Buon giorno, chiedo aiuto, non so se è giusto dove ho postato questa domanda. scusatemi.
Dal 25 maggio è partita la nuova legge sulla privacy, francamente ci ho capito poco, quello che mi pare che bisogna fare una maschera x disattivare ad esempio Facebook, ma non ho capito come fare... insomma sono parecchio confuso.
se qualcuno puo aoiutarmi a capire, grazie

Gianluigi DI BELLA (grande passione per l'informatica)
10.680 messaggi dal 09 febbraio 2002
Contributi
Ciao Gianluigi, diciamo che nessuno ci ha ancora capito tantissimo sul GDPR. Vedi le cause intentate per 8 miliardi di dollari contro Facebook e Google.


una maschera x disattivare ad esempio Facebook,

Non ho idea di che cosa si tratti. Puoi spiegare meglio? L'hai letto da qualche parte?

Diciamo che ogni sito web oggi dovrebbe proteggere le informazioni dei suoi utenti in due modi:
  • In transit, cioè mentre i dati viaggiano tra il client e server (e viceversa) usando un certificato SSL. Questo va fatto sia che il sito tratti dati personali sia che abbia una semplice casella di ricerca, perché anch'essa potrebbe rivelare le abitudini di consumo degli utenti;
  • At rest, cioè mentre i dati sono memorizzati sul database o sul disco fisso del server. I dati personali (sia password che il resto dei dati sensibili) non dovrebbero essere accessibili in chiaro a chiunque, neanche se si verificasse una violazione del server da parte di un malintenzionato.


In caso di violazione, è obbligatorio segnalare il fatto entro 72 ore dalla scoperta. È ovvio che un attaccante potrebbe anche entrare in possesso delle chiavi di cifratura ma questo non significa che chi tratta i dati non debba tentare il possibile per proteggerli al meglio delle sue possibilità.

L'intera questione non è facile da attuare come "creare una maschera". Se hai un sito che tratta dati personali, rivolgiti ad un consulente che potrà valutare la situazione attuale e proporti delle soluzioni per migliorare la sicurezza ad un budget di tempo e denaro proporzionato al danno che si verrebbe a creare se quelle informazioni venissero divulgate pubblicamente.

Sicuramente dovrai rendere il trattamento dei dati più trasparente: ad esempio è necessario che l'utente, in qualsiasi momento, possa scaricare le informazioni che lo riguardano oppure decidere di eliminarle del tutto.
È ovvio che se hai i suoi dati su una fattura PDF non la puoi eliminare perché in quel caso prevale la legge che ti chiede di conservare il documento per tot anni.

ciao,
Moreno
Modificato da BrightSoul il 31 maggio 2018 20.48 -

Enjoy learning and just keep making
617 messaggi dal 13 novembre 2008
Contributi
oltre quello che ha scritto Moreno, ti segnalo ciò che ho implementato di recente:

tutto ciò che implica una registrazione di dati inseriti dall'utente andrebbe segnalata all'utente e sottoposta a consenso
per esempio, una procedura implica che l'utente inserisca dati ad esempio per iscriversi a qualcosa (riguarda dati personali e preferenze personali) o per scegliere un oggetto, una attività, ecc. (riguarda preferenze), la procedura deve presentare checkbox di consenso esplicito, cioè impostata su off e bloccante se non cliccata
lo stesso in caso sia previsto il pagamento tramite un servizio come PayPal o Stripe
anche nel caso di inserimento in mailing list
nel caso utilizzi servizi di statistica di utilizzo del sito
ecc., ecc.

Per semplificare ho fatto un check sull'app, poi ho implementato l'elenco sulla pagina account dell'utente con tutte le checkbox su off; a questo punto l'utente è costretto al consenso esplicito per ogni procedura che lo richiede, altrimenti, o l'utente non può eseguire la procedura relativa (es. il pagamento), o l'app non può eseguire l'azione (es. registrare i dati di utilizzo del sito da parte di quell'utente)

Alcuni consensi devono per forza essere espliciti, ad esempio l'invio di una mail alla registrazione dell'utente, questi puoi semplicemente segnalarli all'utente prima del suo click, se non approva non si registra

Devi anche dare la possibilità all'utente di cancellarsi, di eliminare tutti i suoi dati registrati in qualsiasi tabella, tutti i file caricati, ecc.

Dovresti poi fare una policy apposita che elenca i dati che tratti, per questo ti consiglio in prima istanza un servizio online, ne esiste anche uno italiano I.....a

Inoltre il tuo sito deve catturare solo i dati strettamente necessari per le sue funzionalità, questo è un principio cardine

Forse c'è altro ancora, ma questo spero e credo sia più che sufficiente, e non è poco...

ti segnalo anche:

https://simplysecure.org/blog/gdpr-resources
Modificato da teo prome il 01 giugno 2018 10.25 -

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.