Ari ciao a tutti...

dovrei colmare qualche piccolo (grande) buco sulla privacy...
ho letto un pò in giro però magari un piccolo riassuntino non mi farebbe male...

in poche parole...
sul sito devo dare una informativa sulla privacy... chi è il custode del dati ecc.... dove è possibile reperire diciamo una pagina gia fatta a cui mettere il nome della mia ditta ecc...mi pare (non vorrei sbagliarmi) che bene o male siano tutte uguali...

devo comunicare qualcosa al garante? devo raccogliere i dati in qualche posto?

devo compilare, firmare qualcosa da dare a qualcuno?

insomma...un pò tutto..

grassie...

La settimana prossima vedo di fornire una mini-guida in merito; mi ero già ripromesso di farlo in passato ma poi non c'è mai stato tempo :P

Nel frattempo incollo un paio di link utili:
http://www.consulentiprivacy.it
http://www.privacylab.it

grazie tante....

non per metterti fretta...ma visto che vorrei completare sto benedetto sito in settimana essere sicuro di non fare cazz...te

ho letto un po sui siti...
visto che non tratto dati sensibili (l'anagrafica mi pare non rientri tra di essi) non devo fare la notifica del dps al garante....giusto? quindi non ho da fare nessuna comunicazione a nessuno...di nuovo giusto?

devo invece scrivere quella paginetta con l'informativa della privacy...e ogni cliente che mi da i suoi dati deve dare il consenso al trattamento dei dati....di questo sono sicuro...

questa informativa che devo scrivere sul mio sito la posso prendere da qualche parte ? (in tutti i siti sono piu o meno uguali)

per i dati registrati suo mio software e-commerce ci sono problemi? li devo registrate su supporti (dischetti ecc) o fare qualcosa di particolare?

grazie di nuovo...e scusami per la fretta ehehehehehe

http://www.altalex.com/index.php?idnot=6869

qui invece mi dice che il dps è obbligatorio anche se i dati non sono sensibili....

:-?

Ciao ragazzi,
allora, vediamo di chiarirci. DPS e Informativa sono 2 cose diverse, che riguardano lo stesso aspetto, la tutela della privacy.
Il DPS, o Documento Programmatico sulla Sicurezza è un manuale di pianificazione della sicurezza dei dati in azienda ed è obbligatorio per ogni azienda e dev'essere redatto entro il 31 Dicembre p.v. La sua compilazione non è così semplice, e dovrebbe essere redatto dunque da un esperto o dal vostro avvocato.
L'informativa, anch'essa obbligatoria, è invece più semplice, ma per essere a norma (non costa nulla, tanto vale farlo) la L.675/96 prevede che "Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge e' tenuto a darne notificazione al Garante."
La notifica che invii al garante (sottoscritta dal notificante e dal responsabile del trattamento, che possono anche essere la stessa persona) deve contenere:
a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare;
b) le finalita' e modalita' del trattamento;
c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono;
d) l'ambito di comunicazione e di diffusione dei dati;
e) i trasferimenti di dati previsti verso Paesi non appartenenti all'Unione europea o, qualora riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;
f) una descrizione generale che permetta di valutare l'adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;
g) l'indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonche' l'eventuale connessione con altri trattamenti o banche di dati, anche fuori dal territorio nazionale;
h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del responsabile; in mancanza di tale indicazione si considera responsabile il notificante;
i) la qualita' e la legittimazione del notificante.

L'informativa invece deve contenere i seguenti dati.
Ti ripordo di seguito i punti che inserisco quando realizzo una informativa per un cliente, e qualche consiglio, in modo che tu possa redigerla senza rivolgerti ad un professionista:
1) le finalita' e le modalita' del trattamento (ti consiglio di inserire come finalità: statistiche sull’uso del sito, accertamento di eventuali responsabilità, accesso, monitoraggio, marketing. Come modalità invece puoi inserire, oltre ai dati tecnici come il tipo di database e SO, che "I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati, come previsto dalla legge")
2) le conseguenze di un eventuale rifiuto ("Il mancato conferimento dei dati o il diniego del consenso al loro trattamento degli stessi può comportare l’impossibilità di ottenere la registrazione e, quindi, il servizio richiesto dall’utente ecc ecc")
3) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi (ciè che i dati personali degli utenti “registrati” potranno essere comunicati a soggetti terzi che forniscono i beni di questo o quel tipo e comunque, entro il limite delle finalità del trattamento sopra descritte, oppure puoi scrivere a terzi che svolgono attività di analisi dei dati a fini statistici)
4) i diritti di cui all'articolo 13 (e ti copi per esteso l'articolo 13 della 675/96, modificandolo dove devi)
5) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile. (beh... questo è semplice)

Non dimenticare infine le informative per la tutela dei consumatori, ma visto che non le hai richieste spero tu le abbia già prese in considerazione.

Spero di esserti stato utile. E spero di essere stato chiaro, ma... non rileggo, è troppo lungo ed ho sonno... Buonanotte... :P
Fammi sapere.
Ciao

Nino

Ciao ragazzi,
allora, vediamo di chiarirci


Hemm.... appunto, vediamo di chiarirci: la 675/96 è stata abrogata (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1115742323)... :-?

Forse meglio parlare del Decreto legislativo 30 giugno 2003, n. 196 (http://www.interlex.it/testi/dlg03196.htm)? ;)

]


Hemm.... appunto, vediamo di chiarirci: la 675/96 è stata abrogata (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1115742323)...   :-?

Forse meglio parlare del Decreto legislativo 30 giugno 2003, n. 196 (http://www.interlex.it/testi/dlg03196.htm)?  ;)


Ale'....
non ci sono piu' i consulenti legali di una volta :-)

Certo,
vero Ale e vero Daniela,
non posso di certo pretendere la ragione visto che tecnicamente parlando è il 196 il TU da riportare (Alessio, posso assumerti ;) ), ma qui ad Agiconsul facciamo sempre rferimento alla 675 (il 196 è in realtà un TU, e raggruppa con qualche modifica le normative precedenti), che consideriamo più cautelativa per il cliente. Riguardo all' informativa, lo standard è identico, mentre per la notifica al garante, si potrebbe anche evitare, ma una raccomandata, o (meglio) un PEC non costa nulla e soddisfa la fattispecie prevista dall'art. 37 comma a (dati generici) del Decreto legislativo 196/03 e come profilassi la inviamo al garante (a meno che come da Delibera 1/04 del Garante, non sia un trattamento non sistematico, cosa comunque rara nel commercio elettronico).
Saluti.

Nino

Certo,
ma qui ad Agiconsul facciamo sempre rferimento alla 675 (il 196 è in realtà un TU, e raggruppa con qualche modifica le normative precedenti), che consideriamo più cautelativa per il cliente.
Nino

NOn sono d'accordo
se una legge e' stata abrogata non esiste piu'.
E' errato e forviante fare riferimento ad una legge abrogata x facilitare le cose ai clienti.

ma non siete i soli a sbagliare

Anche banca sella fa ancora riferimento alla vecchia legge.... eppure gliel'ho segnalato piu' volte.
Si vede che son troppo presi da altro.

Salve Nino,
noto con piacere che hai già avuto il nostro "benvenuto"  ;)
Come avrai capito  questo è un forum dedicato a tutti coloro che sono interessati all'e-com soprattutto in veste di merchant e pertanto sono sempre ben accetti consigli e utili link a tutto quello che è normativa, burocrazia, finanza, logistica ... insomma tutto quello che esula il core di noi "piccoli bottegai"
Del resto vorrei farti presente che questo non è ... e non vuole essere un portale di giuristi o di opinionisti sulle leggi, le abrogazioni, i testi unici e tutto quel casino che io chiamo amabilmente "le discussioni sul sesso degli angeli" ::)  ma semplicemnte una pratica, facile e sicuramente non esaustiva "guida" - un faro nella notte dei merchant che ti assicuro stanno al vero buio - x avviare un e-commerce attenendosi a tutte le normative e cercando di non prendere abbagli o sòle (ahimè alquanto difficile di questi tempi) .
Pertanto, e qui concludo, faccio solo un paio di appunti:
1- parla come mangi  (e a buon intenditor poche parole  ;))
2- visto che ne sai più di molti qui dentro .... non incasinargli la vita e fai riferimento a ciò a cui dovrebbero tutti attenersi ovvero le normative correnti e vigenti
a presto
Flavia

Grazie Flavia,
terrò di certo conto dei tuoi consigli, e mi scuso se ho confuso :) . Ma il mio voleva essere un esempio pratico di come redigere il tutto, infatti ho tentato anche di inserire esempi e "parole" da inserire nell'informativa.
Comunque ti riporto qui una parte del post che ho inviato ad Angelo per farti capire che in un certo qual modo sono interessato all'argomento:

"la mia passione per l'e-commerce è un po' deviata rispetto alla vostra, ho fatto una pubblicazione su metodi di pagamento alternativi (come i dealer, prima che diventassero quello che poi sono diventati), sto facendo un libro sulla responsabiltà dei webmaster e stiamo mettendo su con AGICONSUL di Confindustria (Asscociazione Giuristi e Consulenti Legali) una forma di e-commerce un po' particolare, vendiamo online servizi legali di consulenza. Ovviamente nn inserisco nè link, nè altro, lungi da me l'essere qui per procacciarmi affari."

Se non mi volete vado via :'( , volevo solo aiutare partol...
Ovviamente scherzo... ;D
Saluti e grazie dell'intervento e dell'opportunità. :)
Sperando di esserti prima o poi utile.

Nino

stiamo mettendo su con AGICONSUL di Confindustria (Asscociazione Giuristi e Consulenti Legali) una forma di e-commerce un po' particolare, vendiamo online servizi legali di consulenza.

Perche' definisci "un po' particolare" la vendita di servizi?
Ci stai facendo immaginare cose loschissime :-)

cmq benvenuto e scusa l'accoglienza... hai superato la prova alla grande :)

Comunque ti riporto qui una parte del post che ho inviato ad Angelo per farti capire che in un certo qual modo sono interessato all'argomento: Sono io l'Angelo ???? ;), perchè in tal caso non mi è arrivato nulla :D

ciaooooooooooooooooooo

Cara Dani (ti chiamo così, ormai siamo in confidenza ;) ),
per particolare intendo diverso dall'e-commerce tradizionale, noi vendiamo ad abbonamento ad es., non abbiamo necessità logistiche ecc ecc ecc
Ma a parte questo, te l'ho detto ho fatto pubblicazioni su forme di pagamento alternative, anchese ormai obsolete (ci evolviamo n fretta, lo sai meglio di me...).
Beh... di losco... mmm... magari spaccio droga ed armi online... sarebbe un ottimo affare, magari da uno di quei paradisi fiscali lì nell'oceano pacifico... ci penso... se sei interessata fammi sapere ;)
Un solare buon pomeriggio e buon lavoro.
Ciao

Nino

per particolare intendo diverso dall'e-commerce tradizionale, noi vendiamo ad abbonamento ad es., non abbiamo necessità logistiche ecc ecc ecc Bhe ... in America vendono servizi in abbonamento così da anni, quindi ritengo che rientri in un normale sistema di E-C e non tanto particolare. ;)

Ciaooooo

Cara Dani (ti chiamo così, ormai siamo in confidenza ;) ),
per particolare intendo diverso dall'e-commerce tradizionale, noi vendiamo ad abbonamento ad es., non abbiamo necessità logistiche ecc ecc ecc



Ciao Nino e benvenuto, non si tratta di un E-Com strano ma semplicenmente di Commercio Elettronico Diretto come quello ad esempio di Alessio (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?action=viewprofile;username=OkPrezzi).
Ma putroppo il commercio elettronico spesso viene inteso Solo Commercio Elettronico Indiretto.

Ciao

Sèvero

Grazie Angelo, grazie Sèvero, allora sono ben più lieto di sentirmi uno di Voi.
A presto.
Nino

grazie per le risposte....

ma non è che sia cambiata molto la mia situazione! ;D

ok per l'informativa da appiccicare sul sito...

ma questa comunicazione al garante che consigli di fare...non è che ne fornisci una come schema da usare e noi belli belli la compiliano?
più che altro perche vorrei evitare di spendere ancora soldi soldi soldi... uff...non sono mica una banca :'(

commerciante mode on:
tu che sei del mestiere...vedila magari come una pubblicità, una promozione verso futuri clienti, una fidelizzazione e un marketing messo insieme... non è che ci aiuti a fare sta benedetta guida punto per punto su cosa fare, cosa comunicare, come fare, come comunicare....ecc.... noi ti ringrazieremo e almeno nel mio caso lo sconto è assicurato per i miei prodotti
commerciante mode off

:)
no perchè veramente al di là dell'informativa io non ho mica capito cosa devo fare, in che tempi, e con che costi obbligatori (spero nessuno)

spero che una mano me la dai...

grazie

:)

Patrol hai la firma digitale?

no....

perchè?

Per l'invio telematico.
Di dove sei?

remota sicilia...

azz ma è così complicato volersi mettere in regola? :'(

Patrol allora il discorso è questo.
Una delle principali semplificazioni introdotte dal D.Lgs. n. 196 del 30-6-2003 riguarda proprio l’adempimento della notificazione al Garante. Mentre con l’originale impianto della legge 675/96 dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l’impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata.
Tra questi si include il caso di trattamenti "effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a ... ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali...".
Devi solo valutare quali dati richiedi a chi si registra al tuo sito.
Ma oltre alle norme in vigore, c'è anche un'altro lato della questione: la prassi. La prassi è un fattore giuridicamente rilevante, di cui comunque si tiene conto. E la prassi è la quasi assoluta desuetudine di notificare per i siti di e-commerce.
La notificazione costa intorno alle 170 euro (se ti rivolgi ad un intermediario convenzionato).
L'ultima cosa che posso dirti è che c'era una convenzione con le Poste Italiane uffici Pt business che prevedevano il disbrigo di queste pratiche.
Un ultima dritta: io così su due piedi mi sentirei di escluderla ;)
Buona fortuna.
Spero di esserti stato utile.

[quote author=Polimeni link=1133371816/0#22 date=1133470520]  Mentre con l’originale impianto della legge 675/96 dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l’impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata.

quindi...se ho capito bene (corregimi se sbaglio) se io raccolgo dati quali nome, cognome, indirizzo, numero di telefono, e altri pochi dati per poter effetuare un ordine ed evaderlo...io dovrei andare a fare la notifica?? :-?

però la prassi è che nessuno la fa...giusto anche questo?

tralascio il discorso 170 euro... :o (azz)

http://www.garanteprivacy.it/garante/doc.jsp?ID=852561

DELIBERA

A) di sottrarre all’obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del d.lg. 30 giugno 2003, n. 196:

(....)

6) con riferimento ai casi di cui al comma 1, lett. f), i trattamenti di dati personali:

a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque;

b) registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato;

c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza;

d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni;

e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio;

f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all’esclusivo fine di prestare l’attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi");


correggetemi se sbaglio...qui dice che non si ha l'obbligo di notifica se noi usiamo i dati personali proprio a fini dell' ordine eccc....

dico bene?

dici bene

e ancora:

Non devono essere quindi notificati i trattamenti di dati effettuati al solo fine di:

a) fornire all’interessato beni, prestazioni o servizi, con l’ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all’invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;

b) verificare l’identità o il profilo di autorizzazione di utenti o incaricati, nell’ambito di sistemi di autenticazione informatica o di autorizzazione per l’accesso a dati o sistemi (ad esempio, per accedere ad una banca di dati personali o a determinati contenuti di un sito web). Anche in questo caso, se sono trattati dati biometrici la notificazione è necessaria (art. 37, comma 1, lett. a));

c) registrare gli accessi ad un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o di elaborazione statistica in forma anonima.


e ancora:

In riferimento ai casi indicati nel provvedimento n. 1/2004 del Garante, si ritiene utile infine precisare che:


b) i trattamenti relativi alla fornitura di beni, prestazioni o servizi (ad esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti contabili o fiscali, e che non devono essere notificati in base al provvedimento n. 1/2004 (punto 6, lett. b)), riguardano anche dati di cui sia necessario il trattamento in sede pre-contrattuale;

"quali dati per poter effetuare un ordine ed evaderlo" esatto, è proprio quello a cui mi riferivo per "Devi solo valutare quali dati richiedi a chi si registra al tuo sito".
Se non li usi per: "ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali" e hai una "banca di dati utilizzata in rapporti di fornitura di beni" allora non hai l'obbligo della notifica.
Saluti

Nino

ok grazie...piano piano risolviavo qualche problema...

ok per l'informativa e ok per la notifica...

ora il dps...questo è obbligatorio per tutti o anche qui non è necessario?

A me hanno insegnato che il DPS è obbligatorio solo in caso di trattamento dati sensibili (non solo dei clienti)

Qui c'è molta interpretazione.
Intanto ricordiamo che la redazione del DPS è una "misura minima", prevista dall’Allegato B della solita legge. Sebbene il Garante stesso espliciti che "deve essere ora adottato dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici", grandi personaggi dell'ambiente giuridico informatico, nelle loro interpretazioni, sostengono che la nuova legge costringa tutti a elaborare il DPS.
Ti riporto un intervento conclusivo della Frediani: "nell'incertezza è giusto forse rischiare le pesanti sanzioni previste dal legislatore in caso di violazione dell'obbligo di adozione di misure minime di sicurezza (arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro ex art. 169 del Codice)?"
Sul tema trovi anche materiale interpretativo sul sito dello SCINT (la più importante corrente giuridico informatica insieme al CSIG).
Ti riporto qualche altra frase saliente: "non esclude l'obbligo generale di redazione del DPS in caso di trattamento elettronico di dati comuni" (sempre FREDIANI)
oppure il mio grande amico LISI: "Con la nuova normativa può dirsi pertanto che il DPS vada redatto obbligatoriamente solo nell’ipotesi di trattamento di qualsiasi tipo di dati effettuato con strumenti elettronici".
Sono teorie, ancora non ci sono ovviamente state sentenze e decisioni sul merito che ci dicano come la pensi lo Stato.
Vero è anche che la prassi anche qui, vede più che una desuetudine, una intenzione di massa a non redigerlo.
L'unica cosa che posso dirti è che io personalmente lo farò.
Ciao

Nino

e anche questo deve essere mandato al garante telematicamente (quindi soldi e soldi)
o lo dobbiamo compilare e tenere per noi e magari risparmiando quei soldi?

è difficile farselo da soli?

La linea di pensiero "meglio aver paura che buscarne" mi trova poco d'accordo.

Come dire che non mi compro una macchina che fa i 200 km/h perchè altrimenti mi fanno la multa, visto che in autostrada potrò tenere al massimo i 130.


Il 31 dicembre 2004 scadono i termini per:

1. l'adeguamento da parte delle aziende private e delle amministrazioni pubbliche alle misure minime di sicurezza per la protezione dei dati personali.


2. la stesura obbligatoria per chi tratta dati sensibili o giudiziari con strumenti elettronici, del Documento Programmatico sulla Sicurezza (DPSS), che deve prevedere l'analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l'accesso abusivo e la dispersione.

Se non tratto dati sensibili o giudiziari, non vedo perchè dovrei comunque provvedere alla stesura del DPSS.

Secondo me basta essere certi di non trattare dati sensibili o giudiziari con strumenti elettronici, ci sono anche degli utili strumento online per fare una sommaria verifica...

e anche questo deve essere mandato al garante telematicamente (quindi soldi e soldi)
o lo dobbiamo compilare e tenere per noi e magari risparmiando quei soldi?

è difficile farselo da soli?

Sinceramente non saprei... visto che non trattiamo dati sensibili o giudiziari con strumenti elettronici credo proprio che non lo faremo ;)

Magari poi incapperò in uno zelante poliziotto che vedendo la mia macchina parcheggiata mi appiopperà una multa per eccesso di velocità poichè con quella non posso circolare ai 200 in autostrada, ma a quel punto ce la giochiamo in tribunale! ;D

beh Ale, si sono d'accordo con te, ma così su due piedi non mi sento di sottovalutare le idee di professoroni come l'avv. Lisi che non sta di certo a me presentarlo, con la sua esperienza e la nomina di essere il numero uno in Italia nell'ambito...
Leggi qui: http://www.altalex.com/index.php?idnot=6869

Ciao

non facciamo del terroriso gratuito.
Già i merchant brancolano nel buio giudiziario e sarebbe opportuno non spegnere quelle poche lampada accese.

Se il merchant non tratta dati sensibili o giudiziari, non profila gli utentietc.. o meglio utilizza i soli dati necessari per completare l'ordine e per la spedizione, NON è tenuto  a redigere alcun DPS.

E' anche stato fatto notare (giustamente) che ancora ci si muove per teorie e interpretazioni e che si è in attesa delle circolari esplicative.


Ti riporto un intervento conclusivo della Frediani: "nell'incertezza è giusto forse rischiare le pesanti sanzioni previste dal legislatore in caso di violazione dell'obbligo di adozione di misure minime di sicurezza (arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro ex art. 169 del Codice)?"

Questo invece è un approccio che non condivido affatto. Anzi.. detto così sempra più una comunicazione "commerciale" che una parere legale. Mi suona più o meno così: "cari merchant.. affidatevi a noi che vi facciamo il DPS e facciamo le comunicazioni.. prezzi modici e comunque inferiori alle 'pesanti sanzioni' che rischiereste a causa dell'incertezza interpretativa"
Considerando proprio che redigere il DPS e fare la comunicazione ha un costo, direi che l'incertezza non è ammessa e che la legge debba essere interpretata in modo non sfavorevole al merchant.

Immaginatevi una situazione dove un alto numero di merchant, nell'incertezza, non abbiano redatto il DPS... secondo voi una sanzione di massa sarebbe uno scenario plausibile?

]A me hanno insegnato che il DPS è obbligatorio solo in caso di trattamento dati sensibili (non solo dei clienti)

il personale ad esempio...

]

il personale ad esempio...

Esatto (ma anche soci, fornitori, etc), chi ha del personale dipendente quasi sicuramente tratta dati sensibili: nel 730 il famoso "otto per mille" è considerarsi preferenza religiosa, o semplicemente le "presenze" che vengono inviate a chi si occupa delle buste paga (sono dati riguardanti lo stato di salute) :P

]

Se il merchant non tratta dati sensibili o giudiziari, non profila gli utentietc.. o meglio utilizza i soli dati necessari per completare l'ordine e per la spedizione, NON è tenuto  a redigere alcun DPS.

Dio ti ringrazio.....dopo due giorni che leggo di leggi e leggine la prima frase che ho capito è questa. Scherzi (ma non troppo) a parte, quindi in parole povere per quanto riguarda la privacy è sufficiente stendere la solita paginetta informativa dove si avvisa l'utente (almeno nel mio caso) che i suoi dati personali non verranno comunicati a terze parti per nessun motivo ed hanno come unico scopo la corretta gestione degli ordini e delle spedizioni ? Scusate se parlo "rasoterra", ma è che tutto questo nel manuale "Impara l'aramaico in 24 ore" non era spiegato, ed ora sono letteralmente in crisi. ;D

Dio ti ringrazio.....dopo due giorni che leggo di leggi e leggine la prima frase che ho capito è questa. Scherzi (ma non troppo) a parte, quindi in parole povere per quanto riguarda la privacy è sufficiente stendere la solita paginetta informativa dove si avvisa l'utente (almeno nel mio caso) che i suoi dati personali non verranno comunicati a terze parti per nessun motivo ed hanno come unico scopo la corretta gestione degli ordini e delle spedizioni ? Scusate se parlo "rasoterra", ma è che tutto questo nel manuale "Impara l'aramaico in 24 ore" non era spiegato, ed ora sono letteralmente in crisi. ;D

Mi dispiace deluderti ma non sarà così semplice. :'(

Sarà indispensabile eseguire il trattamento con un ordine cronologico ben preciso (casa che fino ad ora non viene fatto quasi mai):

informativa --poi--> consenso --poi--> raccolta dati

Quindi sarà necessario prima fornire l’informativa, poi ottenere il consenso e solo dopo procedere con la raccolta e trattamento dei dati.

L’informativa dovrà prendere in esame alcuni importanti punti:
- Finalità e modalità dell’informativa
- Distinzione della natura obbligatoria e facoltativa del conferimento dei dati.
- Conseguenze dell’eventuale rifiuto a fornire i dati richiesti.
- Indicazione dei soggetti che verranno a conoscenza dei dati.
- Indicazione del titolare responsabile di tali dati.
- Allegato dell’art.7 (non obbligatorio ma consigliato).

Di conseguenza il consenso al trattamento dei dati dall’interessato dovrà essere:
- Ottenuto dopo la ricezione dell’informativa.
- Espresso liberamente per scritto.
- Può essere parziale (ad esempio l’interessato può rifiutare la ricezione di materiale pubblicitario, limitando l’uso dei dati alla conclusione di un acquisto).

L'interessato che ci richiede dei chiarimenti (ad esempio in seguito ad una nostra e-mail) ha il diritto di:
- Conoscere l’origine dei dati (come sono stati raccolti).
- Conoscere la finalità della raccolta (la motivazione di tale raccolta).
- Conoscere l’identità del titolare o dei titolari responsabili del trattamento dei dati (chi conserva i dati).
- Chiederne l’aggiornamento, rettifica, integrazione, cancellazione, etc.

In azienda si distingueranno le figure di "titolare", "responsabile" ed "incaricato" (anche se possono coincidere), con tutto ciò che ne consegue in termini di responsabilità e nomine varie.

Altro fattore importante sono le "misure minime"...

Insomma, non è una cosa impossibile ma c'è da stare attenti ;)

Mi dispiace deluderti ma non sarà così semplice.  :'(

Sarà indispensabile eseguire il trattamento con un ordine cronologico ben preciso (casa che fino ad ora non viene fatto quasi mai):

informativa --poi--> consenso --poi--> raccolta dati

Sì, per "paginetta informativa" intendevo comunque un documento che il cliente deve approvare al momento della registrazione stessa.

Quindi sarà necessario prima fornire l’informativa, poi ottenere il consenso e solo dopo procedere con la raccolta e trattamento dei dati.

Esatto, è ciò che intendevo.

L’informativa dovrà prendere in esame alcuni importanti punti:
- Finalità e modalità dell’informativa
- Distinzione della natura obbligatoria e facoltativa del conferimento dei dati.
- Conseguenze dell’eventuale rifiuto a fornire i dati richiesti.
- Indicazione dei soggetti che verranno a conoscenza dei dati.
- Indicazione del titolare responsabile di tali dati.
- Allegato dell’art.7 (non obbligatorio ma consigliato).

Nel mio caso si tratta di ditta individuale, quindi in questo documento devo indicare le mie generalità in vece di responsabile ?

Di conseguenza il consenso al trattamento dei dati dall’interessato dovrà essere:
- Ottenuto dopo la ricezione dell’informativa.
- Espresso liberamente per scritto.
- Può essere parziale (ad esempio l’interessato può rifiutare la ricezione di materiale pubblicitario, limitando l’uso dei dati alla conclusione di un acquisto).

Ok, mi sembra di essere "sintonizzato".  :)

L'interessato che ci richiede dei chiarimenti (ad esempio in seguito ad una nostra e-mail) ha il diritto di:
- Conoscere l’origine dei dati (come sono stati raccolti).
- Conoscere la finalità della raccolta (la motivazione di tale raccolta).
- Conoscere l’identità del titolare o dei titolari responsabili del trattamento dei dati (chi conserva i dati).
- Chiederne l’aggiornamento, rettifica, integrazione, cancellazione, etc.

Non mi è chiaro il primo punto. Cosa intendi per "come sono stati raccolti" ? Ha accettato un documento sulla privacy, dopodiché si è iscritto al mio shop, di conseguenza i suoi dati sono nel mio database. Cosa dovrei indicare ?

In azienda si distingueranno le figure di "titolare", "responsabile" ed "incaricato" (anche se possono coincidere), con tutto ciò che ne consegue in termini di responsabilità e nomine varie.

Altro fattore importante sono le "misure minime"...

Insomma, non è una cosa impossibile ma c'è da stare attenti  ;)


Come dicevo, nel mio caso si tratta di ditta individuale, quindi credo che tutte le figure convergano sul sottoscritto. Cosa intendi come "misure minime" ? E' qualcosa di terribile vero ? Me lo sento.... :)

Scherzi a parte, mille grazie per la spiegazione dettagliata, e  per le eventuali precisazioni successive.  ;)

Non mi è chiaro il primo punto. Cosa intendi per "come sono stati raccolti" ? Ha accettato un documento sulla privacy, dopodiché si è iscritto al mio shop, di conseguenza i suoi dati sono nel mio database. Cosa dovrei indicare ?


Se mi inviii una newsletter ho tutto il diritto di sapere perchè me l'hai inviata, anche se soffro di amnesia e mi sono dimenticato di essermi iscritto (ad esempio)


Come dicevo, nel mio caso si tratta di ditta individuale, quindi credo che tutte le figure convergano sul sottoscritto.


Sì, è quello che solitamente accade per le realtà medio/piccole, anche se spesso si tengono fuori dal conto tante cose che inizialmente ci potrebbero sfuggire: potebbe venire un tecnico ad istallare un software o a effettuare comunque un intervento sul/sui tuo/tuoi computer? Ti fai housing/hosting da solo? ;)


Cosa intendi come "misure minime" ? E' qualcosa di terribile vero ? Me lo sento.... :)

Le "misure minime" sono le misure obbligatorie che le aziende dovranno garantire a partire dal 1 gennaio 2006. Sono costituite da standard di base che però non mettono al riparo da sanzioni eventualmente inflitte in seguito ad un cattivo trattamento dei dati.
Ad esempio:
- Ogni 6 mesi devono essere aggiornati strumenti informatici come antivirus, firewall, sistemi operativi.
- Ogni settimana devono essere salvati tutti i dati
- Tenere registro delle tipologie di supporti esterni ricevuti.
- Custodire gli strumenti elettronici di lavoro, che non devono essere accessibili a terzi.
- Distruzione dei supporti con dati ridondanti.


Scherzi a parte, mille grazie per la spiegazione dettagliata, e per le eventuali precisazioni successive. ;)


Figurati, finchè ce rivo... ::)

]


Altro fattore importante sono le "misure minime"...


Ciao,

una domanda: le misure minime di cui parli, sono quelle riportate nell'art. 34 della 196?
In tal caso l'articolo dice:
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato [B], le seguenti misure minime:
a. ....
......
g. tenuta di un aggiornato documento programmatico sulla sicurezza;

Per l'ennesima volta (la legge sulla privacy è un loop continuo di "la so / non la so") dubito del fatto che per il trattamento dei dati PERSONALI sia necessario il DPS.
Grazie a chiunque sciolga il dubbio, ciao,

A

Ciao,

una domanda: le misure minime di cui parli, sono quelle riportate nell'art. 34 della 196?

Sì, in caso di contestazione il problema sarà dimostrare che tali misure in realtà sono state prese.

Al corso ci hanno detto che in questo caso occorrerebbe fornire documentazione attestante che:

- ogni 6 mesi sono stati fatti aggiornati informatici quali: antivirus, firewall, sistemi operativi.
- ogni settimana sono stati salvati tutti i dati.
- i supporti ridondanti sono stati distrutti.
- è stato tenuto un registro dei vari supporti esterni ricevuti.
- sono stati correttamente custoditi gli strumenti elettronici di lavoro, che non devono essere accessibili a terzi.

Per non parlare delle password... 'natraggedia :-X

ciao a tutti!
Dopo giorni e giorni di appassionata lettura del vostro forum ho deciso di venire fuori e di presentarmi...
salve sono giovanna ed ho deciso di chiamarmi mariangela in citazione della figli di fantozzi,eh si... con il commercio elettronico mi sento tipo lei :( ;D
io vengo dalla difficile scuola del commercio tradizionale,lunga gavetta di cinque anni di commessa,quattro di coadiuvante ed ora tre come socio amministarore del negozio dove lavoro... da circa quattro anni io e la mia socia accarezzavamo l'idea di internet ma senza mai crederci veramente,ora ci stiamo buttando con grande entusiasmo e terribili mal di testa...
1)fino a 6 mesi fa il pc era un'oscura entità
2)i soldini scarseggiano visti i tempi che corrono...
3)il mio consulente non sa niente del settore
4)la merceria sarà valida su internet?
5)io lavoro 10 ore solo nel negozio
help me!
ed ora leggo tutta questa storia della privacy!
gente penso che mi leggerete spesso in preda a tanti dubbi!
vi ringrazio fin da ora!!!
p.s. non vedo l'ora di presentarvi il mio sito!
baci a tutti ;)

ciao a tutti!
Dopo giorni e giorni di appassionata lettura del vostro forum ho deciso di venire fuori e di presentarmi...
salve sono giovanna ed ho deciso di chiamarmi mariangela in citazione della figli di fantozzi,eh si... con il commercio elettronico mi sento tipo lei :( ;D

Benvenuta, e in bocca al lupo per l'apertura :)
Purtroppo sì, ti toccherà masticare qualcosa anche di praivasi... cosa che comunque ti tocca anche per il negozio fisico, se pur in maniera ben diversa

]

Al corso ci hanno detto che in questo caso occorrerebbe fornire documentazione attestante che...

Ciao Ale,

grazie per la risposta.. insisto su questo punto:
la documentazione di cui parli ha dei contenuti molto simili (mi pare) a quelli dell'eventuale DPS di cui al punto g) dell'art 34.. O mi sbaglio?
Vuoi allora dire che in caso di accertamenti posso dimostrare "informalmente" la ns politica delle psw, i nostri updates di software, i nostri back up di TUTTI i dati (?? tutti in che senso??) etc etc, senza dover usare il modello DPS, e (forse) senza dover avere un responsabile incaricato?
Insomma, ne facciamo una pura questione di "presentazione" dei dati (DPS o meno) oppure ci sono vere e proprie differenze di contenuto?

Grazie per il chiarimento, ciao!

A

Ciao e benvenuta



3)il mio consulente non sa niente del settore



Nulla di nuovo, per i consuleti italiani è come se fosse Marte



4)la merceria sarà valida su internet?



Pechè no? Anzi forse avresti il vantaggio che è un settore merciologico poco sfruttato nell'e-comm.



p.s. non vedo l'ora di presentarvi il mio sito!



Abbiaamo una sezione apposita I Nostri Negozi[(url], con un unica condizione [url=http://www.aicel.it/form_merchant.htm]Qualificarsi come Merchant (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=negozi).

Ciao

/me

Ciao Ale,

grazie per la risposta.. insisto su questo punto:
la documentazione di cui parli ha dei contenuti molto simili (mi pare) a quelli dell'eventuale DPS di cui al punto g) dell'art 34.. O mi sbaglio?
Vuoi allora dire che in caso di accertamenti posso dimostrare "informalmente" la ns politica delle psw, i nostri updates di software, i nostri back up di TUTTI i dati (?? tutti in che senso??) etc etc, senza dover usare il modello DPS, e (forse) senza dover avere un responsabile incaricato?
Insomma, ne facciamo una pura questione di "presentazione" dei dati (DPS o meno) oppure ci sono vere e proprie differenze di contenuto?

Grazie per il chiarimento, ciao!

A


Purtroppo ti posso dare indicazioni vaghe almeno quanto lo è la legge stessa: finchè non verranno fuori dei precedenti (cavie?) sarà difficile capire come muoversi, gli stessi esperti in materia che si sono affacciati qui sul forum allo stato attuale non ci hanno fornito delle certezze, e anzi in certi casi mi sono sembrati più confusi-confusionari di noi. ::)

Quello che è certo è che il 90% degli operatori in ambito web è fuori regola in maniera assolutamente plateale:
chi fornisce l'informativa e ottiene il relativo consenso prima di iniziare la raccolta e il trattamento dei dati?
Rispondo in anticipo a chi mi dice "ma io faccio flaggare l'accettazione dell'informativa al momento dell'iscrizione, non va bene?"... No, secondo me non va bene.
Senza contare che a mio avviso una buona parte delle informative che mi è capitato di vedere è fuori regola.
E delle lettere di incarico interne ne vogliamo parlare? :-/

Concludo con il dirti che, a puro titolo di esempio, noi il DPS non lo faremo, ma:
- forniamo e facciamo sottoscrivere l'informativa prima della raccolta e trattamento dei dati,
- abbiamo portato le password da 6 a 8 caratteri,
- ci siamo fatti le varie lettere di incarico e queste vengono fatte anche in casi di outsourcing dove i dati (nome e cognome non verificati, indirizzo e-mail verificato, numero di telefono non verificato) possono essere visionati da terzi,
- teniamo un registro dei cambi di dati e backuppiamo "tutto", ma più di un cassetto con chiave nella mia stanza in ufficio (dove entro una volta al mese) se lo possono scordare.
Nonostante questo, se dovessi dirti che mi sento in una botte di ferro... :-X

non ho capito il discorso di flaggare quando si scrivono i dati...

cioè se quando spunta il form di iscrizione c'è anche la riga con su scritto... autorizzo il trattamento dei dati con il link che rimanda all'informativa dettagliata dove è il problema?

non raccogli prima le informazioni...ma nello stesso istante in cui hai il consenso all'informativa...se non si da il consenso la raccolta non avviene.

o no?

non ho capito il discorso di flaggare quando si scrivono i dati...

cioè se quando spunta il form di iscrizione c'è anche la riga con su scritto... autorizzo il trattamento dei dati con il link che rimanda all'informativa dettagliata dove è il problema?

non raccogli prima le informazioni...ma nello stesso istante in cui hai il consenso all'informativa...se non si da il consenso la raccolta non avviene.

o no?

Pare assurdo (e lo è) ma non sarebbe corretto, una delle novità portate dalla 196/2003 sta proprio nella sequenza temporale con cui si effettua la raccolta dei dati.

Il consenso al trattamento dei dati dall’interessato deve essere:

- ottenuto dopo la ricezione dell’informativa.
- espresso liberamente per scritto.
- può essere parziale.
- è consigliabile poter dimostrare che tale informativa è stata fornita al cliente e accettata, ma temo che con un flag e un link si possa fare ben poco.

Riporto un esempio che mi pare di aver già scritto da qualche parte:

Quante volte si riceve un curriculum per e-mail dove a piè di pagina è riportata la frase: "Ai sensi del D.Lgs 196/03 e successive modifiche ed integrazioni, manifesto il mio consenso a che i dati allegati siano trattati, ivi compresa la diffusione e comunicazione a terzi."?
Ecco, ti posso dire per certo che una raccolta dati (il curriculum) di questo genere non è ammessa dalla legge, che in un caso simile ci obbligherebbe a distruggere la documentazione così ricevuta.

ah ho capito che intendi dire...

però il mio software in fase di registrazione....e ancor meglio dopo un ordinativo nella pagina riassuntiva mi porta una bella riga con su scritto "trattamenti dei dati approvato" o giu di li (le parole esatte non le ricordo) sia al cliente che a me...e non è modificabile (ovviamente da me)

non credo che ci siano altri modi possibili in questo genere di vendite...cioè non è che mi posso mettere a mandare fax da firmare... possiamo chiudere cosi...

Ma io che debbo dare secondo voi?

Non trattiamo i dati personali e/o sensibili tramite computer NON sono registrati da nessuna parte.

Al momento dell'ordine viene:
1)compilato un form
2) inviato via mail
3) scaricato sul pc,
4) attivato il servizio
5) emessa fattura
6) Cancellata la mail dell'ordine
7) stop
Nessun dato viene registrato in alcuna maniera.

Secondo voi cosa devo indicare con questa nuova normativa nella pagina "privacy" ??

marall

Ma io che debbo dare secondo voi?

Non trattiamo i dati personali e/o sensibili tramite computer NON sono registrati da nessuna parte.

Al momento dell'ordine viene:
1)compilato un form
2) inviato via mail
3) scaricato sul pc,
4) attivato il servizio
5) emessa fattura
6) Cancellata la mail dell'ordine
7) stop
Nessun dato viene registrato in alcuna maniera.

Secondo voi cosa devo indicare con questa nuova normativa nella pagina "privacy" ??

marall

Il trattamento avviene comunque, anche se il dato poi viene cancellato: non ha importanza la durata del trattamento dei dati, comunque vengono trattati. :P

]
Il consenso al trattamento dei dati dall’interessato deve essere:
- ottenuto dopo la ricezione dell’informativa.
- espresso liberamente per scritto.
- può essere parziale.
- è consigliabile poter dimostrare che tale informativa è stata fornita al cliente e accettata, ma temo che con un flag e un link si possa fare ben poco.

Riporto un esempio che mi pare di aver già scritto da qualche parte:

Quante volte si riceve un curriculum per e-mail dove a piè di pagina è riportata la frase: "Ai sensi del D.Lgs 196/03 e successive modifiche ed integrazioni, manifesto il mio consenso a che i dati allegati siano trattati, ivi compresa la diffusione e comunicazione a terzi."?
Ecco, ti posso dire per certo che una raccolta dati (il curriculum) di questo genere non è ammessa dalla legge, che in un caso simile ci obbligherebbe a distruggere la documentazione così ricevuta.

Ciao Alessio,
...mi sento male
hai un'aspirina per me?
grazie

Ciao,
vi ho scoperti da mezz'ora, sto leggendo da 29 minuti e vi trovo clamorosi! Un pozzo di notizie cui attingere per chi come me (spero) partirà col suo sito entro due (dopo aver letto 'sta cosa della privacy...forse tre) mesi.
Spero presto di poter dare qualche contributo per non fare solo la sanguisuga.
Nel frattempo, mentre vi leggevo ogni tanto davo un'occhiata al mio palmare-telefono sempre sincronizzato al mio pc e ....fulmine! ... ma... e i dati che io memorizzo sul palmare? nomi, numeri di telefono, date di compleanno, commenti nelle note? Non sono anche quelli dati "trattati"? Certo come privato non sono obbligato al DPS ("certo" un corno, vista l'incertezza legislativa e la giurisprudenza ancora assente) ma, visto che il palmare l'ho comprato con fattura...
E su quello non ho antivirus, password...niente! E se un domani ci volessi memorizzare i dati dei clienti?
Rientrerebbe nel DPS e nelle attrezzature che ne sono oggetto, vero?
Sono andato fuori tema? In caso positivo cassatemi pure e chiedo anticipatamente scusa!

Ciao, ancora io.
Ho visto che non ho ottenuto risposte al mio quiz precedente.
Vabbè.
Voglio proporvi un primo contributo, o meglio un altro grattacapo.
Mi sono andato a leggere qua e là il D.Lgs 196/2003 e ho trovato una cosa interessante, cioè il comma 4 dell'art. 13 che dice, se ho capito bene, che se non raccolgo i dati dell'interessato presso di lui (cioè lui presente, mi par di capire) posso fornirgli l'informativa "all'atto della registrazione dei dati": essendo questo il caso di una raccolta dati via web (interessato non presente fisicamente), verrebbe a cadere il discorso del dargli prima l'informativa e averne il consenso PRIMA di raccoglierne i dati.
Del resto anche AICEL funziona in questo modo (ho appena inserito i miei dati di merchant! anche se il sito partirà domani...).
Eccellente la vostra idea dell'invio della conferma email del ricevimento dati con, in calce, l'informativa che uno ha appena controfirmato: ve la copio! Mi autorizzate?
Maurizio

Ero assente (non è vero: è caldo!)...

Rientrerebbe nel DPS e nelle attrezzature che ne sono oggetto, vero?


Se la modalità con cui tratti i dati ti obbliga a redigere il DPS, sì.

Mi sono andato a leggere qua e là il D.Lgs 196/2003 e ho trovato una cosa interessante, cioè il comma 4 dell'art. 13 che dice, se ho capito bene, che se non raccolgo i dati dell'interessato presso di lui (cioè lui presente, mi par di capire) posso fornirgli l'informativa "all'atto della registrazione dei dati": essendo questo il caso di una raccolta dati via web (interessato non presente fisicamente), verrebbe a cadere il discorso del dargli prima l'informativa e averne il consenso PRIMA di raccoglierne i dati.

Non essendoci al momento uno storico io non mi arrischierei su una borderline: che fai se l'utente, una volta letta l'informativa, decide di non accettarla? ;)

Quoto questo thread che credo sia sempre d'attualità.
Dopo tutte le vostre considerazioni a che punto siete arrivati? Non ditemi che siamo arrivati all'invio della firma digitale...
Sinceramente ho dato un occhiata a vari siti di ecom e affini di grandi multinazionali che in genere si muovono prima essendo anche un bersaglio più facile (e soprattutto con più possibilità di spremitura).
E poi mi sono consultato anche con uno studio legale che cura questi aspetti.
Per fare un pochino di chiarezza tra il DPS e la notifica, si devono prendere in considerazioni due aspetti:
- come ci si interfaccia con i clienti/fornitori (e quindi quali dati di questi si trattano)
- la struttura aziendale interna (ovvero dipendenti etc).

Dunque tralasciamo l'aspetto dei dipendenti e anche quello dei fornitori (sinceramente io non me lo immagino un fornitore richiedermi in che modo tratto i suoi dati....) anche se in veste di fornitore ho avuto dei fax da parte di clienti mi comunicavano come trattavano i miei dati.
Veniamo quindi ai clienti dei nostri negozi.
Come mi ha confermato lo studio legale.... è un grande casino. In effetti il modo più ovvio è quello di far fleggare obbligatoriamente la casella privacy etc prima della conferma d'ordine e magari ricordare al cliente a mezzo mail che questo ha fatto un ordine sottoscrivendo i termini e condizioni di fornitura del nostro sito.
Fin qui, credo di non dire nulla di nuovo.... la parte invece più scottante riguarda alcuni dati che "scottano" anche se involontariamente. Infatti chi ha clienti abituali che comprano determinati generi, in teoria e indirettamente viene a conoscenza anche delle abitudini, di dati inerenti il lavoro o altro ( la lista e infinita). Quindi il consiglio è quello come al solito di essere vaghi e di includere più o meno tutto.
Poi se qualcuno ha qualcos'altro da aggiungere...ben venga!