Cassazione: multa da 66 mila euro ad azienda per utilizzo badge con l’impronta della mano senza l’ok del Garante

0 No tags Permalink 0

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti. Ora lo sa una Srl, attiva nel settore della raccolta dei rifiuti, condannata dall’Authority a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali. La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti. Azione che – ad avviso del Tribunale che aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata – non provava il trattamento dei dati in violazione della disciplina di settore.

Per i giudici di prima istanza, infatti, le apparecchiature non prelevavano e non trattavano i dati, utilizzati come «individualizzanti e non come identificanti». In più non esisteva alcuna banca dati. Ragione per cui, andava escluso il “trattamento” e non scattava la tutela prevista dal Codice. La Cassazione (Cassazione_25686-2018) è di diverso avviso e accoglie il ricorso del Garante analizzando, in concreto, il funzionamento del dispositivo finito nel mirino dell’Authority.

Continue Reading…

Sentenza della cassazione: l’utente dei social può chiedere i dati dell’identità rubata

Sfuggire all’identificazione per un profilo fake potrebbe essere più difficile, almeno stando alle ultime sentenze. I giudici, infatti, aprono agli elementi indiziari che potrebbero portare a individuare l’autore del reato oltre ogni ragionevole dubbio. Lo ha stabilito la Cassazione, con la sentenza 20485 depositata il 9 maggio scorso, secondo la quale, oltre agli accertamenti tecnici sui dispositivi, pesano anche gli elementi indiziari che, se precisi, gravi e concordanti, possono portare alla condanna.

Così l’indirizzo Ip può identificare il colpevole, anche se proviene da un router aperto, ovvero non protetto da password, se altri elementi fanno convergere verso l’identificazione del fake, come i pregressi rapporti con la vittima, l’età e il contesto in generale. Tuttavia, la scarsa collaborazione dei provider e la possibilità di mascherare il proprio indirizzo Ip da parte degli autori dei reati informatici genera ancora vuoti di tutela.

Chi si muove con abilità in rete sfrutta infatti le falle del sistema. A partire dalla possibilità di utilizzare indirizzi Ip dinamici o camuffati che simulano connessioni da oltreoceano oppure servizi Vpn (Virtual private network) che consentono di non far tracciare il reale indirizzo Ip di chi naviga. A oggi non esiste poi una responsabilità penale diretta dei provider (Google, Facebook) per gli illeciti commessi dagli utenti.

Tuttavia, quando l’Internet service provider viene messo a conoscenza dell’esistenza di un contenuto illecito, l’articolo 17 del Dlgs 70/2003 prevede l’obbligo di informare l’autorità giudiziaria e di collaborare con le autorità per consentire l’identificazione del responsabile. Finora la giurisprudenza, nonostante alcuni tentativi di segno contrario, ha interpretato comunque questo dovere come una fonte di responsabilità esclusivamente civilistica.

Continue Reading…

Gli effetti del nuovo regolamento Privacy UE 679/2016

Il Regolamento UE privacy n. 2016/ 679 (siglato RGPD o GDPR) è in vigore.

Il 25 maggio 2018 è diventato operativo al 100%. Il nuovo regolamento prevede un’unica serie di norme direttamente applicabili in tutti gli stati dell’Unione.

Saranno necessari ancora notevoli adeguamenti per determinati aspetti, come la modifica delle leggi esistenti da parte degli stati nazionali o l’istituzione del Comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati.

In Italia sono in corso d’opera i decreti legislativi attuativi dell’articolo 13 della legge 163/ 2013 e i provvedimenti del Garante previsti dai commi da 1021 a 1024 della legge 205/ 2017 (legge bilancio per il 2018).

Il Regolamento UE 2016/ 679 manderà in soffitta la vecchia privacy (anche se non tutto il codice della privacy) e impone alle imprese di adeguarsi (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e degli archivi).

Ci saranno effetti sulla conduzione corrente delle imprese e sulla vita quotidiana delle persone. A ricordarlo è stata la Commissione europea, che ha fornito una serie di esempi pratici.

Partiamo da casi sviluppati dal lato dell’interessato, cioè del soggetto cui si riferiscono i dati personali.

Alcuni  esempi per  vedere in concreto come si applica un istituto del Regolamento Ue 2016/ 679. 

Società paghe/ responsabile esterno

Un’azienda ha molti dipendenti. L’impresa sottoscrive un contratto con una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagati gli stipendi, quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l’elaborazione del listino paga e per il pagamento. La società di servizi fornisce il sistema informatico e conserva i dati dei dipendenti. L’azienda è il titolare del trattamento e la società di paghe è responsabile del trattamento.

Cloud/ responsabile del trattamento

Una società di vendita al dettaglio decide di conservare una copia dell’archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati. Il cloud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.

Dpo (responsabile della protezione dei dati, siglabile anche RPD)

Il DPO è obbligatorio per: un ospedale che tratta una gran quantità di dati sensibili una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici una piccola società che si occupa di selezione del personale che profila I candidati

Il DPO non è obbligatorio per: singolo medico che tratta i dati dei propri clienti piccolo studio legale.

Continue Reading…

Il software CRM e’ essenziale per gestire il processo di marketing con il cliente

Il cliente è il valore assoluto per ogni azienda. Mantenerlo e farlo crescere, sia in quantità che in qualità, è un obiettivo primario per ogni attività commerciale.

L’acquisizione e la relazione con la clientela rappresenta quindi un’attività di vitale importanza e si realizza attraverso delle fasi evolutive che possiamo così sintetizzare:

IDENTIFICAZIONE DEL CONTATTO prima fase di analisi, nella quale vengono ricercate maggiori informazioni sul potenziale cliente. Queste risultano necessarie per individuare un piano di sviluppo personalizzato e si possono reperire principalmente all’interno dei siti internet;

OPERAZIONI MARKETING consentono di gestire il processo comunicativo con la clientela. Grazie al customer-tracking (tracciabilità della clientela) l’azienda è in grado di perseguire due importanti obiettivi: generare nuove relazioni, sviluppare e fidelizzare le relazioni con i clienti acquisiti.
Per una corretta gestione delle operazioni marketing è necessario individuare un responsabile che si occupi direttamente del contatto e un intervallo temporale utile per completare l’attività;

IL CONTATTO TELEFONICO permette di focalizzare e interpretare i bisogni del nostro interlocutore e allo stesso tempo di comprendere se la nostra azienda, con i relativi prodotti e servizi è in grado di accogliere le richieste ricevute;

LA TRATTATIVA fase conclusiva nella quale si cerca di soddisfare i bisogni e le richieste evidenziate nel contatto telefonico dal nostro potenziale cliente. Qui si procede con interventi più mirati e personalizzati che si traducono in visite commerciali, presentazioni del prodotto e quantificazione economica della potenziale vendita.

Terminata la trattativa il cliente viene acquisito o, se non interessato ritorna a essere un cliente potenziale per l’azienda da ricontattare per eventuali novità commerciali.
Quanto detto sopra mostra come il marketing relazionale diretto è concreto e misurabile, in grado di monitorizzare ciascun step e il risultato finale. Questo permette di ottimizzare le attività nel corso delle azioni ai fini degli obiettivi di progetto.
Automatizzare i processi marketing con SETA CRM:

L’identificazione della clientela: per ogni nuovo contatto viene creata un’anagrafica, un sistema di registrazione opportunamente pianificato, in grado di contenere il maggior numero di informazioni utili e con la quale possono essere avviate procedure per l’analisi e la tracciabilità delle caratteristiche principali della clientela;

Categorizzazione: un’utile tecnica per effettuare dei filtri in grado di selezionare e personalizzare la ricerca di potenziali o clienti acquisiti;

Creazione di una trattativa: strumento in grado di gestire la comunicazione con il cliente. Una scheda dettagliata contenente una breve descrizione dell’azione comunicativa che viene svolta su quel contatto, ed una serie di parametri personalizzabili quali:linea di vendita, stadio della trattativa e provenienza.

L’addetto che viene identificato con la persona che gestisce il rapporto con il cliente, la data di scadenza entro la quale esaurire la richiesta.

La trattativa, regolarmente aggiornata,  permette di non perdere alcuna informazione sui nostri clienti.

Le trattative possono essere usate per operazioni di mailing, direct marketing.

L’archivio delle trattative può’ generare report e grafici dettagliati sulle vendite concluse per linea di prodotti, stadio di vendita, provenienza, agente e periodo di riferimento.

La gestione dell’azione comunicativa risulta di vitale importanza anche in assenza dei nostri collaboratori, tutte le informazioni necessarie infatti sono disponibili in tempo reale;

Gestione dell’appuntamento commerciale: Ottimizzare il tempo è possibile grazie ad un’agenda aziendale condivisa, in grado di organizzare gli appuntamenti commerciali (telefonici o incontri diretti) e di associare le informazioni di base sul cliente. L’agenda permette inoltre di verificare la disponibilità dei nostri collaboratori.

SETA CRM gestisce anche, in un unico archivio, anagrafiche di clienti acquisiti/potenziali e memorizza ogni evento legato ad essi: telefonate, fax, e-mail, lettere, azioni di marketing e qualsiasi altra attività.

Ricorda….
Il vero valore aggiunto, che un’impresa può garantire ai propri clienti fidelizzandoli e conseguendo un reale vantaggio competitivo sulla concorrenza, non è più esclusivamente nella differenziazione del prodotto, ma proprio nella personalizzazione e potenziamento dei servizi aggiunti.

un ringraziamento alla dott.ssa Federica Sclavi per il contributo su questo articolo