Cookies: natura, base, durata | Solo in un caso cookies tecnici per supporto della lingua inglese; negli altri casi sono stati rimossi script di terze parti o traccianti, sostituendoli ove serve da copie locali o da servizi alternativi preferibilmente open source. Si veda (anche per la durata) ogni singolo sito. |
| Valutazione Rischi (art. 35) | Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni |
| Misure di sicurezza tecn. e org. | Ordinaria manutenzione del sito (ssl, backup) |
| Note per audit | Siti informativi. Ove interattivi sono descritti nelle relative sezioni |
| Traccianti | Rimosso, preferendo soluzioni in locale (font) o open source controllati |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa i siti controlli: - uso cookies - uso traccianti (script, cdn, cloudflare, analytics, google fonts) - la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA - installi analitiche interne - rimuova supporto gravatar degli avatar - moderi con blacklist eventuali commenti (meglio disabilitarli) - statistiche anonimizzate - link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar |
| Modifiche | Molti siti hanno traccianti nei temi o nei plugin. Elencare, di ogni sito, i plugin usati v. 1.0 14.10.2022 |
☛ Audit per trattamento: Contatti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Dati in sede, sui dispositivi in sede protetti secondo le procedure interne |
| Domini | I contatti da tutti i siti rimandano al sito Uaar o ai recapiti già indicati su Uaar |
| Dove sono i dati | I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi |
| Software e plugin usati | Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster |
| Fornitore | Email e cloud sono gestiti tramite Google Business Email e Cloud |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati |
| Note per audit | Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie) |
| Traccianti | Non ve ne sono. Fare attenzione ai captcha di Google (USA, traccianti) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme. In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente. Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri. I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti) In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili. Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy. Prima di rispondere verificare di: - non mandare in copia pubblica a terzi se non necessario (solo cc) - l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc) - verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti. - le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti. |
| Modifiche | Installare antivirus e antimalware sulle caselle di posta, per ridurre i rischi Tenere un registro facile da consultare per chi non vuole ricevere comunicazioni, da trattare con maggiore attenzione. v1.0 14.10.2022 |
☛ Audit per trattamento: Cookie-e-traccianti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Cookie id di sessione; oppure per il carrello (id e prodotti) |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Domini | Tutti, eccetto quelli statici |
| Dove sono i dati | Presso l’hosting e sul dispositivo del visitatore |
| Software e plugin usati | Browser / server |
| Addetto | Webmaster |
| Fornitore | Hosting / CMS / Store |
| Cookie banner | Ricorda: il cookie banner è obbligatorio solo in presenza di profilanti, ma comunque devono essere bloccati prima del consenso. Quindi se si può chiedere il consenso solo dove serve, è meglio. |
| Cookies: natura, base, durata | Le indicazioni relative ai cookies vanno estese anche a tutti gli strumenti traccianti o dati salvati in sqlite nei browsers. |
| Valutazione Rischi (art. 35) | Medio, da valutare sulla base del trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea. Il carrello contiene anche i prodotti. In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti |
| Traccianti | Tipici traccianti: - google fonts - cdn di librerie css o js - embed di mappe video pdf - cloudflare (forse, prevale la finalità contrattuale di sicurezza) - servizi offerti da azienda USA (Schrems II) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa servizi online documenti: - cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica - cookies del servizio / software core usato (es. WordPress) - coocies di parti terze: es. plugin ma anche temi WordPress, - giurisdizione del fornitore - Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate. - Verificare anche se i plugin lavorano solo o in che parte con servizi esterni - Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.- - Verifichi le configurazioni - Verifiche gli utenti e i privilegi di acceso |
| Modifiche | Effettuare i controlli sopra indicati Rimuovere i classici traccianti di parti terzi (spesso Google) v1.0 14.10.2022 |
☛ Audit per trattamento: Discussioni-e-commenti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti all’area |
| Protezione dei dati | Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione |
| Domini | Disc.uaar.it e per i commenti ai post www.uaar.it |
| Dove sono i dati | Amsterdam |
| Software e plugin usati | Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili |
| Addetto | I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | ONLINE S.A.S. Netherlands |
| Cookie banner | Non c’è profilazione |
| Cookies: natura, base, durata | Si, tecnici: uno di sessione; un altro durata settimanale per il login rapido |
| Valutazione Rischi (art. 35) | Difficile da inquadrare, quindi alto |
| Misure di sicurezza tecn. e org. | Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori |
| Note per audit | Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali. In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: - L’intervento è utile per la moderazione dei contenuti e degli utenti. - Un controllo continuo a campione impedisce abusi o eccessi. -Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti - condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi. - i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare. - nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati. |
| Modifiche | - fonts google - analytics google - gstatic Se non è possibile disattivarli dalle configurazioni, è necessario una informativa, ma devono avviarsi solo dopo il consenso esplicito. v1.0 14.10.2022 |
☛ Audit per trattamento: Hosting
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | A chiunque salvo diversamente indicato trattamento per trattamento |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Domini | Tutti |
| Dove sono i dati | Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano. |
| Software e plugin usati | Scelto dal fornitore - supporto php |
| Addetto | Webmaster |
| Fornitore | Attualmente Host Europe GmbH |
| Cookie banner | - |
| Cookies: natura, base, durata | - |
| Valutazione Rischi (art. 35) | Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati |
| Note per audit | L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting. |
| Traccianti | Quando si acquista un hosting di solito non è tracciante (eccetto i log e analitiche di sistema) Verificarli invece per servizi di hosting specializzati forniti da terze parti (es. discourse). |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sceglie gli hosting - controlla il rinnovo automatico - controlla il buon funzionamento - controlla le versioni installate / in uso - controlla le configurazioni - aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard |
| Modifiche | - Non scegliere fornitori che aggiungono cookies, sia pure tecnici, per la verifica del servizio fornito (es ovh) - Nel caso di servizi chiavi ni mano (discourse) evidenziare i tracciamenti se non sono disattivabili v1.0 14.10.2022 |
☛ Audit per trattamento: Navigazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque o qualunque cosa visiti il sito |
| Protezione dei dati | Registrati separatamente dai contenuti pubblici |
| Domini | Tutti |
| Dove sono i dati | Presso il fornitore di hosting |
| Software e plugin usati | Log dei software di pubblicazione di contenuti |
| Addetto | Webmaster |
| Fornitore | Il fornitore di hosting del sito |
| Cookie banner | |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore |
| Misure di sicurezza tecn. e org. | Quelle generali alle quali si rinvia |
| Note per audit | Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni. |
| Traccianti | Non sono traccianti per definizione |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti. I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi. In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti. |
| Modifiche | Di solito i moderni servizi si occupano di tutto. Stiamo parlando dei log di apache o simili. v1.0 del 24.10.2022 |
☛ Audit per trattamento: Newsletter
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Interessati alle attività del sito |
| Protezione dei dati | Devono essere in chiaro, come gli altri, non è possibile crittografarli |
| Domini | Soci.uaar.it |
| Dove sono i dati | Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx |
| Software e plugin usati | Phplist |
| Addetto | Reparto IT,coordinatori dei circoli, dipendenti del nazionale |
| Fornitore | Su hosting interno |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx |
| Note per audit | La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni. Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo |
| Traccianti | La newsletter non usa traccianti |
| Mansioni | Chi si occupa di questo trattamento dovrà: - verificare aggiornamento software di invio - verificare periodicamete testi e funzionalità iscrizione e cancellazione - supportare doppio opt in - se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno - il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità. - La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag. |
| Modifiche | - alcuni circolo usano soci.uaar.it per inviare in autonomia newsletter anche con terzi - necessario mansionario - per autodifesa, tenere traccia delle iscrizioni e cancellazioni /(o modifiche alla newsletter, magari anche con una semplice email. Le notifiche più vecchie «di autodifesa», andranno cancellate periodicamente, ogni 6 mesi è un termine ragionevole considerando che sono tenute separate e non trattate per finalità diverse, e che non contengono dati più a rischio di altri trattamenti. Ugualmente per la raccolta del consenso o cancellazione del flag autodifesa v1.0 18.10.2022 |
☛ Audit per trattamento: Redirection
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque abbia il link |
| Protezione dei dati | Non sono registrati dati, solo numero di click |
| Domini | Go.uaar.it |
| Dove sono i dati | |
| Software e plugin usati | Scelto perchè non tracciante per evitare tool esterni traccianti |
| Addetto | Webmaster - Dipendenti |
| Fornitore | Su hosting interno |
| Cookie banner | Non traccia |
| Cookies: natura, base, durata | Non traccia: |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | Credenziali di accesso, per il resto solo l’ip di chi crea uno short url |
| Note per audit | - utilizzato software non tracciante a tutela degli interessati - alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi - utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect. |
| Traccianti | Non traccia dati nè metadati, solo contatore di redirect anonimo. |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto che crea uno short url: - non usi url con password interne, url encoded - non usi link a siti compromessi - usi il link descrivendo dove porta - usi link che possano finire in pubblico senza danni - ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server). |
| Modifiche | Possono usarlo i circoli ? v1.0 del 24.10.2022 |
☛ Audit per trattamento: Servizi
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche |
| Domini | V. singoli trattamenti |
| Dove sono i dati | V. singoli trattamenti |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. singoli trattamenit |
| Cookie banner | No |
| Cookies: natura, base, durata | V. singoli trattamenti; in linea di massima tecnici per gli accessi e gestione del backend |
| Valutazione Rischi (art. 35) | Medio alto, v. considerazioni già esposte alla voce associazione |
| Misure di sicurezza tecn. e org. | Misure generali e specifiche per ogni trattamento |
| Note per audit | I servizi offerti da Uaar sono: - iscrizione all’associazione (a pagamento) - elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento) - procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque - partecipazione ad eventi (gratis o pagamento) - accesso a biblioteca (solo soci) - invio rivista cartacea per associati (gratis) e interessati (a pagamento) - invio newsletter digitale (gratis) - informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non - aree riservate di discussione (gratis, aperto a tutti) previo accesso via password Per ognuno di questi si veda la sezione relativa. xxx |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega. Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione. L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta. |
| Modifiche | Controllare l’elenco dei servizi v.1.0 24.10.2022 |
☛ Audit per trattamento: Cerimonie
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Dati dei soggetti formati da Uaar per diventare celebranti |
| Protezione dei dati | SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione |
| Domini | Cerimonieuniche.it |
| Dove sono i dati | Europa |
| Software e plugin usati | WordPress |
| Addetto | I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/ |
| Fornitore | Uaar, Hosting |
| Cookie banner | Banner non necessario se nell’unica pagina con la mappa gli script relativi sono caricati solo dopo un consenso esplicito |
| Cookies: natura, base, durata | Sono usati: - cookies tecnici per supporto lingua - cookies tecnici per gestione WordPress - cookies tecnici per la mappa di Google - eventuale profilazione di Google tramite mappa - tracciamento tecnico di cloudlflare per servizio negoziale di sicurezza |
| Valutazione Rischi (art. 35) | Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso |
| Misure di sicurezza tecn. e org. | SSL, gestione manuale delle bio, |
| Note per audit | I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati, Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori. |
| Traccianti | Sono stati rimossi tutti. Google Maps viene avviato solo previo specifico consenso, evitando così di dover installare e gestire un cookie banner. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia. |
| Modifiche | - bloccare google maps fino a consenso espresso, salvo sostituire con leaflet - rimuovere google analytics e meglio anche cloudflare - il cookie banner dice: «Questo sito utilizza cookies tecnici e di terze parti. » non è vero. non ne avete. - Addenda: potrebbe essere realizzato un KIT formazione privacy per i celebranti: modello incarico e mansioni, modello misure di sicurezza, modello informativa, analisi dei rischi v1.0 14.10.2022 |
☛ Audit per trattamento: Ecommerce
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative |
| Protezione dei dati | Connessioni protette da crittografica |
| Domini | Nessundogma.it con link su uaar.it |
| Dove sono i dati | Hosting |
| Software e plugin usati | WordPress / Drupal |
| Addetto | Webmaster e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Hosting |
| Cookie banner | I cookies sono solo tecnici, non c’è bisogno di banner. |
| Cookies: natura, base, durata | Tecnici per l’accesso e gestione del carrello, per la durata di una settimana |
| Valutazione Rischi (art. 35) | I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative. Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni» GDPR e fornitori i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti: marketplace banche / paypal commercialisti e adempimenti fiscali spedizionieri Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite tramite terzi: sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc). Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite dirette siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati. tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti). Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti. Rivista per non soci e per soci si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci. naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista. |
| Traccianti | |
| Mansioni | Chi si occupa di questo trattamento dovrà: Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni. E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup. Seguono ipotesi di dati di clienti che non pagano, pagano una tantum, si abbonano si registrano allo shop L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza. I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture). |
| Modifiche | ## NOTE INTERNE - **Diritto di recesso:** - oggi è 14 giorni. Adeguarlo, altrimenti diventa un anno. https://www.mise.gov.it/index.php/it/assistenza/domande-frequenti/diritt… MA IL RECESSO non è dovuto per abbonamenti. - **Cookie e traccianti:** - Sul sito nessundogma.it e rivista.nessundogma.it e uaar.it sono presenti e da rimuovere: - i google forms - google tag manager - fonts da gstatic - static.addtoany.com (carrello) https://www.uaar.it/shop/cart/ - in alcune pagine lo script di Facebook e la cdn di jquery ( da uaar.it) - Il sito è hostato in Strasburgo, Francia, Host Europe GmbH; bene. - A cosa serve: https://bigbang2.uaar.it/ ? - **Durata** Seguono ipotesi di dati di clienti che 1. non pagano, 2. pagano una tantum, 3. si abbonano 4. si registrano allo shop L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza. I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture). - **GDPR e fornitori** i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti: - marketplace - banche / paypal - commercialisti e adempimenti fiscali - spedizionieri Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) - Nel caso di **vendite tramite terzi**: - sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc). Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) - Nel caso di **vendite dirette** - siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati. - tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti). - **Newsletter**: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti. - **Rivista per non soci e per soci** - si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci. - naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista. v.1.0 24.10.2022 |
☛ Audit per trattamento: Formazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti alla formazione, chiunque lo richieda |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Domini | Cerimonieuniche.it |
| Dove sono i dati | Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx |
| Software e plugin usati | Il software proposto e adeguato agli strumenti a disposizione dei discenti. |
| Addetto | Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate |
| Fornitore | - |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate |
| Note per audit | Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita. |
| Traccianti | Nessuno |
| Mansioni | Chi si occupa di questo trattamento dovrà: Distinguere tra il momento formativo e i servizi promozionali successivi. La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza. Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle. |
| Modifiche | - rimuovere google analytics - esporre google maps solo dopo richiesta consenso (blocco preventivo) oppure usare leaflet - fare mansionario per addetti per non raccogliere dati a scuola e non offrire di propria iniziativa servizi ancora non offerti dall’associazione. v.1.0 14.10.2022 |
☛ Audit per trattamento: Rivista
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti e abbonati |
| Protezione dei dati | Ssl, backup, accessi riservati |
| Domini | Gestionali associativi: soci.uaar.it |
| Dove sono i dati | Dal server all’ufficio per darli allo spedizioniere via excel |
| Software e plugin usati | Excel |
| Addetto | Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Spedizioniere esterno |
| Cookie banner | No |
| Cookies: natura, base, durata | No |
| Valutazione Rischi (art. 35) | Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa |
| Misure di sicurezza tecn. e org. | Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità |
| Note per audit | Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista. - Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita. - tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software. - verificare gli elenchi inviati allo spedizioniere - verificare allineamente elenchi iscritti scaduti e spedizioni - attenzione: riguarda anche i coordinatori dei circoli e i loro delegati |
| Modifiche | Le richieste di spedire, non spedire, andrebbero tracciate (chi la riceve, quando, come viene impostata) in modo che in caso di errori / contestazioni si possa individuare il problema e adottare procedure migliori. v1.0 14.10.2022 |
☛ Audit per trattamento: Sbattezzati
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza |
| Categorie di dati | Rivolto a chiunque |
| Protezione dei dati | L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito. |
| Domini | Sbattezzati.it e sbattezzo.it |
| Dove sono i dati | Hosting |
| Software e plugin usati | Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali. |
| Addetto | Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Software interno, email, excel con i dati di sbattezzo anonimizzati |
| Cookie banner | Solo cookies tecnici: non necessario banner, ma necessaria informativa. |
| Cookies: natura, base, durata | - tecnici di sessione: sessione e crsf per la gestione del sito - sessione: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random - _csrf: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random |
| Valutazione Rischi (art. 35) | Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto. |
| Misure di sicurezza tecn. e org. | L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico |
| Note per audit | Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato. 1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia 2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi: - Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social; - Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica. Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online. Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi. La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5) |
| Traccianti | Tool famosi sostituiti con altri open source non traccianti. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa di questo trattamento dovrà: - non divulgare i dati - non commettere errori - non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy. Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato): - aiuto a compilare - di portare in posta la raccomandata da spedire - di predisporre la cartolina di ricevimento con restituzione presso UAAR - di predisporre che la risposta alla domanda venga inviato a UAAR - di essere contattato solo tramite i canali che indica: ____ - di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento - di pubblicare sulla mappa non anonimizzato il provvedimento - di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento. - di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione. Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile. Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei . |
| Modifiche | - hostare in locale la cdn a jsdelivr.net https://cdn.jsdelivr.net/npm/cookieconsent@3/build/cookieconsent.min.css - unificare link a policy: https://www.sbattezzati.it/site/page?content=privacy e https://www.uaar.it/utilizzo-cookie/ - attuale policy parla di GA già rimosso - 4. google analytics - attenzione: A richiesta, magari anche non documentata ma ragionevolmente probabile, dovete rimuovere le segnalazioni anche se l’id di invio dei documenti si perde. - rimuovere l’attuale informativa - AGGIUNGERE in https://www.sbattezzati.it/debaptisms/register aggiungere in alto: «attenzione: siamo felici di pubblicare sul sito la documentazione che dovete inviare già anonimizzata da firme, nomi, date, solo dopo aver valutato voi stessi che non correte rischi per la pubblicazione dell’informazione. Noi condividiamo la vostra attenzione per promuovere il diritto laico allo sbattezzo e siamo a vostra disposizione per pubblicizzarlo. Potete in ogni momento richiedere la rimozione del documento usando l’id casuale che vi verrà fornito per richiedere la rimozione» - RICERCA DI PRECEDENTI SUL TIPO DI DATI E DPO: Dalla ricerca emerge che non c’è necessità di avere un dpo in assenza di trattamenti in larga scala. Per analogia le misure di sicurezza possono essere le stesse già ritenute idonee dal Garante ut infra: il garante sul battesimo e il registro Con riferimento al registro dei battezzati, l´aspirazione dell´interessato a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni, originarie o sopravvenute, può essere soddisfatta attraverso una semplice annotazione a margine del dato da rettificarsi, ferma restando la documentazione del fatto storico dell´avvenuto battesimo. Garante 25 novembre 2002 [doc. web n. 1067179] Garante 25 novembre 2002 [doc. web n. 1067188] Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. A norma della legge in materia di protezione dei dati personali ove l´istanza di rettifica, indirizzata alla parrocchia che detiene il registro di battesimo, sia stata debitamente sottoscritta ed accompagnata da copia di un documento di identificazione dell´istante, e se in calce al successivo ricorso è stata apposta la sottoscrizione autenticata dell´interessato il titolare del trattamento, pur legittimamente richiamando l´attenzione dell´istante sugli effetti che derivano dall´accoglimento dell´istanza, non può tuttavia pretendere che questi si presenti, necessariamente, di persona. Garante 5 novembre 2003 [doc. web n. 1083599] Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. Nel caso in cui tale annotazione venga apposta a margine del nominativo del ricorrente nel richiamato registro, successivamente alla proposizione del ricorso al Garante, questo deve essere definito con una declaratoria di non luogo a provvedere. Garante 19 novembre 2003 [doc. web n. 1083014] Garante 2 dicembre 2003 [doc. web n. 1085607] Garante 22 dicembre 2003 [doc. web n. 1085634] nel docuimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Il garante pubblica uno sbattezzo l´aspirazione degli interessati a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni originarie o sopravvenute, può … essere soddisfatta…» attraverso, «ad esempio, una semplice annotazione a margine del dato da rettificarsi…», https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Analogamento puo’ essere desiderata la pubblicazione. elenco documenti si diffonde una opinione personale, non archivio ma organizzate per lettura Sbattezzo | UAAR https://www.uaar.it/laicita/sbattezzo/ Privacy e confessioni religiose: guida pratica per l’adeguamento normativo - Cyber Security 360 Privacy e confessioni religiose, tra GDPR e Decreto Generale della CEI Tre le principali differenze si evidenzia che il Decreto Generale della CEI, al Capo IV, prevede tutta una serie di disposizioni dirette a regolare gli strumenti di raccolta dei dati personali, come i registri dei sacramenti, gli archivi, gli elenchi e gli schedari. In particolare, nell’articolo 8 viene regolamentata, con dovizia di particolari, la tenuta dei registri dei sacramenti, consentendone la duplicazione in formato elettronico ed attribuendone la redazione, gestione e custodia ai soggetti deputati a governare l’ente. Il nuovo Decreto Generale della CEI https://www.cybersecurity360.it/legal/privacy-dati-personali/privacy-e-c… In merito alla base giuridica occorre rammentare che i registri sono regolati dal diritto canonico il quale stabilisce quali dati debbano essere raccolti e conservati e pertanto non necessitano della previa acquisizione del consenso. Si ricorda, infine, che alla luce dei principi di finalità, sussistenti anche all’interno della normativa canonica in ambito privacy, i dati contenuti nei registri dei sacramenti non possono essere trattati al fine di inviare comunicazioni informative ai fedeli. Di particolare importanza vi è, altresì, la gestione degli annuari e dei bollettini (art. 11 Decreto Generale) i quali “contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto”. Appare evidente che la disposizione normativa citata, oltre ad effettuare un esplicito riferimento al principio di minimizzazione dei dati individua essa stessa la base giuridica sottesa al trattamento, infatti, la disposizione statuisce l’obbligo di legge nonché il legittimo interesse pastorale. si discosta dal concetto di misure adeguate prescrivendo alcune misure minime di sicurezza, tra le quali si evidenziano: - la tenuta dei registri, degli atti, dei documenti, degli elenchi e degli schedari all’interno di un ambiente di esclusiva proprietà dell’ente; - il controllo, ogni 5 anni, del Vescovo; - la dotazione di sistemi antiscasso; - la custodia della chiave affidata al titolare del trattamento. - data breach Infatti, il trattamento dati posto in essere da una confessione religiosa è esso stesso un dato sensibile: per questo motivo il Decreto Generale prevede l’obbligatorietà della nomina del RPD/DPO nel caso in cui gli enti pongano in essere trattamenti su larga scala (la definizione fornita dalla Confessione Episcopale è del tutto analoga a quella espressa dal WP29) e rende obbligatoria la tenuta dei registri di trattamento a tutte le entità cattoliche. Da ultimo occorre evidenziare che anche il Decreto Generale prevede l’obbligo formativo per tutti coloro che trattano dati e la loro nomina ad autorizzati al trattamento, con tutte le difficoltà nascenti per i soggetti che svolgono attività di volontariato. v.1.0 24.10.2022 |
☛ Audit per trattamento: Premi-e-concorsi
| Nome registro, luogo conservazione e nome addetto | Registro uaar |
| Categorie di dati | Soci per la giuria, chiunque secondo i regolamenti per la partecipazione |
| Protezione dei dati | Database e cloud di UAAR per indirizzari |
| Domini | Database e cloud di UAAR |
| Dove sono i dati | Uaar |
| Software e plugin usati | Autoprodotto |
| Addetto | L’organizzatore dell’evento per conto di UAAR |
| Fornitore | Nessuno |
| Cookie banner | Nessuno |
| Cookies: natura, base, durata | Nessuno |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali. I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo. L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise. Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze, I dati trattati sono tipicamente pochi. Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti. |
| Note per audit | Dati Personali: Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità; Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento; il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione; il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione; I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR. |
| Traccianti | No |
| Mansioni | Chi si occupa di questo trattamento dovrà: —- Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR |
| Modifiche |
Mansioni
Associazione
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
☛ Mansioni per trattamento: Associazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche per ogni trattamento |
| Dove sono i dati | Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati |
| Software e plugin usati | V. per ogni trattamento |
| Addetto | Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. per ogni trattamento |
| Valutazione Rischi (art. 35) | Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio) |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti |
| Mansioni | Chi si occupa di questo trattamento dovrà: Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno. Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR. Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati. |
☛ Mansioni per trattamento: Biblioteca-e-uffici
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari |
| Protezione dei dati | Ordinarie misure di sicurezza sui pc in uso in locale |
| Dove sono i dati | Tutto in sede, salvo che non sia gestito dai circoli |
| Software e plugin usati | Fogli di calcolo |
| Addetto | I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | Nessuno |
| Valutazione Rischi (art. 35) | Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente. Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti. Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy. Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale. Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
☛ Mansioni per trattamento: Circoli
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione |
| Categorie di dati | Nazionale e Coordinatori dei Circoli |
| Protezione dei dati | Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email; |
| Dove sono i dati | Hosting di Uaar |
| Software e plugin usati | YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti |
| Fornitore | YWF - open source sviluppato internamente |
| Valutazione Rischi (art. 35) | I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati |
| Misure di sicurezza tecn. e org. | Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Le credenziali vengono fornite dalla sede centrale - Il coordinatore può autorizzare volontari alla gestione dei progetti - I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo - Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate - I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo - Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) - Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup. - Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento. - Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software. |
☛ Mansioni per trattamento: Iscrizioni
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo |
| Categorie di dati | Gli iscritti; per la rivista si veda la sezione relativa |
| Protezione dei dati | Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) |
| Dove sono i dati | Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software |
| Software e plugin usati | Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal |
| Addetto | I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/ |
| Fornitore | Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email |
| Valutazione Rischi (art. 35) | Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’iscrizione vengono chiesti: - dati dell’aspirante e dati di contatto - indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni) - dati di pagamento - notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere. |
☛ Mansioni per trattamento: Lavoro-e-Contabile
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Addetti e collaboratorit |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Nei dispositi informatici in uso, in sede e presso i consulenti |
| Software e plugin usati | Windows, Servizi di hosting presso il fornitore, Client di posta, xxx |
| Addetto | I dipendenti per la preparazione dei dati per i consulenti |
| Fornitore | Commercialista e consulente del lavoro |
| Valutazione Rischi (art. 35) | Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati. I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari. |
☛ Mansioni per trattamento: Videosorveglianza
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure |
| Categorie di dati | Chiunque in sede negli orari di chiusura |
| Protezione dei dati | Servizio offerto da Verisure |
| Dove sono i dati | Verisure |
| Software e plugin usati | Verisure |
| Addetto | David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene |
| Fornitore | Verisure https://www.verisure.it/antifurto/sensore-di-movimento |
| Valutazione Rischi (art. 35) | Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti |
| Misure di sicurezza tecn. e org. | Verisure offre l’accesso tramite password complessa e smartphone. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura. Il dispositivo viene attivato solo dopo che l’ultimo è uscito. I dati sono hostati da Verisure secondo la documentazione fornita. Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro. In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente. L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove. |
☛ Mansioni per trattamento: Online
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza indicate in generale e per ogni trattamento |
| Dove sono i dati | In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | V. singoli trattamenti |
| Valutazione Rischi (art. 35) | Alto, per i servizi ad accesso riservato |
| Misure di sicurezza tecn. e org. | V. singoli trattamenti |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster curerà periodicamente: - la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni - Massimiliano Noto, il nostro sistemista, xxx |
☛ Mansioni per trattamento: Analitiche
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque / qualcunque dispositivo navighi il sito |
| Protezione dei dati | Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente |
| Dove sono i dati | Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH |
| Software e plugin usati | Interno - Wp Statistics per WordPress - xxx per Drupal |
| Addetto | Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche. |
| Fornitore | Host Europe GmbH |
| Valutazione Rischi (art. 35) | Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione |
| Misure di sicurezza tecn. e org. | Oltre alle generali, sono conservati sul sito in aree riservate |
| Mansioni | Chi si occupa di questo trattamento dovrà: I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente. Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali. |
☛ Mansioni per trattamento: Blog
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori del web che commentino (previa registrazione) |
| Protezione dei dati | Comuni ai siti gestiti WordPress - WordFence - SSL |
| Dove sono i dati | Host Europe GmbH |
| Software e plugin usati | WordPress |
| Addetto | Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | Host Europe GmbH e di hosting |
| Valutazione Rischi (art. 35) | I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati. |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’addetto al blog: - controlli utenti non fake a commetare - controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link) - alla pubblicazione di contenuti verifichi l’uso di dati personali - controlli che il software vengano aggiornato opportunamente - controlli ed effettui backup automatici e prove di restore periodiche |
☛ Mansioni per trattamento: Campagne-informative
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Non vengono raccolti dati per trattarli |
| Dove sono i dati | Presso i fornitori di hosting |
| Software e plugin usati | CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi |
| Addetto | Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | I fornitori di hosting |
| Valutazione Rischi (art. 35) | Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni |
| Misure di sicurezza tecn. e org. | Ordinaria manutenzione del sito (ssl, backup) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa i siti controlli: - uso cookies - uso traccianti (script, cdn, cloudflare, analytics, google fonts) - la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA - installi analitiche interne - rimuova supporto gravatar degli avatar - moderi con blacklist eventuali commenti (meglio disabilitarli) - statistiche anonimizzate - link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar |
☛ Mansioni per trattamento: Contatti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Dati in sede, sui dispositivi in sede protetti secondo le procedure interne |
| Dove sono i dati | I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi |
| Software e plugin usati | Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster |
| Fornitore | Email e cloud sono gestiti tramite Google Business Email e Cloud |
| Valutazione Rischi (art. 35) | Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme. In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente. Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri. I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti) In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili. Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy. Prima di rispondere verificare di: - non mandare in copia pubblica a terzi se non necessario (solo cc) - l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc) - verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti. - le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti. |
☛ Mansioni per trattamento: Cookie-e-traccianti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Cookie id di sessione; oppure per il carrello (id e prodotti) |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Presso l’hosting e sul dispositivo del visitatore |
| Software e plugin usati | Browser / server |
| Addetto | Webmaster |
| Fornitore | Hosting / CMS / Store |
| Valutazione Rischi (art. 35) | Medio, da valutare sulla base del trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa servizi online documenti: - cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica - cookies del servizio / software core usato (es. WordPress) - coocies di parti terze: es. plugin ma anche temi WordPress, - giurisdizione del fornitore - Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate. - Verificare anche se i plugin lavorano solo o in che parte con servizi esterni - Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.- - Verifichi le configurazioni - Verifiche gli utenti e i privilegi di acceso |
☛ Mansioni per trattamento: Discussioni-e-commenti
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti all’area |
| Protezione dei dati | Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione |
| Dove sono i dati | Amsterdam |
| Software e plugin usati | Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili |
| Addetto | I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | ONLINE S.A.S. Netherlands |
| Valutazione Rischi (art. 35) | Difficile da inquadrare, quindi alto |
| Misure di sicurezza tecn. e org. | Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori |
| Mansioni | Chi si occupa di questo trattamento dovrà: - L’intervento è utile per la moderazione dei contenuti e degli utenti. - Un controllo continuo a campione impedisce abusi o eccessi. -Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti - condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi. - i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare. - nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati. |
☛ Mansioni per trattamento: Hosting
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | A chiunque salvo diversamente indicato trattamento per trattamento |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano. |
| Software e plugin usati | Scelto dal fornitore - supporto php |
| Addetto | Webmaster |
| Fornitore | Attualmente Host Europe GmbH |
| Valutazione Rischi (art. 35) | Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sceglie gli hosting - controlla il rinnovo automatico - controlla il buon funzionamento - controlla le versioni installate / in uso - controlla le configurazioni - aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard |
☛ Mansioni per trattamento: Navigazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque o qualunque cosa visiti il sito |
| Protezione dei dati | Registrati separatamente dai contenuti pubblici |
| Dove sono i dati | Presso il fornitore di hosting |
| Software e plugin usati | Log dei software di pubblicazione di contenuti |
| Addetto | Webmaster |
| Fornitore | Il fornitore di hosting del sito |
| Valutazione Rischi (art. 35) | Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore |
| Misure di sicurezza tecn. e org. | Quelle generali alle quali si rinvia |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti. I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi. In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti. |
☛ Mansioni per trattamento: Newsletter
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Interessati alle attività del sito |
| Protezione dei dati | Devono essere in chiaro, come gli altri, non è possibile crittografarli |
| Dove sono i dati | Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx |
| Software e plugin usati | Phplist |
| Addetto | Reparto IT,coordinatori dei circoli, dipendenti del nazionale |
| Fornitore | Su hosting interno |
| Valutazione Rischi (art. 35) | L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx |
| Mansioni | Chi si occupa di questo trattamento dovrà: - verificare aggiornamento software di invio - verificare periodicamete testi e funzionalità iscrizione e cancellazione - supportare doppio opt in - se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno - il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità. - La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag. |
☛ Mansioni per trattamento: Redirection
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque abbia il link |
| Protezione dei dati | Non sono registrati dati, solo numero di click |
| Dove sono i dati | |
| Software e plugin usati | Scelto perchè non tracciante per evitare tool esterni traccianti |
| Addetto | Webmaster - Dipendenti |
| Fornitore | Su hosting interno |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | Credenziali di accesso, per il resto solo l’ip di chi crea uno short url |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto che crea uno short url: - non usi url con password interne, url encoded - non usi link a siti compromessi - usi il link descrivendo dove porta - usi link che possano finire in pubblico senza danni - ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server). |
☛ Mansioni per trattamento: Servizi
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche |
| Dove sono i dati | V. singoli trattamenti |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. singoli trattamenit |
| Valutazione Rischi (art. 35) | Medio alto, v. considerazioni già esposte alla voce associazione |
| Misure di sicurezza tecn. e org. | Misure generali e specifiche per ogni trattamento |
| Mansioni | Chi si occupa di questo trattamento dovrà: Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega. Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione. L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta. |
☛ Mansioni per trattamento: Cerimonie
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Dati dei soggetti formati da Uaar per diventare celebranti |
| Protezione dei dati | SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione |
| Dove sono i dati | Europa |
| Software e plugin usati | WordPress |
| Addetto | I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/ |
| Fornitore | Uaar, Hosting |
| Valutazione Rischi (art. 35) | Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso |
| Misure di sicurezza tecn. e org. | SSL, gestione manuale delle bio, |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia. |
☛ Mansioni per trattamento: Ecommerce
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative |
| Protezione dei dati | Connessioni protette da crittografica |
| Dove sono i dati | Hosting |
| Software e plugin usati | WordPress / Drupal |
| Addetto | Webmaster e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Hosting |
| Valutazione Rischi (art. 35) | I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Mansioni | Chi si occupa di questo trattamento dovrà: Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni. E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup. Seguono ipotesi di dati di clienti che non pagano, pagano una tantum, si abbonano si registrano allo shop L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza. I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture). |
☛ Mansioni per trattamento: Formazione
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti alla formazione, chiunque lo richieda |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx |
| Software e plugin usati | Il software proposto e adeguato agli strumenti a disposizione dei discenti. |
| Addetto | Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate |
| Fornitore | - |
| Valutazione Rischi (art. 35) | Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate |
| Mansioni | Chi si occupa di questo trattamento dovrà: Distinguere tra il momento formativo e i servizi promozionali successivi. La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza. Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle. |
☛ Mansioni per trattamento: Rivista
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti e abbonati |
| Protezione dei dati | Ssl, backup, accessi riservati |
| Dove sono i dati | Dal server all’ufficio per darli allo spedizioniere via excel |
| Software e plugin usati | Excel |
| Addetto | Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Spedizioniere esterno |
| Valutazione Rischi (art. 35) | Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa |
| Misure di sicurezza tecn. e org. | Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista. - Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita. - tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software. - verificare gli elenchi inviati allo spedizioniere - verificare allineamente elenchi iscritti scaduti e spedizioni - attenzione: riguarda anche i coordinatori dei circoli e i loro delegati |
☛ Mansioni per trattamento: Sbattezzati
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza |
| Categorie di dati | Rivolto a chiunque |
| Protezione dei dati | L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito. |
| Dove sono i dati | Hosting |
| Software e plugin usati | Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali. |
| Addetto | Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Software interno, email, excel con i dati di sbattezzo anonimizzati |
| Valutazione Rischi (art. 35) | Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto. |
| Misure di sicurezza tecn. e org. | L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa di questo trattamento dovrà: - non divulgare i dati - non commettere errori - non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy. Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato): - aiuto a compilare - di portare in posta la raccomandata da spedire - di predisporre la cartolina di ricevimento con restituzione presso UAAR - di predisporre che la risposta alla domanda venga inviato a UAAR - di essere contattato solo tramite i canali che indica: ____ - di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento - di pubblicare sulla mappa non anonimizzato il provvedimento - di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento. - di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione. Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile. Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei . |
☛ Mansioni per trattamento: Premi-e-concorsi
| Nome registro, luogo conservazione e nome addetto | Registro uaar |
| Categorie di dati | Soci per la giuria, chiunque secondo i regolamenti per la partecipazione |
| Protezione dei dati | Database e cloud di UAAR per indirizzari |
| Dove sono i dati | Uaar |
| Software e plugin usati | Autoprodotto |
| Addetto | L’organizzatore dell’evento per conto di UAAR |
| Fornitore | Nessuno |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali. I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo. L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise. Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze, I dati trattati sono tipicamente pochi. Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti. |
| Mansioni | Chi si occupa di questo trattamento dovrà: —- Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR |
Da implementare
Associazione
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
Biblioteca e uffici
Circoli
Iscrizioni
Lavoro e Contabile
Videosorveglianza
Online
Analitiche
Blog
Campagne informative
Contatti
Cookie e traccianti
Discussioni e commenti
Hosting
Navigazione
Newsletter
Redirection
Servizi
Cerimonie
Ecommerce
Formazione
Rivista
Sbattezzati
Premi e concorsi
☛ Da fare: Associazione
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche per ogni trattamento |
| Dove sono i dati | Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati |
| Software e plugin usati | V. per ogni trattamento |
| Addetto | Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. per ogni trattamento |
| Valutazione Rischi (art. 35) | Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio) |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti |
| Note per audit | I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione. Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito. Sono descritti nelle pagine successive. I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile. Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali. In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’. Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno. Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR. Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati. |
| Da implementare: | |
| Modifiche | - Implementare una email privacy@uaar.it per chiunque (soci, coordinatori, volontari, referenti, etc) abbia domande, dovrebbe leggerla il referente per la privacy. - Implementare una email registro@uaar.it da stampare datata mensilmente (oppure firmare con firma elettronica) - completare censiment - Domini e gestione di terzi da capire e mansionare eva.uaar.it forum.uaar.it bigbang2.uaar.it - Verificare quali domini di terzo livello sono stati assegnati a circoli. - Verificare i ruoli dei referenti -Rimuovere: jquery da google google fonts (spostare in locale) open graph facebook v1.0 24.10.2022 |
☛ Da fare: Biblioteca-e-uffici
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari |
| Protezione dei dati | Ordinarie misure di sicurezza sui pc in uso in locale |
| Dove sono i dati | Tutto in sede, salvo che non sia gestito dai circoli |
| Software e plugin usati | Fogli di calcolo |
| Addetto | I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | Nessuno |
| Valutazione Rischi (art. 35) | Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede |
| Misure di sicurezza tecn. e org. | Le misure generali di sicurezza alle quali si rinvia |
| Note per audit | Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente. Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti. Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy. Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale. Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Da implementare: | |
| Modifiche | Verificare la tenuta dei documenti identificativiti, delle tessere da cancellare. Proposta di modulo per le tessere bibliotecarie: Io xxxx nato xxx cf xxx residente xxx recapiti ai quali potete contattarmi: xxxx richiedo la tessera bibliotecaria che mi permette di prendere in prestito le opere disponibili. Sono consapevole che dopo due anni di inutilizzo sarà cancellata; che di ogni prestito verrà tenuta traccia, fino a restituzione dell’opera, nei termini previsti dal servizio. Per ogni altra informazione si applica la privacy policy generale di Uaar pubblicata sul sito v1.0 14.10.2022 |
☛ Da fare: Circoli
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione |
| Categorie di dati | Nazionale e Coordinatori dei Circoli |
| Protezione dei dati | Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email; |
| Dove sono i dati | Hosting di Uaar |
| Software e plugin usati | YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti |
| Fornitore | YWF - open source sviluppato internamente |
| Valutazione Rischi (art. 35) | I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati |
| Misure di sicurezza tecn. e org. | Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione |
| Note per audit | Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente. Software autoprodotto per non subire tracciamenti da fornitori terzi. Il Manuale d’uso è online Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree: project-submissions/*/* planned-expenses/*/* project-comments/*/* transaction-submissions/*/* statements/*/* periodical-report-submissions/*/* periodical-report-comments/*/* Software è open source depositato su GitHub ed opportunamente anonimizzato. In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto. I TESTI presenti: Recupero Password: -Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.- -Le indicazioni relative ai circoli sono contenute alla voce iscrizioni Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo. L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo). Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. - |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Le credenziali vengono fornite dalla sede centrale - Il coordinatore può autorizzare volontari alla gestione dei progetti - I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo - Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate - I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo - Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) - Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup. - Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento. - Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software. |
| Da implementare: | |
| Modifiche | - Meglio aggiungere una notifica via email ad ogni accesso di ogni utenza a sè stessa, giusto per evitare di loggare tutti gli accessi per poi individuare quelli strani. Se possibile tenere traccia dei tentativi di accesso con credenziali sbagliate - Da CAMBIARE: Non spiegare come sono create le utenze (3 +3), anzi potrebbe portare confusioni in caso di omonimia: bisognerebbe testare se il servizio impedisce o meno di avere due omonimi 3+3. Userei semplicemente solo l’email che è sempre unica, oppure username con parte nome e cognome e parte fantasia. Mi rendo conto che è una preoccupazioni forse eccessiva, ma questo è lo standard attuale. Piuttosto sarebbe da tenere traccia in un log vostro interno, o più semplicemente tramite una notifica a voi via email, che lo username - email … ha chiesto di cambiare password per tenerne traccia. - DOMANDA: dopo il login usi sessioni ? Non c’è traccia di cookies nè sessioni. - Verificare che i circoli tengano un registro degli incaricati, nomine e mansioni, inizio e fine, se il software nazionale già non può farlo. - Domini di terzo livello affidati a circoli senza mansioni, da stipulare bologna.uaar.it circoli.uaar.it palermo.uaar.it pordenone DOMANDA: altri ? predisporre altri mansioni„, v1.0 14.10.2022 |
☛ Da fare: Iscrizioni
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo |
| Categorie di dati | Gli iscritti; per la rivista si veda la sezione relativa |
| Protezione dei dati | Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc) |
| Dove sono i dati | Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software |
| Software e plugin usati | Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal |
| Addetto | I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/ |
| Fornitore | Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email |
| Valutazione Rischi (art. 35) | Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | NOTE I dati sono gestiti online per consentire il coordinamento con i circoli. L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno: - tenere traccia di password complesse - tenere traccia degli accessi - imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo) - istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale L’email inviata il 7.10.2022: OGGETTO: Conferma dell’iscrizione 2023 all’UAAR Caro socio ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023. Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR». L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale. L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato. Alcuni link utili: - Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina - Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina - Per prendere parte a community e canali UAAR sui social network visita questa pagina - Per leggere e commentare il blog A ragion veduta visita questa pagina - Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it - Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti” - Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì) - Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina Un cordiale saluto Il Comitato di Coordinamento dell’UAAR |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’iscrizione vengono chiesti: - dati dell’aspirante e dati di contatto - indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni) - dati di pagamento - notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere. |
| Da implementare: | |
| Modifiche | Rimuovere (per non avere cookie profilanti, terzi profilanti e non dover mettere un cookie banner): - Google tag manager /analytics - gstatic - fonts.gstatic.com - facebook open graph - addtoany Si raccomanda di chiedere all’iscrizione, online o cartacea, anche l’indirizzo di spedizione della rivisto o se non la si vuole ricevere. ALTRE MODIFICHE Il testo nell’email inviata all’iscrizione: «Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».» va cambiato in : «Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa privacy (link al sito). I tuoi diritti sono indicanti nel testo della normativa vigente (GDPR) e modificazioni. Dopo averla letta ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».» I contatti indicati sul sito sono a tua disposizione per ogni informazione. v 1.0 14.10.2022 |
☛ Da fare: Lavoro-e-Contabile
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Addetti e collaboratorit |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Nei dispositi informatici in uso, in sede e presso i consulenti |
| Software e plugin usati | Windows, Servizi di hosting presso il fornitore, Client di posta, xxx |
| Addetto | I dipendenti per la preparazione dei dati per i consulenti |
| Fornitore | Commercialista e consulente del lavoro |
| Valutazione Rischi (art. 35) | Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Note per audit | Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati. |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati. I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari. |
| Da implementare: | |
| Modifiche | Si potrebbero allegare i contratti adottati. v1.0 14.10.2022 |
☛ Da fare: Videosorveglianza
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure |
| Categorie di dati | Chiunque in sede negli orari di chiusura |
| Protezione dei dati | Servizio offerto da Verisure |
| Dove sono i dati | Verisure |
| Software e plugin usati | Verisure |
| Addetto | David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene |
| Fornitore | Verisure https://www.verisure.it/antifurto/sensore-di-movimento |
| Valutazione Rischi (art. 35) | Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti |
| Misure di sicurezza tecn. e org. | Verisure offre l’accesso tramite password complessa e smartphone. |
| Note per audit | Come installare i sensori di movimento Verisure Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo. Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze. Caratteristiche principali dei sensori di movimento Verisure Sensore PIR infrarossi Fotocamera a colori flash incorporato per visione notturna Modalità di attivazione (diurna, notturna, parziale) Alimentazione batteria tipo AA Autonomia batteria 36 mesi Sensori di Movimento: la mia Privacy è garantita? I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc. In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine |
| Mansioni | Chi si occupa di questo trattamento dovrà: Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura. Il dispositivo viene attivato solo dopo che l’ultimo è uscito. I dati sono hostati da Verisure secondo la documentazione fornita. Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro. In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente. L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove. |
| Da implementare: | |
| Modifiche | Verificare se stessi adempimenti di videosorveglianza solo notturna. v.1.0 del 24.10.2022 |
☛ Da fare: Online
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza indicate in generale e per ogni trattamento |
| Dove sono i dati | In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti |
| Fornitore | V. singoli trattamenti |
| Valutazione Rischi (art. 35) | Alto, per i servizi ad accesso riservato |
| Misure di sicurezza tecn. e org. | V. singoli trattamenti |
| Note per audit | I trattamenti che seguono riguardano le attività tipicamente online. Sono descritti nelle pagine successive. Le email sono elencate aggiornate su uaar.it Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi: Comunità: disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google) ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale Siti: blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale Servizi tecnici interni: images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect localhost.uaar.it A 127.0.0.1 localhost Per blog di alcuni circoli bologna.uaar.it A 178.77.78.92 (su server 1 uaar) palermo.uaar.it A 46.166.165.110 (su server di terzi) pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi) ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi) In dismissione: mumble.uaar.it A 178.77.103.155 old.uaar.it A 178.77.78.92 circoli.uaar.it per la gestione dei circoli forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione bigbang.uaar.it A 176.28.19.20 bigbang2.uaar.it A 178.77.78.92 eva.uaar.it A 92.51.161.237 (su server 2 uaar ) webmail.uaar.it A 178.77.78.92 (su server 1 uaar) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster curerà periodicamente: - la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni - Massimiliano Noto, il nostro sistemista, xxx |
| Da implementare: | |
| Modifiche | Elencare periodicamente le novità tramite audit presso gli addetti e consultando la contabilità. v1.0 del 24.10.2022 |
☛ Da fare: Analitiche
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque / qualcunque dispositivo navighi il sito |
| Protezione dei dati | Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente |
| Dove sono i dati | Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH |
| Software e plugin usati | Interno - Wp Statistics per WordPress - xxx per Drupal |
| Addetto | Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche. |
| Fornitore | Host Europe GmbH |
| Valutazione Rischi (art. 35) | Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione |
| Misure di sicurezza tecn. e org. | Oltre alle generali, sono conservati sul sito in aree riservate |
| Note per audit | Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar |
| Mansioni | Chi si occupa di questo trattamento dovrà: I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente. Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali. |
| Da implementare: | |
| Modifiche | Installare su un sito un unico tool di statistiche multisito per evitare di usarne altri o installarli più volte. v1.0.1 24.10.2022 |
☛ Da fare: Blog
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Visitatori del web che commentino (previa registrazione) |
| Protezione dei dati | Comuni ai siti gestiti WordPress - WordFence - SSL |
| Dove sono i dati | Host Europe GmbH |
| Software e plugin usati | WordPress |
| Addetto | Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | Host Europe GmbH e di hosting |
| Valutazione Rischi (art. 35) | I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati. |
| Misure di sicurezza tecn. e org. | Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc) |
| Note per audit | ### 1 cookies e log - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log) - Durata: per la sessione, 6 mesi per i log - Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso ### 2 analitiche - Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it - Base giuridica: negoziale - Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati. - Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime. ### 3 commenti - Trattamento: **community** consentire ai lettori di ritrovarsi - Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati - Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni. - Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress). ## Rinvio a UAAR - Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it |
| Mansioni | Chi si occupa di questo trattamento dovrà: All’addetto al blog: - controlli utenti non fake a commetare - controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link) - alla pubblicazione di contenuti verifichi l’uso di dati personali - controlli che il software vengano aggiornato opportunamente - controlli ed effettui backup automatici e prove di restore periodiche |
| Da implementare: | |
| Modifiche | Installre plugin di sicurezza: -wordfence Rimuover: - addtoany https://static.addtoany.com/menu/page.js - bootstrap - google analytics - typoteque - https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js - https://fonts.gstatic.com/s/imfellgreatprimer/v7/bx6aNwSJtayYxOkbYFsT6hM… - https://fonts.googleapis.com/css?family=IM+Fell+Great+Primer:400,400 - https://fonts.typotheque.com/WF-021118-002525.css - https://graph.facebook.com/?fields=og_object%7Bengagement%7D&id=https%3A… - https://netdna.bootstrapcdn.com/font-awesome/4.1.0/css/font-awesome.css - amazonas (server europeo ? va bene per esecuzione di contratto) - https://www.google.com/cse/cse.js?cx=013288380565126515496:sdvl0xcwesg - in wordpress rimuovere avatar (si collega a Gravatar, no) - Verifica avviso cookie tecnico (non necessario comunque) prima di commentare. v1.0 del 14.10.2022 |
☛ Da fare: Campagne-informative
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Non vengono raccolti dati per trattarli |
| Dove sono i dati | Presso i fornitori di hosting |
| Software e plugin usati | CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi |
| Addetto | Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | I fornitori di hosting |
| Valutazione Rischi (art. 35) | Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni |
| Misure di sicurezza tecn. e org. | Ordinaria manutenzione del sito (ssl, backup) |
| Note per audit | Siti informativi. Ove interattivi sono descritti nelle relative sezioni |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa i siti controlli: - uso cookies - uso traccianti (script, cdn, cloudflare, analytics, google fonts) - la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA - installi analitiche interne - rimuova supporto gravatar degli avatar - moderi con blacklist eventuali commenti (meglio disabilitarli) - statistiche anonimizzate - link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar |
| Da implementare: | |
| Modifiche | Molti siti hanno traccianti nei temi o nei plugin. Elencare, di ogni sito, i plugin usati v. 1.0 14.10.2022 |
☛ Da fare: Contatti
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Dati in sede, sui dispositivi in sede protetti secondo le procedure interne |
| Dove sono i dati | I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi |
| Software e plugin usati | Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster |
| Fornitore | Email e cloud sono gestiti tramite Google Business Email e Cloud |
| Valutazione Rischi (art. 35) | Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati |
| Note per audit | Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme. In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente. Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri. I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti) In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili. Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy. Prima di rispondere verificare di: - non mandare in copia pubblica a terzi se non necessario (solo cc) - l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc) - verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti. - le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti. |
| Da implementare: | |
| Modifiche | Installare antivirus e antimalware sulle caselle di posta, per ridurre i rischi Tenere un registro facile da consultare per chi non vuole ricevere comunicazioni, da trattare con maggiore attenzione. v1.0 14.10.2022 |
☛ Da fare: Cookie-e-traccianti
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Cookie id di sessione; oppure per il carrello (id e prodotti) |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Presso l’hosting e sul dispositivo del visitatore |
| Software e plugin usati | Browser / server |
| Addetto | Webmaster |
| Fornitore | Hosting / CMS / Store |
| Valutazione Rischi (art. 35) | Medio, da valutare sulla base del trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea. Il carrello contiene anche i prodotti. In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sviluppa servizi online documenti: - cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica - cookies del servizio / software core usato (es. WordPress) - coocies di parti terze: es. plugin ma anche temi WordPress, - giurisdizione del fornitore - Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate. - Verificare anche se i plugin lavorano solo o in che parte con servizi esterni - Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.- - Verifichi le configurazioni - Verifiche gli utenti e i privilegi di acceso |
| Da implementare: | |
| Modifiche | Effettuare i controlli sopra indicati Rimuovere i classici traccianti di parti terzi (spesso Google) v1.0 14.10.2022 |
☛ Da fare: Discussioni-e-commenti
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti all’area |
| Protezione dei dati | Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione |
| Dove sono i dati | Amsterdam |
| Software e plugin usati | Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili |
| Addetto | I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | ONLINE S.A.S. Netherlands |
| Valutazione Rischi (art. 35) | Difficile da inquadrare, quindi alto |
| Misure di sicurezza tecn. e org. | Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori |
| Note per audit | Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali. In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile. |
| Mansioni | Chi si occupa di questo trattamento dovrà: - L’intervento è utile per la moderazione dei contenuti e degli utenti. - Un controllo continuo a campione impedisce abusi o eccessi. -Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti - condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi. - i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare. - nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati. |
| Da implementare: | |
| Modifiche | - fonts google - analytics google - gstatic Se non è possibile disattivarli dalle configurazioni, è necessario una informativa, ma devono avviarsi solo dopo il consenso esplicito. v1.0 14.10.2022 |
☛ Da fare: Hosting
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | A chiunque salvo diversamente indicato trattamento per trattamento |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano. |
| Software e plugin usati | Scelto dal fornitore - supporto php |
| Addetto | Webmaster |
| Fornitore | Attualmente Host Europe GmbH |
| Valutazione Rischi (art. 35) | Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati |
| Note per audit | L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi sceglie gli hosting - controlla il rinnovo automatico - controlla il buon funzionamento - controlla le versioni installate / in uso - controlla le configurazioni - aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard |
| Da implementare: | |
| Modifiche | - Non scegliere fornitori che aggiungono cookies, sia pure tecnici, per la verifica del servizio fornito (es ovh) - Nel caso di servizi chiavi ni mano (discourse) evidenziare i tracciamenti se non sono disattivabili v1.0 14.10.2022 |
☛ Da fare: Navigazione
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque o qualunque cosa visiti il sito |
| Protezione dei dati | Registrati separatamente dai contenuti pubblici |
| Dove sono i dati | Presso il fornitore di hosting |
| Software e plugin usati | Log dei software di pubblicazione di contenuti |
| Addetto | Webmaster |
| Fornitore | Il fornitore di hosting del sito |
| Valutazione Rischi (art. 35) | Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore |
| Misure di sicurezza tecn. e org. | Quelle generali alle quali si rinvia |
| Note per audit | Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti. I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi. In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti. |
| Da implementare: | |
| Modifiche | Di solito i moderni servizi si occupano di tutto. Stiamo parlando dei log di apache o simili. v1.0 del 24.10.2022 |
☛ Da fare: Newsletter
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Interessati alle attività del sito |
| Protezione dei dati | Devono essere in chiaro, come gli altri, non è possibile crittografarli |
| Dove sono i dati | Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx |
| Software e plugin usati | Phplist |
| Addetto | Reparto IT,coordinatori dei circoli, dipendenti del nazionale |
| Fornitore | Su hosting interno |
| Valutazione Rischi (art. 35) | L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx |
| Note per audit | La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni. Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo |
| Mansioni | Chi si occupa di questo trattamento dovrà: - verificare aggiornamento software di invio - verificare periodicamete testi e funzionalità iscrizione e cancellazione - supportare doppio opt in - se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno - il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità. - La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag. |
| Da implementare: | |
| Modifiche | - alcuni circolo usano soci.uaar.it per inviare in autonomia newsletter anche con terzi - necessario mansionario - per autodifesa, tenere traccia delle iscrizioni e cancellazioni /(o modifiche alla newsletter, magari anche con una semplice email. Le notifiche più vecchie «di autodifesa», andranno cancellate periodicamente, ogni 6 mesi è un termine ragionevole considerando che sono tenute separate e non trattate per finalità diverse, e che non contengono dati più a rischio di altri trattamenti. Ugualmente per la raccolta del consenso o cancellazione del flag autodifesa v1.0 18.10.2022 |
☛ Da fare: Redirection
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque abbia il link |
| Protezione dei dati | Non sono registrati dati, solo numero di click |
| Dove sono i dati | |
| Software e plugin usati | Scelto perchè non tracciante per evitare tool esterni traccianti |
| Addetto | Webmaster - Dipendenti |
| Fornitore | Su hosting interno |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | Credenziali di accesso, per il resto solo l’ip di chi crea uno short url |
| Note per audit | - utilizzato software non tracciante a tutela degli interessati - alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi - utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect. |
| Mansioni | Chi si occupa di questo trattamento dovrà: L’addetto che crea uno short url: - non usi url con password interne, url encoded - non usi link a siti compromessi - usi il link descrivendo dove porta - usi link che possano finire in pubblico senza danni - ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server). |
| Da implementare: | |
| Modifiche | Possono usarlo i circoli ? v1.0 del 24.10.2022 |
☛ Da fare: Servizi
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque |
| Protezione dei dati | Misure di sicurezza generali e specifiche |
| Dove sono i dati | V. singoli trattamenti |
| Software e plugin usati | V. singoli trattamenti |
| Addetto | L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ |
| Fornitore | V. singoli trattamenit |
| Valutazione Rischi (art. 35) | Medio alto, v. considerazioni già esposte alla voce associazione |
| Misure di sicurezza tecn. e org. | Misure generali e specifiche per ogni trattamento |
| Note per audit | I servizi offerti da Uaar sono: - iscrizione all’associazione (a pagamento) - elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento) - procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque - partecipazione ad eventi (gratis o pagamento) - accesso a biblioteca (solo soci) - invio rivista cartacea per associati (gratis) e interessati (a pagamento) - invio newsletter digitale (gratis) - informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non - aree riservate di discussione (gratis, aperto a tutti) previo accesso via password Per ognuno di questi si veda la sezione relativa. xxx |
| Mansioni | Chi si occupa di questo trattamento dovrà: Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega. Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione. L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta. |
| Da implementare: | |
| Modifiche | Controllare l’elenco dei servizi v.1.0 24.10.2022 |
☛ Da fare: Cerimonie
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Dati dei soggetti formati da Uaar per diventare celebranti |
| Protezione dei dati | SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione |
| Dove sono i dati | Europa |
| Software e plugin usati | WordPress |
| Addetto | I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/ |
| Fornitore | Uaar, Hosting |
| Valutazione Rischi (art. 35) | Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso |
| Misure di sicurezza tecn. e org. | SSL, gestione manuale delle bio, |
| Note per audit | I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati, Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia. |
| Da implementare: | |
| Modifiche | - bloccare google maps fino a consenso espresso, salvo sostituire con leaflet - rimuovere google analytics e meglio anche cloudflare - il cookie banner dice: «Questo sito utilizza cookies tecnici e di terze parti. » non è vero. non ne avete. - Addenda: potrebbe essere realizzato un KIT formazione privacy per i celebranti: modello incarico e mansioni, modello misure di sicurezza, modello informativa, analisi dei rischi v1.0 14.10.2022 |
☛ Da fare: Ecommerce
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative |
| Protezione dei dati | Connessioni protette da crittografica |
| Dove sono i dati | Hosting |
| Software e plugin usati | WordPress / Drupal |
| Addetto | Webmaster e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Hosting |
| Valutazione Rischi (art. 35) | I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia |
| Note per audit | E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative. Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni» GDPR e fornitori i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti: marketplace banche / paypal commercialisti e adempimenti fiscali spedizionieri Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite tramite terzi: sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc). Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) Nel caso di vendite dirette siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati. tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti). Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti. Rivista per non soci e per soci si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci. naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni. E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup. Seguono ipotesi di dati di clienti che non pagano, pagano una tantum, si abbonano si registrano allo shop L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza. I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture). |
| Da implementare: | |
| Modifiche | ## NOTE INTERNE - **Diritto di recesso:** - oggi è 14 giorni. Adeguarlo, altrimenti diventa un anno. https://www.mise.gov.it/index.php/it/assistenza/domande-frequenti/diritt… MA IL RECESSO non è dovuto per abbonamenti. - **Cookie e traccianti:** - Sul sito nessundogma.it e rivista.nessundogma.it e uaar.it sono presenti e da rimuovere: - i google forms - google tag manager - fonts da gstatic - static.addtoany.com (carrello) https://www.uaar.it/shop/cart/ - in alcune pagine lo script di Facebook e la cdn di jquery ( da uaar.it) - Il sito è hostato in Strasburgo, Francia, Host Europe GmbH; bene. - A cosa serve: https://bigbang2.uaar.it/ ? - **Durata** Seguono ipotesi di dati di clienti che 1. non pagano, 2. pagano una tantum, 3. si abbonano 4. si registrano allo shop L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza. I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture). - **GDPR e fornitori** i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti: - marketplace - banche / paypal - commercialisti e adempimenti fiscali - spedizionieri Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) - Nel caso di **vendite tramite terzi**: - sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc). Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment) - Nel caso di **vendite dirette** - siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati. - tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti). - **Newsletter**: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti. - **Rivista per non soci e per soci** - si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci. - naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista. v.1.0 24.10.2022 |
☛ Da fare: Formazione
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti alla formazione, chiunque lo richieda |
| Protezione dei dati | Le misure generale di sicurezza alle quali si rinvia |
| Dove sono i dati | Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx |
| Software e plugin usati | Il software proposto e adeguato agli strumenti a disposizione dei discenti. |
| Addetto | Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate |
| Fornitore | - |
| Valutazione Rischi (art. 35) | Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico. |
| Misure di sicurezza tecn. e org. | Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate |
| Note per audit | Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita. |
| Mansioni | Chi si occupa di questo trattamento dovrà: Distinguere tra il momento formativo e i servizi promozionali successivi. La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza. Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle. |
| Da implementare: | |
| Modifiche | - rimuovere google analytics - esporre google maps solo dopo richiesta consenso (blocco preventivo) oppure usare leaflet - fare mansionario per addetti per non raccogliere dati a scuola e non offrire di propria iniziativa servizi ancora non offerti dall’associazione. v.1.0 14.10.2022 |
☛ Da fare: Rivista
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy |
| Categorie di dati | Iscritti e abbonati |
| Protezione dei dati | Ssl, backup, accessi riservati |
| Dove sono i dati | Dal server all’ufficio per darli allo spedizioniere via excel |
| Software e plugin usati | Excel |
| Addetto | Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Spedizioniere esterno |
| Valutazione Rischi (art. 35) | Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa |
| Misure di sicurezza tecn. e org. | Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità |
| Note per audit | Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente. |
| Mansioni | Chi si occupa di questo trattamento dovrà: - Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista. - Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita. - tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software. - verificare gli elenchi inviati allo spedizioniere - verificare allineamente elenchi iscritti scaduti e spedizioni - attenzione: riguarda anche i coordinatori dei circoli e i loro delegati |
| Da implementare: | |
| Modifiche | Le richieste di spedire, non spedire, andrebbero tracciate (chi la riceve, quando, come viene impostata) in modo che in caso di errori / contestazioni si possa individuare il problema e adottare procedure migliori. v1.0 14.10.2022 |
☛ Da fare: Sbattezzati
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza |
| Categorie di dati | Rivolto a chiunque |
| Protezione dei dati | L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito. |
| Dove sono i dati | Hosting |
| Software e plugin usati | Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali. |
| Addetto | Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/ |
| Fornitore | Software interno, email, excel con i dati di sbattezzo anonimizzati |
| Valutazione Rischi (art. 35) | Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto. |
| Misure di sicurezza tecn. e org. | L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico |
| Note per audit | Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato. 1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia 2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi: - Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social; - Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica. Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online. Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi. La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5) |
| Mansioni | Chi si occupa di questo trattamento dovrà: Chi si occupa di questo trattamento dovrà: - non divulgare i dati - non commettere errori - non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy. Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato): - aiuto a compilare - di portare in posta la raccomandata da spedire - di predisporre la cartolina di ricevimento con restituzione presso UAAR - di predisporre che la risposta alla domanda venga inviato a UAAR - di essere contattato solo tramite i canali che indica: ____ - di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento - di pubblicare sulla mappa non anonimizzato il provvedimento - di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento. - di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione. Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile. Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei . |
| Da implementare: | |
| Modifiche | - hostare in locale la cdn a jsdelivr.net https://cdn.jsdelivr.net/npm/cookieconsent@3/build/cookieconsent.min.css - unificare link a policy: https://www.sbattezzati.it/site/page?content=privacy e https://www.uaar.it/utilizzo-cookie/ - attuale policy parla di GA già rimosso - 4. google analytics - attenzione: A richiesta, magari anche non documentata ma ragionevolmente probabile, dovete rimuovere le segnalazioni anche se l’id di invio dei documenti si perde. - rimuovere l’attuale informativa - AGGIUNGERE in https://www.sbattezzati.it/debaptisms/register aggiungere in alto: «attenzione: siamo felici di pubblicare sul sito la documentazione che dovete inviare già anonimizzata da firme, nomi, date, solo dopo aver valutato voi stessi che non correte rischi per la pubblicazione dell’informazione. Noi condividiamo la vostra attenzione per promuovere il diritto laico allo sbattezzo e siamo a vostra disposizione per pubblicizzarlo. Potete in ogni momento richiedere la rimozione del documento usando l’id casuale che vi verrà fornito per richiedere la rimozione» - RICERCA DI PRECEDENTI SUL TIPO DI DATI E DPO: Dalla ricerca emerge che non c’è necessità di avere un dpo in assenza di trattamenti in larga scala. Per analogia le misure di sicurezza possono essere le stesse già ritenute idonee dal Garante ut infra: il garante sul battesimo e il registro Con riferimento al registro dei battezzati, l´aspirazione dell´interessato a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni, originarie o sopravvenute, può essere soddisfatta attraverso una semplice annotazione a margine del dato da rettificarsi, ferma restando la documentazione del fatto storico dell´avvenuto battesimo. Garante 25 novembre 2002 [doc. web n. 1067179] Garante 25 novembre 2002 [doc. web n. 1067188] Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. A norma della legge in materia di protezione dei dati personali ove l´istanza di rettifica, indirizzata alla parrocchia che detiene il registro di battesimo, sia stata debitamente sottoscritta ed accompagnata da copia di un documento di identificazione dell´istante, e se in calce al successivo ricorso è stata apposta la sottoscrizione autenticata dell´interessato il titolare del trattamento, pur legittimamente richiamando l´attenzione dell´istante sugli effetti che derivano dall´accoglimento dell´istanza, non può tuttavia pretendere che questi si presenti, necessariamente, di persona. Garante 5 novembre 2003 [doc. web n. 1083599] Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. Nel caso in cui tale annotazione venga apposta a margine del nominativo del ricorrente nel richiamato registro, successivamente alla proposizione del ricorso al Garante, questo deve essere definito con una declaratoria di non luogo a provvedere. Garante 19 novembre 2003 [doc. web n. 1083014] Garante 2 dicembre 2003 [doc. web n. 1085607] Garante 22 dicembre 2003 [doc. web n. 1085634] nel docuimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Il garante pubblica uno sbattezzo l´aspirazione degli interessati a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni originarie o sopravvenute, può … essere soddisfatta…» attraverso, «ad esempio, una semplice annotazione a margine del dato da rettificarsi…», https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Analogamento puo’ essere desiderata la pubblicazione. elenco documenti si diffonde una opinione personale, non archivio ma organizzate per lettura Sbattezzo | UAAR https://www.uaar.it/laicita/sbattezzo/ Privacy e confessioni religiose: guida pratica per l’adeguamento normativo - Cyber Security 360 Privacy e confessioni religiose, tra GDPR e Decreto Generale della CEI Tre le principali differenze si evidenzia che il Decreto Generale della CEI, al Capo IV, prevede tutta una serie di disposizioni dirette a regolare gli strumenti di raccolta dei dati personali, come i registri dei sacramenti, gli archivi, gli elenchi e gli schedari. In particolare, nell’articolo 8 viene regolamentata, con dovizia di particolari, la tenuta dei registri dei sacramenti, consentendone la duplicazione in formato elettronico ed attribuendone la redazione, gestione e custodia ai soggetti deputati a governare l’ente. Il nuovo Decreto Generale della CEI https://www.cybersecurity360.it/legal/privacy-dati-personali/privacy-e-c… In merito alla base giuridica occorre rammentare che i registri sono regolati dal diritto canonico il quale stabilisce quali dati debbano essere raccolti e conservati e pertanto non necessitano della previa acquisizione del consenso. Si ricorda, infine, che alla luce dei principi di finalità, sussistenti anche all’interno della normativa canonica in ambito privacy, i dati contenuti nei registri dei sacramenti non possono essere trattati al fine di inviare comunicazioni informative ai fedeli. Di particolare importanza vi è, altresì, la gestione degli annuari e dei bollettini (art. 11 Decreto Generale) i quali “contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto”. Appare evidente che la disposizione normativa citata, oltre ad effettuare un esplicito riferimento al principio di minimizzazione dei dati individua essa stessa la base giuridica sottesa al trattamento, infatti, la disposizione statuisce l’obbligo di legge nonché il legittimo interesse pastorale. si discosta dal concetto di misure adeguate prescrivendo alcune misure minime di sicurezza, tra le quali si evidenziano: - la tenuta dei registri, degli atti, dei documenti, degli elenchi e degli schedari all’interno di un ambiente di esclusiva proprietà dell’ente; - il controllo, ogni 5 anni, del Vescovo; - la dotazione di sistemi antiscasso; - la custodia della chiave affidata al titolare del trattamento. - data breach Infatti, il trattamento dati posto in essere da una confessione religiosa è esso stesso un dato sensibile: per questo motivo il Decreto Generale prevede l’obbligatorietà della nomina del RPD/DPO nel caso in cui gli enti pongano in essere trattamenti su larga scala (la definizione fornita dalla Confessione Episcopale è del tutto analoga a quella espressa dal WP29) e rende obbligatoria la tenuta dei registri di trattamento a tutte le entità cattoliche. Da ultimo occorre evidenziare che anche il Decreto Generale prevede l’obbligo formativo per tutti coloro che trattano dati e la loro nomina ad autorizzati al trattamento, con tutte le difficoltà nascenti per i soggetti che svolgono attività di volontariato. v.1.0 24.10.2022 |
☛ Da fare: Premi-e-concorsi
| Controllare: | |
| Nome registro, luogo conservazione e nome addetto | Registro uaar |
| Categorie di dati | Soci per la giuria, chiunque secondo i regolamenti per la partecipazione |
| Protezione dei dati | Database e cloud di UAAR per indirizzari |
| Dove sono i dati | Uaar |
| Software e plugin usati | Autoprodotto |
| Addetto | L’organizzatore dell’evento per conto di UAAR |
| Fornitore | Nessuno |
| Valutazione Rischi (art. 35) | |
| Misure di sicurezza tecn. e org. | I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali. I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo. L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise. Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze, I dati trattati sono tipicamente pochi. Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti. |
| Note per audit | Dati Personali: Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità; Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento; il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione; il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione; I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR. |
| Mansioni | Chi si occupa di questo trattamento dovrà: —- Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita. Si applica la privacy policy pubblicata sul sito UAAR |
| Da implementare: | |
| Modifiche |
Modelli di nomine e di documenti base
Aggiornato al 12.7.2018
- Modello informativa su modulo contatti online
- Modello nomina generale collaboratori
- Modello di delega a terzi di trattamento di dati personali
- Modello con il quale il cliente nomina l’azienda a trattare dati personali
- Registro dei trattamenti
- Condizioni generali di privacy
Modello informativa su modulo contatti online
Versione sintetica
I dati eventualmente forniti sono trattati informaticamente per le attività di assistenza pre, post e contrattuali. Si gode dei diritti ex artt. 13, da 15 a 22 e all’articolo 34, v. privacy policy (sul sito Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati).
Versione estesa
Uaar
- E-mail: info@uaar.it - https://www.uaar.it/contatti/
è con la presente indicata quale titolare dei dati personali trattati in azienda.
Di tale informativa ex art. 13 GDPR (reg. UE 679 del 2016, v. Garanteprivacy.it) viene dato sintetico riferimento indicando il trattamento al momento della richiesta del consenso, segnalando che è disponibile sul sito Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati
I dati raccolti saranno utilizzati per le finalità di assistenza pre, post e contrattuale.
…. li, firma dell’interessato
…
Informativa:
Vengono trattati i dati anche nell’esecuzione pre, post e durante il contratto con i clienti finali nell’assistenza alla sottoscrizione delle forniture offerte dai terzi, ai quali vengono comunicati i dati per la sottoscrizione ed esecuzione del contratto. I dati sono quelli anagrafici, di recapito, di identificazione a mezzo documenti ufficiali.
ASSISTENZA il Titolare fornisce l’assistenza a richiestra tramite gli strumenti online e ai recapiti indicati.
DIRITTI: Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento).
NOTIFICA: In caso di data breach ex art.34 l’interessato riceverà comunicazione.
AZIONI: Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
CONTESTAZIONI: La mancata contestazione specifica, completa e documentata («messa in mora») dell’interessato che dovrà identificarsi (artt. 11 e 12) prima dell’azione verrà valutata ai fini della richiesta danni o del maggior costo che l’azione senza contestazione causa se non vi è motivo specifico per non effettuarla.
RICHIESTE: Le richieste manifestamente infondate o eccessive o ripetitive ex art.12 o in più copie (art. 15) sono valutate ai fini del contributo in 80 euro l’ora oltre oneri di legge.
FORMA: La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica. I dati saranno comunicati per via telematica alla casella pec comunicata dall’interessato, o in mancanza, ad altro recapito telematico.
SICUREZZA: Periodicamente vengono effettuati controlli di sicurezza, aggiornamenti del software, controlli dei dati e delle copie di sicurezza, simulazioni di richieste di accesso ai dati personali usando il modulo di richiesta messo a disposizione del Garante sul proprio sito.
Modello nomina generale collaboratori
Uaar
- E-mail: info@uaar.it - https://www.uaar.it/contatti/
Nomina di chi ha accesso ai dati personali (Art. 29 Gdpr):
Nome:__________________
addetto al trattamento dei dati aziendali con le mansioni di cui al contratto che regola i rapporti tra le parti e agli incarichi successivamente conferiti.
A tal fine il Titolare fornisce le seguenti istruzioni che andranno aggiornate nel tempo:
- rinnovare le credenziali (password) ai servizi utilizzati ogni tre mesi, al massimo ogni sei mesi; memorizzare le password in strumenti interni al browser o alla posta elettronica, proteggendole con ulteriore password; oppure usare Keepassxc per gestire tutte le password, senza appuntarle su carta;
- salvare i dati ricevuti via email o servizi in rete su cartelle del computer e cancellare le email per non mantenere i dati online più tempo del necessario;
- effettuare copie di sicurezza su dischi rigidi esterni da scollegare dopo aver effettuato le copie;
- utilizzare antivirus e antimalware durante la navigazione online (ad esempio, per windows, ccleaner, hitman pro, malwarebytes (è un antimalware) e l’antivirus di Windows; analoghi per mac;
- aggiornare il software del proprio pc e smartphone;
- riporre la documentazione nell’archivio chiuso con serratura una volta cessata l’attivita’;
- di ogni novità che riguarda il trattamento dati personali (nuovi operatori, nuovi fornitori, nuovi mandanti, nuovi contratti, aggiornamento software) si tenga un registro (excel, carta o altro) dove indicare in modo estremamente rapido e sintetico cosa sì è fatto e quali dati ha riguardato;
- L’addetto riceverà istruzioni, o confermerà per iscritto, anche via email, eventuali istruzioni ricevute;
- Le risorse informatiche date in uso al cliente saranno utilizzate solo per finalità e nell’interesse aziendale;
- in caso di dubbio l’addetto dovrà richiedere istruzioni al titolare.
… li …. f.to titolare
f.to addetto
Modello di delega a terzi di trattamento di dati personali
Nomina di chi ha accesso ai dati personali (art. 28 Gdpr)
Uaar
- E-mail: info@uaar.it - https://www.uaar.it/contatti/
nomina
_______________________________
per il trattamento di dati personali per le finalità relative al contratto stipulato.
Le attività saranno indicate almeno per iscritto (anche via email) e concordate di volta in volta.
Di esse ogni parte fornirà assistenza e collaborazione nell’esecuzione conforme al GDPR.
Le istruzioni documentate tra le parti saranno conservate in modo da integrare il registro dei trattamenti.
Eventuali sub fornitori andranno comunicati al titolare per l’approvazione.
L’art. 28 integra quanto non espressamente previsto:
-
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
-
Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
-
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
-
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
-
L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
-
Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
-
La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
-
Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
-
Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
-
Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
Modello con il quale il cliente nomina l’azienda a trattare dati personali
Nota: basta anche una email trascritta nel registro dei trattamenti per i casi più semplici
Nomina di chi ha accesso ai dati personali (art. 28 Gdpr)
Nota: il presente accordo serve solo quando il Cliente delega a voi il trattamento di dati personali nelle finalità che il Cliente determina (es: richiesta di pulizia degli iscritti ad una newsletter o avviare una campagna per rinnovare il consenso). Negli altri casi è probabile che il cliente operi come titolare (es. per finalità contabili o esecuzione di contratti)
—nomecliente— (Cliente) di —comunecliente— —indirizzocliente —telcliente —emailcleente—
nomina Uaar
- E-mail: info@uaar.it - https://www.uaar.it/contatti/
per il trattamento di dati personali per le finalità di:
- [_] ….
Il Cliente è titolare dei dati personali trattati.
Le attività saranno indicate almeno per iscritto (anche via email) e concordate di volta in volta.
Di esse ogni parte fornirà assistenza e collaborazione nell’esecuzione conforme al GDPR.
Le istruzioni documentate tra le parti saranno conservate in modo da integrare il registro dei trattamenti.
Eventuali sub fornitori andranno comunicati al titolare per l’approvazione.
L’art. 28 integra quanto non espressamente previsto:
-
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
-
Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
-
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
-
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
-
L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
-
Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
-
La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
-
Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
-
Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
-
Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
—oggi— —nomecliente—
Per accettazione —nomeazienda—
Registro dei trattamenti
Il registro dei trattamenti è di fatto sempre obbligatorio (basta trattare dati personali non occasionalmente, e lo fanno tutti): è comunque l’unico modo che il Titolare ha per dimostrare l’attenzione ai dati personali, oltre all’audit (elenco delle risorse aziendali) da tenere aggiornato e la valutazione di rischio (dpia).
Si può tenere con un foglio di excel, oppure usando una casella di posta elettronica dedicata, o firmando il documento con firma elettronica, ad esempio registro@nomeazienda.it o privacy@nomeazienda.it. Alcuni suggeriscono una pec che garantisce la data. E’ possibile usare ogni strumenti di comunicazione interna.
Così facendo si avrebbero tutte le indicazioni automaticamente datate e archiviate.
Nel registro si devono indicare le attività che possono aiutare a ricostruire la storia dei trattamenti che i dati personali hanno subìto. Ad esempio si indicheranno:
- nuovi addetti e fine del rapporto,
- nuovi operatori e fine,
- nuovi fornitori e fine,
- nuovi mandanti e fine,
- nuovi contratti e fine,
- aggiornamento software,
- copie di sicurezza,
- aggiornamenti delle credenziali e password.
Potrete valutare con il tempo l’adozione di ulteriori misure: periodicamente valuterete se i rischi aumentano per quantita’, qualità o durata di trattamento.
Condizioni generali di privacy - Data Acceptable and Privacy Use Policy
Versione 1.2
Aggiornato al 12.7.2018
Uaar d’ora in avanti azienda.
1. Finalita’
Le presenti condizioni generali si applicano a tutte le lavorazioni al fine di chiarire il modo di adempiere alle obbligazioni tra le parti, contrattuali e non.
Le presenti condizioni si applicano nell’interpretare, eseguire e integrare quanto non espressamente pattuito diversamente.
Tra le parti si applicano le leggi e regolamenti vigenti che si applicano al contratto, e gli usi in materia. Salvo diverso accordo si applicano le leggi e la giurisdizione italiana.
Le presenti condizioni si applicano anche a tutti i collaboratori e fornitori che, a qualsiasi titolo, sono coinvolti nell’esecuzione degli accordi contrattuali tramite incarichi scritti o che fanno riferimento a detti accordi per il dettaglio delle attivita’.
2. Forma scritta
Ogni comunicazione telematica assolve la forma scritta per ogni finalità di legge. Espressamente questo adempie anche l’obbligo di documentare per iscritto le attività che impattino sui dati personali e la loro sicurezza, a qualsiasi titolo prestate.
Ogni richiesta orale verrà confermata tramite comunicazione telematica.
Le parti si potranno tenere in contatto tramite i canali da essi utilizzati. Le comunicazioni non urgenti verranno evase in orario lavorativo, quelle urgenti solo salvo accordi o per adempiere a specifici obblighi di legge.
3. Credenziali di accesso
Le credenziali di accesso sono scambiate con il cliente con le tecniche da lui indicate, preferibilmente usando strumenti crittografati e in mancanza dividendo le informazioni su più comunicazioni e più canali.
Azienda utilizza password manager per gestire le credenziali propri e dei clienti.
Ove possibile tecnicamente Azienda e i clienti utilizzeranno credenziali separate con monitoraggio degli accessi, e comunque tenendone traccia nei propri registri dei trattamenti.
Finita la prestazione le credenziali saranno disattivate o meglio cancellate a cura della parte che può farlo tecnicamente o di quella più diligente.
Pur potendo tecnicamente impersonare l’altra parte nei servizi online per ragioni di sviluppo e esecuzione dei contratti, ci si astiene dal farlo salvo diversa esplicita intesa.
Eventuali configurazioni di servizi o software saranno gestiti con analoga cura.
L’uso delle risorse per le quali vengono condivise le credenziali è consentito solo per finalità di sviluppo e adempimento contrattuale.
4. Comunicazioni e cooperazione
Le parti utilizzano strumenti informatici aziendali aggiornati, protetti e monitorati per motivi di sicurezza informatica.
L’utilizzo di servizi in rete (cloud, email, messaggeria) saranno scelti tra quelli usati dal cliente, suggerendo attenzione a non usare servizi che monitorano le comunicazioni.
Le parti useranno preferibilmente strumenti di comunicazione crittografata (telegram, pgp) e comunque quelli utilizzati dal cliente.
E’ vietato commentare in pubblico o in aree riservate l’altra parte con la quale si ha o si ha avuto un rapporto contrattuale.
Eventuali problemi che rientrino nel novero delle attività contrattualmente stabilite saranno segnalati all’altra parte e insieme si collaborerà alla soluzione, ognuno per quanto dovuto o opportuno.
5. NDA
Le parti possono citare per finalità di brochure, cv e simili di aver lavorato insieme, anche mostrando schermate, salvo diverso accordo.
Qualora le parti prendano accordi su informazioni confidenziali è onere del cliente precisare nel dettaglio e non in astratto quali sono le informazioni confidenziali scambiate.
Entrambe le parti si impegnano comunque a non divulgare informazioni sulle attività svolte tra di loro in modo che siano attribuibili inequivocamente ad una o più parti.
6. Diritti d’autore sui contenuti
Il cliente fornisce a Azienda i contenuti da pubblicare nei formati informatici più diffusi idonei alla loro destinazione, salvo diverso accordo espresso. In caso di richiesta, Azienda fornirà contenuti acquistati da stock, la cui fattura è sufficiente garanzia per il cliente anche in caso di danni, salvo richiesta di sostituzione.
7. Software di terze parti
La fornitura / installazione di software di terze parti va concordato prima di essere messo in produzione. L’elenco del software installato, e relative licenze, viene fornito separatamente o all’interno del software stesso (es. plugin WordPress).
8. Uso di risorse aziendali
Azienda utilizza risorse aziendali per la sola prestazione delle attività convenute. Le risorse sono assegnate alla cura del «buon padre di famiglia» di chi viene incaricato a cio’. Eventuali risorse personali (per telelavoro o smart working o simili) è consentito con credenziali dedicate e per singolo progetto, tenendone traccia nel registro delle attivita’.
Le risorse aziendali saranno usate esclusivamente per le mansioni richieste e concordate.
9. Registro delle attivita’
Le parti terranno aggiornato il proprio registro e collaboreranno in caso di data breach o richiesta degli interessati.
Di tutte le mansioni richieste verrà tenuta traccia scritta.
10. Regalie e comportamenti equivoci
Le parti concordano di non accettare regali senza il consenso di chi ha il potere di impegnare l’azienda.
11. Concorrenza
Si applicano le norme sul divieto di concorrenza sleale tra le parti.
12. Proprieta’
Azienda progetterà e/o svilupperà quanto e come concordato contrattualmente.
La cessione e concessione di diritti di sfruttamento, semplici o in esclusiva, così come la proprieta’, va regolata esplicitamente in funzione degli accordi commerciali in modo che non vi siano equivoci e per la durata convenuta.
Azienda inoltre potrà (per le piattaforme concordate) utilizzare, installare e fornire software di terzi, alla licenza da essi forniti, qualora opportuno e salvo accordo con il cliente.
In caso di contrasto le parti valuteranno se i diritti sono stati o meno oggetto di valutazione commerciale espressa.
13. Documentazione
La documentazione scambiata tra le parti sarà tenuta per finalità di ordinata tenuta della documentazione aziendale per tutta la durata prescritta dalle leggi in materia, anche a disposizione delle autorità di controllo.
14. Titolare dei dati
Il titolare dei dati si impegna a fornire le informazioni legali, documentali e operative per l’adempimento di quanto concordato tra le parti.
L’Azienda che scolge un incarico non è automaticamente responsabile se non viene concordato un trattamento descitto compiutamente e in base di mansioni ricevute.
In particolare il compimento di attività simili a quelle dell’amministratore di sistema non comportano delega al trattamento di dati non espressamente indicati, e comportano per il cliente l’obbligo di verificare l’attività svolta dall’amministratore di sistema.
Azienda comunque tratterà i dati eventualmente e non occasionalmente visti con la massima riservatezza.
15. Clausole penali
Clausole penali, confirmatorie e simili non si applicano se non sono esplicitamente convenute a seguito di trattativa, e oggetto di controprestazione economica.
16. Modifiche alle presenti condizioni.
Le presenti condizioni generali possono cambiare allo stesso modo in cui sono state pubblicate sulla apposita pagina internet aziendale, salvo tenuta delle versioni precedenti in archivi in locale o online.
E’ fatto salvo tra le parti accordarsi per iscritto in modo difforme. Ogni modifica tra le parti verrà concordata tuttavia prima di essere messa in atto e per iscritto.
Eventuali novità tecnologiche o normative comportano un obbligo di cooperazione e le nuove attività saranno oggetto di separati accordi.
17. Attività online
Per le attività online si applica anche la privacy disponibile sul sito.
Valutazione dei rischi
Versione semplificata proposta
Guida per valutare i rischi nel trattamento di dati personali
Si noti che per tutelarsi dai rischi lo strumento più idoneo è tenere aggiornato il registro dei trattamenti per tenere aggiornato l’audit e documentare come nel tempo sono stati tutelati i dati personali trattati o meno.
Valutazioni generali - checklist per valutare i singoli progetti con trattamento di dati personali
Compilare, prima di iniziare un nuovo progetto:
| Analisi rischi | - |
|---|---|
| Nome Trattamento | - |
| Quali dati raccolti | - |
| Quali trattamenti effettuati- | - |
| Quale contesto | - |
| Chi se ne occupa | - |
| Quali strumenti | - |
| Quali credenziali | - |
| Da quali fonti arrivano i dati | - |
| Durata o criteri | - |
| Il consenso è documentabile | - |
| Quali controlli su uso dei dati | - |
| Dove sono memorizzati i dati | - |
| Come sono trasmessi i dati | - |
| Quali possibili violazioni | - |
| Quali possibili conseguenze in caso di violazioni | - |
| Quali possibili effetti per danni modificati, non aggiornati | |
| Quali misure tecniche sono state adottate | - |
| Quali misure organizzative sono state adottate | - |
| Quali procedure in caso di violazioni | - |
| Costi | - |
| Quale natura dei dati dati raccolti | - |
| Come si esercitano i diritti | - |
| Valutazione finale: quanto è importante il rischio per i dati trattati ? |
Nota:
- La DPIA (prevedere cosa fare in caso di avveramento dei rischi) va realizzata solo se i rischi sono elevati.
DPIA Allegato 2 - Criteri per una valutazione d’impatto sulla protezione dei dati accettabile
Versione ufficiale
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
- [_] una descrizione sistematica del trattamento è fornita (articolo 35, paragrafo 7, lettera a)):
- [_] la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione (considerando 90);
- [_] vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
- [_] viene fornita una descrizione funzionale del trattamento;
- [_] sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
- [_] si tiene conto del rispetto dei codici di condotta approvati (articolo 35, paragrafo 8);
- [_] la necessità e la proporzionalità sono valutate (articolo 35, paragrafo 7, lettera b)):
- [_] sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):
- [_] misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
- [_] finalità determinate, esplicite e legittime (articolo 5, paragrafo 1, lettera b));
- [_] liceità del trattamento (articolo 6);
- [_] dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5, paragrafo 1, lettera c));
- [_] limitazione della conservazione (articolo 5, paragrafo 1, lettera e));
- [_] misure che contribuiscono ai diritti degli interessati:
- [_] informazioni fornite all’interessato (articoli 12, 13 e 14);
- [_] diritto di accesso e portabilità dei dati (articoli 15 e 20);
- [_] diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
- [_] diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
- [_] rapporti con i responsabili del trattamento (articolo 28);
- [_] garanzie riguardanti trattamenti internazionali (capo V);
- [_] consultazione preventiva (articolo 36).
- [_] misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
- [_] sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):
- [_] i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35, paragrafo 7 lettera c)):
- [_] l’origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
- [_] si considerano le fonti di rischio (considerando 90);
- [_] sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
- [_] sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
- [_] sono stimate la probabilità e la gravità (considerando 90);
- [_] sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 90);
- [_] l’origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
- [_] le parti interessate sono coinvolte:
- [_] si consulta il responsabile della protezione dei dati (articolo 35, paragrafo 2);
- [_] si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35, paragrafo 9).
Cosa dice la normativa su rischi e valutazione d’impatto (DPIA)
Gli articoli e i considerando in materia di rischi e valutazione d’impatto.
Quali dati, quale finalita’
L’attività di sviluppo siti e gestione presenza online tocca:
- credenziali di accesso a risorse online
- gestione email
- gestione risorse remote (cloud)
- utilizzo di servizi di terzi per finalità di marketing
In linea di massima ogni richiesta viene effettuata via email, o può essere confermata via email da chi la riceve telefonicamente («Ti confermo che ho realizzato … come richiesto»).
Qualora le finalità siano evidentemente contra legem sarà necessario comunicare al cliente che non è opportuno procedere. Tuttavia è onere del cliente comunicare che ha raccolto i consensi e effettuato quanto previsto dalla normativa. Nel dubbio (se non previsto contrattualmente), meglio ricordarglielo per evitare che vi ritenga delegati e quindi responsabili.
I compiti di sviluppo non configurano una delega.
I compiti di gestione potrebbero configurare una delega.
Il semplice accesso occasionale a dati non è trattamento. L’uso di credenziali di amministrazione impone il monitoraggio degli accessi permanente degli accessi degli amministratori da parte del titolare (v. «linee guida amministratori di sistema» in quanto applicabili).
- verifica dei rischi insiti ai dati
- verifica dei rischi insiti ai collaboratori
- verifica dei rischi insiti ai clienti
- verifica dei rischi insiti ai fornitori
- verifica dei rischi insiti agli strumenti
- verifica dei rischi insiti alla struttura
- verifica dei rischi insiti alla natura dei dati conferiti
- verifica dei rischi insiti alle possibile conseguenze per i titolari ipotizzando diversi tipi di violazioni e diversi danni ai dati
- audit privacy by design e default:
- consenso libero, lecito, informato, base giuridica
- dati minimizzati, anonimizzati, cifrati, pseudoniminizzati
- utilizzo di strumenti di verifica di violazioni
- procedure per affrontare le violazioni
- identificare le misure tecniche utilizzate
- identificare le misure organizzative utilizzate
Fonti
Deve essere fatta da tutti all’inizio dei un trattamento.
I rischi non sono (solo) quelli dell’impresa, ma quelli per gli interessati. Gli articoli interessati sono il 25, 32 e 35 e di solito sono affrontati dagli esperti di sicurezza in contesti «importanti».
- art. 25: privacy by design e by default
- art. 32: sicurezza del trattamento
- art. 35: dpia
E i considerando:
- 74
- 75
- 76
Seguono gli articoli della normativa per valutare alla fonte le richieste.
Gli articoli sono stati espansi per poter leggere tutte le condizioni richieste.
Pur essendo numerose si deve ricordare che vanno adottate solo quelle necessarie al contesto, caso per caso.
La fonte più concreta: https://ico.org.uk/for-organisations/business/guide-to-the-general-data-…
Enisa, l’ente europeo che si occupa di sicurezza, offre un documento la cui complessità lo rende inapplicabile dai piccoli https://www.enisa.europa.eu/publications/handbook-on-security-of-persona…
Infine l’aurorità spagnola che con le sue 42 pagine dettagliate e pratiche è la più concreta: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common…
GDPR e analisi dei rischi e delle valutazioni d’impatto
Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
-
Tenendo conto
- dello stato dell’arte e
- dei costi di attuazione,
- nonché della natura,
- dell’ambito di applicazione, del contesto e
- delle finalità del trattamento, come anche
- dei rischi aventi probabilità e
- gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento,
- sia al momento di determinare i mezzi del trattamento
- sia all’atto del trattamento stesso il titolare del trattamento
- mette in atto misure tecniche
- e organizzative adeguate,
- quali la pseudonimizzazione,
- volte ad attuare in modo efficace i principi di protezione dei dati,
- quali la minimizzazione, e a
- integrare nel trattamento le necessarie garanzie
al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
- Il titolare del trattamento
- mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati,
- per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
- Tale obbligo vale per la quantità dei dati personali raccolti,
- la portata del trattamento,
- il periodo di conservazione e
- l’accessibilità.
- In particolare, dette misure garantiscono che, per impostazione predefinita,
- non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
- Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Articolo 32 Sicurezza del trattamento
-
Tenendo conto
- [_] dello stato dell’arte e
- [_] dei costi di attuazione, nonché
- [_] della natura,
- [_] dell’oggetto,
- [_] del contesto e
- [_] delle finalità del trattamento, come anche
- [_] del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche,
il titolare del trattamento e il responsabile del trattamento mettono in atto
- [_] misure tecniche e
- [_] organizzative adeguate per garantire un
- [_] livello di sicurezza adeguato al rischio,
che comprendono, tra le altre, se del caso:
a) [_] la pseudonimizzazione e la - [_] cifratura dei dati personali; b) [_] la capacità di assicurare su base permanente - [_] la riservatezza, - [_] l'integrità, - [_] la disponibilità e la - [_] resilienza dei sistemi e dei servizi di trattamento; c) [_] la capacità di ripristinare tempestivamente la disponibilità e - [_] l'accesso dei dati personali in caso di - [_] incidente fisico o tecnico; d) una procedura per - [_] testare, - [_] verificare e - [_] valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. -
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare
- [_] dalla distruzione,
- [_] dalla perdita,
- [_] dalla modifica,
- [_] dalla divulgazione non autorizzata o,
- [_] dall’accesso,
-
L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
-
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Articolo 35 Valutazione d’impatto sulla protezione dei dati
- Quando un tipo di trattamento, allorché prevede in particolare
- [_] l’uso di nuove tecnologie,
- [_] considerati la natura,
- [_] l’oggetto,
- [_] il contesto e
- [_] le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
-
Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
-
La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
-
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
-
L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.
-
Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.
-
La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
-
Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
-
Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
-
Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
-
Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
Considerando
(74) I rischi
È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto
- [_] misure adeguate ed
- [_] efficaci ed essere in grado di dimostrare
- [_] la conformità delle attività di trattamento con il presente regolamento, compresa
- [_] l’efficacia delle misure.
Tali misure dovrebbero tener conto della
- [_] natura,
- [_] dell’ambito di applicazione,
- [_] del contesto e
- [_] delle finalità del trattamento, nonché
- [_] del rischio per i diritti e le libertà delle persone fisiche.
(75) I rischi
- [_] per i diritti e le libertà delle persone fisiche, aventi
- [_] probabilità e
- [_] gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare
- [_] un danno fisico, materiale o immateriale,
in particolare: se il trattamento può comportare
- [_] discriminazioni,
- [_] furto o usurpazione d’identità,
- [_] perdite finanziarie,
- [_] pregiudizio alla reputazione,
- [_] perdita di riservatezza dei dati personali protetti da segreto professionale,
- [_] decifratura non autorizzata della pseudonimizzazione, o
- [_] qualsiasi altro danno economico o sociale significativo;
se gli interessati rischiano di essere
- [_] privati dei loro diritti e delle loro libertà o venga loro
- [_] impedito l’esercizio del controllo sui dati personali che li riguardano;
se sono trattati dati personali che rivelano
- [_] l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di
- [_] aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
se sono trattati dati personali di
- [_] persone fisiche vulnerabili, in particolare minori;
se il trattamento riguarda
- [_] una notevole quantità di dati personali e
- [_] un vasto numero di interessati.
(76) Rischi
- [_] La probabilità e
- [_] la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla
- [_] natura,
- [_] all’ambito di applicazione,
- [_] al contesto e
- [_] alle finalità del trattamento.
Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano
- [_] un rischio o
- [_] un rischio elevato.