Informativa sul trattamento dei dati personali

GDPR - Documentazione Privacy

Documentazione - Modelli - Checklist - Guide

Introduzione

 

Con l’accountability nel GDPR si afferma la necessità di documentare in forma scritta anche informatica, quale prova a favore, le attività svolte.

Per semplificare il titolare deve:

  • Pubblicare la propria informativa online
  • Aggiornare il proprio audit delle risorse aziendali
  • Richiamare nei contratti le proprie condizioni generali di privacy
  • Incaricare per iscritto i collaboratori all’inizio e alla fine della collaborazione
  • Istruire i collaboratori via email (o pec, inviandone copia al registro dei trattamenti se tenuto via email)
  • Tenere traccia delle richieste dei clienti via email come sopra
  • Valutare i rischi dei trattamenti esistenti e nuovi

Ancora più in breve:

  • Informativa
  • Audit risorse aziendali aggiornato
  • Registro dei trattamenti aggiornato
  • Incarichi scritti a collaboratori e dai clienti
  • Analisi dei rischi per le nuove attività
  • Richiamare nei contratti le proprie condizioni generali di privacy

Il materiale che segue è diviso in:

  • Informativa (anche in html per la pubblicazione online)
  • Audit
  • Valutazione dei rischi
  • Modelli di nomine
  • Guida per il registro dei trattamenti
  • Condizioni generali di Privacy (DPA data processing agreement)

Si tratta di documentare i comportamenti e le valutazioni oppoertune e richieste ai fini della privacy. Lo si faceva anche prima, ma senza tenerne traccia. Lo scopo è quello di rispondere alle «crisi» informatiche o di sicurezza in modo più consapevole e rendicontabile.

La documentazione che segue offre quanto necessario già compilato e i modelli e le linee guida per quanto potrà servire.

Nota sulle condizioni generali di privacy: andranno allegate, insieme alle condizioni generali, ai contratti firmati la prima volta; poi dovranno essere citate nelle trattative e richiamate nei contratti successivi. Possono essere aggiornate nello stesso modo in cui sono pubblicate, e cioè sul vostro sito. Si raccomanda di tenerne archivio (anche cartaceo) versionato e datato (così come per le informative privacy)

Informativa

Informativa privacy del 22.03.2024 19:12 Uaar

L’informativa è divisa in una prima parte di carattere generale e in una seconda parte dove sono affrontati i singoli trattamenti. Viene fornita ex art. 13 e le norme (v. dopo) correlate del GDPR, Regolamento 2016/679/UE disponibile su Garanteprivacy.it. Sono disponibili in versione multilingue comparata su PrivacyKit.it

Parte Generale


  • Uaar

  • E-mail: info@uaar.it - https://www.uaar.it/contatti/

  • Associazione
    Biblioteca e uffici
    Circoli
    Iscrizioni
    Lavoro e Contabile
    Videosorveglianza
    Online
    Analitiche
    Blog
    Campagne informative
    Contatti
    Cookie e traccianti
    Discussioni e commenti
    Hosting
    Navigazione
    Newsletter
    Redirection
    Servizi
    Cerimonie
    Ecommerce
    Formazione
    Rivista
    Sbattezzati
    Premi e concorsi

  • V.07 del 18.10.2022
    Responsabile: il legale rappresentante pro tempore
    Referente per la privacy: Coordinatore
    Ove non specificato, il trattamento avviene tramite i siti di Uaar, anche domini di terzo livello: uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it
    Hosting attuale: Host Europe GmbH

    L’analisi di rischio è comune: a tutti i trattamenti. Il socio che voglia mantenere riservate le informazioni può indicare di non ricevere comunicazioni. In caso di violazione di un diritto ci possono comunque essere reazioni da parte di chi ha relazioni sociali o lavorative con l’interessato, di varia intensità, pur considerando che c’è chi vuole queste reazioni proprio per difendere la propria scelta.
    Queste situazioni vanno quindi valutate insieme agli interessati per migliorare il livello caso dopo caso.

Informativa - parti comuni

  • Uaar fornisce l’assistenza a richiestra tramite gli strumenti online e ai recapiti indicati.
  • Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento). Ex art. 12, si gode dei diritti ex artt. 13 (e 14 in caso di dati raccolti da terzi), da 15 a 22 e all’articolo 34.
  • In caso di data breach ex art.34 l’interessato riceverà comunicazione.
  • Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
  • La mancata contestazione specifica, completa e documentata («messa in mora») dell’interessato che dovrà identificarsi (artt. 11 e 12) prima dell’azione verrà valutata ai fini della richiesta danni o del maggior costo che l’azione senza contestazione causa se non vi è motivo specifico per non effettuarla.
  • Le richieste manifestamente infondate o eccessive o ripetitive ex art.12 o in più copie (art. 15) sono valutate ai fini del contributo in 80 euro l’ora oltre oneri di legge.
  • La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica. I dati saranno comunicati per via telematica alla casella pec comunicata dall’interessato, o in mancanza, ad altro recapito telematico.
  • Possono essere cancellati dai browser, accedendo a opzioni/impostazioni sicurezza o cercando gestione cookies. Per informazioni: www.allaboutcookies.org
  • La presente informativa si applica in quanto compatibile anche a tutti gli account social o presso servizi terzi usati insieme a questo sito.


CAPO III Diritti dell’interessato
Sezione 1 Trasparenza e modalità
Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti
Sezione 2 Informazione e accesso ai dati personali
Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Art. 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Art. 15 Diritto di accesso dell’interessato
Sezione 3 Rettifica e cancellazione
Art. 16 Diritto di rettifica
Art. 17 Diritto alla cancellazione («diritto all’oblio»)
Art. 18 Diritto di limitazione di trattamento
Art. 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Art. 20 Diritto alla portabilità dei dati
Sezione 4 Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Art. 21 Diritto di opposizione
Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la
Art. 34 Comunicazione di una violazione dei dati personali all’interessato

software v. 3.4

Trattamenti

indice dei trattamenti, descritti successivamente all’indice:

Associazione
I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.
Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.
Sono descritti nelle pagine successive.

Per ogni informazione sulla privacy contattare il referente indicato su www.uaar.it/contatti

Alla stessa pagina è disponibile l’elenco degli incaricati di singoli trattamenti che si intendono qui trascritti per non tenere due elenchi non sincronizzati.

Ad essi si aggiungano:

- Dipendenti: con funzione di segreteria
- Reparto it: webmaster e sistemista
- Coordinamento e organizzazione interna: referente privacy
- Contabile : l’addetto alla contabilità
- Paghe: l’addetto alle paghe

Biblioteca e uffici
Il servizio biblioteca viene gestito con semplicità, fornendo una tessera «bibliotecaria» indipendente dall’iscrizione.

Il prestito librario, annotato in un registro interno per tenere traccia della restituzione, e viene concesso a chi si presenta in sede.

Alla raccolta dei dati per l’identificazione non segue ulteriore trattamento, e alla restituzione (entro 7 gg per consentire un controllo delle condizioni di quanto restituito) i dati sono cancellati.

L’addetto che consegna il libro segue il trattamento.

La tessera bibliotecaria non scade, ma può essere restituita.

Circoli
Le indicazioni relative ai circoli sono contenute alla voce iscrizioni.

Qui vengono tratti invece gli aspetti di rendicontazione contabile e dei progetti dei Circoli.

Si chiarisce subito che titolare è Uaar nazionale, e i circoli agiscono come nominati e incaricati.

Chi diventa coordinatore di un circolo si intende nominato anche a trattare i dati secondo le mansioni e istruzioni qui indicate, per tutta la durata del rapporto e oltre secondo gli obblighi di legge.

Iscrizioni
L’iscrizione all’associazione è gestita a livello nazionale; territorialmente i circoli tramite il coordinatore inviano alla sede centrale gli elenchi dei soci nuovi, cessati e ogni modificazione.

L’iscrizione a Uaar include l’abbonamento alla rivista.

L’iscrizione richiede la registrazione dei dati anagrafici e del pagamento; per la ricezione della rivista cartacea sono richiesti separatamente i dati di spedizione.

Le iscrizioni sono nazionali, i circoli territoriali raccolgono le quote e comunicano alla sede centrale i nominativi e possono consultare quelli soli di competenza tramite software sviluppato internamente.

I circoli organizzano la vita e gli eventi associativi su iniziativa del coordinatore contattando gli associati territorialmente compententi, anche con l’aiuto di volontari appositamente istruiti caso per caso, sapendo di dover chiede al coordinatore per ogni dubbio.

Lavoro e Contabile
L’associazione tratta i comuni dati di gestione del personale e della contabilità avvalendosi di professionisti del settore.
Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Alla nomina, incarico e cambio di mansioni si aggiorna il registro
Le email, la cloud e gli altri servizi sono tutti servizi dell’ente dati in gestione con DIVIETO di uso personale e con strumenti personali e comunque diversamente da quanto previsto. E’ vietato usare altri strumenti, di archiviazione e documentazione e altro, diversi da quelli affidati in custodia, senza preventiva autorizzazione scritta.
Gli addetti sono informati che i log necessari per proteggere il patrimonio informatico associativo non sono usati per cercare illeciti, ma qualora vi siano delle verifiche opportune, e comunque a campione non periodicamente, potranno essere consultati per verificare usi diversi da quelli autorizzati espressamente.
Il lavoratore può e deve chiedere spiegazioni su ogni dubbio relativo ai trattamenti.
L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy. xxx

Videosorveglianza
Sensori di movimento ad infrarossi per antifurto. NON si tratta di videocamera, è in grado di acquisire foto solo dopo che il sensore rileva movimenti negli orari indicati.

Online
I trattamenti che seguono riguardano le attività tipicamente online.
Sono descritti nelle pagine successive.
I domini:

uaar.it
blog.uaar.it
go.uaar.it - Tool per redirect non traccianti
soci.uaar.it - Tesserateo - libro soci
disc.uaar.it - Forum privato
ywf.uaar.it - Rendicontazione circoli
nessundogma.it - Store
rivista.nessundogma.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti
raccolta firme (coming soon)


Email in uso:

elencate e aggiornate su: https://www.uaar.it/contatti/

Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web. Uno sforzo e una sensibilità notevole per una associazione che si preferisce gestirli pur essendo un costo in più

Analitiche
Per analitiche si intendono le attività di misurazione della consultazione di pagine e aree del sito internet.
Uaar utilizza software interno per la misurazione delle statistiche, anonimizzando l’ip in tutto se il software lo consente, per minimizzare il tracciamento dei visitatori.
Le analitiche così anonimizzate sono tenute per tutta la durata del servizio, anche in forma aggregata.

Blog
Il sito blog.uaar.it, gestito da UAAR.it, fornisce:

- notizie (blog) dette «A ragion veduta - Il mondo osservato dall’Uaar»
- commenti ai post
- condivisione sui social tramite plugin
- feed rss
- link ai social (Twitter Facebook Instagram Youtube)
- cookies funzionali al backend WordPress
- analitiche
- log server
- commenti

sui temi dell’associazione

- Il sito è aperto in lettura a tutti

- Titolare: **UAAR**
- Responsabile del Trattamento: il **segretario** pro tempore
- Contatti: **sede** di UAAR - assistenza anche telefonica, richieste formali ex privacy tramite PEC

### 1 cookies e log

- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso

### 2 analitiche

- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: negoziale
- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.
- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.

### 3 commenti

- Trattamento: **community** consentire ai lettori di ritrovarsi
- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati
- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.
- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).

## Rinvio a UAAR

- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it

Campagne informative
Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Vi sono ovviamente link al sito Uaar dove eventualmente possono essere chiesti ulteriori servizi.
Tra questi:
uaar.it
blog.uaar.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti e campagna informativa

Contatti
Vi rientra tutta l’attività di assistenza pre, post e contrattuale all’iscrizione e fruizione dei servizi offerti, ivi inclusi quelli informativi richiesti dagli interessati.
Avviente tipicamente via email; i dati sono condivisi via cloud così come stabilito dall’addetto.

Cookie e traccianti
Nello sviluppo della presenza online è stato incaricato un consulente per rimuovere ogni residuo tracciante, non solo cookies.
Attualmente i siti utilizzano font e contenuti da cdn solo in locale. Restano cookies tecnici per l’uso dei gestionali.
Detto questo i siti non sono usati per profilare e per vendere il traffico di profilazione.
Maggiori dettagli per ogni singolo trattamento.

Discussioni e commenti
AREA DISCOURSE

La comunità online è gestita tramite l’open source discourse, gestore moderno di forum online.
Ci sono meccanismi di gratificazione (Bravo, hai letto le faq), mi piace, e aree tematiche. Il traffico è mediamente basso.

Credenziali: gestite parzialmente con rinvio su www.uaar.it dopo il recupero password reimpostandone una nuova con controllo di complessità, per il resto tutto su disc.uaar.it; non è possibile cancellarsi da soli, bisogna chiederlo al moderatore.

Ogni utente può avere livelli diversi di accesso: admin, socio, comitato di coordinamento, staff amichevole per l’assistenza e altri funzionali all’attività associativa.

Contiene ampiamente faq, condizioni d’uso, aiuti per usarlo al meglio.

Traccia gli accessi e il browser usato per verificare gli accessi a posteriori.

Al momento sono disattivate tutte le notifiche via email, sono disponibili solo quelle tramite browser.

Dall’interno è possibile rinnovare la tessera associativa.

E’ possibile accedere anche dopo la scadenza della quota associativa.

COMMENTI SUL BLOG

I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. Come ogni commento a post su blog si può scrivere con uno pseudonimo, usato da tanti.

I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare. La moderazione sui contenuti aiuta a mantenere il rispetto della netiquette.

Hosting
La comune fornitura di servizi di pubblicazione statica e dinamica di contenuti online

Navigazione
Dati di navigazione raccolti ex Bassanini per finalità antiterrorismo o per autotela giudiziaria su contestazione specifica per le attività svolte tramite i siti.
Sono i log di apache, in altri casi le statistiche di sistema.
Dati di navigazione possono essere raccolti anche dal trattamento Analitiche.

Newsletter
Ai soci Uaar invia newsletter tramite phplist, un software affidabile e ben noto nel settore.
La newsletter non profila ed è una prestazione richiesta dall’iscritto alla newsletter che vuole restare aggiornato per la durata del servizio.
In essa confluiscono anche gli iscritti all’associazione, ma sono servizi indipendenti e non sincronizzati (alla scadenza dell’iscrizione all’associazione si può ricevere ancora la newsletter aperta a tutti per ricevere le novità del sito).
La cancellazione può essere richiesta in automatico in ogni momento tramite indicazioni online.
L’iscrizione è offerta ai soci.
I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Gli elenchi dei soci territoriali possono essere usati solo per le finalità associative, ma devono essere tenuti aggiornati su iniziativa dei coordinatori insieme a quelli locali informando il nazionale per l’annotazione nel registro.
A tal fine Uaar agisce come responsabile fornitore della piattaforma su soci.uaar.it che offre l’elenco degli iscritti (con flag di coloro che hanno chiesto di non inviarla) e consente ai circoli di inviare la newsletter anche ad altri interessati.

Redirection
Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Non è un servizio aperto al pubblico, i link però sono utilizzabili da chiunque.

Servizi
I servizi offerti da Uaar sono:
- iscrizione all’associazione (a pagamento)
- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)
- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque
- partecipazione ad eventi (gratis o pagamento)
- accesso a biblioteca (solo soci)
- invio rivista cartacea per associati (gratis) e interessati (a pagamento)
- invio newsletter digitale (gratis)
- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non
- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password
Per ognuno di questi si veda la sezione relativa.

Cerimonie
L’area cerimonie fornisce informazioni sui celebranti formati da UAAR che possano curare in autonomia cerimonie laiche.
Il sito cerimonieuniche.it fornisce informazioni, la mappa territoriale e l’elenco dei celebranti disponibili.
Menù esemplificativo: CHI SIAMO, CERIMONIE, TESTI, TROVA UN CELEBRANTE, DICONO DI NOI, BLOG, CONTATTI, Italiano
Supporta l’inglese tramite un cookie.
Il blog non offre newsletter nè commenti.

Ecommerce
Il sito nessundogma.it insiema a rivista.nessundogma.it e uaar.it, gestiti da UAAR.it, forniscono:

- informazioni (blog) e
- un catalogo di libri acquistabili su parti terzi (Amazon, Itunes, Ibs, Mondadori, LaFeltrinelli quali marketplace online) e su https://www.uaar.it/shop/
- la rivista associativa https://rivista.nessundogma.it/ (archivi) https://www.uaar.it/shop/ catalogo/rivista-nessun-dogma/ (abbonamento)

Si applica quindi in linea generale la privacy policy di UAAR, con quanto qui prevale [vedi nota su altro documento]] ed è indicato per condividere con gli interessati le opportunità e i rischi del trattamento di questi dati.

Per quanto la vendita di opere non sia indice di idee filosofiche, indirettamente e insieme ad eventuali altre informazioni l’utente può essere profilato.

L’ecommerce è di vari tipi:

- l’iscrizione all’associazione
- la vendita di libri diretta
- la vendita di libri tramite terzi (in autonomia)
- l’abbonamento alla rivista senza essere soci
- l’abbonamento alla rivista è incluso per i soci iscritti
- corsi formativi gratuiti riservati ai soci
- servizi gratuiti
Questa sezione serve ad elencarli, sono descritti singolarmente.

Formazione
Uaar organizza momenti di formazione, ad esempio di celebranti di cerimonie *laico-umaniste*, ma anche in contesti di serious games o formazione in contesti scolastici.

I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. E’ vietato ogni altro uso di dati personali dei frequentanti.

Dopo la formazione a buon fine il partecipante può avvalersi di servizi accessori come ad esempio far diffondere ad UAAR tramite i proprio siti la biografia del formatore con i dati di contatto, ad esempio per essere incluso nella lista pubblica sul sito sul sito cerimonieuniche.it

Gli strumenti per la formazione (videconferenza, cloud, altri tool) sono scelti a preferenza tra quelli open source hostati in Europa:( iorestoacasa.work pcloud.com european-alternatives.eu e quelli individuati da Uaar, e comunicati ai candidati volta per volta tenendone traccia nel registro delle attività o nel caso di formazione organizzata da terzi usando gli strumenti messi a disposizione da terzi.
Si noti che gli strumenti commerciali hanno qualità tecniche superiori senza simili prestazioni alle alternative open source, e saranno adottati a scelta di Uaar per non escludere candidati con limitate risorse hardware, di connettività e per semplicità d’uso ogni volta che lo stato dell’arte impedisca a tutti i partecipanti di fruire la formazione a distanza.

Rivista
Il trattamento dell’iscrizione con la rivista condivide la gestione dell’ecommerce e delle iscrizioni degli abbonamenti, alle quali si rinvia.
Sono trattamenti distinti ma per mantenere i dati aggiornati in entrambi sono gestiti operativamente insieme.
La rivista può non essere spedita a richiesta dell’interessato

Sbattezzati
Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.

1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa, testimonianze e statistiche di sbattezzo in Italia;
2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli,

Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi, ciascuno opzionale e indipendente dagli altri, per:

1. aiutare a presentare la domanda, ricevere le comunicazioni e avvisare l’interessato delle risposte;
2. pubblicare sulla mappa su sbattezzati.it documenti anonimi o pubblici di sbattezzo; note e commenti anonimi o firmati; avvisando l’interessato che una volta che viene chiesta la pubblicazione dell’informazione sarà possibile rimuoverla ma non sarà possibile seguire la domanda presso i terzi che su internet non rimuovano tale informazioni, come noto.
3. pubblicare testimonianze anonime su sbattezzati.it

Uaar non riceve deleghe per inviare le richieste in nome e per conto degli interessati.

Premi e concorsi
UAAR organizza eventi di promozione culturale. I candidati si registrano e vengono giudicate le loro opere

Nota: espandi le singole voci o stampa l’intero documento.

 

Associazione

 

  Informativa prima parte
Note brevi I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.
Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.
Sono descritti nelle pagine successive.

Per ogni informazione sulla privacy contattare il referente indicato su www.uaar.it/contatti

Alla stessa pagina è disponibile l’elenco degli incaricati di singoli trattamenti che si intendono qui trascritti per non tenere due elenchi non sincronizzati.

Ad essi si aggiungano:

- Dipendenti: con funzione di segreteria
- Reparto it: webmaster e sistemista
- Coordinamento e organizzazione interna: referente privacy
- Contabile : l’addetto alla contabilità
- Paghe: l’addetto alle paghe


 
Finalità del trattamento:  
Consenso: V. per ogni trattamento-
Durata o criteri e perchè:  
Contratto: V. per ogni trattamento
Durata o criteri e perchè:  
Legittimo interesse: V. per ogni trattamento
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: V. per ogni trattamento
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti):  
  Informativa seconda parte
Subresponsabili (categoria o indicati): V. per ogni trattamento
Dati portati extra UE e base giuridica, adeguatezza e garanzie: V. per ogni trattamento
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica V. per ogni trattamento
Destinatari (categoria o fornitori / consulenti): No
Link per cancellare: Area Contatti di UAAR.it
Minori No
Cookie banner -
Cookies: natura, base, durata -
Note I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.

Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.

Sono descritti nelle pagine successive.

I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile.

Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali.

In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’.

Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore.

Biblioteca-e-uffici

 

  Informativa prima parte
Note brevi Il servizio biblioteca viene gestito con semplicità, fornendo una tessera «bibliotecaria» indipendente dall’iscrizione.

Il prestito librario, annotato in un registro interno per tenere traccia della restituzione, e viene concesso a chi si presenta in sede.

Alla raccolta dei dati per l’identificazione non segue ulteriore trattamento, e alla restituzione (entro 7 gg per consentire un controllo delle condizioni di quanto restituito) i dati sono cancellati.

L’addetto che consegna il libro segue il trattamento.

La tessera bibliotecaria non scade, ma può essere restituita.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Prestito librario
Durata o criteri e perchè: Per la durata dello stesso, fino a 7 giorni dalla restituzione; la tessera resta fino a richiesta di cancellazione
Legittimo interesse: In caso di non rispetto delle condizioni contrattuali del prestito i dati potranno essere separati e trattati per finalità giudiziarie
Durata o criteri e perchè: I dati possono essere tenuti fino a completamente dall’azione giudiziaria
Dati raccolti  
Dati obbligatori e conseguenze: Identificazione del richiedente il prestito e dati di contatto (email, telefono)
Dati facoltativi e conseguenze: Altre informazioni fornite dell’interessato
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta presso la sede nazionale; il circolo che offra prestiti sarà unico titolare.
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Gestiti in s ede
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Gestione manuale, foglio Excel
Destinatari (categoria o fornitori / consulenti): Non sono ceduti a terzi se non per attività giudiziaria
Link per cancellare: Sezione contatti del sito
Minori Non è destinato a minorenni
Cookie banner No
Cookies: natura, base, durata No
Note Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso.

Circoli

 

  Informativa prima parte
Note brevi Le indicazioni relative ai circoli sono contenute alla voce iscrizioni.

Qui vengono tratti invece gli aspetti di rendicontazione contabile e dei progetti dei Circoli.

Si chiarisce subito che titolare è Uaar nazionale, e i circoli agiscono come nominati e incaricati.

Chi diventa coordinatore di un circolo si intende nominato anche a trattare i dati secondo le mansioni e istruzioni qui indicate, per tutta la durata del rapporto e oltre secondo gli obblighi di legge.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Il servizio permette di gestire i dati dei progetti (obiettivi e spese) dei circoli e nazionali, ognuno per il proprio
Durata o criteri e perchè: Per tutta la durata dell’associazione, anche oltre l’eventuale cessazione di un circolo, e per tutta la durata dei progetti, fino a cancellazione esauriti i progetti
Legittimo interesse: In previsione o in caso di attività giudiziaria documentata i dati, tenuti separati, potranno essere usati in attività giudiziarie o stragiudiziali
Durata o criteri e perchè: Per tutta la durata della procedura
Dati raccolti  
Dati obbligatori e conseguenze: Le credenziali con username, email e password; i dati dei progetti e contabili, con approvazioni e commenti e previsioni di spesa
Dati facoltativi e conseguenze: I documenti dei progetti con coorganizzatori e partner e della contabilità per ogni singolo circolo Elenco su https://github.com/loristissino/Yelloworkflow/blob/master/documentation/…
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta dei coordinatori dei Circoli territoriali
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: In Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Dati caricati a mano; la gestione credenziali e recupero password automatica
Destinatari (categoria o fornitori / consulenti): Restano interni; ogni circolo può accedere ai propri dati, anche tramite la collaborazione dei volontari istruiti
Link per cancellare: A richiesta presso i recapiti di Uaar; le richieste arrivate ai circoli vanno girate al nazionale
Minori Non è rivolto a minori
Cookie banner Non necessari Il tracciamento dopo il login avviene tramite sessioni interne.
Cookies: natura, base, durata Tecnici per gestire gli accessi, per la durata degli stessi.
Note Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente.

Software autoprodotto per non subire tracciamenti da fornitori terzi.

Il Manuale d’uso è online

Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo
La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree:
project-submissions/*/*
planned-expenses/*/*
project-comments/*/*
transaction-submissions/*/*
statements/*/*
periodical-report-submissions/*/*
periodical-report-comments/*/*

Software è open source depositato su GitHub ed opportunamente anonimizzato.

In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto.


I TESTI presenti:

Recupero Password:
-Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.-
-Le indicazioni relative ai circoli sono contenute alla voce iscrizioni

Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo.
L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo).
Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. -

Iscrizioni

 

  Informativa prima parte
Note brevi L’iscrizione all’associazione è gestita a livello nazionale; territorialmente i circoli tramite il coordinatore inviano alla sede centrale gli elenchi dei soci nuovi, cessati e ogni modificazione.

L’iscrizione a Uaar include l’abbonamento alla rivista.

L’iscrizione richiede la registrazione dei dati anagrafici e del pagamento; per la ricezione della rivista cartacea sono richiesti separatamente i dati di spedizione.

Le iscrizioni sono nazionali, i circoli territoriali raccolgono le quote e comunicano alla sede centrale i nominativi e possono consultare quelli soli di competenza tramite software sviluppato internamente.

I circoli organizzano la vita e gli eventi associativi su iniziativa del coordinatore contattando gli associati territorialmente compententi, anche con l’aiuto di volontari appositamente istruiti caso per caso, sapendo di dover chiede al coordinatore per ogni dubbio.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: I dati identificativi dell’individuo e il versamento dell’iscrizione; i dati di comunicazione e/o invio della rivista o altri materiali o di non invio di nulla
Durata o criteri e perchè: Per tutta la durata dell’iscrizione, fino a tre anni dopo la cessazione
Legittimo interesse: Per finalità fiscali e contabili
Durata o criteri e perchè: Per tutta la durata delle stesse (10 anni)
Dati raccolti  
Dati obbligatori e conseguenze: Recapiti e indirizzi di spedizione, salvo non si desiderino spedizioni, e dati di pagamento
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta; i dati raccolti dai circoli e gestiti a livello nazionale, salvo per singoli eventi locali; i dati comunicati allo spedizioniere delle riviste
  Informativa seconda parte
Subresponsabili (categoria o indicati): Spedizioniere italiano
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Restano in Italia
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Gli iscritti ricevono la rivista cartacea, previa informativa, salvo diversa indicazione
Destinatari (categoria o fornitori / consulenti): Lo spedizioniere si avvale di personale e proprie strutture; i dati raccolti tramite internet o direttamente (sede o telefonicamente)
Link per cancellare: Tramite area contatti sul sito
Minori Non è destinato a minorenni
Cookie banner Sono solo tecnici, basta l’informativa.
Cookies: natura, base, durata Cookie tecnici per la raccolta dell’ordine e del carrello (v. ecommerce): di sessione o 14 giorni per il carrello.
Note NOTE

I dati sono gestiti online per consentire il coordinamento con i circoli.
L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno:
- tenere traccia di password complesse
- tenere traccia degli accessi
- imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo)
- istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale


L’email inviata il 7.10.2022:

OGGETTO: Conferma dell’iscrizione 2023 all’UAAR

Caro socio
ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023.
Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».

L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale.

L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato.

Alcuni link utili:

- Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina
- Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina
- Per prendere parte a community e canali UAAR sui social network visita questa pagina
- Per leggere e commentare il blog A ragion veduta visita questa pagina
- Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it
- Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti”
- Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì)
- Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina

Un cordiale saluto
Il Comitato di Coordinamento dell’UAAR

Lavoro-e-Contabile

 

  Informativa prima parte
Note brevi L’associazione tratta i comuni dati di gestione del personale e della contabilità avvalendosi di professionisti del settore.
Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Alla nomina, incarico e cambio di mansioni si aggiorna il registro
Le email, la cloud e gli altri servizi sono tutti servizi dell’ente dati in gestione con DIVIETO di uso personale e con strumenti personali e comunque diversamente da quanto previsto. E’ vietato usare altri strumenti, di archiviazione e documentazione e altro, diversi da quelli affidati in custodia, senza preventiva autorizzazione scritta.
Gli addetti sono informati che i log necessari per proteggere il patrimonio informatico associativo non sono usati per cercare illeciti, ma qualora vi siano delle verifiche opportune, e comunque a campione non periodicamente, potranno essere consultati per verificare usi diversi da quelli autorizzati espressamente.
Il lavoratore può e deve chiedere spiegazioni su ogni dubbio relativo ai trattamenti.
L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy. xxx
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Tutti i dati per gli adempimenti del contratto di lavoro
Durata o criteri e perchè: Per la durata del rapporto e successivamente in caso di contestazioni giudiziarie
Legittimo interesse: Tutti i dati per gli adempimenti ex lege correlati
Durata o criteri e perchè: Per la durata degli obblighi di legge e successivamente in caso di contestazioni giudiziarie
Dati raccolti  
Dati obbligatori e conseguenze: I dati sono numerosi, si sintetizza: orari di lavoro, identificazione, credenziali, corrispondenza, log di uso degli strumenti informatici,
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati): Nota: in assenza del dipendente e per continuare l’operatività i servizi email e cloud e simili potranno essere letti dal collego più anziano; se necessario si adottano autorisponditori per inviare le comunicazioni ad altra email. Si raccomanda di usare nomi di email per individuare l’incarico, non per persona.
Dati portati extra UE e base giuridica, adeguatezza e garanzie: No, sono adeguati tutti quelli utilizzati per la sicurezza del patrimonio informatico associativo
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Oggi come oggi sono praticamente tutti automatizzati, le procedure non dettagliate dai fornitori saranno spiegate volte per volta e annotate nel registro
Destinatari (categoria o fornitori / consulenti): I consulenti per gli adempimenti di legge
Link per cancellare: Ai recapiti dell’associazione
Minori I trattamenti non sono rivolti a minori
Cookie banner No
Cookies: natura, base, durata No
Note Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati.

Videosorveglianza

 

  Informativa prima parte
Note brevi Sensori di movimento ad infrarossi per antifurto. NON si tratta di videocamera, è in grado di acquisire foto solo dopo che il sensore rileva movimenti negli orari indicati.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Verisure riceve 5 immagini in caso di movimento rilevato dal sensore
Durata o criteri e perchè: Come indicato dalla privacy di Verisure, da 7 a 28 giorni non essendo video
Legittimo interesse: Uaar tratta le immagini per tutela del patrimonio aziendale
Durata o criteri e perchè: Per la durata sopra indicata; il servizio è autogestito dai dipendenti con esplicito permesso di gestirlo in autonomia ma non oltre i limiti indicati.
Dati raccolti  
Dati obbligatori e conseguenze: 5 immagini solo nel caso il sensore di movimento rilevi movimento
Dati facoltativi e conseguenze: Possono essere richieste manualmente dopo avvisi
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Diretta, tramite i servizi di verisure; essendo sensori di movimento la raccolta viene attivata dopo che tutti lasciano i locali.
  Informativa seconda parte
Subresponsabili (categoria o indicati): Per le immagini, i dati di accensione e di attivazione Disattivazione, Verisure
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Si, tramite sensori di movimento
Destinatari (categoria o fornitori / consulenti): Per uso interno di protezione patrimonio aziendale
Link per cancellare: Tramite app o i servizi di Verisure
Minori No
Cookie banner No
Cookies: natura, base, durata No
Note Come installare i sensori di movimento Verisure

Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo.

Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze.
Caratteristiche principali dei sensori di movimento Verisure

Sensore PIR infrarossi
Fotocamera a colori flash incorporato per visione notturna
Modalità di attivazione (diurna, notturna, parziale)
Alimentazione batteria tipo AA
Autonomia batteria 36 mesi

Sensori di Movimento: la mia Privacy è garantita?

I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc.

In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine

 

Online

 

  Informativa prima parte
Note brevi I trattamenti che seguono riguardano le attività tipicamente online.
Sono descritti nelle pagine successive.
I domini:

uaar.it
blog.uaar.it
go.uaar.it - Tool per redirect non traccianti
soci.uaar.it - Tesserateo - libro soci
disc.uaar.it - Forum privato
ywf.uaar.it - Rendicontazione circoli
nessundogma.it - Store
rivista.nessundogma.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti
raccolta firme (coming soon)


Email in uso:

elencate e aggiornate su: https://www.uaar.it/contatti/

Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web. Uno sforzo e una sensibilità notevole per una associazione che si preferisce gestirli pur essendo un costo in più
 
Finalità del trattamento:  
Consenso: V. singoli trattamenti
Durata o criteri e perchè:  
Contratto: V. singoli trattamenti
Durata o criteri e perchè:  
Legittimo interesse: V. singoli trattamenti
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: Di norma, dati inviati direttamente e spontaneamente dagli interessati
Dati facoltativi e conseguenze: V. singoli trattamenti
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Diretta ( i pagamenti da banche e carte di credito)
  Informativa seconda parte
Subresponsabili (categoria o indicati): Registro privacy in sede, a cura dell’addetto privacy
Dati portati extra UE e base giuridica, adeguatezza e garanzie: No, particolare attenzione all’uso di software e fornitori compliant
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Non di profilazione
Destinatari (categoria o fornitori / consulenti): Dati non diffusi se non in pubblico a richiesta, v. singoli trattamenti
Link per cancellare: Ogni richiesta tramite la pagina contatti di Uaar.it
Minori No
Cookie banner No
Cookies: natura, base, durata Di norma si usano cookie tecnici e link a youtube o mappe, salvo usare le alternative open source; nei casi eccezionali una richiesta di consenso preventivo tramite appositi software evita il tracciamento prima dell’accettazione.
Note I trattamenti che seguono riguardano le attività tipicamente online.
Sono descritti nelle pagine successive.

Le email sono elencate aggiornate su uaar.it

Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi:

Comunità:

disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci
soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci
gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google)
ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale


Siti:

blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog
shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce
uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale
www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale


Servizi tecnici interni:

images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente
lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist
mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio
go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect
localhost.uaar.it A 127.0.0.1 localhost


Per blog di alcuni circoli

bologna.uaar.it A 178.77.78.92 (su server 1 uaar)
palermo.uaar.it A 46.166.165.110 (su server di terzi)
pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi)
ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi)


In dismissione:

mumble.uaar.it A 178.77.103.155
old.uaar.it A 178.77.78.92
circoli.uaar.it per la gestione dei circoli
forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione
bigbang.uaar.it A 176.28.19.20
bigbang2.uaar.it A 178.77.78.92
eva.uaar.it A 92.51.161.237 (su server 2 uaar )
webmail.uaar.it A 178.77.78.92 (su server 1 uaar)
 

Analitiche

 

  Informativa prima parte
Note brevi Per analitiche si intendono le attività di misurazione della consultazione di pagine e aree del sito internet.
Uaar utilizza software interno per la misurazione delle statistiche, anonimizzando l’ip in tutto se il software lo consente, per minimizzare il tracciamento dei visitatori.
Le analitiche così anonimizzate sono tenute per tutta la durata del servizio, anche in forma aggregata.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto:  
Durata o criteri e perchè:  
Legittimo interesse: Le statistiche delle pagine più consultate e non dei visitatori sono raccolte per uso interno e per prevenzione attacchi
Durata o criteri e perchè: Sono tenute anonimizzate, senza ip, per la durata del servizio
Dati raccolti  
Dati obbligatori e conseguenze: Ip anonimizzati o gestiti tramite hash; nome della pagina consultata, data e ora, dati del client
Dati facoltativi e conseguenze: Possono essere oscurati con la navigazione anonima, eccetto l’ip
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta con software interno.
  Informativa seconda parte
Subresponsabili (categoria o indicati): Le analitiche sono tenute presso i fornitori di hosting
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Fornitori europei noti per l’affidabili oltre che per la dichiarazione di conformità al GDPR
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Trattamento automatizzato di ogni connessione in ordine cronologico
Destinatari (categoria o fornitori / consulenti): Non sono ceduti a terzi, sono raccolti presso i rispettivi fornitori di hosting
Link per cancellare: Modulo contatti
Minori Non è destinato a minorenni
Cookie banner No (se usa solo cookie tencnici)
Cookies: natura, base, durata No
Note Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar

Blog

 

  Informativa prima parte
Note brevi Il sito blog.uaar.it, gestito da UAAR.it, fornisce:

- notizie (blog) dette «A ragion veduta - Il mondo osservato dall’Uaar»
- commenti ai post
- condivisione sui social tramite plugin
- feed rss
- link ai social (Twitter Facebook Instagram Youtube)
- cookies funzionali al backend WordPress
- analitiche
- log server
- commenti

sui temi dell’associazione

- Il sito è aperto in lettura a tutti

- Titolare: **UAAR**
- Responsabile del Trattamento: il **segretario** pro tempore
- Contatti: **sede** di UAAR - assistenza anche telefonica, richieste formali ex privacy tramite PEC


### 1 cookies e log

- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso

### 2 analitiche

- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: negoziale
- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.
- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.

### 3 commenti

- Trattamento: **community** consentire ai lettori di ritrovarsi
- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati
- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.
- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).


## Rinvio a UAAR

- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Le pagine del blog offrono gratuitamente la consultazione di novità tipo WordPress
Durata o criteri e perchè: Per tutta la durata del servizio
Legittimo interesse: Log di accesso - v. trattamento correlato alla voce hosting
Durata o criteri e perchè: Per la durata di legge
Dati raccolti  
Dati obbligatori e conseguenze: Dati di consultazione delle pagine dei siti; log di apache o simili, backend
Dati facoltativi e conseguenze: Quelli per commentare (commenti aperti per pochi giorni dalla pubblicazione del post)
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta, tipici di motore WordPress
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Presso l’hosting, in Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Le statistiche, i commenti sono moderati automaticamente (chiusura dopo 7 giorni)
Destinatari (categoria o fornitori / consulenti): Non sono comunicati a terzi se non a richiesta delle autorità
Link per cancellare: Tramite pagina contatti
Minori Il sito non è rivolto a minori
Cookie banner Sono in uso solo cookie tecnici non profilanti, non c’è bisogno di banner.
Cookies: natura, base, durata - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso
Note ### 1 cookies e log

- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso

### 2 analitiche

- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: negoziale
- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.
- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.

### 3 commenti

- Trattamento: **community** consentire ai lettori di ritrovarsi
- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati
- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.
- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).


## Rinvio a UAAR

- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it

Campagne-informative

 

  Informativa prima parte
Note brevi Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Vi sono ovviamente link al sito Uaar dove eventualmente possono essere chiesti ulteriori servizi.
Tra questi:
uaar.it
blog.uaar.it
sbattezzati.it - Campagna
sbattezzo.it - Redirect a sbattezzati.it
occhiopermille.it - Campagna
icostidellachiesa.it - Campagna
cerimonieuniche.it - Elenco celebranti e campagna informativa
 
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto:  
Durata o criteri e perchè:  
Legittimo interesse: Analitiche (v. area analitiche)
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: Numero di pagine consultate
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti):  
  Informativa seconda parte
Subresponsabili (categoria o indicati): No
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica No
Destinatari (categoria o fornitori / consulenti): Visitatori, chiunque
Link per cancellare: Tramite la pagina contatti di Uaar.it
Minori Il sito non è rivolto a minori
Cookie banner Non necessario, solo tecnici.
Cookies: natura, base, durata Solo in un caso cookies tecnici per supporto della lingua inglese; negli altri casi sono stati rimossi script di terze parti o traccianti, sostituendoli ove serve da copie locali o da servizi alternativi preferibilmente open source.
Si veda (anche per la durata) ogni singolo sito.
Note Siti informativi. Ove interattivi sono descritti nelle relative sezioni

Contatti

 

  Informativa prima parte
Note brevi Vi rientra tutta l’attività di assistenza pre, post e contrattuale all’iscrizione e fruizione dei servizi offerti, ivi inclusi quelli informativi richiesti dagli interessati.
Avviente tipicamente via email; i dati sono condivisi via cloud così come stabilito dall’addetto.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Uaar risponde agli interessati ai recapiti indicati online per le finalità specificate sul sito
Durata o criteri e perchè: Per la durata dell’assistenza. Per email, salvo seguano incarichi, le comunicazioni abbandonate sono rimosse entro tre mesi
Legittimo interesse: Ove richiesto da autorità giudiziarie o per esigenze di autodifesa giudiziale, potranno essere trattate le comunicazioni ricevute
Durata o criteri e perchè: Per la durata dell’attività giudiziaria
Dati raccolti  
Dati obbligatori e conseguenze: I dati sono necessari nel caso di richieste di servizi specifici: denominazione, residenza, documentazione correlata alla richiesta
Dati facoltativi e conseguenze: I dati sono forniti dagli interessati, Uaar cura quali tenere per le richieste concordate
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Dati raccolti direttamente su iniziativa degli interessati
  Informativa seconda parte
Subresponsabili (categoria o indicati): I dati sono trattati dagli operatori incaricati; avvalendosi di backup, cloud, email, telefono, banca a seconda del caso
Dati portati extra UE e base giuridica, adeguatezza e garanzie: I dati restano trattati in Europa da banche, operatori telematici e fornitori che garantiscono la conformità al GDPR
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Le operazioni sono prevalentemente trattate a mano, secondo protocolli concordati e indicati anche sui siti
Destinatari (categoria o fornitori / consulenti): Le comunicazioni sono riservate, salvo non vengano richiesti servizi di pubblicazione nell’esercizio di promozione di valori condivisi dallo Stato italiano
Link per cancellare: Pagina dei contatti
Minori Non è destinato a minorenni
Cookie banner No
Cookies: natura, base, durata No
Note Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie)

Cookie-e-traccianti

 

  Informativa prima parte
Note brevi Nello sviluppo della presenza online è stato incaricato un consulente per rimuovere ogni residuo tracciante, non solo cookies.
Attualmente i siti utilizzano font e contenuti da cdn solo in locale. Restano cookies tecnici per l’uso dei gestionali.
Detto questo i siti non sono usati per profilare e per vendere il traffico di profilazione.
Maggiori dettagli per ogni singolo trattamento.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: I cookies tecnici sono usati per registrare il consenso o per eseguire le prestazioni richieste.
Durata o criteri e perchè: Normalmente di sessione; quello di ecommerce ha breve durata ma adeguata a gestire il carrello
Legittimo interesse: Tenuti anche per adempimenti fiscali e contabili
Durata o criteri e perchè: Tenuti per la durata degli stessi
Dati raccolti  
Dati obbligatori e conseguenze: Cookies random per l’accesso o gestione del carrello: id e recapiti e gestione ordini ecommerce
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati): Cookies solo di prima parte e tecnici
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Fornitori e gestione tutta in EU
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Sono automatizzati per consentire la gestione e ricordare il carrello
Destinatari (categoria o fornitori / consulenti): Riservati agli addetti interni per la gestione dei servizi richiesti
Link per cancellare: Tramite l’area Contatti del sito
Minori Non è destinato a minorenni
Cookie banner Ricorda: il cookie banner è obbligatorio solo in presenza di profilanti, ma comunque devono essere bloccati prima del consenso. Quindi se si può chiedere il consenso solo dove serve, è meglio.
Cookies: natura, base, durata Le indicazioni relative ai cookies vanno estese anche a tutti gli strumenti traccianti o dati salvati in sqlite nei browsers.
Note I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea.
Il carrello contiene anche i prodotti.
In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti

Discussioni-e-commenti

 

  Informativa prima parte
Note brevi AREA DISCOURSE

La comunità online è gestita tramite l’open source discourse, gestore moderno di forum online.
Ci sono meccanismi di gratificazione (Bravo, hai letto le faq), mi piace, e aree tematiche. Il traffico è mediamente basso.

Credenziali: gestite parzialmente con rinvio su www.uaar.it dopo il recupero password reimpostandone una nuova con controllo di complessità, per il resto tutto su disc.uaar.it; non è possibile cancellarsi da soli, bisogna chiederlo al moderatore.

Ogni utente può avere livelli diversi di accesso: admin, socio, comitato di coordinamento, staff amichevole per l’assistenza e altri funzionali all’attività associativa.

Contiene ampiamente faq, condizioni d’uso, aiuti per usarlo al meglio.

Traccia gli accessi e il browser usato per verificare gli accessi a posteriori.

Al momento sono disattivate tutte le notifiche via email, sono disponibili solo quelle tramite browser.

Dall’interno è possibile rinnovare la tessera associativa.

E’ possibile accedere anche dopo la scadenza della quota associativa.


COMMENTI SUL BLOG

I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. Come ogni commento a post su blog si può scrivere con uno pseudonimo, usato da tanti.

I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare. La moderazione sui contenuti aiuta a mantenere il rispetto della netiquette.
 
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Area dove comunicare con gli associati, anche informandoli delle attività territoriali oltre che nazionali. I commenti ai post sul blog sono il classico servizio accessorio
Durata o criteri e perchè: Per la durata del servizio. I commenti sono chiusi automaticamente dopo 7 giorni
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: Credenziali di accesso, permessi variabili
Dati facoltativi e conseguenze: I dati lasciati durante le discussioni, pseudonimi, dati di accesso per controlli di sicurezza
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta sul sito dell’associazione
  Informativa seconda parte
Subresponsabili (categoria o indicati): Hosting
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Restano in Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Notifiche di novità tramite browser e/o email
Destinatari (categoria o fornitori / consulenti): Restano interni
Link per cancellare: Tramite la sezione è possibile accedere e cancellarsi
Minori Non è destinato a minorenni
Cookie banner Non c’è profilazione
Cookies: natura, base, durata Si, tecnici: uno di sessione; un altro durata settimanale per il login rapido
Note Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali.
In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile.

Hosting

 

  Informativa prima parte
Note brevi La comune fornitura di servizi di pubblicazione statica e dinamica di contenuti online
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Il servizio è un contratto a pagamento
Durata o criteri e perchè: I dati sono conservati per la durata del contratto, tipicamente annuale salvo diversi accordi
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: L’hosting riceve per la pubblicazione i contenuti indicati dal titolare salvo diverso accorgimento tecnico
Dati facoltativi e conseguenze: E’ il titolare che decide quali e provvede a inviarli; l’hosting li ospita solamente senza valutazioni
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): I contenuti raccolti durante l’attività del sito sono oggetto di trattamenti indicati separatamente per chiarezza
  Informativa seconda parte
Subresponsabili (categoria o indicati): La gestione dei siti viene effettuata da Uaar
Dati portati extra UE e base giuridica, adeguatezza e garanzie: I restano in Europa presso l’hosting
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica La pubblicazione è automatica
Destinatari (categoria o fornitori / consulenti): I contenuti sono pubblici salvo diversa organizzazione tecnica, trattamento per trattamento indicato separatamente
Link per cancellare: A richiesta tramite qualsiasi contatto con la sede
Minori Non è destinato a minorenni
Cookie banner -
Cookies: natura, base, durata -
Note L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting.

Navigazione

 

  Informativa prima parte
Note brevi Dati di navigazione raccolti ex Bassanini per finalità antiterrorismo o per autotela giudiziaria su contestazione specifica per le attività svolte tramite i siti.
Sono i log di apache, in altri casi le statistiche di sistema.
Dati di navigazione possono essere raccolti anche dal trattamento Analitiche.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto:  
Durata o criteri e perchè:  
Legittimo interesse: Traffico per finalità antiterrorismo
Durata o criteri e perchè: Per la durata di sei mesi, secondo giurisprudenza e interpretazioni correnti
Dati raccolti  
Dati obbligatori e conseguenze: Ip,data,pagina,browser e s.o.
Dati facoltativi e conseguenze: Tramite navigazione anonimizzate alcuni dati possono non essere conferiti
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta, raccolta dal fornitore di hosting ex lege
  Informativa seconda parte
Subresponsabili (categoria o indicati): Fornitore di hosting di ogni sito
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Il fornitore adempie ex lege in forza di accordo di fornitura; viene scelto tra fornitori europei compliant
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Raccolti automaticamente
Destinatari (categoria o fornitori / consulenti): A richiesta le autorità investigative; oppure in proprio per difesa in giudizio in casi di fondato dubbio documentato
Link per cancellare: Non consentito ex lege
Minori Non è destinato a minorenni
Cookie banner  
Cookies: natura, base, durata No
Note Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni.

Newsletter

 

  Informativa prima parte
Note brevi Ai soci Uaar invia newsletter tramite phplist, un software affidabile e ben noto nel settore.
La newsletter non profila ed è una prestazione richiesta dall’iscritto alla newsletter che vuole restare aggiornato per la durata del servizio.
In essa confluiscono anche gli iscritti all’associazione, ma sono servizi indipendenti e non sincronizzati (alla scadenza dell’iscrizione all’associazione si può ricevere ancora la newsletter aperta a tutti per ricevere le novità del sito).
La cancellazione può essere richiesta in automatico in ogni momento tramite indicazioni online.
L’iscrizione è offerta ai soci.
I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Gli elenchi dei soci territoriali possono essere usati solo per le finalità associative, ma devono essere tenuti aggiornati su iniziativa dei coordinatori insieme a quelli locali informando il nazionale per l’annotazione nel registro.
A tal fine Uaar agisce come responsabile fornitore della piattaforma su soci.uaar.it che offre l’elenco degli iscritti (con flag di coloro che hanno chiesto di non inviarla) e consente ai circoli di inviare la newsletter anche ad altri interessati.
 
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Per restare aggiornato delle attività del sito. Non vi è pubblicità nè profilazione
Durata o criteri e perchè: Per la durata del servizio del sito
Legittimo interesse: Viene tenuta traccia di ogni iscrizione e cancellazione per tutela in caso di contestazione
Durata o criteri e perchè: Per tutta la durata dell’esercizio dei diritti, 10 anni.
Dati raccolti  
Dati obbligatori e conseguenze: Email, eventuali metadati collegati
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta, online o in sede
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Restano in Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Xxx Iscrizione e cancellazione avvengono in autonomia
Destinatari (categoria o fornitori / consulenti): I dati restano internamente
Link per cancellare: Tramite istruzioni fornite in ogni email xxx
Minori Non è destinato a minorenni
Cookie banner No
Cookies: natura, base, durata No
Note La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni.

Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo

Redirection

 

  Informativa prima parte
Note brevi Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Non è un servizio aperto al pubblico, i link però sono utilizzabili da chiunque.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Servizio gratuito offerto a tutela di chiunque
Durata o criteri e perchè: Per tutta la durata del servizio
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: Nessun per gli utenti finali. Per chi ha accesso al gestionale le credenziali e viene registrato solo l’IP del server collegato al domini al momento della creazione del redirect, per evitare abusi con il trasferimento dei domini.
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Il gestionale dei redirect è riservato ai dipendenti
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Tutto in Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Un semplice contatore incrementale di accessi al link senza controllo di doppioni
Destinatari (categoria o fornitori / consulenti): Nessuno
Link per cancellare: Ai contatti indicati sul sito
Minori Il servizio non è aperto ai minori
Cookie banner Non traccia
Cookies: natura, base, durata Non traccia:
Note - utilizzato software non tracciante a tutela degli interessati
- alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi
- utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect.

Servizi

 

  Informativa prima parte
Note brevi I servizi offerti da Uaar sono:
- iscrizione all’associazione (a pagamento)
- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)
- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque
- partecipazione ad eventi (gratis o pagamento)
- accesso a biblioteca (solo soci)
- invio rivista cartacea per associati (gratis) e interessati (a pagamento)
- invio newsletter digitale (gratis)
- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non
- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password
Per ognuno di questi si veda la sezione relativa.
Finalità del trattamento:  
Consenso: V. singoli trattamenti
Durata o criteri e perchè:  
Contratto: V. singoli trattamenti
Durata o criteri e perchè:  
Legittimo interesse: V. singoli trattamentiù
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: V. singoli trattamenti
Dati facoltativi e conseguenze:  
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati): V. singoli trattamenti
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica V. singoli trattamenti
Destinatari (categoria o fornitori / consulenti): Restano interni, salvo quelli che l’interessato chiede vengano pubblicati sul web
Link per cancellare: Tramite pagina contatti di Uaar.it
Minori No
Cookie banner No
Cookies: natura, base, durata V. singoli trattamenti; in linea di massima tecnici per gli accessi e gestione del backend
Note I servizi offerti da Uaar sono:
- iscrizione all’associazione (a pagamento)
- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)
- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque
- partecipazione ad eventi (gratis o pagamento)
- accesso a biblioteca (solo soci)
- invio rivista cartacea per associati (gratis) e interessati (a pagamento)
- invio newsletter digitale (gratis)
- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non
- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password
Per ognuno di questi si veda la sezione relativa.
xxx

Cerimonie

 

  Informativa prima parte
Note brevi L’area cerimonie fornisce informazioni sui celebranti formati da UAAR che possano curare in autonomia cerimonie laiche.
Il sito cerimonieuniche.it fornisce informazioni, la mappa territoriale e l’elenco dei celebranti disponibili.
Menù esemplificativo: CHI SIAMO, CERIMONIE, TESTI, TROVA UN CELEBRANTE, DICONO DI NOI, BLOG, CONTATTI, Italiano
Supporta l’inglese tramite un cookie.
Il blog non offre newsletter nè commenti.
 
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: La pubblicazione di biografie di celebranti a loro richiesta
Durata o criteri e perchè: Per la durata del servizio
Legittimo interesse: Quelli correlati all’hosting di un sito (v. sezione hosting e analitiche)
Durata o criteri e perchè: Per la durata indicata nelle relative sezioni
Dati raccolti  
Dati obbligatori e conseguenze: I dati dei celebranti: nome, recapito, biografia, presentazione
Dati facoltativi e conseguenze: Quelli altri che vogliano comunicare
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta su iniziative dei soggetti elencati
  Informativa seconda parte
Subresponsabili (categoria o indicati): -
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Nessuno
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica La pubblicazione dei curricula dei celebranti è manuale e su loro iniziativa, previa formazione.
Destinatari (categoria o fornitori / consulenti): Dati tutti visibili in pubblico dai visitatori del sito
Link per cancellare: Tramite pagina contatti di Uaar
Minori Il servizio non è destinato a minori
Cookie banner Banner non necessario se nell’unica pagina con la mappa gli script relativi sono caricati solo dopo un consenso esplicito
Cookies: natura, base, durata Sono usati:

- cookies tecnici per supporto lingua
- cookies tecnici per gestione WordPress
- cookies tecnici per la mappa di Google
- eventuale profilazione di Google tramite mappa
- tracciamento tecnico di cloudlflare per servizio negoziale di sicurezza

 
Note I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati,
Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori.

Ecommerce

 

  Informativa prima parte
Note brevi Il sito nessundogma.it insiema a rivista.nessundogma.it e uaar.it, gestiti da UAAR.it, forniscono:

- informazioni (blog) e
- un catalogo di libri acquistabili su parti terzi (Amazon, Itunes, Ibs, Mondadori, LaFeltrinelli quali marketplace online) e su https://www.uaar.it/shop/
- la rivista associativa https://rivista.nessundogma.it/ (archivi) https://www.uaar.it/shop/ catalogo/rivista-nessun-dogma/ (abbonamento)

Si applica quindi in linea generale la privacy policy di UAAR, con quanto qui prevale [vedi nota su altro documento]] ed è indicato per condividere con gli interessati le opportunità e i rischi del trattamento di questi dati.

Per quanto la vendita di opere non sia indice di idee filosofiche, indirettamente e insieme ad eventuali altre informazioni l’utente può essere profilato.

L’ecommerce è di vari tipi:

- l’iscrizione all’associazione
- la vendita di libri diretta
- la vendita di libri tramite terzi (in autonomia)
- l’abbonamento alla rivista senza essere soci
- l’abbonamento alla rivista è incluso per i soci iscritti
- corsi formativi gratuiti riservati ai soci
- servizi gratuiti
Questa sezione serve ad elencarli, sono descritti singolarmente.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Il trattamento pre, post e contrattuale delle vendite online e delle iscrizioni
Durata o criteri e perchè: Per la durata del contratto; gli ordini incompleti sono rimossi entro 6 mesi; gli ordini completati non sono rimossi per consentire all’utente di verificare quanto acquistato in passato xxx
Legittimo interesse: La tenuta della scritture contabili presso il consulente e gli adempimenti fiscali; i dati possono essere tenuti ulteriormente separandoli in caso di attività stra e giudiziale
Durata o criteri e perchè: Per la durata degli obblighi fiscali e di regolare tenuta delle scritture contabili.
Dati raccolti  
Dati obbligatori e conseguenze: Identificativi, corrispondenza, spedizione, fiscali, dati di pagamento, data sottoscrizione e ordine
Dati facoltativi e conseguenze: Note di consegna; per chi lo richiede, è possibile l’invio della rivista in busta chiusa senza che compaia il mittente
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta, non ceduti a terzi
  Informativa seconda parte
Subresponsabili (categoria o indicati): Banche e intermediari di pagamento e spedizionieri, hosting e fornitori di servizi online
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Europa
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica L’iscrizione e la raccolta dell’ordine viene controllata manualmente xxx
Destinatari (categoria o fornitori / consulenti): Si utilizzano strumenti di pagamento bancari e spedizionieri
Link per cancellare: Riferimenti alla pagina Contatti del sito
Minori Il servizio non è rivolto a minori
Cookie banner I cookies sono solo tecnici, non c’è bisogno di banner.
Cookies: natura, base, durata Tecnici per l’accesso e gestione del carrello, per la durata di una settimana
Note E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative.
Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni»


GDPR e fornitori

i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti:

marketplace
banche / paypal
commercialisti e adempimenti fiscali
spedizionieri
Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)

Nel caso di vendite tramite terzi:

sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc).
Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)

Nel caso di vendite dirette

siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati.
tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti).
Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti.
Rivista per non soci e per soci
si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci.
naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista.

Formazione

 

  Informativa prima parte
Note brevi Uaar organizza momenti di formazione, ad esempio di celebranti di cerimonie *laico-umaniste*, ma anche in contesti di serious games o formazione in contesti scolastici.

I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. E’ vietato ogni altro uso di dati personali dei frequentanti.

Dopo la formazione a buon fine il partecipante può avvalersi di servizi accessori come ad esempio far diffondere ad UAAR tramite i proprio siti la biografia del formatore con i dati di contatto, ad esempio per essere incluso nella lista pubblica sul sito sul sito cerimonieuniche.it

Gli strumenti per la formazione (videconferenza, cloud, altri tool) sono scelti a preferenza tra quelli open source hostati in Europa:( iorestoacasa.work pcloud.com european-alternatives.eu e quelli individuati da Uaar, e comunicati ai candidati volta per volta tenendone traccia nel registro delle attività o nel caso di formazione organizzata da terzi usando gli strumenti messi a disposizione da terzi.
Si noti che gli strumenti commerciali hanno qualità tecniche superiori senza simili prestazioni alle alternative open source, e saranno adottati a scelta di Uaar per non escludere candidati con limitate risorse hardware, di connettività e per semplicità d’uso ogni volta che lo stato dell’arte impedisca a tutti i partecipanti di fruire la formazione a distanza.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: Formazione
Durata o criteri e perchè: Per la durata della formazione
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: I dati necess
Dati facoltativi e conseguenze: La biografia è iniziativa dell’iscritto che ha superato la formazione positivamente
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati):  
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Restano in Italia
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Dati trattati a mano. L’esito della formazione viene certificato quando a buon fine. I materiali trattenuti in caso di contestazione per autodifesa legale o giudiziaria
Destinatari (categoria o fornitori / consulenti): Coinvolti i formatori che vengono istruiti per non trattare personalmente i dati degli iscritti senza passare tramite Uaar
Link per cancellare: Può contattare l’associazione per aggiornare i dati ed esercitare ogni diritto
Minori Non è destinato a minorenni; nel caso di formazione scolastica si seguiranno le istruzioni della scuola
Cookie banner No
Cookies: natura, base, durata No
Note Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita.

Rivista

 

  Informativa prima parte
Note brevi Il trattamento dell’iscrizione con la rivista condivide la gestione dell’ecommerce e delle iscrizioni degli abbonamenti, alle quali si rinvia.
Sono trattamenti distinti ma per mantenere i dati aggiornati in entrambi sono gestiti operativamente insieme.
La rivista può non essere spedita a richiesta dell’interessato
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: La spedizione è inclusa per gli iscritti e gli abbonati, ma gli iscritti possono chiedere di non riceverla
Durata o criteri e perchè: Per la durata dell’abbonamento / iscrizione
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze: Recapiti
Dati facoltativi e conseguenze: Volontà di non spedire
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati): Spedizionieri
Dati portati extra UE e base giuridica, adeguatezza e garanzie: No, Italia
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Parte automatizzati, parte manuale. L’inserimento è manuale, le scadenze automatiche, le volontà di non spedire sono manuali.
Destinatari (categoria o fornitori / consulenti): Soci ma anche chiunque
Link per cancellare: Tramite la pagina contatti di UAAR
Minori Non sono servizi rivolti a minori
Cookie banner No
Cookies: natura, base, durata No
Note Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente.

Sbattezzati

 

  Informativa prima parte
Note brevi Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.

1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa, testimonianze e statistiche di sbattezzo in Italia;
2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli,

Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi, ciascuno opzionale e indipendente dagli altri, per:

1. aiutare a presentare la domanda, ricevere le comunicazioni e avvisare l’interessato delle risposte;
2. pubblicare sulla mappa su sbattezzati.it documenti anonimi o pubblici di sbattezzo; note e commenti anonimi o firmati; avvisando l’interessato che una volta che viene chiesta la pubblicazione dell’informazione sarà possibile rimuoverla ma non sarà possibile seguire la domanda presso i terzi che su internet non rimuovano tale informazioni, come noto.
3. pubblicare testimonianze anonime su sbattezzati.it

Uaar non riceve deleghe per inviare le richieste in nome e per conto degli interessati.
Finalità del trattamento:  
Consenso:  
Durata o criteri e perchè:  
Contratto: L’assistenza viene richiesta negli incontri promozionali organizzati dai circoli o a livello nazionale
Durata o criteri e perchè: Il trattamento durerà per la durata del servizio e ne verrà tenuta traccia nei registri interni dell’assocazione; un id consentirà la rimozione dei contenuti dalle risorse gestite dall’associazione.
Legittimo interesse:  
Durata o criteri e perchè:  
Dati raccolti  
Dati obbligatori e conseguenze:  
Dati facoltativi e conseguenze: I dati raccolti sono indicati in premessa: richiesta, data di battesimo e sbattesimo, eventuale promozione della identità anche digitale dell’interessato.
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Raccolta diretta, preferibilmente anonima, in sede o a distanza, anche tramite i volontari dei circoli che si coordinano immediatamente con il coordinatore del circolo e tutti secondo le policy nazionali indicate da Uaar
  Informativa seconda parte
Subresponsabili (categoria o indicati): Eventualmente email, poste, email, WhatsApp, in sede, su esclusiva scelta e iniziativa dell’interessato; inoltre tutti i servizi legati alla sezione hosting e cookies
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Dati trattati in Italia
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica Tutto manuale
Destinatari (categoria o fornitori / consulenti): Il documento, anonimizzato, su richiesta viene pubblicata sulla mappa online pubblica degli sbattezzi
Link per cancellare: Tramite la pagina contatti di Uaar;
Minori Il servizio non è rivolto a minorenni
Cookie banner Solo cookies tecnici: non necessario banner, ma necessaria informativa.
Cookies: natura, base, durata - tecnici di sessione: sessione e crsf per la gestione del sito
- sessione: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random
- _csrf: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random
Note Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.

1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia
2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli

Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi:

- Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social;
- Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica.

Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online.

Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi.

La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5)



 

Premi-e-concorsi

 

  Informativa prima parte
Note brevi UAAR organizza eventi di promozione culturale. I candidati si registrano e vengono giudicate le loro opere
Finalità del trattamento:  
Consenso: Per comunicare dati di contatto del candidato ai membri di UAAR in caso di richiesta di contatto per finalità di collaborazione
Durata o criteri e perchè: 10
Contratto: I dati i iscrizione (nome, contatto, cf per le omonimie)
Durata o criteri e perchè: Fino ad un mese dopo la premiazione
Legittimo interesse: No
Durata o criteri e perchè: No
Dati raccolti  
Dati obbligatori e conseguenze: Denominazione, recapito, identificazione univoca e altri specifici per l’evento
Dati facoltativi e conseguenze: Titoli delle opere e altri specifici dell’evento
Raccolta (diretta, monitoraggio, e se da terzi anche le categorie di dati personali acquisiti): Diretta
  Informativa seconda parte
Subresponsabili (categoria o indicati): Interno
Dati portati extra UE e base giuridica, adeguatezza e garanzie: Server di UAAR
Trattamenti automatizzati: come (manuale, autom„ profilaz.) e logica No
Destinatari (categoria o fornitori / consulenti): Giuria per la premiazione e, previo consenso, dopo a chi cerca gli autori premiati
Link per cancellare: Pagina contatti del sito
Minori No
Cookie banner Nessuno
Cookies: natura, base, durata Nessuno
Note Dati Personali:
Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità;
Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento;
il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione;
il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione;
I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.
Si applica la privacy policy pubblicata sul sito UAAR.

Misure di sicurezza generali e mansioni

Con il GDPR è necessario rispettare le vecchie misure minime di sicurezza ma anche tutte quelle più elevate richieste per evitare danni agli interessati.

Si ricorda inoltre di tenere traccia degli adempimenti (nel registro) per poter renderne conto.

Misure di sicurezza generali e mansioni

Le seguenti misure di sicurezza generali vanno integrate con quelle specifiche dei singoli trattamenti.

Sono quelle alle quali gli addetti si devono uniformare, insieme al seguente «allegato B», nel trattamento di dati personali.

 

 

Misure di sicurezza organizzative

  • Il referente per la privacy è il coordinatore da coinvolgere in dubbi applicativi pratici sul trattamento di dati, anche non personali.
  • Effettuare i backup e simulare i restore periodicamente
  • Elencare le risorse (hardware, software, umane, banche dati, fornitori e personali solo se consentite).
  • Tenere traccia delle attivà svolte, anche delle richieste ricevute e configurazioni cambiate.
  • Predisporre il registro delle attività.
  • Verificare che i permessi (proprio e di altri) di accesso siano coerenti con le funzioni organizzative nell’attività, comunicando le anomalie al referente privacy.
  • Dare accesso alle risorse informatiche e non al collega più anziano o al superiore diretto in caso di assenza temporanea o permanente per consentire la prosecuzione delle attività. Eventuali risorse personali possono essere sospese o rimosse in relazione all’assenza.
  • Gli strumenti di monitoraggio per la sicurezza del patrimonio aziendale possono, solo in caso di indizi di illecito, utilizzati per documentare l’illecito dal momento in cui l’indizio è emerso.

 Misure di sicurezza tecniche quotidiane

Si raccomanda di verificarle periodicamente:

  • installare un antivirus e tenerlo aggiornato (es.: windows defender o simili)

  • installare un firewall e tenerlo aggiornato (es.: windows defender o simili)

  • installare un antimalware / phishing su email (meglio acquistando un servizio antivirus direttamente da chi fornisce l’email) e su navigazione (es: malwarebytes)

  • tenere un registro (puo’ essere una casella di posta elettronica dedicata, ad esempio registro@nomedominio) con le attività svolte: installazione hardware, software, nuovi fornitori, aggiornamenti, backup. Periodicamente stamparlo su carta o pdf firmato elettronicamente

  • le password devono essere

    • personali e mai condivise;
    • complesse (almeno 15 caratteri con minuscole, maiuscole, numeri e simboli);
    • aggiornate non meno di una volta all’anno.
    • personali e diverse per ogni servizio.
  • elencare le risorse (pc, telefoni, hard disk, router etc) intestate all’attività usate per gestire dati
  • premesso il divieto di uso di risorse personali di ogni tipo, elencare le risorse personali / software autorizzate all’accesso alle risorse aziendali
  • tenere un elenco degli archivi di dati e dove si trovano (per i servizi basta il nome del fornitore)
  • tenere la documentazione privacy in un unico faldone
  • effettuare copie di sicurezza complete o incrementali (es. Uranium Backup) e tenere il backup scollegato
  • aggiornare tutti i software
  • restare aggiornati documentando le attività di formazione
  • non condividere dati personali su cloud / social / risorse esterne o pubbliche se non per compiti autorizzati e con i soli destinatari autorizzati.
  • usare un password manager (es. Keepassxc)
  • istruire il personale fornendogli istruzioni documentabili
  • verificare che i fornitori rispettino il GDPR e non trasferiscano dati negli USA
  • non modificare le configurazioni
  • non usare


 

 Allegato B - Misure minime di sicurezza

ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)

Trattamenti con strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato,
in caso di trattamento con strumenti elettronici:

 

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

 

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

 

Altre misure di sicurezza

15. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

 

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.


 

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi

all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

 

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

 

Trattamenti senza l’ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:


27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.


Cookie

COOKIE POLICY DEL SITO Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati

IN BREVE
Il sito utilizza cookies tecnici per la gestione e gli accessi alle aree di contenuti riservati del sito.
Ad alcune aree private per la gestione dei contenuti si può accedere tramite accesso diretto. Per la consultazione dei contenuti pubblici non è necessario avere attivi i cookies, anche se il sito li cerca per dare le funzionalità aggiuntive solo se impostati.
Non profila gli utenti. Non ha pubblicità di Adsense. Utilizza le analitiche anonime internet.
Non usiamo CDN, ma gli embed di terzi potrebbero usarli, ad esempio YouTube o mappe, che embeddiamo ma attiviamo previo consenso se non sono solo linkati.
Navigando il sito si accettano i cookies tecnici che si possono rimuovere con le funzioni dei browser, come spiegato sotto, e usando http://www.youronlinechoices.com/it/le-tue-scelte .
La nostra privacy policy integra questa informativa.
Tutte le indicazioni, in versione breve o estesa, sono tutte ugualmente applicate.

Ogni tracciante o cookie ha un nome, valore, durata, tipologie pubblicamente consultabili tramite pannello sviluppo / tasto f12. Consigliamo di usare estensioni come «privacy badger» e/o «ublock origin» e/o «decentral eyes» anche in navigazione anonima per migliorare la propria navigazione anonima che comunque non lo è mai completamente.

I traccianti e i cookies sono indicati per categoria, finalità di trattamento, durata, e tipologia come indicato per ogni singola voce della policy e come risultano dai browser, tasto F12/modalità sviluppatore. Le diverse risultanze non presumono trattamenti diversi, qui indicati per categorie.

VERSIONE ESTESA

Questo sito utilizza cookies tecnici per la gestione dei siti e l’accesso alle aree riservate come indicato nella versione breve che integra questo testo.
Senza di essi non è possibile aggiornare o accedere alle aree riservate del sito. La consultazione dei contenuti pubblici invece avviene senza bisogno di cookies.

COOKIES TECNICI

Sono usati i seguenti cookies tecnici e temporanei, utili per gestire il sito e personalizzare la navigazione o eseguire i servizi richiesti. I nostri cookies si distinguono facilmente e sono tecnici, solo per la gestione del sito. Se usati,i cookie di Google per le analitics sono gestiti direttamente da Google analitics o tramite Google Tag Manager con i suffissi da loro scelti (di solito _gxxx). In alternativa possono essere utilizzati in singoli siti tool open source (Matomo, OWA o plugin per WordPress) di analitiche interne, anonimizzati, eventualmente con tracciamento di aree calde (heat maps) per periodi limitati, per migliorare le interfacce dei siti. Si veda nei singoli siti

PROFILAZIONE E SERVIZI TERZI

Questo sito non profila gli utenti, non ha accordi con terzi per profilare, non ospita pubblicità di
Google Adsense o altri circuiti pubblicitari.
Questo sito potrebbe, in sede di aggiornamento del sito, utilizzare plugin di parti terze che possono essere inserite nella struttura del sito su richiesta dal gestore o direttamente da chi inserisce i contenuti. I più usati sono:

Per tutti i più diffusi servizi online di terzi è possibile gestire il proprio consenso tramite:

• www.youronlinechoices.com/it vai su http://www.youronlinechoices.com/it/le-tue-scelte

le cui policy sono visibili e i cookies gestibili da: http://www.youronlinechoices.com/it

Per le ulteriori informazioni e diritti sul trattamento dei dati personali si vedano, ex art. 12, i diritti ex artt. 13, da 15 a 22 e all’articolo 34.

SOFTWARE CONSIGLIATO E USO

Il visitatore può gestire i cookies tramite browser o programmi esterni. Rimuovendo o impedendo i cookies non potrà talora accedere agli eventuali servizi gestionali o personalizzati.
Per maggiori informazioni sull’uso dei cookie attraverso il proprio browser di navigazione, si leggano le istruzioni per: –
• Internet Explorer
• Firefox
• Chrome
• Opera
• Safari
Per sapere tutto sui cookie leggere wikipedia: https://it.wikipedia.org/wiki/Cookie
La presente cookie policy è parte della privacy policy del sito che si intende qui trascritta.
Si noti che Google offre degli strumenti per bloccare le statistiche anonime:
https://tools.google.com/dlpage/gaoptout

Audit

Associazione

Biblioteca e uffici

Circoli

Iscrizioni

Lavoro e Contabile

Videosorveglianza

Online

Analitiche

Blog

Campagne informative

Contatti

Cookie e traccianti

Discussioni e commenti

Hosting

Navigazione

Newsletter

Redirection

Servizi

Cerimonie

Ecommerce

Formazione

Rivista

Sbattezzati

Premi e concorsi

☛ Audit per trattamento: Associazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche per ogni trattamento
Domini Uaar.it e gli altri elencati
Dove sono i dati Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati
Software e plugin usati V. per ogni trattamento
Addetto Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. per ogni trattamento
Cookie banner -
Cookies: natura, base, durata -
Valutazione Rischi (art. 35) Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio)
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti
Note per audit I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.



Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.



Sono descritti nelle pagine successive.



I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile.



Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali.



In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’.



Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore.
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno.
Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR.
Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati.
Modifiche - Implementare una email privacy@uaar.it per chiunque (soci, coordinatori, volontari, referenti, etc) abbia domande, dovrebbe leggerla il referente per la privacy.

- Implementare una email registro@uaar.it da stampare datata mensilmente (oppure firmare con firma elettronica)

- completare censiment

- Domini e gestione di terzi da capire e mansionare
eva.uaar.it
forum.uaar.it
bigbang2.uaar.it

- Verificare quali domini di terzo livello sono stati assegnati a circoli.
- Verificare i ruoli dei referenti

-Rimuovere:
jquery da google
google fonts (spostare in locale)
open graph facebook

v1.0 24.10.2022

☛ Audit per trattamento: Biblioteca-e-uffici

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari
Protezione dei dati Ordinarie misure di sicurezza sui pc in uso in locale
Domini Gestito sui dispositivi informatici interni, anche in cloud interna.
Dove sono i dati Tutto in sede, salvo che non sia gestito dai circoli
Software e plugin usati Fogli di calcolo
Addetto I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore Nessuno
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia
Note per audit Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso.
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente.

Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti.

Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy.

Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale.
Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato.

Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Modifiche Verificare la tenuta dei documenti identificativiti, delle tessere da cancellare.
Proposta di modulo per le tessere bibliotecarie:

Io xxxx nato xxx cf xxx residente xxx recapiti ai quali potete contattarmi: xxxx richiedo la tessera bibliotecaria che mi permette di prendere in prestito le opere disponibili.
Sono consapevole che dopo due anni di inutilizzo sarà cancellata; che di ogni prestito verrà tenuta traccia, fino a restituzione dell’opera, nei termini previsti dal servizio.
Per ogni altra informazione si applica la privacy policy generale di Uaar pubblicata sul sito

v1.0 14.10.2022

☛ Audit per trattamento: Circoli

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione
Categorie di dati Nazionale e Coordinatori dei Circoli
Protezione dei dati Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email;
Domini Ywf.uaar.it
Dove sono i dati Hosting di Uaar
Software e plugin usati YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti
Fornitore YWF - open source sviluppato internamente
Cookie banner Non necessari Il tracciamento dopo il login avviene tramite sessioni interne.
Cookies: natura, base, durata Tecnici per gestire gli accessi, per la durata degli stessi.
Valutazione Rischi (art. 35) I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati
Misure di sicurezza tecn. e org. Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione
Note per audit Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente.



Software autoprodotto per non subire tracciamenti da fornitori terzi.



Il Manuale d’uso è online



Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo

La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree:

project-submissions/*/*

planned-expenses/*/*

project-comments/*/*

transaction-submissions/*/*

statements/*/*

periodical-report-submissions/*/*

periodical-report-comments/*/*



Software è open source depositato su GitHub ed opportunamente anonimizzato.



In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto.





I TESTI presenti:



Recupero Password:

-Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.-

-Le indicazioni relative ai circoli sono contenute alla voce iscrizioni



Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo.

L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo).

Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. -
Traccianti Nessuno
Mansioni Chi si occupa di questo trattamento dovrà:
- Le credenziali vengono fornite dalla sede centrale
- Il coordinatore può autorizzare volontari alla gestione dei progetti
- I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo
- Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate
- I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo
- Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
- Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup.
- Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento.
- Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software.
Modifiche - Meglio aggiungere una notifica via email ad ogni accesso di ogni utenza a sè stessa, giusto per evitare di loggare tutti gli accessi per poi individuare quelli strani. Se possibile tenere traccia dei tentativi di accesso con credenziali sbagliate

- Da CAMBIARE:
Non spiegare come sono create le utenze (3 +3), anzi potrebbe portare confusioni in caso di omonimia: bisognerebbe testare se il servizio impedisce o meno di avere due omonimi 3+3. Userei semplicemente solo l’email che è sempre unica, oppure username con parte nome e cognome e parte fantasia.
Mi rendo conto che è una preoccupazioni forse eccessiva, ma questo è lo standard attuale.
Piuttosto sarebbe da tenere traccia in un log vostro interno, o più semplicemente tramite una notifica a voi via email, che lo username - email … ha chiesto di cambiare password per tenerne traccia.

- DOMANDA: dopo il login usi sessioni ? Non c’è traccia di cookies nè sessioni.

- Verificare che i circoli tengano un registro degli incaricati, nomine e mansioni, inizio e fine, se il software nazionale già non può farlo.

- Domini di terzo livello affidati a circoli senza mansioni, da stipulare
bologna.uaar.it
circoli.uaar.it
palermo.uaar.it
pordenone
DOMANDA: altri ? predisporre altri mansioni„,
v1.0 14.10.2022

☛ Audit per trattamento: Iscrizioni

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo
Categorie di dati Gli iscritti; per la rivista si veda la sezione relativa
Protezione dei dati Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
Domini Le iscrizioni partono dal web o dagli eventi organizzati dai circoli. I siti sono nessundogma.it , rivista.nessundogma.it e uaar.it dove si avvia l’iscrizione
Dove sono i dati Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software
Software e plugin usati Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal
Addetto I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/
Fornitore Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email
Cookie banner Sono solo tecnici, basta l’informativa.
Cookies: natura, base, durata Cookie tecnici per la raccolta dell’ordine e del carrello (v. ecommerce): di sessione o 14 giorni per il carrello.
Valutazione Rischi (art. 35) Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit NOTE



I dati sono gestiti online per consentire il coordinamento con i circoli.

L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno:

- tenere traccia di password complesse

- tenere traccia degli accessi

- imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo)

- istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale





L’email inviata il 7.10.2022:



OGGETTO: Conferma dell’iscrizione 2023 all’UAAR



Caro socio

ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023.

Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».



L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale.



L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato.



Alcuni link utili:



- Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina

- Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina

- Per prendere parte a community e canali UAAR sui social network visita questa pagina

- Per leggere e commentare il blog A ragion veduta visita questa pagina

- Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it

- Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti”

- Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì)

- Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina



Un cordiale saluto

Il Comitato di Coordinamento dell’UAAR
Traccianti Non presenti
Mansioni Chi si occupa di questo trattamento dovrà:
All’iscrizione vengono chiesti:
- dati dell’aspirante e dati di contatto
- indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni)
- dati di pagamento
- notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere.
Modifiche Rimuovere (per non avere cookie profilanti, terzi profilanti e non dover mettere un cookie banner):

- Google tag manager /analytics
- gstatic
- fonts.gstatic.com
- facebook open graph
- addtoany

Si raccomanda di chiedere all’iscrizione, online o cartacea, anche l’indirizzo di spedizione della rivisto o se non la si vuole ricevere.

ALTRE MODIFICHE

Il testo nell’email inviata all’iscrizione:
«Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».»

va cambiato in :
«Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa privacy (link al sito). I tuoi diritti sono indicanti nel testo della normativa vigente (GDPR) e modificazioni.
Dopo averla letta ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».»
I contatti indicati sul sito sono a tua disposizione per ogni informazione.

v 1.0 14.10.2022

☛ Audit per trattamento: Lavoro-e-Contabile

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Addetti e collaboratorit
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Domini Dispositivi informatici interni
Dove sono i dati Nei dispositi informatici in uso, in sede e presso i consulenti
Software e plugin usati Windows, Servizi di hosting presso il fornitore, Client di posta, xxx
Addetto I dipendenti per la preparazione dei dati per i consulenti
Fornitore Commercialista e consulente del lavoro
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Note per audit Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati.
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati.
I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari.
Modifiche Si potrebbero allegare i contratti adottati.
v1.0 14.10.2022

☛ Audit per trattamento: Videosorveglianza

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure
Categorie di dati Chiunque in sede negli orari di chiusura
Protezione dei dati Servizio offerto da Verisure
Domini Verisure
Dove sono i dati Verisure
Software e plugin usati Verisure
Addetto David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene
Fornitore Verisure https://www.verisure.it/antifurto/sensore-di-movimento
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti
Misure di sicurezza tecn. e org. Verisure offre l’accesso tramite password complessa e smartphone.
Note per audit Come installare i sensori di movimento Verisure



Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo.



Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze.

Caratteristiche principali dei sensori di movimento Verisure



Sensore PIR infrarossi

Fotocamera a colori flash incorporato per visione notturna

Modalità di attivazione (diurna, notturna, parziale)

Alimentazione batteria tipo AA

Autonomia batteria 36 mesi



Sensori di Movimento: la mia Privacy è garantita?



I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc.



In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine




 
Traccianti Non traccia sul web, nè localmente, a condizione che venga attivato all’uscito e disattivato all’ingresso.
Mansioni Chi si occupa di questo trattamento dovrà:
Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura.
Il dispositivo viene attivato solo dopo che l’ultimo è uscito.
I dati sono hostati da Verisure secondo la documentazione fornita.
Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro.
In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente.
L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove.
Modifiche Verificare se stessi adempimenti di videosorveglianza solo notturna.

v.1.0 del 24.10.2022

☛ Audit per trattamento: Online

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza indicate in generale e per ogni trattamento
Domini V. singoli trattamenti
Dove sono i dati In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione
Software e plugin usati V. singoli trattamenti
Addetto Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore V. singoli trattamenti
Cookie banner No
Cookies: natura, base, durata Di norma si usano cookie tecnici e link a youtube o mappe, salvo usare le alternative open source; nei casi eccezionali una richiesta di consenso preventivo tramite appositi software evita il tracciamento prima dell’accettazione.
Valutazione Rischi (art. 35) Alto, per i servizi ad accesso riservato
Misure di sicurezza tecn. e org. V. singoli trattamenti
Note per audit I trattamenti che seguono riguardano le attività tipicamente online.

Sono descritti nelle pagine successive.



Le email sono elencate aggiornate su uaar.it



Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi:



Comunità:



disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci

soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci

gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google)

ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale





Siti:



blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog

shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce

uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale

www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale





Servizi tecnici interni:



images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente

lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist

mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio

go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect

localhost.uaar.it A 127.0.0.1 localhost





Per blog di alcuni circoli



bologna.uaar.it A 178.77.78.92 (su server 1 uaar)

palermo.uaar.it A 46.166.165.110 (su server di terzi)

pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi)

ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi)





In dismissione:



mumble.uaar.it A 178.77.103.155

old.uaar.it A 178.77.78.92

circoli.uaar.it per la gestione dei circoli

forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione

bigbang.uaar.it A 176.28.19.20

bigbang2.uaar.it A 178.77.78.92

eva.uaar.it A 92.51.161.237 (su server 2 uaar )

webmail.uaar.it A 178.77.78.92 (su server 1 uaar)


 
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster curerà periodicamente:
- la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni
- Massimiliano Noto, il nostro sistemista, xxx
Modifiche Elencare periodicamente le novità tramite audit presso gli addetti e consultando la contabilità.
v1.0 del 24.10.2022

☛ Audit per trattamento: Analitiche

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque / qualcunque dispositivo navighi il sito
Protezione dei dati Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente
Domini Tutti i domini di Uaar
Dove sono i dati Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH
Software e plugin usati Interno - Wp Statistics per WordPress - xxx per Drupal
Addetto Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche.
Fornitore Host Europe GmbH
Cookie banner No (se usa solo cookie tencnici)
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione
Misure di sicurezza tecn. e org. Oltre alle generali, sono conservati sul sito in aree riservate
Note per audit Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente.
Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali.
Modifiche Installare su un sito un unico tool di statistiche multisito per evitare di usarne altri o installarli più volte.

v1.0.1 24.10.2022

☛ Audit per trattamento: Blog

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori del web che commentino (previa registrazione)
Protezione dei dati Comuni ai siti gestiti WordPress - WordFence - SSL
Domini Blog.uaar.it
Dove sono i dati Host Europe GmbH
Software e plugin usati WordPress
Addetto Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore Host Europe GmbH e di hosting
Cookie banner Sono in uso solo cookie tecnici non profilanti, non c’è bisogno di banner.
Cookies: natura, base, durata - Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it
- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)
- Durata: per la sessione, 6 mesi per i log
- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso
Valutazione Rischi (art. 35) I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati.
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Note per audit ### 1 cookies e log



- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it

- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)

- Durata: per la sessione, 6 mesi per i log

- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso



### 2 analitiche



- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it

- Base giuridica: negoziale

- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.

- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.



### 3 commenti



- Trattamento: **community** consentire ai lettori di ritrovarsi

- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati

- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.

- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).





## Rinvio a UAAR



- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
All’addetto al blog:
- controlli utenti non fake a commetare
- controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link)
- alla pubblicazione di contenuti verifichi l’uso di dati personali
- controlli che il software vengano aggiornato opportunamente
- controlli ed effettui backup automatici e prove di restore periodiche
Modifiche Installre plugin di sicurezza:
-wordfence

Rimuover:
- addtoany https://static.addtoany.com/menu/page.js
- facebook
- bootstrap
- google analytics
- typoteque
- https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js
- https://fonts.gstatic.com/s/imfellgreatprimer/v7/bx6aNwSJtayYxOkbYFsT6hM…
- https://fonts.googleapis.com/css?family=IM+Fell+Great+Primer:400,400
- https://fonts.typotheque.com/WF-021118-002525.css
- https://graph.facebook.com/?fields=og_object%7Bengagement%7D&id=https%3A…
- https://netdna.bootstrapcdn.com/font-awesome/4.1.0/css/font-awesome.css
- amazonas (server europeo ? va bene per esecuzione di contratto)
- https://www.google.com/cse/cse.js?cx=013288380565126515496:sdvl0xcwesg
- in wordpress rimuovere avatar (si collega a Gravatar, no)
- Verifica avviso cookie tecnico (non necessario comunque) prima di commentare.

v1.0 del 14.10.2022

☛ Audit per trattamento: Campagne-informative

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Non vengono raccolti dati per trattarli
Domini Uaar.it blog.uaar.it sbattezzati.it - Campagna sbattezzo.it - Redirect a sbattezzati.it occhiopermille.it - Campagna icostidellachiesa.it - Campagna cerimonieuniche.it - Elenco celebranti e campagna informativa
Dove sono i dati Presso i fornitori di hosting
Software e plugin usati CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi
Addetto Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore I fornitori di hosting
Cookie banner Non necessario, solo tecnici.
Cookies: natura, base, durata Solo in un caso cookies tecnici per supporto della lingua inglese; negli altri casi sono stati rimossi script di terze parti o traccianti, sostituendoli ove serve da copie locali o da servizi alternativi preferibilmente open source.
Si veda (anche per la durata) ogni singolo sito.
Valutazione Rischi (art. 35) Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni
Misure di sicurezza tecn. e org. Ordinaria manutenzione del sito (ssl, backup)
Note per audit Siti informativi. Ove interattivi sono descritti nelle relative sezioni
Traccianti Rimosso, preferendo soluzioni in locale (font) o open source controllati
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa i siti controlli:
- uso cookies
- uso traccianti (script, cdn, cloudflare, analytics, google fonts)
- la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA
- installi analitiche interne
- rimuova supporto gravatar degli avatar
- moderi con blacklist eventuali commenti (meglio disabilitarli)
- statistiche anonimizzate
- link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar
Modifiche Molti siti hanno traccianti nei temi o nei plugin.
Elencare, di ogni sito, i plugin usati
v. 1.0 14.10.2022

☛ Audit per trattamento: Contatti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Dati in sede, sui dispositivi in sede protetti secondo le procedure interne
Domini I contatti da tutti i siti rimandano al sito Uaar o ai recapiti già indicati su Uaar
Dove sono i dati I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi
Software e plugin usati Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster
Fornitore Email e cloud sono gestiti tramite Google Business Email e Cloud
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati
Note per audit Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie)
Traccianti Non ve ne sono. Fare attenzione ai captcha di Google (USA, traccianti)
Mansioni Chi si occupa di questo trattamento dovrà:
Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme.
In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente.
Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri.
I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti)
In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili.
Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy.
Prima di rispondere verificare di:
- non mandare in copia pubblica a terzi se non necessario (solo cc)
- l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc)
- verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti.
- le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti.
Modifiche Installare antivirus e antimalware sulle caselle di posta, per ridurre i rischi
Tenere un registro facile da consultare per chi non vuole ricevere comunicazioni, da trattare con maggiore attenzione.
v1.0 14.10.2022

☛ Audit per trattamento: Cookie-e-traccianti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Cookie id di sessione; oppure per il carrello (id e prodotti)
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Domini Tutti, eccetto quelli statici
Dove sono i dati Presso l’hosting e sul dispositivo del visitatore
Software e plugin usati Browser / server
Addetto Webmaster
Fornitore Hosting / CMS / Store
Cookie banner Ricorda: il cookie banner è obbligatorio solo in presenza di profilanti, ma comunque devono essere bloccati prima del consenso. Quindi se si può chiedere il consenso solo dove serve, è meglio.
Cookies: natura, base, durata Le indicazioni relative ai cookies vanno estese anche a tutti gli strumenti traccianti o dati salvati in sqlite nei browsers.
Valutazione Rischi (art. 35) Medio, da valutare sulla base del trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea.

Il carrello contiene anche i prodotti.

In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti
Traccianti Tipici traccianti:
- google fonts
- cdn di librerie css o js
- embed di mappe video pdf
- cloudflare (forse, prevale la finalità contrattuale di sicurezza)
- servizi offerti da azienda USA (Schrems II)
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa servizi online documenti:
- cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica
- cookies del servizio / software core usato (es. WordPress)
- coocies di parti terze: es. plugin ma anche temi WordPress,
- giurisdizione del fornitore
- Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate.
- Verificare anche se i plugin lavorano solo o in che parte con servizi esterni
- Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.-
- Verifichi le configurazioni
- Verifiche gli utenti e i privilegi di acceso
Modifiche Effettuare i controlli sopra indicati
Rimuovere i classici traccianti di parti terzi (spesso Google)
v1.0 14.10.2022

☛ Audit per trattamento: Discussioni-e-commenti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti all’area
Protezione dei dati Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione
Domini Disc.uaar.it e per i commenti ai post www.uaar.it
Dove sono i dati Amsterdam
Software e plugin usati Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili
Addetto I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore ONLINE S.A.S. Netherlands
Cookie banner Non c’è profilazione
Cookies: natura, base, durata Si, tecnici: uno di sessione; un altro durata settimanale per il login rapido
Valutazione Rischi (art. 35) Difficile da inquadrare, quindi alto
Misure di sicurezza tecn. e org. Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori
Note per audit Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali.

In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile.
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
- L’intervento è utile per la moderazione dei contenuti e degli utenti.
- Un controllo continuo a campione impedisce abusi o eccessi.
-Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti
- condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi.
- i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare.
- nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati.
Modifiche - fonts google
- analytics google
- gstatic

Se non è possibile disattivarli dalle configurazioni, è necessario una informativa, ma devono avviarsi solo dopo il consenso esplicito.

v1.0 14.10.2022

☛ Audit per trattamento: Hosting

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati A chiunque salvo diversamente indicato trattamento per trattamento
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Domini Tutti
Dove sono i dati Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano.
Software e plugin usati Scelto dal fornitore - supporto php
Addetto Webmaster
Fornitore Attualmente Host Europe GmbH
Cookie banner -
Cookies: natura, base, durata -
Valutazione Rischi (art. 35) Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati
Note per audit L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting.
Traccianti Quando si acquista un hosting di solito non è tracciante (eccetto i log e analitiche di sistema)
Verificarli invece per servizi di hosting specializzati forniti da terze parti (es. discourse).
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sceglie gli hosting
- controlla il rinnovo automatico
- controlla il buon funzionamento
- controlla le versioni installate / in uso
- controlla le configurazioni
- aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard
Modifiche - Non scegliere fornitori che aggiungono cookies, sia pure tecnici, per la verifica del servizio fornito (es ovh)
- Nel caso di servizi chiavi ni mano (discourse) evidenziare i tracciamenti se non sono disattivabili
v1.0 14.10.2022

☛ Audit per trattamento: Navigazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque o qualunque cosa visiti il sito
Protezione dei dati Registrati separatamente dai contenuti pubblici
Domini Tutti
Dove sono i dati Presso il fornitore di hosting
Software e plugin usati Log dei software di pubblicazione di contenuti
Addetto Webmaster
Fornitore Il fornitore di hosting del sito
Cookie banner  
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore
Misure di sicurezza tecn. e org. Quelle generali alle quali si rinvia
Note per audit Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni.
Traccianti Non sono traccianti per definizione
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti.
I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi.
In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti.
Modifiche Di solito i moderni servizi si occupano di tutto.
Stiamo parlando dei log di apache o simili.
v1.0 del 24.10.2022

☛ Audit per trattamento: Newsletter

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Interessati alle attività del sito
Protezione dei dati Devono essere in chiaro, come gli altri, non è possibile crittografarli
Domini Soci.uaar.it
Dove sono i dati Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx
Software e plugin usati Phplist
Addetto Reparto IT,coordinatori dei circoli, dipendenti del nazionale
Fornitore Su hosting interno
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx
Note per audit La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni.



Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo
Traccianti La newsletter non usa traccianti
Mansioni Chi si occupa di questo trattamento dovrà:
- verificare aggiornamento software di invio
- verificare periodicamete testi e funzionalità iscrizione e cancellazione
- supportare doppio opt in
- se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno
- il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità.
- La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag.
Modifiche - alcuni circolo usano soci.uaar.it per inviare in autonomia newsletter anche con terzi - necessario mansionario
- per autodifesa, tenere traccia delle iscrizioni e cancellazioni /(o modifiche alla newsletter, magari anche con una semplice email. Le notifiche più vecchie «di autodifesa», andranno cancellate periodicamente, ogni 6 mesi è
un termine ragionevole considerando che sono tenute separate e non trattate per finalità diverse, e che non contengono dati più a rischio di altri trattamenti. Ugualmente per la raccolta del consenso o cancellazione del flag autodifesa

v1.0 18.10.2022

☛ Audit per trattamento: Redirection

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque abbia il link
Protezione dei dati Non sono registrati dati, solo numero di click
Domini Go.uaar.it
Dove sono i dati  
Software e plugin usati Scelto perchè non tracciante per evitare tool esterni traccianti
Addetto Webmaster - Dipendenti
Fornitore Su hosting interno
Cookie banner Non traccia
Cookies: natura, base, durata Non traccia:
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. Credenziali di accesso, per il resto solo l’ip di chi crea uno short url
Note per audit - utilizzato software non tracciante a tutela degli interessati

- alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi

- utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect.
Traccianti Non traccia dati nè metadati, solo contatore di redirect anonimo.
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto che crea uno short url:
- non usi url con password interne, url encoded
- non usi link a siti compromessi
- usi il link descrivendo dove porta
- usi link che possano finire in pubblico senza danni
- ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server).
Modifiche Possono usarlo i circoli ?
v1.0 del 24.10.2022

☛ Audit per trattamento: Servizi

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche
Domini V. singoli trattamenti
Dove sono i dati V. singoli trattamenti
Software e plugin usati V. singoli trattamenti
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. singoli trattamenit
Cookie banner No
Cookies: natura, base, durata V. singoli trattamenti; in linea di massima tecnici per gli accessi e gestione del backend
Valutazione Rischi (art. 35) Medio alto, v. considerazioni già esposte alla voce associazione
Misure di sicurezza tecn. e org. Misure generali e specifiche per ogni trattamento
Note per audit I servizi offerti da Uaar sono:

- iscrizione all’associazione (a pagamento)

- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)

- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque

- partecipazione ad eventi (gratis o pagamento)

- accesso a biblioteca (solo soci)

- invio rivista cartacea per associati (gratis) e interessati (a pagamento)

- invio newsletter digitale (gratis)

- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non

- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password

Per ognuno di questi si veda la sezione relativa.

xxx
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega.
Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione.
L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta.
Modifiche Controllare l’elenco dei servizi
v.1.0 24.10.2022

☛ Audit per trattamento: Cerimonie

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Dati dei soggetti formati da Uaar per diventare celebranti
Protezione dei dati SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione
Domini Cerimonieuniche.it
Dove sono i dati Europa
Software e plugin usati WordPress
Addetto I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/
Fornitore Uaar, Hosting
Cookie banner Banner non necessario se nell’unica pagina con la mappa gli script relativi sono caricati solo dopo un consenso esplicito
Cookies: natura, base, durata Sono usati:

- cookies tecnici per supporto lingua
- cookies tecnici per gestione WordPress
- cookies tecnici per la mappa di Google
- eventuale profilazione di Google tramite mappa
- tracciamento tecnico di cloudlflare per servizio negoziale di sicurezza

 
Valutazione Rischi (art. 35) Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso
Misure di sicurezza tecn. e org. SSL, gestione manuale delle bio,
Note per audit I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati,

Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori.
Traccianti Sono stati rimossi tutti.
Google Maps viene avviato solo previo specifico consenso, evitando così di dover installare e gestire un cookie banner.
Mansioni Chi si occupa di questo trattamento dovrà:
Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia.
Modifiche - bloccare google maps fino a consenso espresso, salvo sostituire con leaflet
- rimuovere google analytics e meglio anche cloudflare
- il cookie banner dice: «Questo sito utilizza cookies tecnici e di terze parti. » non è vero. non ne avete.

- Addenda: potrebbe essere realizzato un KIT formazione privacy per i celebranti: modello incarico e mansioni, modello misure di sicurezza, modello informativa, analisi dei rischi

v1.0 14.10.2022

☛ Audit per trattamento: Ecommerce

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative
Protezione dei dati Connessioni protette da crittografica
Domini Nessundogma.it con link su uaar.it
Dove sono i dati Hosting
Software e plugin usati WordPress / Drupal
Addetto Webmaster e chi indicato su https://www.uaar.it/contatti/
Fornitore Hosting
Cookie banner I cookies sono solo tecnici, non c’è bisogno di banner.
Cookies: natura, base, durata Tecnici per l’accesso e gestione del carrello, per la durata di una settimana
Valutazione Rischi (art. 35) I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative.

Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni»





GDPR e fornitori



i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti:



marketplace

banche / paypal

commercialisti e adempimenti fiscali

spedizionieri

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)



Nel caso di vendite tramite terzi:



sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc).

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)



Nel caso di vendite dirette



siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati.

tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti).

Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti.

Rivista per non soci e per soci

si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci.

naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista.
Traccianti  
Mansioni Chi si occupa di questo trattamento dovrà:
Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni.

E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup.
Seguono ipotesi di dati di clienti che

non pagano,
pagano una tantum,
si abbonano
si registrano allo shop
L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza.

I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture).
Modifiche ## NOTE INTERNE

- **Diritto di recesso:**
- oggi è 14 giorni. Adeguarlo, altrimenti diventa un anno. https://www.mise.gov.it/index.php/it/assistenza/domande-frequenti/diritt… MA IL RECESSO non è dovuto per abbonamenti.

- **Cookie e traccianti:**
- Sul sito nessundogma.it e rivista.nessundogma.it e uaar.it sono presenti e da rimuovere:
- i google forms
- google tag manager
- fonts da gstatic
- static.addtoany.com (carrello) https://www.uaar.it/shop/cart/
- in alcune pagine lo script di Facebook e la cdn di jquery ( da uaar.it)
- Il sito è hostato in Strasburgo, Francia, Host Europe GmbH; bene.
- A cosa serve: https://bigbang2.uaar.it/ ?

- **Durata**

Seguono ipotesi di dati di clienti che
1. non pagano,
2. pagano una tantum,
3. si abbonano
4. si registrano allo shop

L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza.

I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture).

- **GDPR e fornitori**

i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti:
- marketplace
- banche / paypal
- commercialisti e adempimenti fiscali
- spedizionieri

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)

- Nel caso di **vendite tramite terzi**:
- sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc).

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)


- Nel caso di **vendite dirette**
- siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati.
- tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti).
- **Newsletter**: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti.
- **Rivista per non soci e per soci**
- si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci.
- naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista.


v.1.0 24.10.2022

☛ Audit per trattamento: Formazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti alla formazione, chiunque lo richieda
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Domini Cerimonieuniche.it
Dove sono i dati Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx
Software e plugin usati Il software proposto e adeguato agli strumenti a disposizione dei discenti.
Addetto Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate
Fornitore -
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate
Note per audit Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita.
Traccianti Nessuno
Mansioni Chi si occupa di questo trattamento dovrà:
Distinguere tra il momento formativo e i servizi promozionali successivi.
La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza.
Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle.
Modifiche - rimuovere google analytics
- esporre google maps solo dopo richiesta consenso (blocco preventivo) oppure usare leaflet
- fare mansionario per addetti per non raccogliere dati a scuola e non offrire di propria iniziativa servizi ancora non offerti dall’associazione.

v.1.0 14.10.2022

☛ Audit per trattamento: Rivista

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti e abbonati
Protezione dei dati Ssl, backup, accessi riservati
Domini Gestionali associativi: soci.uaar.it
Dove sono i dati Dal server all’ufficio per darli allo spedizioniere via excel
Software e plugin usati Excel
Addetto Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/
Fornitore Spedizioniere esterno
Cookie banner No
Cookies: natura, base, durata No
Valutazione Rischi (art. 35) Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa
Misure di sicurezza tecn. e org. Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità
Note per audit Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente.
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
- Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista.
- Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita.
- tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software.
- verificare gli elenchi inviati allo spedizioniere
- verificare allineamente elenchi iscritti scaduti e spedizioni
- attenzione: riguarda anche i coordinatori dei circoli e i loro delegati
Modifiche Le richieste di spedire, non spedire, andrebbero tracciate (chi la riceve, quando, come viene impostata) in modo che in caso di errori / contestazioni si possa individuare il problema e adottare procedure migliori.

v1.0 14.10.2022

☛ Audit per trattamento: Sbattezzati

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza
Categorie di dati Rivolto a chiunque
Protezione dei dati L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito.
Domini Sbattezzati.it e sbattezzo.it
Dove sono i dati Hosting
Software e plugin usati Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali.
Addetto Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/
Fornitore Software interno, email, excel con i dati di sbattezzo anonimizzati
Cookie banner Solo cookies tecnici: non necessario banner, ma necessaria informativa.
Cookies: natura, base, durata - tecnici di sessione: sessione e crsf per la gestione del sito
- sessione: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random
- _csrf: scadenza nel passato (1969) «httpOnly»: true, «secure»: false value random
Valutazione Rischi (art. 35) Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto.
Misure di sicurezza tecn. e org. L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico
Note per audit Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.



1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia

2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli



Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi:



- Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social;

- Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica.



Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online.



Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi.



La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5)








 
Traccianti Tool famosi sostituiti con altri open source non traccianti.
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa di questo trattamento dovrà:

- non divulgare i dati
- non commettere errori
- non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy.

Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato):
- aiuto a compilare
- di portare in posta la raccomandata da spedire
- di predisporre la cartolina di ricevimento con restituzione presso UAAR
- di predisporre che la risposta alla domanda venga inviato a UAAR
- di essere contattato solo tramite i canali che indica: ____
- di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento
- di pubblicare sulla mappa non anonimizzato il provvedimento
- di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento.
- di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione.

Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile.

Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei .
Modifiche - hostare in locale la cdn a jsdelivr.net https://cdn.jsdelivr.net/npm/cookieconsent@3/build/cookieconsent.min.css
- unificare link a policy: https://www.sbattezzati.it/site/page?content=privacy e https://www.uaar.it/utilizzo-cookie/
- attuale policy parla di GA già rimosso - 4. google analytics
- attenzione: A richiesta, magari anche non documentata ma ragionevolmente probabile, dovete rimuovere le segnalazioni anche se l’id di invio dei documenti si perde.
- rimuovere l’attuale informativa

- AGGIUNGERE in https://www.sbattezzati.it/debaptisms/register aggiungere in alto: «attenzione: siamo felici di pubblicare sul sito la documentazione che dovete inviare già anonimizzata da firme, nomi, date, solo dopo aver valutato voi stessi che non correte rischi per la pubblicazione dell’informazione. Noi condividiamo la vostra attenzione per promuovere il diritto laico allo sbattezzo e siamo a vostra disposizione per pubblicizzarlo. Potete in ogni momento richiedere la rimozione del documento usando l’id casuale che vi verrà fornito per richiedere la rimozione»

- RICERCA DI PRECEDENTI SUL TIPO DI DATI E DPO:
Dalla ricerca emerge che non c’è necessità di avere un dpo in assenza di trattamenti in larga scala. Per analogia le misure di sicurezza possono essere le stesse già ritenute idonee dal Garante ut infra:

il garante

sul battesimo e il registro

Con riferimento al registro dei battezzati, l´aspirazione dell´interessato a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni, originarie o sopravvenute, può essere soddisfatta attraverso una semplice annotazione a margine del dato da rettificarsi, ferma restando la documentazione del fatto storico dell´avvenuto battesimo.

Garante 25 novembre 2002 [doc. web n. 1067179]
Garante 25 novembre 2002 [doc. web n. 1067188]

Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. A norma della legge in materia di protezione dei dati personali ove l´istanza di rettifica, indirizzata alla parrocchia che detiene il registro di battesimo, sia stata debitamente sottoscritta ed accompagnata da copia di un documento di identificazione dell´istante, e se in calce al successivo ricorso è stata apposta la sottoscrizione autenticata dell´interessato il titolare del trattamento, pur legittimamente richiamando l´attenzione dell´istante sugli effetti che derivano dall´accoglimento dell´istanza, non può tuttavia pretendere che questi si presenti, necessariamente, di persona.

Garante 5 novembre 2003 [doc. web n. 1083599]

Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. Nel caso in cui tale annotazione venga apposta a margine del nominativo del ricorrente nel richiamato registro, successivamente alla proposizione del ricorso al Garante, questo deve essere definito con una declaratoria di non luogo a provvedere.

Garante 19 novembre 2003 [doc. web n. 1083014]
Garante 2 dicembre 2003 [doc. web n. 1085607]
Garante 22 dicembre 2003 [doc. web n. 1085634]

nel docuimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Il garante pubblica uno sbattezzo
l´aspirazione degli interessati a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni originarie o sopravvenute, può … essere soddisfatta…» attraverso, «ad esempio, una semplice annotazione a margine del dato da rettificarsi…»,
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Analogamento puo’ essere desiderata la pubblicazione.

elenco documenti

si diffonde una opinione personale, non archivio ma organizzate per lettura Sbattezzo | UAAR https://www.uaar.it/laicita/sbattezzo/

Privacy e confessioni religiose: guida pratica per l’adeguamento normativo - Cyber Security 360
Privacy e confessioni religiose, tra GDPR e Decreto Generale della CEI
Tre le principali differenze si evidenzia che il Decreto Generale della CEI, al Capo IV, prevede tutta una serie di disposizioni dirette a regolare gli strumenti di raccolta dei dati personali, come i registri dei sacramenti, gli archivi, gli elenchi e gli schedari. In particolare, nell’articolo 8 viene regolamentata, con dovizia di particolari, la tenuta dei registri dei sacramenti, consentendone la duplicazione in formato elettronico ed attribuendone la redazione, gestione e custodia ai soggetti deputati a governare l’ente.

Il nuovo Decreto Generale della CEI https://www.cybersecurity360.it/legal/privacy-dati-personali/privacy-e-c…

In merito alla base giuridica occorre rammentare che i registri sono regolati dal diritto canonico il quale stabilisce quali dati debbano essere raccolti e conservati e pertanto non necessitano della previa acquisizione del consenso.
Si ricorda, infine, che alla luce dei principi di finalità, sussistenti anche all’interno della normativa canonica in ambito privacy, i dati contenuti nei registri dei sacramenti non possono essere trattati al fine di inviare comunicazioni informative ai fedeli.
Di particolare importanza vi è, altresì, la gestione degli annuari e dei bollettini (art. 11 Decreto Generale) i quali “contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto”. Appare evidente che la disposizione normativa citata, oltre ad effettuare un esplicito riferimento al principio di minimizzazione dei dati individua essa stessa la base giuridica sottesa al trattamento, infatti, la disposizione statuisce l’obbligo di legge nonché il legittimo interesse pastorale.
si discosta dal concetto di misure adeguate prescrivendo alcune misure minime di sicurezza, tra le quali si evidenziano:

- la tenuta dei registri, degli atti, dei documenti, degli elenchi e degli schedari all’interno di un ambiente di esclusiva proprietà dell’ente;
- il controllo, ogni 5 anni, del Vescovo;
- la dotazione di sistemi antiscasso;
- la custodia della chiave affidata al titolare del trattamento.
- data breach


Infatti, il trattamento dati posto in essere da una confessione religiosa è esso stesso un dato sensibile: per questo motivo il Decreto Generale prevede l’obbligatorietà della nomina del RPD/DPO nel caso in cui gli enti pongano in essere trattamenti su larga scala (la definizione fornita dalla Confessione Episcopale è del tutto analoga a quella espressa dal WP29) e rende obbligatoria la tenuta dei registri di trattamento a tutte le entità cattoliche.

Da ultimo occorre evidenziare che anche il Decreto Generale prevede l’obbligo formativo per tutti coloro che trattano dati e la loro nomina ad autorizzati al trattamento, con tutte le difficoltà nascenti per i soggetti che svolgono attività di volontariato.

v.1.0 24.10.2022

☛ Audit per trattamento: Premi-e-concorsi

Nome registro, luogo conservazione e nome addetto Registro uaar
Categorie di dati Soci per la giuria, chiunque secondo i regolamenti per la partecipazione
Protezione dei dati Database e cloud di UAAR per indirizzari
Domini Database e cloud di UAAR
Dove sono i dati Uaar
Software e plugin usati Autoprodotto
Addetto L’organizzatore dell’evento per conto di UAAR
Fornitore Nessuno
Cookie banner Nessuno
Cookies: natura, base, durata Nessuno
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali.
I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo.
L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise.
Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze,
I dati trattati sono tipicamente pochi.
Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti.
Note per audit Dati Personali:

Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità;

Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento;

il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione;

il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione;

I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.

Si applica la privacy policy pubblicata sul sito UAAR.
 
Traccianti No
Mansioni Chi si occupa di questo trattamento dovrà:
—-
Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità
Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento
il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione
il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione
I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.
Si applica la privacy policy pubblicata sul sito UAAR
Modifiche  

Mansioni

Associazione

Biblioteca e uffici

Circoli

Iscrizioni

Lavoro e Contabile

Videosorveglianza

Online

Analitiche

Blog

Campagne informative

Contatti

Cookie e traccianti

Discussioni e commenti

Hosting

Navigazione

Newsletter

Redirection

Servizi

Cerimonie

Ecommerce

Formazione

Rivista

Sbattezzati

Premi e concorsi

☛ Mansioni per trattamento: Associazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche per ogni trattamento
Dove sono i dati Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati
Software e plugin usati V. per ogni trattamento
Addetto Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. per ogni trattamento
Valutazione Rischi (art. 35) Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio)
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti
Mansioni Chi si occupa di questo trattamento dovrà:
Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno.
Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR.
Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati.

☛ Mansioni per trattamento: Biblioteca-e-uffici

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari
Protezione dei dati Ordinarie misure di sicurezza sui pc in uso in locale
Dove sono i dati Tutto in sede, salvo che non sia gestito dai circoli
Software e plugin usati Fogli di calcolo
Addetto I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore Nessuno
Valutazione Rischi (art. 35) Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente.

Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti.

Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy.

Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale.
Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato.

Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)

☛ Mansioni per trattamento: Circoli

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione
Categorie di dati Nazionale e Coordinatori dei Circoli
Protezione dei dati Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email;
Dove sono i dati Hosting di Uaar
Software e plugin usati YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti
Fornitore YWF - open source sviluppato internamente
Valutazione Rischi (art. 35) I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati
Misure di sicurezza tecn. e org. Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione
Mansioni Chi si occupa di questo trattamento dovrà:
- Le credenziali vengono fornite dalla sede centrale
- Il coordinatore può autorizzare volontari alla gestione dei progetti
- I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo
- Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate
- I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo
- Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
- Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup.
- Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento.
- Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software.

☛ Mansioni per trattamento: Iscrizioni

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo
Categorie di dati Gli iscritti; per la rivista si veda la sezione relativa
Protezione dei dati Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
Dove sono i dati Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software
Software e plugin usati Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal
Addetto I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/
Fornitore Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email
Valutazione Rischi (art. 35) Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Mansioni Chi si occupa di questo trattamento dovrà:
All’iscrizione vengono chiesti:
- dati dell’aspirante e dati di contatto
- indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni)
- dati di pagamento
- notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere.

☛ Mansioni per trattamento: Lavoro-e-Contabile

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Addetti e collaboratorit
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Nei dispositi informatici in uso, in sede e presso i consulenti
Software e plugin usati Windows, Servizi di hosting presso il fornitore, Client di posta, xxx
Addetto I dipendenti per la preparazione dei dati per i consulenti
Fornitore Commercialista e consulente del lavoro
Valutazione Rischi (art. 35) Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati.
I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari.

☛ Mansioni per trattamento: Videosorveglianza

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure
Categorie di dati Chiunque in sede negli orari di chiusura
Protezione dei dati Servizio offerto da Verisure
Dove sono i dati Verisure
Software e plugin usati Verisure
Addetto David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene
Fornitore Verisure https://www.verisure.it/antifurto/sensore-di-movimento
Valutazione Rischi (art. 35) Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti
Misure di sicurezza tecn. e org. Verisure offre l’accesso tramite password complessa e smartphone.
Mansioni Chi si occupa di questo trattamento dovrà:
Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura.
Il dispositivo viene attivato solo dopo che l’ultimo è uscito.
I dati sono hostati da Verisure secondo la documentazione fornita.
Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro.
In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente.
L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove.

☛ Mansioni per trattamento: Online

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza indicate in generale e per ogni trattamento
Dove sono i dati In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione
Software e plugin usati V. singoli trattamenti
Addetto Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore V. singoli trattamenti
Valutazione Rischi (art. 35) Alto, per i servizi ad accesso riservato
Misure di sicurezza tecn. e org. V. singoli trattamenti
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster curerà periodicamente:
- la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni
- Massimiliano Noto, il nostro sistemista, xxx

☛ Mansioni per trattamento: Analitiche

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque / qualcunque dispositivo navighi il sito
Protezione dei dati Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente
Dove sono i dati Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH
Software e plugin usati Interno - Wp Statistics per WordPress - xxx per Drupal
Addetto Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche.
Fornitore Host Europe GmbH
Valutazione Rischi (art. 35) Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione
Misure di sicurezza tecn. e org. Oltre alle generali, sono conservati sul sito in aree riservate
Mansioni Chi si occupa di questo trattamento dovrà:
I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente.
Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali.

☛ Mansioni per trattamento: Blog

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori del web che commentino (previa registrazione)
Protezione dei dati Comuni ai siti gestiti WordPress - WordFence - SSL
Dove sono i dati Host Europe GmbH
Software e plugin usati WordPress
Addetto Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore Host Europe GmbH e di hosting
Valutazione Rischi (art. 35) I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati.
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Mansioni Chi si occupa di questo trattamento dovrà:
All’addetto al blog:
- controlli utenti non fake a commetare
- controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link)
- alla pubblicazione di contenuti verifichi l’uso di dati personali
- controlli che il software vengano aggiornato opportunamente
- controlli ed effettui backup automatici e prove di restore periodiche

☛ Mansioni per trattamento: Campagne-informative

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Non vengono raccolti dati per trattarli
Dove sono i dati Presso i fornitori di hosting
Software e plugin usati CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi
Addetto Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore I fornitori di hosting
Valutazione Rischi (art. 35) Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni
Misure di sicurezza tecn. e org. Ordinaria manutenzione del sito (ssl, backup)
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa i siti controlli:
- uso cookies
- uso traccianti (script, cdn, cloudflare, analytics, google fonts)
- la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA
- installi analitiche interne
- rimuova supporto gravatar degli avatar
- moderi con blacklist eventuali commenti (meglio disabilitarli)
- statistiche anonimizzate
- link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar

☛ Mansioni per trattamento: Contatti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Dati in sede, sui dispositivi in sede protetti secondo le procedure interne
Dove sono i dati I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi
Software e plugin usati Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster
Fornitore Email e cloud sono gestiti tramite Google Business Email e Cloud
Valutazione Rischi (art. 35) Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati
Mansioni Chi si occupa di questo trattamento dovrà:
Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme.
In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente.
Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri.
I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti)
In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili.
Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy.
Prima di rispondere verificare di:
- non mandare in copia pubblica a terzi se non necessario (solo cc)
- l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc)
- verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti.
- le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti.

☛ Mansioni per trattamento: Cookie-e-traccianti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Cookie id di sessione; oppure per il carrello (id e prodotti)
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Presso l’hosting e sul dispositivo del visitatore
Software e plugin usati Browser / server
Addetto Webmaster
Fornitore Hosting / CMS / Store
Valutazione Rischi (art. 35) Medio, da valutare sulla base del trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa servizi online documenti:
- cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica
- cookies del servizio / software core usato (es. WordPress)
- coocies di parti terze: es. plugin ma anche temi WordPress,
- giurisdizione del fornitore
- Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate.
- Verificare anche se i plugin lavorano solo o in che parte con servizi esterni
- Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.-
- Verifichi le configurazioni
- Verifiche gli utenti e i privilegi di acceso

☛ Mansioni per trattamento: Discussioni-e-commenti

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti all’area
Protezione dei dati Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione
Dove sono i dati Amsterdam
Software e plugin usati Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili
Addetto I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore ONLINE S.A.S. Netherlands
Valutazione Rischi (art. 35) Difficile da inquadrare, quindi alto
Misure di sicurezza tecn. e org. Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori
Mansioni Chi si occupa di questo trattamento dovrà:
- L’intervento è utile per la moderazione dei contenuti e degli utenti.
- Un controllo continuo a campione impedisce abusi o eccessi.
-Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti
- condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi.
- i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare.
- nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati.

☛ Mansioni per trattamento: Hosting

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati A chiunque salvo diversamente indicato trattamento per trattamento
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano.
Software e plugin usati Scelto dal fornitore - supporto php
Addetto Webmaster
Fornitore Attualmente Host Europe GmbH
Valutazione Rischi (art. 35) Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sceglie gli hosting
- controlla il rinnovo automatico
- controlla il buon funzionamento
- controlla le versioni installate / in uso
- controlla le configurazioni
- aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard

☛ Mansioni per trattamento: Navigazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque o qualunque cosa visiti il sito
Protezione dei dati Registrati separatamente dai contenuti pubblici
Dove sono i dati Presso il fornitore di hosting
Software e plugin usati Log dei software di pubblicazione di contenuti
Addetto Webmaster
Fornitore Il fornitore di hosting del sito
Valutazione Rischi (art. 35) Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore
Misure di sicurezza tecn. e org. Quelle generali alle quali si rinvia
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti.
I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi.
In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti.

☛ Mansioni per trattamento: Newsletter

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Interessati alle attività del sito
Protezione dei dati Devono essere in chiaro, come gli altri, non è possibile crittografarli
Dove sono i dati Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx
Software e plugin usati Phplist
Addetto Reparto IT,coordinatori dei circoli, dipendenti del nazionale
Fornitore Su hosting interno
Valutazione Rischi (art. 35) L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx
Mansioni Chi si occupa di questo trattamento dovrà:
- verificare aggiornamento software di invio
- verificare periodicamete testi e funzionalità iscrizione e cancellazione
- supportare doppio opt in
- se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno
- il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità.
- La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag.

☛ Mansioni per trattamento: Redirection

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque abbia il link
Protezione dei dati Non sono registrati dati, solo numero di click
Dove sono i dati  
Software e plugin usati Scelto perchè non tracciante per evitare tool esterni traccianti
Addetto Webmaster - Dipendenti
Fornitore Su hosting interno
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. Credenziali di accesso, per il resto solo l’ip di chi crea uno short url
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto che crea uno short url:
- non usi url con password interne, url encoded
- non usi link a siti compromessi
- usi il link descrivendo dove porta
- usi link che possano finire in pubblico senza danni
- ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server).

☛ Mansioni per trattamento: Servizi

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche
Dove sono i dati V. singoli trattamenti
Software e plugin usati V. singoli trattamenti
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. singoli trattamenit
Valutazione Rischi (art. 35) Medio alto, v. considerazioni già esposte alla voce associazione
Misure di sicurezza tecn. e org. Misure generali e specifiche per ogni trattamento
Mansioni Chi si occupa di questo trattamento dovrà:
Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega.
Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione.
L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta.

☛ Mansioni per trattamento: Cerimonie

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Dati dei soggetti formati da Uaar per diventare celebranti
Protezione dei dati SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione
Dove sono i dati Europa
Software e plugin usati WordPress
Addetto I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/
Fornitore Uaar, Hosting
Valutazione Rischi (art. 35) Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso
Misure di sicurezza tecn. e org. SSL, gestione manuale delle bio,
Mansioni Chi si occupa di questo trattamento dovrà:
Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia.

☛ Mansioni per trattamento: Ecommerce

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative
Protezione dei dati Connessioni protette da crittografica
Dove sono i dati Hosting
Software e plugin usati WordPress / Drupal
Addetto Webmaster e chi indicato su https://www.uaar.it/contatti/
Fornitore Hosting
Valutazione Rischi (art. 35) I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Mansioni Chi si occupa di questo trattamento dovrà:
Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni.

E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup.
Seguono ipotesi di dati di clienti che

non pagano,
pagano una tantum,
si abbonano
si registrano allo shop
L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza.

I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture).

☛ Mansioni per trattamento: Formazione

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti alla formazione, chiunque lo richieda
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx
Software e plugin usati Il software proposto e adeguato agli strumenti a disposizione dei discenti.
Addetto Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate
Fornitore -
Valutazione Rischi (art. 35) Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate
Mansioni Chi si occupa di questo trattamento dovrà:
Distinguere tra il momento formativo e i servizi promozionali successivi.
La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza.
Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle.

☛ Mansioni per trattamento: Rivista

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti e abbonati
Protezione dei dati Ssl, backup, accessi riservati
Dove sono i dati Dal server all’ufficio per darli allo spedizioniere via excel
Software e plugin usati Excel
Addetto Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/
Fornitore Spedizioniere esterno
Valutazione Rischi (art. 35) Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa
Misure di sicurezza tecn. e org. Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità
Mansioni Chi si occupa di questo trattamento dovrà:
- Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista.
- Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita.
- tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software.
- verificare gli elenchi inviati allo spedizioniere
- verificare allineamente elenchi iscritti scaduti e spedizioni
- attenzione: riguarda anche i coordinatori dei circoli e i loro delegati

☛ Mansioni per trattamento: Sbattezzati

Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza
Categorie di dati Rivolto a chiunque
Protezione dei dati L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito.
Dove sono i dati Hosting
Software e plugin usati Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali.
Addetto Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/
Fornitore Software interno, email, excel con i dati di sbattezzo anonimizzati
Valutazione Rischi (art. 35) Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto.
Misure di sicurezza tecn. e org. L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa di questo trattamento dovrà:

- non divulgare i dati
- non commettere errori
- non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy.

Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato):
- aiuto a compilare
- di portare in posta la raccomandata da spedire
- di predisporre la cartolina di ricevimento con restituzione presso UAAR
- di predisporre che la risposta alla domanda venga inviato a UAAR
- di essere contattato solo tramite i canali che indica: ____
- di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento
- di pubblicare sulla mappa non anonimizzato il provvedimento
- di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento.
- di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione.

Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile.

Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei .

☛ Mansioni per trattamento: Premi-e-concorsi

Nome registro, luogo conservazione e nome addetto Registro uaar
Categorie di dati Soci per la giuria, chiunque secondo i regolamenti per la partecipazione
Protezione dei dati Database e cloud di UAAR per indirizzari
Dove sono i dati Uaar
Software e plugin usati Autoprodotto
Addetto L’organizzatore dell’evento per conto di UAAR
Fornitore Nessuno
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali.
I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo.
L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise.
Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze,
I dati trattati sono tipicamente pochi.
Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti.
Mansioni Chi si occupa di questo trattamento dovrà:
—-
Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità
Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento
il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione
il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione
I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.
Si applica la privacy policy pubblicata sul sito UAAR

Da implementare

Associazione

Biblioteca e uffici

Circoli

Iscrizioni

Lavoro e Contabile

Videosorveglianza

Online

Analitiche

Blog

Campagne informative

Contatti

Cookie e traccianti

Discussioni e commenti

Hosting

Navigazione

Newsletter

Redirection

Servizi

Cerimonie

Ecommerce

Formazione

Rivista

Sbattezzati

Premi e concorsi

☛ Da fare: Associazione

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche per ogni trattamento
Dove sono i dati Tutto in sede chiusa con porta blindata e altri serramenti; nella mobilia sotto chiave e nei dispositivi informatici protetti da password; si utilizza l’email e la cloud su gsuite con accesso da parte dei singoli autorizzati
Software e plugin usati V. per ogni trattamento
Addetto Il responsabile per la privacy è Loris Tissino. L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. per ogni trattamento
Valutazione Rischi (art. 35) Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v. dettaglio)
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia. V. anche gestione Contatti
Note per audit I trattamenti che seguono riguardano le attività tipiche di una qualsiasi associazione.



Caratteristica di Uaar la promozione e difesa dei diritti civili come presentati sul sito.



Sono descritti nelle pagine successive.



I rischi maggiori derivano dal fatto che gli iscritti a volte chiedono di diffondere ogni informazione per promozione sociale, anche su sè stessi; altri invece preferiscono discrezione per motivi di convivenza civile.



Tra i due estremi chi riceve i dati dagli interessati, per i servizi o a qualsiasi titolo, deve prestare attenzione al se e come inviare comunicazioni anche banali.



In determinati contesti o culture o religioni alcune informazioni potrebbero persino essere pericolose per la vita (l’ipotesi resta tale perchè gli iscritti sono italiani e attualmente riguarda solo il cristianesimo): poichè non è prevedibile tutto, si raccomanda empatia e chiedere all’interessato anche quanto sia importante per lui e perche’.



Il consiglio quindi è prendere atto delle casistiche personali e richieste per implementare un mansionario sempre migliore.
Mansioni Chi si occupa di questo trattamento dovrà:
Si raccomanda di tenere aggionato l’elenco uaar.it/contatti che costituisce l’elenco ufficiale e aggiornato degli addetti con i compiti di ciascuno.
Ai fini privacy prima di ogni modifica stampare la vecchia versione e la nuova, datandole, e raccogliendone l’elenco nel registro di UAAR.
Questo significa anche, a titolo esemplificativo, che la stampa va fatta anche quando cambia un solo nominativo, tipo un coordinatore di circolo. In alternativa stampare o registrare le comunicazioni che indicano la cessazione del nominativo precedente e l’inizio del nuovo, includendo una nota sul fatto che i permessi e i privilegi di accesso agli elenchi soci sono stati aggiornati sui software interessati.
  Da implementare:
Modifiche - Implementare una email privacy@uaar.it per chiunque (soci, coordinatori, volontari, referenti, etc) abbia domande, dovrebbe leggerla il referente per la privacy.

- Implementare una email registro@uaar.it da stampare datata mensilmente (oppure firmare con firma elettronica)

- completare censiment

- Domini e gestione di terzi da capire e mansionare
eva.uaar.it
forum.uaar.it
bigbang2.uaar.it

- Verificare quali domini di terzo livello sono stati assegnati a circoli.
- Verificare i ruoli dei referenti

-Rimuovere:
jquery da google
google fonts (spostare in locale)
open graph facebook

v1.0 24.10.2022

☛ Da fare: Biblioteca-e-uffici

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori della sede nazionale, accesso alla biblioteca; per i circoli che lo offrano, sono loro titolari
Protezione dei dati Ordinarie misure di sicurezza sui pc in uso in locale
Dove sono i dati Tutto in sede, salvo che non sia gestito dai circoli
Software e plugin usati Fogli di calcolo
Addetto I dipendenti, l’addetto alla biblioteca; inoltre l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore Nessuno
Valutazione Rischi (art. 35) Basso, la tessera libraria comunque non è un rischio, nel caso l’interessato può non ritirarla e lasciarla ins ede
Misure di sicurezza tecn. e org. Le misure generali di sicurezza alle quali si rinvia
Note per audit Comune prestito librario. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware). Rischio basso.
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. I dati dei prestiti saranno registrati in un comune foglio excel al quale potranno accedere tutti gli addetti in strutture piccole, informandosi reciprocamente.

Il foglio di calcolo non dovrà essere condiviso su risorse online, ma tenuto solo in sede dagli addetti.

Di eventuali trattamenti non ordinari si terrà traccia nel registro privacy.

Ogni circolo può effettuare lo stesso servizio, in questo caso però saranno essi stessi titolari autonomi senza coinvolgere il nazionale.
Periodicamente (ogni due anni) si potrà valutare se avvisare della cessazione della tessera se non utilizzata dopo due anni, solo se l’interessato indichi un contatto al quale voler essere contattato.

Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
  Da implementare:
Modifiche Verificare la tenuta dei documenti identificativiti, delle tessere da cancellare.
Proposta di modulo per le tessere bibliotecarie:

Io xxxx nato xxx cf xxx residente xxx recapiti ai quali potete contattarmi: xxxx richiedo la tessera bibliotecaria che mi permette di prendere in prestito le opere disponibili.
Sono consapevole che dopo due anni di inutilizzo sarà cancellata; che di ogni prestito verrà tenuta traccia, fino a restituzione dell’opera, nei termini previsti dal servizio.
Per ogni altra informazione si applica la privacy policy generale di Uaar pubblicata sul sito

v1.0 14.10.2022

☛ Da fare: Circoli

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy. Tutto sull’hosting correlato al dominio, si veda la sezione Associazione
Categorie di dati Nazionale e Coordinatori dei Circoli
Protezione dei dati Ssl, Dati registrati in chiaro eccetto le password di accesso; il recupero automatico via email;
Dove sono i dati Hosting di Uaar
Software e plugin usati YWF open source su github github.com/loristissino/Yelloworkflow - credenziali anonimizzate
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e i coordinatori con i loro aiutanti
Fornitore YWF - open source sviluppato internamente
Valutazione Rischi (art. 35) I rischi per gli interessati che operano sulla piattaforma sono di perdita di credenziali e danneggiamento di documenti contabili; l’eventuale perdita di controllo dovrebbe essere valutata per tutti i documenti da tenere riservati
Misure di sicurezza tecn. e org. Crittografia sul sito, mansionario, meno aiuto nei testi online; un backup periodico consente il ripristino immediato; la presenza su github facilita la manutenzione
Note per audit Avvisare via email di ogni intervento (accesso, modifica) legato ad un utente.



Software autoprodotto per non subire tracciamenti da fornitori terzi.



Il Manuale d’uso è online



Dati dei progetti: Titolo, Descrizione, Co-organizzatori, Partner, Periodo, Luogo

La dashboard del circolo contiene: Plafond di credito, Conti rilevanti, email del rappresentante, nome del circolo, rank e status (Attivo o non attivo), data ultimo incarico; elenco soci e ruoli e autorizzazioni specifiche a consultare una o più aree:

project-submissions/*/*

planned-expenses/*/*

project-comments/*/*

transaction-submissions/*/*

statements/*/*

periodical-report-submissions/*/*

periodical-report-comments/*/*



Software è open source depositato su GitHub ed opportunamente anonimizzato.



In generale i backup dovrebbero essere frequenti (giornalieri) e rimosso dal web in caso di intervento distruttivo da remoto.





I TESTI presenti:



Recupero Password:

-Per reimpostare la password, segui questo link. Il link scade dopo un’ora dall’invio.-

-Le indicazioni relative ai circoli sono contenute alla voce iscrizioni



Lo username è solitamente impostato con le prime tre lettere del nome e le prime tre del cognome, tutte in minuscolo.

L’indirizzo email associato all’account è quello «istituzionale» (@uaar.it) per chi ne è in possesso (ad esempio coordinatori e referenti), mentre è quello personale (recuperato da TesserAteo) per gli altri utenti abilitati (ad esempio cassieri e componenti dell’attivo di circolo).

Email inviata a …@….com. Il link scade dopo un’ora dall’invio. Controlla la cartella dello spam. -
Mansioni Chi si occupa di questo trattamento dovrà:
- Le credenziali vengono fornite dalla sede centrale
- Il coordinatore può autorizzare volontari alla gestione dei progetti
- I dati devono restare riservati, l’accesso dai soli dispositivi autorizzati circolo per circolo
- Ogni circolo deve tenere per iscrittio:l’elenco dei volontari autorizzati e dei dispositivi autorizzati, nominandoli e secondo le mansioni qui indicate
- I dati non possono essere usate diversamente da quanto previsto dal progetto, nè esportati senza richiesta e autorizzazione scritta preventive, annotate nel registro sopra indicato, circolo per circolo
- Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
- Ogni circolo / nazionale tiene copia dei documenti anche fuori dalla piattaforma su cartelle riservate locali in caso di necessità di ricostruzione: cloud non significa backup.
- Se il singolo riceve una segnalazione di accesso non riconosciuta come propria, oppure se i dati si perdono, l’addetto cambi la propria password e segnali al nazionale l’evento.
- Il software è autosviluppato è non può non contenere bug: questo significa che possono essere corretti, ma l’addetto deve segnalare ogni aspetto tecnico o anche solo funzionale che possa migliorare il software.
  Da implementare:
Modifiche - Meglio aggiungere una notifica via email ad ogni accesso di ogni utenza a sè stessa, giusto per evitare di loggare tutti gli accessi per poi individuare quelli strani. Se possibile tenere traccia dei tentativi di accesso con credenziali sbagliate

- Da CAMBIARE:
Non spiegare come sono create le utenze (3 +3), anzi potrebbe portare confusioni in caso di omonimia: bisognerebbe testare se il servizio impedisce o meno di avere due omonimi 3+3. Userei semplicemente solo l’email che è sempre unica, oppure username con parte nome e cognome e parte fantasia.
Mi rendo conto che è una preoccupazioni forse eccessiva, ma questo è lo standard attuale.
Piuttosto sarebbe da tenere traccia in un log vostro interno, o più semplicemente tramite una notifica a voi via email, che lo username - email … ha chiesto di cambiare password per tenerne traccia.

- DOMANDA: dopo il login usi sessioni ? Non c’è traccia di cookies nè sessioni.

- Verificare che i circoli tengano un registro degli incaricati, nomine e mansioni, inizio e fine, se il software nazionale già non può farlo.

- Domini di terzo livello affidati a circoli senza mansioni, da stipulare
bologna.uaar.it
circoli.uaar.it
palermo.uaar.it
pordenone
DOMANDA: altri ? predisporre altri mansioni„,
v1.0 14.10.2022

☛ Da fare: Iscrizioni

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy; e in copia presso ogni Circolo
Categorie di dati Gli iscritti; per la rivista si veda la sezione relativa
Protezione dei dati Si applicano le misure di sicurezza tecniche e organizzative generali (credenziali personali e complesse, backup, riservatezza, coordinamento, referente privacy, etc)
Dove sono i dati Presso lo spedizioniere, banche e strumenti di pagamento a distanza e nel software
Software e plugin usati Gestione soci, tenuto con software autoprodotto, gli elenchi dei circoli territoriali possono avere copia anche con foglio elettronico; online Drupal
Addetto I dipendenti del nazionale e il coordinatore di ogni circolo: eventuali altri volontari vanno nominati, indicate le mansioni e comunicati al nazionale.L’elenco aggiornato è su https://www.uaar.it/contatti/
Fornitore Banche per i pagamenti, lo spedizioniere per la rivista, l’hosting per le email
Valutazione Rischi (art. 35) Potenzialmente Alti. In Italia non vi sono problemi per i diritti riconosciuti; valutare all’estero per stranieri
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit NOTE



I dati sono gestiti online per consentire il coordinamento con i circoli.

L’accesso online agli iscritti è consentito solo ai coordinatori dei circoli: è opportuno:

- tenere traccia di password complesse

- tenere traccia degli accessi

- imporre cambio password possibilmente ogni sei mesi (il Garante indica spesso questo tempo)

- istruire i circoli a non divulgare nominativi di tutti o anche singoli gli iscritti, e prendere in carico ogni richiesta comunicando tempestivamente in sede centrale





L’email inviata il 7.10.2022:



OGGETTO: Conferma dell’iscrizione 2023 all’UAAR



Caro socio

ringraziandoti per aver aderito alla nostra associazione, ti informiamo che abbiamo registrato il tuo versamento come quota d’iscrizione all’UAAR per l’anno 2023.

Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».



L’iscrizione dura dal 1° gennaio al 31 dicembre dell’anno 2023 e comprende l’accesso all’area soci del sito UAAR, con la possibilità di scaricare gratuitamente la rivista associativa «Nessun Dogma» in formato digitale.



L’iscrizione effettuata entro il 31 agosto dura per l’anno solare in corso (fino al 31 dicembre), mentre se effettuata dal 1° settembre vale per tutto l’anno solare successivo (dal 1° gennaio al 31 dicembre), a meno che non vi sia una richiesta in senso diverso dall’interessato.



Alcuni link utili:



- Per informarti sulla struttura e il funzionamento dell’UAAR visita questa pagina

- Per iscriverti al forum organizzativo (riservato ai soci) visita questa pagina

- Per prendere parte a community e canali UAAR sui social network visita questa pagina

- Per leggere e commentare il blog A ragion veduta visita questa pagina

- Se hai meno di 30 anni puoi partecipare al gruppo UAAR GIOVANI scrivendo a gruppogiovani@uaar.it

- Per chiarimenti specifici puoi scrivere ai recapiti della sezione “Contatti”

- Per assistenza sull’iscrizione o l’abbonamento alla rivista scrivi allo “Sportello soci e abbonati” o contatta la sede nazionale (tel. 06 5757611 ore 11:30-13:30 e 14:30-17:30 dal lunedì al venerdì)

- Se sei interessato all’attività associativa ti invitiamo a prendere contatto con il circolo o con il referente più vicino al tuo luogo di residenza. Per vedere la distribuzione dei circoli e dei referenti visita questa pagina



Un cordiale saluto

Il Comitato di Coordinamento dell’UAAR
Mansioni Chi si occupa di questo trattamento dovrà:
All’iscrizione vengono chiesti:
- dati dell’aspirante e dati di contatto
- indirizzo di spedizione (che può anche essere: NON SPEDIRE, oppure IN SEDE per chi non desideri ricevere la rivista o altre comunicazioni)
- dati di pagamento
- notare che le comunicazioni potrebbero essere dirette ad un indirizzo e le spedizioni ad un altro; oppure alcune comunicazioni inviate via email/cellulare ma non la rivista che non si desidera ricevere.
  Da implementare:
Modifiche Rimuovere (per non avere cookie profilanti, terzi profilanti e non dover mettere un cookie banner):

- Google tag manager /analytics
- gstatic
- fonts.gstatic.com
- facebook open graph
- addtoany

Si raccomanda di chiedere all’iscrizione, online o cartacea, anche l’indirizzo di spedizione della rivisto o se non la si vuole ricevere.

ALTRE MODIFICHE

Il testo nell’email inviata all’iscrizione:
«Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa predisposta in ottemperanza al Codice in materia di trattamento dei dati personali. Trovi in calce una copia dell’informativa in questione, ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».»

va cambiato in :
«Non ci è tuttavia pervenuta la tua conferma di presa visione dell’informativa privacy (link al sito). I tuoi diritti sono indicanti nel testo della normativa vigente (GDPR) e modificazioni.
Dopo averla letta ti invitiamo a rispondere a questa email aggiungendo il seguente testo: «Ho letto l’informativa in materia di trattamento dei dati personali e acconsento al trattamento dei miei dati personali da parte dell’UAAR».»
I contatti indicati sul sito sono a tua disposizione per ogni informazione.

v 1.0 14.10.2022

☛ Da fare: Lavoro-e-Contabile

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Addetti e collaboratorit
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Nei dispositi informatici in uso, in sede e presso i consulenti
Software e plugin usati Windows, Servizi di hosting presso il fornitore, Client di posta, xxx
Addetto I dipendenti per la preparazione dei dati per i consulenti
Fornitore Commercialista e consulente del lavoro
Valutazione Rischi (art. 35) Sono le usuali attività soggette agli obblighi di legge in materia: rischio medio alto per i dati sanitari eventualmente trattati
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Note per audit Le indicazioni generali vengono fornite all’incarico e successivamente. Periodicamente può essere utile fare il punto dei nuovi software offline e dei servizi online che vengano utilizzati.
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto interno tratterà i dati per le sole finalità indicate sui soli mezzi dell’associazione autorizzati; farà presente se alcuni dati richiedono di essere trattati diversamente per volontà degli interessati.
I collaboratori che forniscono le prestazioni relative agli adempimenti contabili e paghe devono attenersi alle regole deontologiche e di riservatezza, collaborando in caso di richieste o casi particolari.
  Da implementare:
Modifiche Si potrebbero allegare i contratti adottati.
v1.0 14.10.2022

☛ Da fare: Videosorveglianza

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy e presso il fornitore Verisure
Categorie di dati Chiunque in sede negli orari di chiusura
Protezione dei dati Servizio offerto da Verisure
Dove sono i dati Verisure
Software e plugin usati Verisure
Addetto David Schacherl webmaster, Valentino Salvatore e il segretario dell’associazione Roberto Grendene
Fornitore Verisure https://www.verisure.it/antifurto/sensore-di-movimento
Valutazione Rischi (art. 35) Essendo basato su sensori di movimento può essere attivato solo negli orari di chiusura; i log possono fornire indicazioni sugli accessi utilizzabili solo per difesa del patrimonio aziendale in caso di indizi già raccolti
Misure di sicurezza tecn. e org. Verisure offre l’accesso tramite password complessa e smartphone.
Note per audit Come installare i sensori di movimento Verisure



Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. L’installazione viene effettuata secondo normativa europea EN 50131 da Tecnici Verisure altamente specializzati e certificati senza alcun costo aggiuntivo.



Avviene a seguito del sopralluogo tecnico o Studio di Sicurezza della tua casa o attività commerciale svolto dai nostri Esperti di Sicurezza per identificare le zone di vulnerabilità del tuo immobile e sviluppare una configurazione dei sensori d’allarme personalizzata sulle tue esigenze.

Caratteristiche principali dei sensori di movimento Verisure



Sensore PIR infrarossi

Fotocamera a colori flash incorporato per visione notturna

Modalità di attivazione (diurna, notturna, parziale)

Alimentazione batteria tipo AA

Autonomia batteria 36 mesi



Sensori di Movimento: la mia Privacy è garantita?



I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. Le immagini e le registrazioni video sono accessibili esclusivamente dal cliente tramite App My Verisure Italia per il proprio smartphone, tablet o pc.



In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento. La doppia verifica degli scatti d’allarme per immagini e audio è necessaria per legge per allertare le Forze dell’Ordine




 
Mansioni Chi si occupa di questo trattamento dovrà:
Gli addetti, su segnalazione di movimento, possono effettuare gli scatti di verificare in remoto tramite app negli orari di chiusura.
Il dispositivo viene attivato solo dopo che l’ultimo è uscito.
I dati sono hostati da Verisure secondo la documentazione fornita.
Verificare che i dati siano controllati in caso di avviso, o cancellati nei tempi più rapidi possibili, indicativamente entro 48 ore dal ritorno sul posto di lavoro.
In caso di rilevamento di movimento le foto possono essere conservate per il tempo maggiore necessario alle indagini qualora si rilevi una attività illegale civilmente o penalmente.
L’accensione e disattivazione del servizio non può essere usato se non in contrasto di un illecito del quale si abbiano già indizi sufficienti e non al contrario per cercare resposabili o prove.
  Da implementare:
Modifiche Verificare se stessi adempimenti di videosorveglianza solo notturna.

v.1.0 del 24.10.2022

☛ Da fare: Online

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza indicate in generale e per ogni trattamento
Dove sono i dati In sede e nelle risorse informatiche in dotazione all’associazione, si veda la sezione Associazione
Software e plugin usati V. singoli trattamenti
Addetto Webmaster, L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti
Fornitore V. singoli trattamenti
Valutazione Rischi (art. 35) Alto, per i servizi ad accesso riservato
Misure di sicurezza tecn. e org. V. singoli trattamenti
Note per audit I trattamenti che seguono riguardano le attività tipicamente online.

Sono descritti nelle pagine successive.



Le email sono elencate aggiornate su uaar.it



Ecco l’elenco dei domini di terzo livello uaar, divisi per funzione in estrema sintesi:



Comunità:



disc.uaar.it A 51.15.43.139 (su server discourse) discussioni tra soci

soci.uaar.it A 178.77.78.92 (su server 1 uaar) per accesso elenco soci

gmail.uaar.it CNAME ghs.googlehosted.com (gestione email su Google)

ywf.uaar.it A 92.51.161.237 (su server 2 uaar ) gestionale progetti dei circoli e nazionale





Siti:



blog.uaar.it A 92.51.161.237 (su server 2 uaar ) blog

shop.uaar.it A 178.77.78.92 (su server 1 uaar) ecommerce

uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale

www.uaar.it A 178.77.78.92 (su server 1 uaar) sito istituzionale





Servizi tecnici interni:



images-cdn.uaar.it A 178.77.78.92 (su server 1 uaar) cdn interna per evitare di condividere dati esternamente

lists.uaar.it A 92.51.161.237 (su server 2 uaar ) a supporto delle newsletter phplist

mail.uaar.it A 178.77.78.92 (su server 1 uaar) a supporto della posta elettronica - invio

go.uaar.it A 92.51.161.237 (su server 2 uaar ) per redirect

localhost.uaar.it A 127.0.0.1 localhost





Per blog di alcuni circoli



bologna.uaar.it A 178.77.78.92 (su server 1 uaar)

palermo.uaar.it A 46.166.165.110 (su server di terzi)

pordenone.uaar.it CNAME ghs.googlehosted.com (su server di terzi)

ravenna.uaar.it CNAME uaar-ra.enver.it (su server di terzi)





In dismissione:



mumble.uaar.it A 178.77.103.155

old.uaar.it A 178.77.78.92

circoli.uaar.it per la gestione dei circoli

forum.uaar.it A 178.77.78.92 (su server 1 uaar) vecchia area discussioni associati in dismissione

bigbang.uaar.it A 176.28.19.20

bigbang2.uaar.it A 178.77.78.92

eva.uaar.it A 92.51.161.237 (su server 2 uaar )

webmail.uaar.it A 178.77.78.92 (su server 1 uaar)


 
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster curerà periodicamente:
- la verifica dei domini di secondo e di terzo livello non più in uso, magari imponendo un redirect a uaar se non ci sono controindicazioni
- Massimiliano Noto, il nostro sistemista, xxx
  Da implementare:
Modifiche Elencare periodicamente le novità tramite audit presso gli addetti e consultando la contabilità.
v1.0 del 24.10.2022

☛ Da fare: Analitiche

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque / qualcunque dispositivo navighi il sito
Protezione dei dati Dati archiviati senza ip o dopo hash a seconda del software; backuppati; aggregati periodicamente
Dove sono i dati Presso i rispettivi fornitori di hosting, attualmente Host Europe GmbH
Software e plugin usati Interno - Wp Statistics per WordPress - xxx per Drupal
Addetto Dipendenti, reparto IT, (webmaster) per la configurazione delle statistiche.
Fornitore Host Europe GmbH
Valutazione Rischi (art. 35) Basso, anche gli indirizzi delle pagine sono pubblici, i dati di navigazione non consento a Uaar l’identificazione
Misure di sicurezza tecn. e org. Oltre alle generali, sono conservati sul sito in aree riservate
Note per audit Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. In caso di necessità per aumento del traffico, si valuti un servizio presso lo stesso fornitori o un sito proprio sviluppato solo per statistiche interne comune a tutti i siti di Uaar
Mansioni Chi si occupa di questo trattamento dovrà:
I dipendenti e i consulenti possono accedere ai dati delle pagine più consultate; l’installatore può configurale opportunamente.
Verificare periodicamente che il softrware sia configurato in modo da non tracciare caratteristiche dei device, ip o altri metadati personali.
  Da implementare:
Modifiche Installare su un sito un unico tool di statistiche multisito per evitare di usarne altri o installarli più volte.

v1.0.1 24.10.2022

☛ Da fare: Blog

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Visitatori del web che commentino (previa registrazione)
Protezione dei dati Comuni ai siti gestiti WordPress - WordFence - SSL
Dove sono i dati Host Europe GmbH
Software e plugin usati WordPress
Addetto Webmaster,dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore Host Europe GmbH e di hosting
Valutazione Rischi (art. 35) I dati raccolti commentando sono spesso spam: vengono controllati e rimossi, unitamente ai contenuti pubblicati.
Misure di sicurezza tecn. e org. Si applicano le misure di sicurezza tecniche e organizzative generali (backup, riservatezza, coordinamento, referente privacy, etc)
Note per audit ### 1 cookies e log



- Trattamento: **cookie** tecnici e di sessione, **log** connessione come da privacy e cookie policy UAAR su UAAR.it

- Base giuridica: cookie tecnici di sessione (gestione backend) e adempimenti di legge (log)

- Durata: per la sessione, 6 mesi per i log

- Dati raccolti: cookie di sessione e ip; inooltre i cookies tecnici di consenso



### 2 analitiche



- Trattamento: **analitiche** come da privacy e cookie policy UAAR su UAAR.it

- Base giuridica: negoziale

- Durata: i dati sono registrati dopo l’immediata anonimazzazione, ed anche aggregati.

- Dati raccolti: gli ip sono anonimizzati immediatamente e solo dopo trattati per finalità di studio della consultazione delle pagine tramite analitiche interne che vengono aggregate annualmente ma in ogni caso sono subito anonime.



### 3 commenti



- Trattamento: **community** consentire ai lettori di ritrovarsi

- Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). Contenuti non moderati ma possono essere segnalati

- Durata: i commenti vengono inseriti e modificati fino a chiusura automatica dopo 15 giorni.

- Dati raccolti: credenziali di accesso per commentare e relativi cookies, i commenti stessi, avatar, pseudonimo, email nascosta per gestire gli accessi, data e ora di pubblicazione. Non sono consentiti commenti se non da utenti registrati e identificati tramite cookies tecnici (WordPress).





## Rinvio a UAAR



- Per tutto il resto si rinvia alla privacy e cookie policy di UAAR.it
Mansioni Chi si occupa di questo trattamento dovrà:
All’addetto al blog:
- controlli utenti non fake a commetare
- controlli i commenti pubblicati, possibilmente istruendo WordPress a mettere tutto in moderazione quando necessario (blacklist o link)
- alla pubblicazione di contenuti verifichi l’uso di dati personali
- controlli che il software vengano aggiornato opportunamente
- controlli ed effettui backup automatici e prove di restore periodiche
  Da implementare:
Modifiche Installre plugin di sicurezza:
-wordfence

Rimuover:
- addtoany https://static.addtoany.com/menu/page.js
- facebook
- bootstrap
- google analytics
- typoteque
- https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js
- https://fonts.gstatic.com/s/imfellgreatprimer/v7/bx6aNwSJtayYxOkbYFsT6hM…
- https://fonts.googleapis.com/css?family=IM+Fell+Great+Primer:400,400
- https://fonts.typotheque.com/WF-021118-002525.css
- https://graph.facebook.com/?fields=og_object%7Bengagement%7D&id=https%3A…
- https://netdna.bootstrapcdn.com/font-awesome/4.1.0/css/font-awesome.css
- amazonas (server europeo ? va bene per esecuzione di contratto)
- https://www.google.com/cse/cse.js?cx=013288380565126515496:sdvl0xcwesg
- in wordpress rimuovere avatar (si collega a Gravatar, no)
- Verifica avviso cookie tecnico (non necessario comunque) prima di commentare.

v1.0 del 14.10.2022

☛ Da fare: Campagne-informative

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Non vengono raccolti dati per trattarli
Dove sono i dati Presso i fornitori di hosting
Software e plugin usati CMS: WordPress, Drupal, pagine statiche a seconda del sito e dei servizi aggiuntivi
Addetto Reparto IT, dipendenti, e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore I fornitori di hosting
Valutazione Rischi (art. 35) Basso, siti statici. Ove offerte possibilità, sono gestite come descritto nelle relative sezioni
Misure di sicurezza tecn. e org. Ordinaria manutenzione del sito (ssl, backup)
Note per audit Siti informativi. Ove interattivi sono descritti nelle relative sezioni
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa i siti controlli:
- uso cookies
- uso traccianti (script, cdn, cloudflare, analytics, google fonts)
- la possibilità che utenti pubblichino contenuti con pdf, video tutti visibili con tool traccianti di terze parte, abitualmente negli USA
- installi analitiche interne
- rimuova supporto gravatar degli avatar
- moderi con blacklist eventuali commenti (meglio disabilitarli)
- statistiche anonimizzate
- link in fondo ad ogni pagina di privacy e cookie policy linkando su uaar
  Da implementare:
Modifiche Molti siti hanno traccianti nei temi o nei plugin.
Elencare, di ogni sito, i plugin usati
v. 1.0 14.10.2022

☛ Da fare: Contatti

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Dati in sede, sui dispositivi in sede protetti secondo le procedure interne
Dove sono i dati I client di posta elettronica, il registro delle comunicazioni, oltre alle raccolte nel caso di specifici servizi
Software e plugin usati Client di posta elettronica, cloud interno (Nas senza accesso a internet), operatori telefonici, banche
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/ e i dipendenti e il webmaster
Fornitore Email e cloud sono gestiti tramite Google Business Email e Cloud
Valutazione Rischi (art. 35) Elevato: l’errore umano è qui elevato, l’organizzazione interna prevede un aiuto per sbrigare le pratiche in corso
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia. Ad ogni modifica dei contatti stampare chi esce, chi entra, e quali privilegi di accesso ai servizi online sono stati cambiati
Note per audit Gli operatori sanno che in caso di ricezione di documenti non anonimizzati per la pubblicazione devono provvedere a mantenere i nomi dei pubblici ufficiali ma rimuovere tutti gli altri dati personali che direttamente o indirettamente consentano l’identificazione dell’interessato; salvo non si tratti di pubblicazione specifica (come nel caso di cerimonie)
Mansioni Chi si occupa di questo trattamento dovrà:
Chi riceve comunicazioni, visto il numero ristretto di personale, è tenuto ad informare gli altri di eventuali comunicazioni da gestire insieme.
In caso di sostituzione il collega più anziano potrà accedere alla posta ed estrarre quella urgente.
Eventuali email intestate personalamente vanno sospese o aggiunto un risponditore automatico, SENZA inoltro automatico ad altri.
I contenuti delle comunicazioni devono restare assolutamente riservate salvo diversa richiesta dell’interessato (v. servizi offerti)
In ogni caso si valuti di mantenere aggiornati i dati su tutte le piattaforme eventualmente disponibili, annotando ogni modifica o ogni richiesta ricevuta, informando i responsabili.
Per i circolo tutti faranno riferimento al coordinatore e il coordinatore al segretario nazionale o, se disponibile, il referente per la privacy.
Prima di rispondere verificare di:
- non mandare in copia pubblica a terzi se non necessario (solo cc)
- l’invio a più destinatari sia verificato, controllo e comunque in copia nascosta (bcc)
- verificare che l’interessato abbiamo acconsentito a rispondere all’indirizzo di usato, potrebbe aver chiesto invece di non scrivere li ma ad altri recapiti.
- le autorizzazioni di accesso alla cloud e alla posta elettronica sono concordate con l’addetto che ne definisce e imposta i permessi personali di accesso, tenendone traccia nel registro dei trattamenti.
  Da implementare:
Modifiche Installare antivirus e antimalware sulle caselle di posta, per ridurre i rischi
Tenere un registro facile da consultare per chi non vuole ricevere comunicazioni, da trattare con maggiore attenzione.
v1.0 14.10.2022

☛ Da fare: Cookie-e-traccianti

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Cookie id di sessione; oppure per il carrello (id e prodotti)
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Presso l’hosting e sul dispositivo del visitatore
Software e plugin usati Browser / server
Addetto Webmaster
Fornitore Hosting / CMS / Store
Valutazione Rischi (art. 35) Medio, da valutare sulla base del trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit I cookies sono solo tecnici con limiti perchè siano utilizzati solo sul sito che li crea.

Il carrello contiene anche i prodotti.

In linea di massima non si ritiene un rischio per l’interessato far sapere le proprio scelte, ma un avviso (valido per qualsiasi acquisto online con carta di credito) vale a indicare la tracciabilità delle opionini, offrendo la possibilità di sottoscrizione o acquisto in sede e in contanti
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sviluppa servizi online documenti:
- cookies propri, nome durata e finalità, che spesso rende evidente la base giuridica
- cookies del servizio / software core usato (es. WordPress)
- coocies di parti terze: es. plugin ma anche temi WordPress,
- giurisdizione del fornitore
- Periodicamente effettui test usando la modalità sviluppatore dei browser: durante gli aggiornamenti ci possono essere novità non documentate.
- Verificare anche se i plugin lavorano solo o in che parte con servizi esterni
- Utilizzare tool come activity log per tenere traccia di un periodo più o meno lungo di modifiche delle configurazioni.-
- Verifichi le configurazioni
- Verifiche gli utenti e i privilegi di acceso
  Da implementare:
Modifiche Effettuare i controlli sopra indicati
Rimuovere i classici traccianti di parti terzi (spesso Google)
v1.0 14.10.2022

☛ Da fare: Discussioni-e-commenti

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti all’area
Protezione dei dati Dati pubblici; le credenziali sono registrate sul server xxx la complessità della password è monitorata all’iscrizione
Dove sono i dati Amsterdam
Software e plugin usati Disc.uaar.it - salvo i commenti su WordPress funzionalmente assimilabili
Addetto I dipendenti e l’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore ONLINE S.A.S. Netherlands
Valutazione Rischi (art. 35) Difficile da inquadrare, quindi alto
Misure di sicurezza tecn. e org. Sono strumenti mondialmente conosciuti open source, offrono tutti gli strumenti migliori
Note per audit Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. In realtà l’organizzazione con moderatori presenti nella piattaforma e le finalità di tolleranza, pur nella critica, educano la comunità di norma composta, riducendo rischi di offese o aggressione verbali.

In poche parole, la moderazione umana è la risposta migliore a ridurre i rischi, pure essendo ampio l’intervento, ma il traffico è ancora gestibile.
Mansioni Chi si occupa di questo trattamento dovrà:
- L’intervento è utile per la moderazione dei contenuti e degli utenti.
- Un controllo continuo a campione impedisce abusi o eccessi.
-Il software è maturo e solido, crea poche preoccupazioni, ma monitorare gli aggiornamenti
- condividere tra colleghi dubbi sugli utenti per prevenire abusi. Nel dubbio parlarne con il coordinatore privacy e nei casi estremi annotare sul registro eventuali problemi.
- i commenti degli utenti sono dati personali: controllare i backup e fare in modo che si possano ripristinare.
- nelle attività sui social dell’associazione, indicati su https://www.uaar.it/contatti/ , i social media manager non effettueranno profilazione senza preventivamente chiedere il consenso agli interessati usando gli strumenti messi a disposizione dai social (o altri tool) utilizzati.
  Da implementare:
Modifiche - fonts google
- analytics google
- gstatic

Se non è possibile disattivarli dalle configurazioni, è necessario una informativa, ma devono avviarsi solo dopo il consenso esplicito.

v1.0 14.10.2022

☛ Da fare: Hosting

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati A chiunque salvo diversamente indicato trattamento per trattamento
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Hosting a Strasburgo; eccetto Disc.uaar.it o altri chiavi in mano.
Software e plugin usati Scelto dal fornitore - supporto php
Addetto Webmaster
Fornitore Attualmente Host Europe GmbH
Valutazione Rischi (art. 35) Oggetto di attenzione le aree riservate, come indicato trattamento per trattamento
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia, sia del fornitore che del sysadmin e degli operatori nominati e incaricati
Note per audit L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa. L’attenzione si rivolta quindi ai singoli trattamenti, ricordando di tenere aggiornato il software che gestisce i siti, spesso un servizio offerto dal fornitore di hosting.
Mansioni Chi si occupa di questo trattamento dovrà:
Chi sceglie gli hosting
- controlla il rinnovo automatico
- controlla il buon funzionamento
- controlla le versioni installate / in uso
- controlla le configurazioni
- aggiorna le credenziali di accesso (oltre all’adozione delle misure di sicurezza standard
  Da implementare:
Modifiche - Non scegliere fornitori che aggiungono cookies, sia pure tecnici, per la verifica del servizio fornito (es ovh)
- Nel caso di servizi chiavi ni mano (discourse) evidenziare i tracciamenti se non sono disattivabili
v1.0 14.10.2022

☛ Da fare: Navigazione

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque o qualunque cosa visiti il sito
Protezione dei dati Registrati separatamente dai contenuti pubblici
Dove sono i dati Presso il fornitore di hosting
Software e plugin usati Log dei software di pubblicazione di contenuti
Addetto Webmaster
Fornitore Il fornitore di hosting del sito
Valutazione Rischi (art. 35) Dati obbligatori, tenuti separatamente, cancellati periodicamente dal fornitore
Misure di sicurezza tecn. e org. Quelle generali alle quali si rinvia
Note per audit Sono i log tenuti per legge e per autodifesa cyber e legale in caso di contestazioni.
Mansioni Chi si occupa di questo trattamento dovrà:
Il webmaster dovrà verificare che vengano distrutti i vecchi ma mantenuti quelli recenti.
I dati dovranno essere tenuti per il solo periodo di legge, attualmente sei mesi.
In caso di contestazioni giudiziarie, i dati dovranno essere estratti con tecniche forensiche perchè restino genuini e utilizzabili in giudizio, separati dall’ordinario trattamento, anche su iniziativa di autorità competenti.
  Da implementare:
Modifiche Di solito i moderni servizi si occupano di tutto.
Stiamo parlando dei log di apache o simili.
v1.0 del 24.10.2022

☛ Da fare: Newsletter

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Interessati alle attività del sito
Protezione dei dati Devono essere in chiaro, come gli altri, non è possibile crittografarli
Dove sono i dati Dati mantenuti sul server che ospita phplist - Hosting di phplist xxx
Software e plugin usati Phplist
Addetto Reparto IT,coordinatori dei circoli, dipendenti del nazionale
Fornitore Su hosting interno
Valutazione Rischi (art. 35) L’email non manda pubblicità di terzi, ma iniziative interne. Il rischio è elevato solo in paesi dove i temi non sono riconosciuti come diritti.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia e apposite policies interne xxx
Note per audit La gestione delle newsletter è sempre vista come un rischio. I contenuti e le modalità dovrebbero far pensare che per l’interessato non vi siano rischi di alcuna natura, se non per essere soggetto ad altre giurisdizioni.



Ai circoli viene messo a disposizione il software di invio di email presente su soci.uaar.it (interfaccia al database degli iscritti). Oltre agli iscritti, il circolo può inviare una mail ad un elenco di interessati / simpatizzanti che si è costruito negli anni, riportando gli indirizzi nel campo in fondo
Mansioni Chi si occupa di questo trattamento dovrà:
- verificare aggiornamento software di invio
- verificare periodicamete testi e funzionalità iscrizione e cancellazione
- supportare doppio opt in
- se possibile, tenere traccia separatamente di ogni registrazione/Cancellazione per documentare ogni esercizio da parte degli interessati (basterebbe una email che funga da log, salvo poi cancellare le vecchie iscrizioni più vecchie di un anno
- il circolo che invia comunicazioni, aggiungendo altri destinatari con il consenso raccolto, agiscono per questi come titolari, e devo documentare preventivamente la raccolta del consenso a inviare la newsletter, tenendo tali consensi (basta una email di notifica ad esempio) in un archivio separato dagli altri dati per rendicontabilità.
- La newsletter nazionale viene inviata a tutti i soci che non hanno chiesto di non ricevere email dal nazionale (c’è un flag nel database): di tali modifiche ai flag dovrebbe seguire almeno una indicazione generica, se non una vera archiviazione per finalità di autotutela di ogni richiesta di modifica del flag.
  Da implementare:
Modifiche - alcuni circolo usano soci.uaar.it per inviare in autonomia newsletter anche con terzi - necessario mansionario
- per autodifesa, tenere traccia delle iscrizioni e cancellazioni /(o modifiche alla newsletter, magari anche con una semplice email. Le notifiche più vecchie «di autodifesa», andranno cancellate periodicamente, ogni 6 mesi è
un termine ragionevole considerando che sono tenute separate e non trattate per finalità diverse, e che non contengono dati più a rischio di altri trattamenti. Ugualmente per la raccolta del consenso o cancellazione del flag autodifesa

v1.0 18.10.2022

☛ Da fare: Redirection

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque abbia il link
Protezione dei dati Non sono registrati dati, solo numero di click
Dove sono i dati  
Software e plugin usati Scelto perchè non tracciante per evitare tool esterni traccianti
Addetto Webmaster - Dipendenti
Fornitore Su hosting interno
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. Credenziali di accesso, per il resto solo l’ip di chi crea uno short url
Note per audit - utilizzato software non tracciante a tutela degli interessati

- alla creazione di un url viene memorizzato l’ip per individuare eventuali abusi

- utile a ridurre i rischi di redirect malevoli il controllo che l’ip del server destinazione non cambi dal momento del redirect.
Mansioni Chi si occupa di questo trattamento dovrà:
L’addetto che crea uno short url:
- non usi url con password interne, url encoded
- non usi link a siti compromessi
- usi il link descrivendo dove porta
- usi link che possano finire in pubblico senza danni
- ricordare che in caso di trasferimento dei propri server ad altro ip i redirect dovranno essere rigenerati (essendo associato ad ogni url anche l’ip del server).
  Da implementare:
Modifiche Possono usarlo i circoli ?
v1.0 del 24.10.2022

☛ Da fare: Servizi

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque
Protezione dei dati Misure di sicurezza generali e specifiche
Dove sono i dati V. singoli trattamenti
Software e plugin usati V. singoli trattamenti
Addetto L’elenco aggiornato degli addetti è su https://www.uaar.it/contatti/
Fornitore V. singoli trattamenit
Valutazione Rischi (art. 35) Medio alto, v. considerazioni già esposte alla voce associazione
Misure di sicurezza tecn. e org. Misure generali e specifiche per ogni trattamento
Note per audit I servizi offerti da Uaar sono:

- iscrizione all’associazione (a pagamento)

- elenco celebranti per celebrazioni (elenco pubblico, formazione celebranti a pagamento)

- procedura di sbattezzo (gratis) per informazioni, assistenza e pubblicazione esito; a chiunque

- partecipazione ad eventi (gratis o pagamento)

- accesso a biblioteca (solo soci)

- invio rivista cartacea per associati (gratis) e interessati (a pagamento)

- invio newsletter digitale (gratis)

- informativa: dossier / campagne (gratis) pubbliche su siti dedicati e non

- aree riservate di discussione (gratis, aperto a tutti) previo accesso via password

Per ognuno di questi si veda la sezione relativa.

xxx
Mansioni Chi si occupa di questo trattamento dovrà:
Le piccole dimensioni richiedono che gli addetti si possano sostituire in caso di necessità tra di loro, pur mantenendo ognuno la propria credenziale personale, o dai propri dispositivi o da quelli del collega.
Il collega più anziano potrà accedere per consultare i dati in caso di richieste o scadenze ed estrarre quanto necessario, dai depositi di files ma anche dagli strumenti di comunicazione.
L’uso delle risorse associative non consente di accedere a risorse personali. E’ vietato l’uso di risorse personali in assenza di preventiva ed esplicita autorizzazione scritta.
  Da implementare:
Modifiche Controllare l’elenco dei servizi
v.1.0 24.10.2022

☛ Da fare: Cerimonie

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Dati dei soggetti formati da Uaar per diventare celebranti
Protezione dei dati SSL per i visitatori. I dati dei celebranti sono usate per la pubblicazione
Dove sono i dati Europa
Software e plugin usati WordPress
Addetto I Dipendenti e i curatori della campagna elencati su https://www.uaar.it/contatti/
Fornitore Uaar, Hosting
Valutazione Rischi (art. 35) Dati tutti pubblici. Solo ipotetici rischi tramite Google Maps. Rischio basso
Misure di sicurezza tecn. e org. SSL, gestione manuale delle bio,
Note per audit I curricula sono inviati spontaneamente dagli interessatim trattati manualmente: non sono ragionevoli rischi elevati,

Cloudflare non ha eguali per fornire navigazione sicura nell’interesse dei visitatori.
Mansioni Chi si occupa di questo trattamento dovrà:
Chi cura il trattamento delle biografie dei celebranti dovrà verificarle prima della pubblicazione e/o rimozione. Di ogni attività sulle biografie l’addetto effettuerà una registrazione sommaria sul registro privacy per tenerne traccia.
  Da implementare:
Modifiche - bloccare google maps fino a consenso espresso, salvo sostituire con leaflet
- rimuovere google analytics e meglio anche cloudflare
- il cookie banner dice: «Questo sito utilizza cookies tecnici e di terze parti. » non è vero. non ne avete.

- Addenda: potrebbe essere realizzato un KIT formazione privacy per i celebranti: modello incarico e mansioni, modello misure di sicurezza, modello informativa, analisi dei rischi

v1.0 14.10.2022

☛ Da fare: Ecommerce

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Chiunque, non solo i soci e nemmeno solo chi condivide le finalità associative
Protezione dei dati Connessioni protette da crittografica
Dove sono i dati Hosting
Software e plugin usati WordPress / Drupal
Addetto Webmaster e chi indicato su https://www.uaar.it/contatti/
Fornitore Hosting
Valutazione Rischi (art. 35) I dati dei pagamenti restano presso i fornitori; i dati degli spedizionieri possono avere un rischio maggiore.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia
Note per audit E’ una normale attività di ecommerce. La scelta dei fornitori in funzione di efficienza e rispetto del GDPR è comune ad altre iniziative.

Si ricorda che la spedizione della rivista è descritto nella sezione «Iscrizioni»





GDPR e fornitori



i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti:



marketplace

banche / paypal

commercialisti e adempimenti fiscali

spedizionieri

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)



Nel caso di vendite tramite terzi:



sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc).

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)



Nel caso di vendite dirette



siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati.

tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti).

Newsletter: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti.

Rivista per non soci e per soci

si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci.

naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista.
Mansioni Chi si occupa di questo trattamento dovrà:
Durata del trattamento: l’interpretazione corrente vuole che non sia generica, ma d’altro canto, non si possono prevedere i tipi di richieste che arrivano fino a 10 anni da quando sorga il diritto, salvo sospensioni.

E’ quindi primario conservare diversamente dati quando vi siano problematiche con il cliente e comunque per le finalità di legge, ma tenendolo separate (armadi) e scollegati dai dispositivi informatici in uso in modo che il trattamento sia inequivocabilmente solo per finalità giudiziarie: sia tenuto separato persino dai backup.
Seguono ipotesi di dati di clienti che

non pagano,
pagano una tantum,
si abbonano
si registrano allo shop
L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza.

I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture).
  Da implementare:
Modifiche ## NOTE INTERNE

- **Diritto di recesso:**
- oggi è 14 giorni. Adeguarlo, altrimenti diventa un anno. https://www.mise.gov.it/index.php/it/assistenza/domande-frequenti/diritt… MA IL RECESSO non è dovuto per abbonamenti.

- **Cookie e traccianti:**
- Sul sito nessundogma.it e rivista.nessundogma.it e uaar.it sono presenti e da rimuovere:
- i google forms
- google tag manager
- fonts da gstatic
- static.addtoany.com (carrello) https://www.uaar.it/shop/cart/
- in alcune pagine lo script di Facebook e la cdn di jquery ( da uaar.it)
- Il sito è hostato in Strasburgo, Francia, Host Europe GmbH; bene.
- A cosa serve: https://bigbang2.uaar.it/ ?

- **Durata**

Seguono ipotesi di dati di clienti che
1. non pagano,
2. pagano una tantum,
3. si abbonano
4. si registrano allo shop

L’aspetto più importante è gestire la durata adeguata a fornire l’assistenza.

I dati tenuti per finalità fiscali dovrebbero essere rimosso dal web e tenuti separatamente su altro servizio, offline o online (nel caso delle fatture).

- **GDPR e fornitori**

i siti / fornitori coinvolti nella raccolta ed esecuzione degli ordini sono molti:
- marketplace
- banche / paypal
- commercialisti e adempimenti fiscali
- spedizionieri

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)

- Nel caso di **vendite tramite terzi**:
- sono loro titolari e rispondono delle vendite (Amazon, Mondadori, La Feltrinelli, IBS, etc).

Di ognuno tenere una dichiarazione di rispetto del GDPR (DPA Data protection assessment)


- Nel caso di **vendite dirette**
- siete voi titolari dei dati degli ordini che voi raccogliete: per evitare rischi di profilazione si raccomanda di scaricare dal web gli ordini per finalità fiscali e di assistenza e cancellarli dal web, per evitare danni in caso di compromissione dei dati.
- tuttavia se i vostri clienti chiedono un abbonamento o si registrano per effettuare gli acquisti, voi potete tenere i dati per il tempo del servizio, e in generale però avvisare l’interessato se non utilizza il servizio per un certo periodo di tempo, rimuovendolo automaticamente (la media è di 1-2 anni a seconda della frequenza degli acquisti).
- **Newsletter**: non sembra collegata alle vendite. Se le predisponete, è comunque necessario rinnovare il consenso annualmente, e gestire l’iscrizione separatamente dagli acquisti.
- **Rivista per non soci e per soci**
- si raccomanda di gestire l’elenco abbonati alla rivista come se non fossero soci e separatamente, in modo da gestire correttamente anche i non soci.
- naturalmente in caso di recesso anticipato del socio si dovrà sospendere (manualmente) anche l’invio della rivista.


v.1.0 24.10.2022

☛ Da fare: Formazione

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti alla formazione, chiunque lo richieda
Protezione dei dati Le misure generale di sicurezza alle quali si rinvia
Dove sono i dati Sul sito, biografie e dati di contatto dei celebranti formati sul sito, per tutta la durata del sito xxx
Software e plugin usati Il software proposto e adeguato agli strumenti a disposizione dei discenti.
Addetto Gli addetti sono indicati su https://www.uaar.it/contatti/ e i singoli formatori anche nelle pagine correlate
Fornitore -
Valutazione Rischi (art. 35) Il sito ospita i dati dei celebranti che hanno chiesto di formarsi e chiedono che i loro nomi siano pubblicati con le informazioni inviate per biografia; si valutano rischi bassi poichè l’interessato ha intrapreso un percorso pubblico.
Misure di sicurezza tecn. e org. Le misure generale di sicurezza alle quali si rinvia; la gestione manuale è più sicura di tante altre soluzioni automatizzate
Note per audit Il sito ospita i dati dei celebranti elencati in mappe come risultato convenuto della formazione conseguita.
Mansioni Chi si occupa di questo trattamento dovrà:
Distinguere tra il momento formativo e i servizi promozionali successivi.
La formazione di celebranti, così come le attività di gestione di formazione in contesti scolastici, impone riservatezza.
Tuttavia i formati di celebranti possono chiedere ulteriori servizi di pubblicazione del c.v. e biografia su sito; non vi sono altri servizi e non vanno improvvisati anche se a richiesta: piuyttosto le proposte vanno portate al direttivo per valutarle.
  Da implementare:
Modifiche - rimuovere google analytics
- esporre google maps solo dopo richiesta consenso (blocco preventivo) oppure usare leaflet
- fare mansionario per addetti per non raccogliere dati a scuola e non offrire di propria iniziativa servizi ancora non offerti dall’associazione.

v.1.0 14.10.2022

☛ Da fare: Rivista

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy
Categorie di dati Iscritti e abbonati
Protezione dei dati Ssl, backup, accessi riservati
Dove sono i dati Dal server all’ufficio per darli allo spedizioniere via excel
Software e plugin usati Excel
Addetto Dipendenti, coordinatori dei circolo e chi indicato su https://www.uaar.it/contatti/
Fornitore Spedizioniere esterno
Valutazione Rischi (art. 35) Alto: in caso di richiesta di non spedire, l’interessato potrebbe subire pregiudizio alla vita di relazione sociale o lavorativa
Misure di sicurezza tecn. e org. Controlli e tracciamento delle richieste; data la tipologia, ampio spazio per migliorare le procedure interne appena si verificano criticità
Note per audit Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo. Le richieste di non spedizioni dovrebbero essere meglio formalizzate e non lasciate ad una indicazione orale per poterle documentare e darne riscontro scritto (email) all’interessato se autorizzza a mandare conferma via email. Se non autorizza dobbiamo tenerne conto solo internamente.
Mansioni Chi si occupa di questo trattamento dovrà:
- Gli addetti che ricevono le iscrizioni curino attenzione alle richieste di spedire presso altro recapito o non spedire la rivista.
- Attenzione ad annotare rapidamente soprattutto in caso di spedizione di un numero della rivista, avvisando lo spedizioniere o l’interessato che la rivista è già partita.
- tenere traccia delle richieste nel registro privacy; meglio se il cambio di flag (spedire, non spedire) viene automaticamente segnalato dal software.
- verificare gli elenchi inviati allo spedizioniere
- verificare allineamente elenchi iscritti scaduti e spedizioni
- attenzione: riguarda anche i coordinatori dei circoli e i loro delegati
  Da implementare:
Modifiche Le richieste di spedire, non spedire, andrebbero tracciate (chi la riceve, quando, come viene impostata) in modo che in caso di errori / contestazioni si possa individuare il problema e adottare procedure migliori.

v1.0 14.10.2022

☛ Da fare: Sbattezzati

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro privacy in sede, a cura dell’addetto privacy - Nel registro si usi un codice causale identificativo e la data della richiesta di sbattezzo sia al primo contatto che conclusa l’assistenza; l’identificativo univoco per chiedere la successiva rimozione viene memorizzato su foglio excel con l’identificativo casuale e data della richiesta di assistenza
Categorie di dati Rivolto a chiunque
Protezione dei dati L’elenco degli id, funzionale alle richieste successive di rimozione, è mantenuto in locale. xxx. Si noti che in assenza di identificativo l’interessato, fornendo altre modalità di identificazione o motivi legali, può ottenere comunque la rimozione dal sito.
Dove sono i dati Hosting
Software e plugin usati Mappa con Leaflet per evitare Google. I trattamenti relativi agli sbattesimi sono manuali.
Addetto Nella sede il personale interno; nei comitati il coordinatore e i volontari istruiti caso per caso, e chi indicato su https://www.uaar.it/contatti/
Fornitore Software interno, email, excel con i dati di sbattezzo anonimizzati
Valutazione Rischi (art. 35) Il rischio in caso di identificazione è difficilmente quantificabile, quindi alto.
Misure di sicurezza tecn. e org. L’anonimizzazione è fatta manualmente rimuovendo dati personali ma mantenendo il documento pubblico
Note per audit Uaar, attraverso il sito uaar.it raggiungibile comodamente da sbattezzo.it e attraverso il sito sbattezzati.it fornisce informazioni e servizi gratuiti a chiunque sia interessato.



1. sbattezzati.it: in home dà informazioni sintetiche rinviando a uaar.it; offre inoltre una mappa e statistiche di sbattezzo in Italia

2. uaar.it raggiungibile da sbattezzo.it dà informazioni dettagliate e moduli



Oltre alle informazioni, su iniziativa e richiesta degli interessati vengono offerti i seguenti servizi:



- Uaar pubblica sulla mappa i documenti inviati da chi chiede di pubblicare sulla mappa i dati dello sbattezzo, a volta chiedendo l’anonimizzazione della segnalazione e del documento, a volte richiedendo di essere identificato inequivocabilmente con link ai profili social;

- Uaar aiuta a compilare la domanda che l’interessato invia; a volte l’interessato può chiedere a Uaar di inviare la raccomandata per ricevere lui o per far arrivare solo a Uaar la cartolina e/o la risposta e poi essere avvisato tramite i canali (telefono o email) che indica.



Si tratta di richieste che, pure rare, vanno documentate nell’esecuzione del servizio offerto; la documentazione va poi distrutta almeno annualmente, salvo tenere traccia sul registro, dell’eventuale codice identificativo e della pubblicazione online.



Le statistiche nazionali e territoriali eviteranno di indicare le singole parrocchie i cui numeri di sbattezzo siano troppo bassi, per evitare che altri, violando il gdpr, diffondendo informazioni anche verbalmente, possano contribuire a identificare qualcuno in contesti piccoli o grandi come i social network, salvo questo non sia espressamente richiesto dall’interessato che dovrà autorizzarlo consapevole dei rischi.



La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es. indicare meno di 5)








 
Mansioni Chi si occupa di questo trattamento dovrà:
Chi si occupa di questo trattamento dovrà:

- non divulgare i dati
- non commettere errori
- non promettere trattamenti diversi da quelli previsti anche se richiesti; prima dovrà chiedere al coordinatore privacy.

Di ogni richiesta si dovrà documentare con un identificativo casuale che l’interessato chiede (spuntare solo le opzioni richieste dall’interessato):
- aiuto a compilare
- di portare in posta la raccomandata da spedire
- di predisporre la cartolina di ricevimento con restituzione presso UAAR
- di predisporre che la risposta alla domanda venga inviato a UAAR
- di essere contattato solo tramite i canali che indica: ____
- di pubblicare sulla mappa anonimizzato dei propri dati il provvedimento
- di pubblicare sulla mappa non anonimizzato il provvedimento
- di pubblicare sulla mappa oltre alle note anche un link diretto ai profili pubblici e privati su social, email e altre modalità che consentano il riconoscimento.
- di pubblicate tra le testimonianze quelle inviate, previa anonimizzazione.

Di tutto questo l’interessato viene informato chiaramente per farlo riflettere e decidere sull’opportunità o meno che egli possa avere a non pubblicizzare, anonimizzare o pubblicizzare la procedura, consapevole che un ripensamento dopo aver pubblicato i dati su internet è quasi impossibile.

Si noti che il documento sarà comunque anonimizzato dei dati di terze parti (firme, nomi dei .
  Da implementare:
Modifiche - hostare in locale la cdn a jsdelivr.net https://cdn.jsdelivr.net/npm/cookieconsent@3/build/cookieconsent.min.css
- unificare link a policy: https://www.sbattezzati.it/site/page?content=privacy e https://www.uaar.it/utilizzo-cookie/
- attuale policy parla di GA già rimosso - 4. google analytics
- attenzione: A richiesta, magari anche non documentata ma ragionevolmente probabile, dovete rimuovere le segnalazioni anche se l’id di invio dei documenti si perde.
- rimuovere l’attuale informativa

- AGGIUNGERE in https://www.sbattezzati.it/debaptisms/register aggiungere in alto: «attenzione: siamo felici di pubblicare sul sito la documentazione che dovete inviare già anonimizzata da firme, nomi, date, solo dopo aver valutato voi stessi che non correte rischi per la pubblicazione dell’informazione. Noi condividiamo la vostra attenzione per promuovere il diritto laico allo sbattezzo e siamo a vostra disposizione per pubblicizzarlo. Potete in ogni momento richiedere la rimozione del documento usando l’id casuale che vi verrà fornito per richiedere la rimozione»

- RICERCA DI PRECEDENTI SUL TIPO DI DATI E DPO:
Dalla ricerca emerge che non c’è necessità di avere un dpo in assenza di trattamenti in larga scala. Per analogia le misure di sicurezza possono essere le stesse già ritenute idonee dal Garante ut infra:

il garante

sul battesimo e il registro

Con riferimento al registro dei battezzati, l´aspirazione dell´interessato a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni, originarie o sopravvenute, può essere soddisfatta attraverso una semplice annotazione a margine del dato da rettificarsi, ferma restando la documentazione del fatto storico dell´avvenuto battesimo.

Garante 25 novembre 2002 [doc. web n. 1067179]
Garante 25 novembre 2002 [doc. web n. 1067188]

Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. A norma della legge in materia di protezione dei dati personali ove l´istanza di rettifica, indirizzata alla parrocchia che detiene il registro di battesimo, sia stata debitamente sottoscritta ed accompagnata da copia di un documento di identificazione dell´istante, e se in calce al successivo ricorso è stata apposta la sottoscrizione autenticata dell´interessato il titolare del trattamento, pur legittimamente richiamando l´attenzione dell´istante sugli effetti che derivano dall´accoglimento dell´istanza, non può tuttavia pretendere che questi si presenti, necessariamente, di persona.

Garante 5 novembre 2003 [doc. web n. 1083599]

Legittimamente l´interessato può chiedere che la sua convinzione di non voler appartenere più alla Chiesa Cattolica venga annotata nel registro dei battezzati, trattandosi di rettifica o meglio di aggiornamento del dato sensibile relativo all´appartenenza religiosa. Nel caso in cui tale annotazione venga apposta a margine del nominativo del ricorrente nel richiamato registro, successivamente alla proposizione del ricorso al Garante, questo deve essere definito con una declaratoria di non luogo a provvedere.

Garante 19 novembre 2003 [doc. web n. 1083014]
Garante 2 dicembre 2003 [doc. web n. 1085607]
Garante 22 dicembre 2003 [doc. web n. 1085634]

nel docuimento https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Il garante pubblica uno sbattezzo
l´aspirazione degli interessati a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni originarie o sopravvenute, può … essere soddisfatta…» attraverso, «ad esempio, una semplice annotazione a margine del dato da rettificarsi…»,
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc… Analogamento puo’ essere desiderata la pubblicazione.

elenco documenti

si diffonde una opinione personale, non archivio ma organizzate per lettura Sbattezzo | UAAR https://www.uaar.it/laicita/sbattezzo/

Privacy e confessioni religiose: guida pratica per l’adeguamento normativo - Cyber Security 360
Privacy e confessioni religiose, tra GDPR e Decreto Generale della CEI
Tre le principali differenze si evidenzia che il Decreto Generale della CEI, al Capo IV, prevede tutta una serie di disposizioni dirette a regolare gli strumenti di raccolta dei dati personali, come i registri dei sacramenti, gli archivi, gli elenchi e gli schedari. In particolare, nell’articolo 8 viene regolamentata, con dovizia di particolari, la tenuta dei registri dei sacramenti, consentendone la duplicazione in formato elettronico ed attribuendone la redazione, gestione e custodia ai soggetti deputati a governare l’ente.

Il nuovo Decreto Generale della CEI https://www.cybersecurity360.it/legal/privacy-dati-personali/privacy-e-c…

In merito alla base giuridica occorre rammentare che i registri sono regolati dal diritto canonico il quale stabilisce quali dati debbano essere raccolti e conservati e pertanto non necessitano della previa acquisizione del consenso.
Si ricorda, infine, che alla luce dei principi di finalità, sussistenti anche all’interno della normativa canonica in ambito privacy, i dati contenuti nei registri dei sacramenti non possono essere trattati al fine di inviare comunicazioni informative ai fedeli.
Di particolare importanza vi è, altresì, la gestione degli annuari e dei bollettini (art. 11 Decreto Generale) i quali “contengono i dati necessari a individuare gli enti, gli uffici, le strutture, le circoscrizioni, i titolari delle funzioni di legale rappresentanza e il personale addetto”. Appare evidente che la disposizione normativa citata, oltre ad effettuare un esplicito riferimento al principio di minimizzazione dei dati individua essa stessa la base giuridica sottesa al trattamento, infatti, la disposizione statuisce l’obbligo di legge nonché il legittimo interesse pastorale.
si discosta dal concetto di misure adeguate prescrivendo alcune misure minime di sicurezza, tra le quali si evidenziano:

- la tenuta dei registri, degli atti, dei documenti, degli elenchi e degli schedari all’interno di un ambiente di esclusiva proprietà dell’ente;
- il controllo, ogni 5 anni, del Vescovo;
- la dotazione di sistemi antiscasso;
- la custodia della chiave affidata al titolare del trattamento.
- data breach


Infatti, il trattamento dati posto in essere da una confessione religiosa è esso stesso un dato sensibile: per questo motivo il Decreto Generale prevede l’obbligatorietà della nomina del RPD/DPO nel caso in cui gli enti pongano in essere trattamenti su larga scala (la definizione fornita dalla Confessione Episcopale è del tutto analoga a quella espressa dal WP29) e rende obbligatoria la tenuta dei registri di trattamento a tutte le entità cattoliche.

Da ultimo occorre evidenziare che anche il Decreto Generale prevede l’obbligo formativo per tutti coloro che trattano dati e la loro nomina ad autorizzati al trattamento, con tutte le difficoltà nascenti per i soggetti che svolgono attività di volontariato.

v.1.0 24.10.2022

☛ Da fare: Premi-e-concorsi

  Controllare:
Nome registro, luogo conservazione e nome addetto Registro uaar
Categorie di dati Soci per la giuria, chiunque secondo i regolamenti per la partecipazione
Protezione dei dati Database e cloud di UAAR per indirizzari
Dove sono i dati Uaar
Software e plugin usati Autoprodotto
Addetto L’organizzatore dell’evento per conto di UAAR
Fornitore Nessuno
Valutazione Rischi (art. 35)  
Misure di sicurezza tecn. e org. I dati trattati per premi, concorsi, bandi o simili sono di norma quelli identificativi e di recapito per comunicazioni. Sono minimizzati, richiedendo cf per identificazione in caso di omonimia. Sono obbligatori per ovvii motivi gestionali.
I dati sono trattati per la durata dell’evento, fino ad un mese con strumenti ordinari. Poi, separati, permangono fino a due anni su memorie offline per finalità di autotutela giudiziaria e per rispondere a contestazioni. In casi documentati potranno essere trattati più a lungo.
L’uso di dispositivi personali non può essere vietato, ma limitato; si invita a usare dispositivi protetti indicando chiaramente come gestire password uniche, complesse, non condivise.
Chi partecipa alle iniziative pubbliche sa che in caso di premiazione i suoi dati saranno pubblicati e messi in relazioni alle finalità statutarie: gli interessati promuovono la pubblicaione delle loro testimonianze,
I dati trattati sono tipicamente pochi.
Per questi motivi il rischio è da valutarsi basso, salvo voler enfatizzare il collegamento con opinioni religiose prevalenti sull’aspetto artistico, magari per motivi politici congiunturali attualmente non sussistenti.
Note per audit Dati Personali:

Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità;

Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento;

il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione;

il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione;

I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.

Si applica la privacy policy pubblicata sul sito UAAR.
 
Mansioni Chi si occupa di questo trattamento dovrà:
—-
Il candidato fornisce i dati necessari all’identificazione e i recapiti per attribuire l’opera ed eventualmente la paternità
Il candidato consente a giurati e Uaar di gestire i dati per l’esecuzione di quanto previsto nel regolamento
il candidato può esprimere o ritirare il consenso tramite i canali indicato sul sito perchè i propri dati di contatto vengano dati a Uaar, soci e circoli che lo chiedano per finalità di collaborazione
il candidato autorizza la pubblicazione sul sito e canali di UAAR delle foto della premiazione
I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale. Più a lungo per motivi documentati solo per la stessa base giuridica e informativa fornita.
Si applica la privacy policy pubblicata sul sito UAAR
  Da implementare:
Modifiche  

Modelli di nomine e di documenti base

Aggiornato al 12.7.2018

  • Modello informativa su modulo contatti online
  • Modello nomina generale collaboratori
  • Modello di delega a terzi di trattamento di dati personali
  • Modello con il quale il cliente nomina l’azienda a trattare dati personali
  • Registro dei trattamenti
  • Condizioni generali di privacy

Modello informativa su modulo contatti online

Versione sintetica

I dati eventualmente forniti sono trattati informaticamente per le attività di assistenza pre, post e contrattuali. Si gode dei diritti ex artt. 13, da 15 a 22 e all’articolo 34, v. privacy policy (sul sito Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati).

Versione estesa

Uaar

è con la presente indicata quale titolare dei dati personali trattati in azienda.

Di tale informativa ex art. 13 GDPR (reg. UE 679 del 2016, v. Garanteprivacy.it) viene dato sintetico riferimento indicando il trattamento al momento della richiesta del consenso, segnalando che è disponibile sul sito Uaar.it nessundogma.it occhiopermille.it cerimonieuniche.it sbattezzati.it sbattezzo.it e domini di terzo livello collegati

I dati raccolti saranno utilizzati per le finalità di assistenza pre, post e contrattuale.

…. li, firma dell’interessato

Informativa:

Vengono trattati i dati anche nell’esecuzione pre, post e durante il contratto con i clienti finali nell’assistenza alla sottoscrizione delle forniture offerte dai terzi, ai quali vengono comunicati i dati per la sottoscrizione ed esecuzione del contratto. I dati sono quelli anagrafici, di recapito, di identificazione a mezzo documenti ufficiali.

ASSISTENZA il Titolare fornisce l’assistenza a richiestra tramite gli strumenti online e ai recapiti indicati.

DIRITTI: Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento).

NOTIFICA: In caso di data breach ex art.34 l’interessato riceverà comunicazione.

AZIONI: Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

CONTESTAZIONI: La mancata contestazione specifica, completa e documentata («messa in mora») dell’interessato che dovrà identificarsi (artt. 11 e 12) prima dell’azione verrà valutata ai fini della richiesta danni o del maggior costo che l’azione senza contestazione causa se non vi è motivo specifico per non effettuarla.

RICHIESTE: Le richieste manifestamente infondate o eccessive o ripetitive ex art.12 o in più copie (art. 15) sono valutate ai fini del contributo in 80 euro l’ora oltre oneri di legge.

FORMA: La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica. I dati saranno comunicati per via telematica alla casella pec comunicata dall’interessato, o in mancanza, ad altro recapito telematico.

SICUREZZA: Periodicamente vengono effettuati controlli di sicurezza, aggiornamenti del software, controlli dei dati e delle copie di sicurezza, simulazioni di richieste di accesso ai dati personali usando il modulo di richiesta messo a disposizione del Garante sul proprio sito.

Modello nomina generale collaboratori

Uaar

Nomina di chi ha accesso ai dati personali (Art. 29 Gdpr):

Nome:__________________

addetto al trattamento dei dati aziendali con le mansioni di cui al contratto che regola i rapporti tra le parti e agli incarichi successivamente conferiti.

A tal fine il Titolare fornisce le seguenti istruzioni che andranno aggiornate nel tempo:

  • rinnovare le credenziali (password) ai servizi utilizzati ogni tre mesi, al massimo ogni sei mesi; memorizzare le password in strumenti interni al browser o alla posta elettronica, proteggendole con ulteriore password; oppure usare Keepassxc per gestire tutte le password, senza appuntarle su carta;
  • salvare i dati ricevuti via email o servizi in rete su cartelle del computer e cancellare le email per non mantenere i dati online più tempo del necessario;
  • effettuare copie di sicurezza su dischi rigidi esterni da scollegare dopo aver effettuato le copie;
  • utilizzare antivirus e antimalware durante la navigazione online (ad esempio, per windows, ccleaner, hitman pro, malwarebytes (è un antimalware) e l’antivirus di Windows; analoghi per mac;
  • aggiornare il software del proprio pc e smartphone;
  • riporre la documentazione nell’archivio chiuso con serratura una volta cessata l’attivita’;
  • di ogni novità che riguarda il trattamento dati personali (nuovi operatori, nuovi fornitori, nuovi mandanti, nuovi contratti, aggiornamento software) si tenga un registro (excel, carta o altro) dove indicare in modo estremamente rapido e sintetico cosa sì è fatto e quali dati ha riguardato;
  • L’addetto riceverà istruzioni, o confermerà per iscritto, anche via email, eventuali istruzioni ricevute;
  • Le risorse informatiche date in uso al cliente saranno utilizzate solo per finalità e nell’interesse aziendale;
  • in caso di dubbio l’addetto dovrà richiedere istruzioni al titolare.

… li …. f.to titolare

f.to addetto

Modello di delega a terzi di trattamento di dati personali

Nomina di chi ha accesso ai dati personali (art. 28 Gdpr)

Uaar

nomina

_______________________________

per il trattamento di dati personali per le finalità relative al contratto stipulato.

Le attività saranno indicate almeno per iscritto (anche via email) e concordate di volta in volta.

Di esse ogni parte fornirà assistenza e collaborazione nell’esecuzione conforme al GDPR.

Le istruzioni documentate tra le parti saranno conservate in modo da integrare il registro dei trattamenti.

Eventuali sub fornitori andranno comunicati al titolare per l’approvazione.

L’art. 28 integra quanto non espressamente previsto:

  1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

  2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

  3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

  1. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

  2. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

  3. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

  4. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

  5. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

  6. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

  7. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Modello con il quale il cliente nomina l’azienda a trattare dati personali

Nota: basta anche una email trascritta nel registro dei trattamenti per i casi più semplici

Nomina di chi ha accesso ai dati personali (art. 28 Gdpr)

Nota: il presente accordo serve solo quando il Cliente delega a voi il trattamento di dati personali nelle finalità che il Cliente determina (es: richiesta di pulizia degli iscritti ad una newsletter o avviare una campagna per rinnovare il consenso). Negli altri casi è probabile che il cliente operi come titolare (es. per finalità contabili o esecuzione di contratti)

—nomecliente— (Cliente) di —comunecliente— —indirizzocliente —telcliente —emailcleente—

nomina Uaar

per il trattamento di dati personali per le finalità di:

  • [_] ….

Il Cliente è titolare dei dati personali trattati.

Le attività saranno indicate almeno per iscritto (anche via email) e concordate di volta in volta.

Di esse ogni parte fornirà assistenza e collaborazione nell’esecuzione conforme al GDPR.

Le istruzioni documentate tra le parti saranno conservate in modo da integrare il registro dei trattamenti.

Eventuali sub fornitori andranno comunicati al titolare per l’approvazione.

L’art. 28 integra quanto non espressamente previsto:

  1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

  2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

  3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

  1. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

  2. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

  3. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

  4. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

  5. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

  6. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

  7. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

—oggi— —nomecliente—

Per accettazione —nomeazienda—

Registro dei trattamenti

Il registro dei trattamenti è di fatto sempre obbligatorio (basta trattare dati personali non occasionalmente, e lo fanno tutti): è comunque l’unico modo che il Titolare ha per dimostrare l’attenzione ai dati personali, oltre all’audit (elenco delle risorse aziendali) da tenere aggiornato e la valutazione di rischio (dpia).

Si può tenere con un foglio di excel, oppure usando una casella di posta elettronica dedicata, o firmando il documento con firma elettronica, ad esempio registro@nomeazienda.it o privacy@nomeazienda.it. Alcuni suggeriscono una pec che garantisce la data. E’ possibile usare ogni strumenti di comunicazione interna.

Così facendo si avrebbero tutte le indicazioni automaticamente datate e archiviate.

Nel registro si devono indicare le attività che possono aiutare a ricostruire la storia dei trattamenti che i dati personali hanno subìto. Ad esempio si indicheranno:

  • nuovi addetti e fine del rapporto,
  • nuovi operatori e fine,
  • nuovi fornitori e fine,
  • nuovi mandanti e fine,
  • nuovi contratti e fine,
  • aggiornamento software,
  • copie di sicurezza,
  • aggiornamenti delle credenziali e password.

Potrete valutare con il tempo l’adozione di ulteriori misure: periodicamente valuterete se i rischi aumentano per quantita’, qualità o durata di trattamento.

Condizioni generali di privacy - Data Acceptable and Privacy Use Policy


Versione 1.2
Aggiornato al 12.7.2018

Uaar d’ora in avanti azienda.

 

 

1. Finalita’

 

 

Le presenti condizioni generali si applicano a tutte le lavorazioni al fine di chiarire il modo di adempiere alle obbligazioni tra le parti, contrattuali e non.

Le presenti condizioni si applicano nell’interpretare, eseguire e integrare quanto non espressamente pattuito diversamente.

Tra le parti si applicano le leggi e regolamenti vigenti che si applicano al contratto, e gli usi in materia. Salvo diverso accordo si applicano le leggi e la giurisdizione italiana.

Le presenti condizioni si applicano anche a tutti i collaboratori e fornitori che, a qualsiasi titolo, sono coinvolti nell’esecuzione degli accordi contrattuali tramite incarichi scritti o che fanno riferimento a detti accordi per il dettaglio delle attivita’.

2. Forma scritta

Ogni comunicazione telematica assolve la forma scritta per ogni finalità di legge. Espressamente questo adempie anche l’obbligo di documentare per iscritto le attività che impattino sui dati personali e la loro sicurezza, a qualsiasi titolo prestate.

Ogni richiesta orale verrà confermata tramite comunicazione telematica.

Le parti si potranno tenere in contatto tramite i canali da essi utilizzati. Le comunicazioni non urgenti verranno evase in orario lavorativo, quelle urgenti solo salvo accordi o per adempiere a specifici obblighi di legge.

3. Credenziali di accesso

Le credenziali di accesso sono scambiate con il cliente con le tecniche da lui indicate, preferibilmente usando strumenti crittografati e in mancanza dividendo le informazioni su più comunicazioni e più canali.

Azienda utilizza password manager per gestire le credenziali propri e dei clienti.

Ove possibile tecnicamente Azienda e i clienti utilizzeranno credenziali separate con monitoraggio degli accessi, e comunque tenendone traccia nei propri registri dei trattamenti.

Finita la prestazione le credenziali saranno disattivate o meglio cancellate a cura della parte che può farlo tecnicamente o di quella più diligente.

Pur potendo tecnicamente impersonare l’altra parte nei servizi online per ragioni di sviluppo e esecuzione dei contratti, ci si astiene dal farlo salvo diversa esplicita intesa.

Eventuali configurazioni di servizi o software saranno gestiti con analoga cura.

L’uso delle risorse per le quali vengono condivise le credenziali è consentito solo per finalità di sviluppo e adempimento contrattuale.

4. Comunicazioni e cooperazione

Le parti utilizzano strumenti informatici aziendali aggiornati, protetti e monitorati per motivi di sicurezza informatica.

L’utilizzo di servizi in rete (cloud, email, messaggeria) saranno scelti tra quelli usati dal cliente, suggerendo attenzione a non usare servizi che monitorano le comunicazioni.

Le parti useranno preferibilmente strumenti di comunicazione crittografata (telegram, pgp) e comunque quelli utilizzati dal cliente.

E’ vietato commentare in pubblico o in aree riservate l’altra parte con la quale si ha o si ha avuto un rapporto contrattuale.

Eventuali problemi che rientrino nel novero delle attività contrattualmente stabilite saranno segnalati all’altra parte e insieme si collaborerà alla soluzione, ognuno per quanto dovuto o opportuno.

5. NDA

Le parti possono citare per finalità di brochure, cv e simili di aver lavorato insieme, anche mostrando schermate, salvo diverso accordo.

Qualora le parti prendano accordi su informazioni confidenziali è onere del cliente precisare nel dettaglio e non in astratto quali sono le informazioni confidenziali scambiate.

Entrambe le parti si impegnano comunque a non divulgare informazioni sulle attività svolte tra di loro in modo che siano attribuibili inequivocamente ad una o più parti.

6. Diritti d’autore sui contenuti

Il cliente fornisce a Azienda i contenuti da pubblicare nei formati informatici più diffusi idonei alla loro destinazione, salvo diverso accordo espresso. In caso di richiesta, Azienda fornirà contenuti acquistati da stock, la cui fattura è sufficiente garanzia per il cliente anche in caso di danni, salvo richiesta di sostituzione.

7. Software di terze parti

La fornitura / installazione di software di terze parti va concordato prima di essere messo in produzione. L’elenco del software installato, e relative licenze, viene fornito separatamente o all’interno del software stesso (es. plugin WordPress).

8. Uso di risorse aziendali

Azienda utilizza risorse aziendali per la sola prestazione delle attività convenute. Le risorse sono assegnate alla cura del «buon padre di famiglia» di chi viene incaricato a cio’. Eventuali risorse personali (per telelavoro o smart working o simili) è consentito con credenziali dedicate e per singolo progetto, tenendone traccia nel registro delle attivita’.

Le risorse aziendali saranno usate esclusivamente per le mansioni richieste e concordate.

9. Registro delle attivita’

Le parti terranno aggiornato il proprio registro e collaboreranno in caso di data breach o richiesta degli interessati.

Di tutte le mansioni richieste verrà tenuta traccia scritta.

10. Regalie e comportamenti equivoci

Le parti concordano di non accettare regali senza il consenso di chi ha il potere di impegnare l’azienda.

11. Concorrenza

Si applicano le norme sul divieto di concorrenza sleale tra le parti.

12. Proprieta’

Azienda progetterà e/o svilupperà quanto e come concordato contrattualmente.

La cessione e concessione di diritti di sfruttamento, semplici o in esclusiva, così come la proprieta’, va regolata esplicitamente in funzione degli accordi commerciali in modo che non vi siano equivoci e per la durata convenuta.

Azienda inoltre potrà (per le piattaforme concordate) utilizzare, installare e fornire software di terzi, alla licenza da essi forniti, qualora opportuno e salvo accordo con il cliente.

In caso di contrasto le parti valuteranno se i diritti sono stati o meno oggetto di valutazione commerciale espressa.

13. Documentazione

La documentazione scambiata tra le parti sarà tenuta per finalità di ordinata tenuta della documentazione aziendale per tutta la durata prescritta dalle leggi in materia, anche a disposizione delle autorità di controllo.

14. Titolare dei dati

Il titolare dei dati si impegna a fornire le informazioni legali, documentali e operative per l’adempimento di quanto concordato tra le parti.

L’Azienda che scolge un incarico non è automaticamente responsabile se non viene concordato un trattamento descitto compiutamente e in base di mansioni ricevute.

In particolare il compimento di attività simili a quelle dell’amministratore di sistema non comportano delega al trattamento di dati non espressamente indicati, e comportano per il cliente l’obbligo di verificare l’attività svolta dall’amministratore di sistema.

Azienda comunque tratterà i dati eventualmente e non occasionalmente visti con la massima riservatezza.

15. Clausole penali

Clausole penali, confirmatorie e simili non si applicano se non sono esplicitamente convenute a seguito di trattativa, e oggetto di controprestazione economica.

16. Modifiche alle presenti condizioni.

Le presenti condizioni generali possono cambiare allo stesso modo in cui sono state pubblicate sulla apposita pagina internet aziendale, salvo tenuta delle versioni precedenti in archivi in locale o online.

E’ fatto salvo tra le parti accordarsi per iscritto in modo difforme. Ogni modifica tra le parti verrà concordata tuttavia prima di essere messa in atto e per iscritto.

Eventuali novità tecnologiche o normative comportano un obbligo di cooperazione e le nuove attività saranno oggetto di separati accordi.

17. Attività online

Per le attività online si applica anche la privacy disponibile sul sito.

Valutazione dei rischi

Versione semplificata proposta

Guida per valutare i rischi nel trattamento di dati personali

Si noti che per tutelarsi dai rischi lo strumento più idoneo è tenere aggiornato il registro dei trattamenti per tenere aggiornato l’audit e documentare come nel tempo sono stati tutelati i dati personali trattati o meno.

Valutazioni generali - checklist per valutare i singoli progetti con trattamento di dati personali

Compilare, prima di iniziare un nuovo progetto:

Analisi rischi -
Nome Trattamento -
Quali dati raccolti -
Quali trattamenti effettuati- -
Quale contesto -
Chi se ne occupa -
Quali strumenti -
Quali credenziali -
Da quali fonti arrivano i dati -
Durata o criteri -
Il consenso è documentabile -
Quali controlli su uso dei dati -
Dove sono memorizzati i dati -
Come sono trasmessi i dati -
Quali possibili violazioni -
Quali possibili conseguenze in caso di violazioni -
Quali possibili effetti per danni modificati, non aggiornati  
Quali misure tecniche sono state adottate -
Quali misure organizzative sono state adottate -
Quali procedure in caso di violazioni -
Costi -
Quale natura dei dati dati raccolti -
Come si esercitano i diritti -
Valutazione finale:
quanto è importante il rischio per i dati trattati ?
 

 

 

 

 

 

 

 


Nota:

 

 

 

 

 

 

 

  • La DPIA (prevedere cosa fare in caso di avveramento dei rischi) va realizzata solo se i rischi sono elevati.

DPIA Allegato 2 - Criteri per una valutazione d’impatto sulla protezione dei dati accettabile

Versione ufficiale

Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati:

  • [_] una descrizione sistematica del trattamento è fornita (articolo 35, paragrafo 7, lettera a)):
    • [_] la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione (considerando 90);
    • [_] vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
    • [_] viene fornita una descrizione funzionale del trattamento;
    • [_] sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
    • [_] si tiene conto del rispetto dei codici di condotta approvati (articolo 35, paragrafo 8);
  • [_] la necessità e la proporzionalità sono valutate (articolo 35, paragrafo 7, lettera b)):
    • [_] sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):
      • [_] misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
        • [_] finalità determinate, esplicite e legittime (articolo 5, paragrafo 1, lettera b));
        • [_] liceità del trattamento (articolo 6);
        • [_] dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5, paragrafo 1, lettera c));
        • [_] limitazione della conservazione (articolo 5, paragrafo 1, lettera e));
      • [_] misure che contribuiscono ai diritti degli interessati:
        • [_] informazioni fornite all’interessato (articoli 12, 13 e 14);
        • [_] diritto di accesso e portabilità dei dati (articoli 15 e 20);
        • [_] diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
        • [_] diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
        • [_] rapporti con i responsabili del trattamento (articolo 28);
        • [_] garanzie riguardanti trattamenti internazionali (capo V);
        • [_] consultazione preventiva (articolo 36).
  • [_] i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35, paragrafo 7 lettera c)):
    • [_] l’origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
      • [_] si considerano le fonti di rischio (considerando 90);
      • [_] sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
      • [_] sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
      • [_] sono stimate la probabilità e la gravità (considerando 90);
      • [_] sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 90);
  • [_] le parti interessate sono coinvolte:
    • [_] si consulta il responsabile della protezione dei dati (articolo 35, paragrafo 2);
    • [_] si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35, paragrafo 9).

Cosa dice la normativa su rischi e valutazione d’impatto (DPIA)

Gli articoli e i considerando in materia di rischi e valutazione d’impatto.

Quali dati, quale finalita’

L’attività di sviluppo siti e gestione presenza online tocca:

  • credenziali di accesso a risorse online
  • gestione email
  • gestione risorse remote (cloud)
  • utilizzo di servizi di terzi per finalità di marketing

In linea di massima ogni richiesta viene effettuata via email, o può essere confermata via email da chi la riceve telefonicamente («Ti confermo che ho realizzato … come richiesto»).

Qualora le finalità siano evidentemente contra legem sarà necessario comunicare al cliente che non è opportuno procedere. Tuttavia è onere del cliente comunicare che ha raccolto i consensi e effettuato quanto previsto dalla normativa. Nel dubbio (se non previsto contrattualmente), meglio ricordarglielo per evitare che vi ritenga delegati e quindi responsabili.

I compiti di sviluppo non configurano una delega.

I compiti di gestione potrebbero configurare una delega.

Il semplice accesso occasionale a dati non è trattamento. L’uso di credenziali di amministrazione impone il monitoraggio degli accessi permanente degli accessi degli amministratori da parte del titolare (v. «linee guida amministratori di sistema» in quanto applicabili).

  • verifica dei rischi insiti ai dati
  • verifica dei rischi insiti ai collaboratori
  • verifica dei rischi insiti ai clienti
  • verifica dei rischi insiti ai fornitori
  • verifica dei rischi insiti agli strumenti
  • verifica dei rischi insiti alla struttura
  • verifica dei rischi insiti alla natura dei dati conferiti
  • verifica dei rischi insiti alle possibile conseguenze per i titolari ipotizzando diversi tipi di violazioni e diversi danni ai dati
  • audit privacy by design e default:
  • consenso libero, lecito, informato, base giuridica
  • dati minimizzati, anonimizzati, cifrati, pseudoniminizzati
  • utilizzo di strumenti di verifica di violazioni
  • procedure per affrontare le violazioni
  • identificare le misure tecniche utilizzate
  • identificare le misure organizzative utilizzate

 

Fonti

Deve essere fatta da tutti all’inizio dei un trattamento.

I rischi non sono (solo) quelli dell’impresa, ma quelli per gli interessati. Gli articoli interessati sono il 25, 32 e 35 e di solito sono affrontati dagli esperti di sicurezza in contesti «importanti».

  • art. 25: privacy by design e by default
  • art. 32: sicurezza del trattamento
  • art. 35: dpia

E i considerando:

  • 74
  • 75
  • 76

Seguono gli articoli della normativa per valutare alla fonte le richieste.

Gli articoli sono stati espansi per poter leggere tutte le condizioni richieste.

Pur essendo numerose si deve ricordare che vanno adottate solo quelle necessarie al contesto, caso per caso.

La fonte più concreta: https://ico.org.uk/for-organisations/business/guide-to-the-general-data-…

Enisa, l’ente europeo che si occupa di sicurezza, offre un documento la cui complessità lo rende inapplicabile dai piccoli https://www.enisa.europa.eu/publications/handbook-on-security-of-persona…

Infine l’aurorità spagnola che con le sue 42 pagine dettagliate e pratiche è la più concreta: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common…

GDPR e analisi dei rischi e delle valutazioni d’impatto

Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

  1. Tenendo conto

    1. dello stato dell’arte e
    2. dei costi di attuazione,
    3. nonché della natura,
    4. dell’ambito di applicazione, del contesto e
    5. delle finalità del trattamento, come anche
    6. dei rischi aventi probabilità e
    7. gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento,
    8. sia al momento di determinare i mezzi del trattamento
    9. sia all’atto del trattamento stesso il titolare del trattamento
    10. mette in atto misure tecniche
    11. e organizzative adeguate,
    12. quali la pseudonimizzazione,
    13. volte ad attuare in modo efficace i principi di protezione dei dati,
    14. quali la minimizzazione, e a
    15. integrare nel trattamento le necessarie garanzie

    al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

  2. Il titolare del trattamento
    1. mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati,
    2. per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
    3. Tale obbligo vale per la quantità dei dati personali raccolti,
    4. la portata del trattamento,
    5. il periodo di conservazione e
    6. l’accessibilità.
    7. In particolare, dette misure garantiscono che, per impostazione predefinita,
    8. non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Articolo 32 Sicurezza del trattamento

  1. Tenendo conto

    • [_] dello stato dell’arte e
    • [_] dei costi di attuazione, nonché
    • [_] della natura,
    • [_] dell’oggetto,
    • [_] del contesto e
    • [_] delle finalità del trattamento, come anche
    • [_] del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche,

    il titolare del trattamento e il responsabile del trattamento mettono in atto

    • [_] misure tecniche e
    • [_] organizzative adeguate per garantire un
    • [_] livello di sicurezza adeguato al rischio,

    che comprendono, tra le altre, se del caso:

    a) [_] la pseudonimizzazione e la 
    - [_] cifratura dei dati personali;
    
    b) [_] la capacità di assicurare su base permanente 
    - [_] la riservatezza, 
    - [_] l'integrità, 
    - [_] la disponibilità e la 
    - [_] resilienza dei sistemi e dei servizi di trattamento;
    
    c) [_] la capacità di ripristinare tempestivamente la disponibilità e 
    - [_] l'accesso dei dati personali in caso di 
    - [_] incidente fisico o tecnico;
    
    d) una procedura per 
    - [_] testare, 
    - [_] verificare e 
    - [_] valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
    
  2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare

    • [_] dalla distruzione,
    • [_] dalla perdita,
    • [_] dalla modifica,
    • [_] dalla divulgazione non autorizzata o,
    • [_] dall’accesso,
  3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

  4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Articolo 35 Valutazione d’impatto sulla protezione dei dati

  1. Quando un tipo di trattamento, allorché prevede in particolare
    • [_] l’uso di nuove tecnologie,
    • [_] considerati la natura,
    • [_] l’oggetto,
    • [_] il contesto e
    • [_] le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
  2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

  3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

    a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

    b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

    c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

  4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

  5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.

  6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

  7. La valutazione contiene almeno:

    a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

    b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

    c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

    d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

  8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

  9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

  10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

  11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Considerando

(74) I rischi

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.

In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto

  • [_] misure adeguate ed
  • [_] efficaci ed essere in grado di dimostrare
  • [_] la conformità delle attività di trattamento con il presente regolamento, compresa
  • [_] l’efficacia delle misure.

Tali misure dovrebbero tener conto della

  • [_] natura,
  • [_] dell’ambito di applicazione,
  • [_] del contesto e
  • [_] delle finalità del trattamento, nonché
  • [_] del rischio per i diritti e le libertà delle persone fisiche.

(75) I rischi

  • [_] per i diritti e le libertà delle persone fisiche, aventi
  • [_] probabilità e
  • [_] gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare
  • [_] un danno fisico, materiale o immateriale,

in particolare: se il trattamento può comportare

  • [_] discriminazioni,
  • [_] furto o usurpazione d’identità,
  • [_] perdite finanziarie,
  • [_] pregiudizio alla reputazione,
  • [_] perdita di riservatezza dei dati personali protetti da segreto professionale,
  • [_] decifratura non autorizzata della pseudonimizzazione, o
  • [_] qualsiasi altro danno economico o sociale significativo;

se gli interessati rischiano di essere

  • [_] privati dei loro diritti e delle loro libertà o venga loro
  • [_] impedito l’esercizio del controllo sui dati personali che li riguardano;

se sono trattati dati personali che rivelano

  • [_] l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di
  • [_] aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;

se sono trattati dati personali di

  • [_] persone fisiche vulnerabili, in particolare minori;

se il trattamento riguarda

  • [_] una notevole quantità di dati personali e
  • [_] un vasto numero di interessati.

(76) Rischi

  • [_] La probabilità e
  • [_] la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla
  • [_] natura,
  • [_] all’ambito di applicazione,
  • [_] al contesto e
  • [_] alle finalità del trattamento.

Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano

  • [_] un rischio o
  • [_] un rischio elevato.