Note Legali e Privacy

[Saraveg]

Allora finora abbiamo note legali: https://www.covid19italia.help/legal/ e informativa con spunta obbligatoria su ogni form: https://www.covid19italia.info/legal_segnalazioni/

Raccolgo qua segnalazioni/richieste di modifica/suggerimenti.

Grazie mille

NON MODIFICARE Metti una X quando sei certo che il bug sia stato risolto e sei contento :-) -->

• [ ] Ho verificato che il problema è stato risolto

[Saraveg]

Ho il responso sulle domande sollecitate in chat telegram Ve le riporto qua:

1. ho controllato e GitHub è GDPR compliant e aderisce ai Privacy Shield Framework. Possiamo aggiungere questa frase nell’informativa e nelle note legali: I dati rilasciati sono ospitati da GitHub i cui server possono essere situati in USA. GitHub è GDPR compliant e aderisce ai Privacy Shield Framework
2. Questa la mail che abbiamo indicato in infomativa per i diritti di cancellazione e opposizione // informazioni@actionaid.org, puoi esercitare i diritti di consultazione, modifica, cancellazione e oblio e limitazione del trattamento dei dati o opporti al loro trattamento. Ogni form di inserimento dati deve avere il flag informativa obbligatorio.

[iltempe]

@Saraveg inserita la dicitura su Github. a questo punto dovremmo essere a posto. se non c'è altro chiudo. fammi sapere.

[albygio81]

Ciao ho letto tutto. Nel pieno rispetto del lavoro dei colleghi, mi permetto di osservare quanto segue.

1. Le parti "generali" presenti sul sito dovrebbero poi avere alle spalle la documentazione più approfondita di ActionAid (ad esempio dovrebbe esserci il documento di valutazione dei rischi, l'organizzazione interna dei dati e quindi i loro utilizzatori, il luogo di conservazione, i contratti con i responsabili esterni, etc...). Si spera ovviamente che questa documentazione ci sia.

2. La parte "legal" direi che è completa, forse un po' generica. Mi spiego meglio: ActionAid attraverso questo gruppo, se ho ben capito, si appoggerà sui server di Github per il funzionamento del sito. Se questo è vero, la struttura del modello è un po' più complessa perchè il titolare del trattamento è ActionAid, ma non lo fa su propri server o su un proprio dominio esclusivo (o sbaglio) o se lo farà sarebbe meglio indicare quale e fornito da quale servizio. Q uindi nell'informativa e nella policy più generale, non sarebbe male precisare quale sarà il posto dove verranno conservati i dati ed il fatto che GitHub rispetta gli standard del GDPR Europeo (che ora è indicato in calce). Nella policy, poi, si fa riferimento al fatto che nell'informativa saranno meglio precisate le modalità del trattamento, ma l'informativa è poi un po' scarna. Da ultimo in questa sezione avrei anche indicato il "diritto di reclamo – articolo 77 GDPR: il Cliente ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza Venezia 11, 00187, Roma (RM)."

3. Sull'informativa: se cercate nella pagina troverete la parola "progetto sismico" - ovviamente credo si tratti di un refuso. Nel dettaglio la trovo un po' scarna come dicevo: (a) sarei più preciso nel definire quali dati saranno trattati (quindi il loro elenco); (b) la base giuridica che legittima il trattamento -(b1) espressione del consenso al trattamento dei propri dati personali per una o più specifiche finalità (quali?); (b2) l’esecuzione di un contratto di cui l’interessato è parte (ovviamente no); (b3) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (nemmeno questo); (b4) la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica (astrattamente configurabile); (b5) per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (no perchè non si è investiti di alcun pubblico potere); (b6) il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (valutabile); (c) sarei più preciso nell'indicare chi siano di destinatari dei dati personali oltre il titolare (dipendenti, collaboratori, etc.), o se vengono trattati anche da terzi in che termini questo avviene (ai sensi dell’articolo 28 del GDPR), etc... (d) metterei in evidenza che nell’ambito della gestione del rapporto contrattuale è previsto il trasferimento dei dati dell'interessato verso Paesi terzi extra UE - che però risponde agli standard; (e) non ho trovato ed è necessario, a meno che non mi sia sfuggito, indicare per quanto tempo i dati dell'interessato saranno trattati e conservati dal Titolare; (f) indicherei in un link il riferimento alla privacy policy dove ci sono i diritti esercitabili dall'interessato e potenzialmente metterei anche un modello del modulo utilizzabile per l'esercizio di quei diritti.

Ora non so se questo sia fattibile, ma questi sono, ad una prima analisi, i punti che ho trovato "un po' deboli" - salvo che la genericità di alcuni passaggi non sia una scelta voluta.

[avivace]

Grazie @albygio81 , @Saraveg puoi passare queste osservazioni e farci avere un feedback?

[iltempe]

ciao @Saraveg abbiamo feedback dai tuoi legali? grazie.

[Saraveg]

Ciao, vi chiederei di aspettare domani. ho preso tutto e ho riunione con loro. Ora che abbiamo un bel campione di segnalazioni possiamo tarare su quello che è realmente.

[iltempe]

@Saraveg si può chiudere? facci sapere.

[Saraveg]

in verità ti dico che ci sto ancora lavorando. ma se da' fastidio chiudiamola e poi la riapro ;)

[iltempe]

no no. lascio così. aggiornami tu.

[robertoCib]

Ciao, sto per far tradurre le note legali in Portoghese (per il Portogallo). Mi chiedevo se si possa procedere semplicemente alla traduzione del testo Italiano o ci sia qualcosa da tener conto che è legato al paese specifico.

[albygio81]

Non saprei dirti con precisione se abbiamo integrato il GDPR con normativa nazionale in Portogallo. Il GDPR è però un regolamento europeo quindi immediatamente efficacia in tutta l’Unione Europea quindi, come lo applichiamo qui, non è certamente sbagliato perché conforme al regolamento. Quindi lo tradurrei senza problemi.

[albygio81]

Potevo usare ancora qualche “quindi”. Scusate, ho scritto senza rileggere 😃

[robertoCib]

Ottimo, speravo in una risposta del genere! Grazie.

[Saraveg]

Ciao, vi incollo qui le note legali aggiornate anche grazie al contributo di tutte e tutti. Appena le carichiamo chiudiamo issue Note Legali e Privacy Policy COVID 19.docx @iltempe

[albygio81]

Direi che vanno benone!

[iltempe]

@Saraveg quindi facciamo un'unica pagina con la stessa policy?