Avvocato Vercellotti
1.59K members
1 video
126 links
Unico Avvocato del Digitale®️ d’Italia

In questo canale troverai aggiornamenti legali relativi al mondo del Digitale come Gdpr, Copyright, Contest, Digital Contracts e gestione legale della Brand Reputation

Per una consulenza: studio@legalfordigital.it
Download Telegram
to view and join the conversation
🎯 CONTRATTO DI WEB MARKETING
Tag
: #contratti

È l’accordo con cui il professionista si impegna a fare promozioni per il brand del cliente. Quindi ci possono rientrare diversi tipi di attività.
È una nozione talmente ampia che è necessario specificarla per ogni singolo cliente.

📌Quali attività ci impegniamo a svolgere?

Social ads e organico, Google ads, newsletter.

📌Ogni cliente è diverso ma ci sono clausole che non possono mai mancare. Quali?

👉 Leggi la mini-guida sul blog dello studio


😉 @avvocatovercellotti
🎯MONETIZZAZIONE DEI DATI
Tag
: #gdpr

Sappiamo che con l’entrata in vigore del Gdpr l’utilizzo commerciale dei dati raccolti degli utenti è diventato molto più difficile o almeno più complesso, se fatto a norma di legge.

Non è possibile prendere la mail di un cliente e cominciare a mandare comunicazioni di marketing senza un preventivo consenso scritto a norma di Regolamento 679/2016.
Da maggio 2018 tanti dati raccolti dalle aziende non sono più disponibili per utilizzo commerciale perché non sono stati raccolti secondo quanto previsto dalla normativa.

Questo non vuol dire che i dati personali degli utenti non vengono utilizzati in modo illecito, ma vuol dire che le possibili ripercussioni economiche possono essere molto pesanti.

📌 E tutto questo cosa ha portato?

Che il valore economico dei dati raccolti a norma di legge e quindi utilizzabili per fare marketing “compliance” è cresciuto a dismisura.

Si parla di decine o centinai di euro per nominativi ben profilati e interessanti soprattutto per ambiti come l’automotive o il luxury.

📌 Cosa controllare prima di acquistare questi dati?

1️⃣ che sia stato dato il consenso all’informativa privacy
2️⃣ che tale consenso riguardi anche il trattamento con finalità di marketing;
3️⃣ che l’utente abbia dato il consenso alla cessione a terzi dei suoi dati;
4️⃣ che tutti questi consensi siano conformi al Gdpr e siano stati registrati correttamente;
5️⃣ che il cedente sia disposto a firmare un contratto di cessione con tutte le dovute assunzioni di responsabilità per i dati ceduti.

Se anche uno dei predetti punti è mancante o anche solo non certo, il mio parere personale è il business con quei dati “non sa da fare”.

😉 @avvocatovercellotti
🎯 TELEMARKETING E GDPR
Tag
: #gdpr #telemarketing

L’attività svolta da operatori telefonici ai fini di marketing è regolamentata dal GDPR:

1️⃣non può essere svolta senza il consenso attuale dell’utente
2️⃣livello cautelare alto nella lavorazione delle liste da utilizzare per i contatti promozionali
3️⃣la responsabilità degli operatori telefonici ricade sull’impresa

Il GDPR va poi integrato con due provvedimenti del Garante per la Privacy, il cui mancato rispetto comporta il rischio di multe milionarie.
✔️ Non si può fare telemarketing a chi non ha dato esplicito consenso a ricevere comunicazioni promozionali, o a chi lo ha negato.
✔️ È necessario adottare le misure tecniche volte ad acquisire in maniera adeguata la volontà espressa dall’utente.

In base al regolamento infatti, dovrebbe essere sufficiente comunicare al call center che non siamo interessati alle loro offerte per essere cancellati immediatamente dal loro data base.

Applicazione del principio di data retention: i dati non possono essere conservati oltre la durata del contratto.

📌Se ci si rivolge a list provider esterni siamo esonerati da qualsiasi responsabilità?

No:
✔️ Il titolare del trattamento deve attivare procedure di monitoraggio e controllo, anche attraverso l’accesso ai database del list provider.
✔️ Il titolare del trattamento deve fare un’indagine su un campione rilevante di utenti per verificare che abbiano dato il consenso prima della campagna di marketing.

Vige poi il principio per cui l’utente deve avere il pieno controllo dei dati:
nel caso di passaggio delle liste da un operatore all’altro, non si può considerare consenso una generica volontà di consentire il trattamento dei dati a soggetti terzi, con effetti imprevedibili per l’utente.

Le leggi e gli strumenti per tutelarci ci sono, ma spesso non li conosciamo e questo permette alle aziende di non applicarle.

😉@avvocatovercellotti
🎯 COPYRIGHT E DIRITTO D’AUTORE
Tag
: #copyright

Quando si parla di questi istituti ci si riferisce alle opere d’ingegno prodotte dall’uomo.

Oggi la materia è oggetto di frequenti discussioni all’interno dei gruppi di Marketers e Bloggers, in cui spesso vengo interpellato.

Spesso mi viene chiesto come tutelare le proprie opere e quando si possono utilizzare quelle degli altri.

📌 Quali sono le opere che vengono tutelate? Sono compresi anche i siti internet?

📌 A cosa servono il copyright e il diritto d’autore?

📌 Com’è cambiata la disciplina con la nascita di internet?

👉 Oggi nel blog di Legal for Digital chiarisco molti punti su questo tema

😉 @avvocatovercellotti
🎯 SI FA PRESTO A DIRE USER GENERATED CONTENT
Tag
: #social #facebook

Ormai lo sappiamo quasi tutti che i contenuti creati spontaneamente dai clienti possono avere una grande efficacia sugli altri utenti.
Anche qui gli aspetti legali da analizzare possono essere molteplici e soprattutto coinvolgono normative diverse tra loro.

Cominciamo facendoci qualche domanda prendendo in analisi ad esempio un’immagine:
1️⃣ è riconoscibile l’autore?
2️⃣ sono riconoscibili altri soggetti?
3️⃣ sono visibili i brand di altri competitor?
4️⃣ e soprattutto l’autore della foto sarebbe d’accordo nella ricondivisione del suo contenuto?

Infatti ad esempio potrebbero emergere problemi di Gdpr legati al trattamento dati dell’autore del contenuto che non abbia dato il suo consenso alla condivisione. Ma anche in relazione ai volti degli altri soggetti presenti nell’immagine, dai quali l’autore non abbia avuto il consenso all’utilizzo dei loro dati personali.

E soprattutto possono emergere innumerevoli domande su come condividere il contenuto:

1️⃣ si può scheenshottare il post dell’utente è ripubblicarlo?
2️⃣ si può fare un repost citando l’autore del post?
3️⃣ si può condividere la story dell’utente perché c’è un tag nei nostri confronti?
4️⃣ come la mettiamo con il copyright del contenuto realizzato?

L’unica cosa certa è che se i social network ci permettono la condivisione del contenuto allora è possibile utilizzare quanto postato dall’utente senza particolari problemi, come nel caso del tasto condividi su Facebook.
A dire il vero anche in quel caso potrebbe succedere che l’utente abbia glorificato a tal punto il nostro prodotto a discapito di quello del competitor, magari incorrendo nel reato di diffamazione.

Quindi è meglio creare una strategia legale di gestione degli User Generated Content

😉 @avvocatovercellotti
🎯 TINDER E GRINDR VIOLANO LE NORMATIVE SULLA PRIVACY?
Tag
: #gdpr #app

Sono finite nel mirino del Norvegian Consumer Council le due app di incontri più conosciute, ma anche altre app omologhe da noi meno note (OkCupid, MoPud di Twitter, AppNexus ed altre ancora).

Il rapporto presentato dal Consumer Council si chiama “out of control”, cioè “fuori controllo” riferito alla gestione dei dati degli utenti.

L’indagine è stata avviata dopo che molte persone iscritte sui database di queste app, si sono lamentate della violazione della privacy da parte dei gestori delle app.

📌 Da dove traggono i guadagni queste app se non dalla vendita dei dati?

✔️ Tinder prevede nel contratto il diritto a vita di gestione dei dati degli utenti che si iscrivono, e la possibilità di venderli a chiunque.

✔️ Grindr obbliga gli utenti che si vogliono iscrivere ad accettare la sua privacy policy in toto.

✔️ Tinder non prevede nelle impostazioni l’accettazione della privacy.

Sembra che siano condivise con le società di marketing le informazioni relative ai luoghi di incontro. Attraverso la geolocalizzazione si può venire a conoscenza di molti aspetti della vita degli utenti:

✔️ I loro interessi

✔️ il loro orientamento politico

✔️ l'orientamento religioso.

Tutte queste informazioni sarebbero cedute a società terze che le utilizzano per profilare gli utenti a fini commerciali.

Se tutto questo fosse vero, sarebbe una gravissima violazione del GDPR.

Le accuse sono così gravi che Twitter ha sospeso Grindr dalla propria rete pubblicitaria.

L’indagine è stata svolta lontano dal nostro Paese, ma questo non significa che la questione non ci tocchi. Sono app che hanno una copertura internazionale.

Una volta che ci siamo iscritti e c’è un passaggio a catena dei nostri dati, difficilmente riusciremo a riprenderne il controllo.

😉 @avvocatodeldigitale
🎯 CONTRATTO DI SOCIAL MEDIA MARKETING
Tag
: #contratti

È un aspetto che spesso viene trascurato da parte dei Social Media Manager, semplicemente perché si pensa che il preventivo possa sostituire in contratto.

Non è cosi:

il valore legale è diverso

gli obiettivi sono diversi

i contenuti hanno tono e forma diversi

📌Come si redige un contratto di SMM professionale?

👉 Oggi sul blog dello studio parlo di questo argomento

😉 @avvocatovercellotti
🎯 DPO: LE PROSPETTIVE DEL 2018 E LA REALTÀ DI OGGI
Tag
: #gdpr #dpo

Il Data Protection Officer è una nuova figura prevista dal GDPR.

📌 Quando è obbligatoria la nomina del DPO?
✔️ Quando il trattamento dei dati è effettuato da un’autorità o da un organismo pubblico
✔️ Quando il trattamento richiede il monitoraggio su larga scala dei dati degli interessati

📌 Qual è il suo ruolo?
La figura del DPO nasce per affiancare il titolare o il responsabile del trattamento in situazioni di particolare rischio.

Quindi avrebbe dovuto avere caratteristiche specifiche:
1️⃣ Autonomia e indipendenza rispetto alle figure che affianca
2️⃣ Alte competenze giuridiche
3️⃣ Ruolo e stipendio a livello dirigenziale
4️⃣ Una certificazione attestante le sue competenze
5️⃣ Essere il referente per il top manager aziendale
6️⃣ Essere un punto di riferimento per il Garante della Privacy

A due anni dall’entrata in vigore del GDPR le nomine sono state oltre cinquantamila ma....

Di fatto a livello pratico in molti casi non c’è stato il coinvolgimento del DPO nella gestione dei dati, così come previsto dal Regolamento.

📌 Come lo sappiamo?

Dalle segnalazioni che i DPO stessi hanno fatto al Federprivacy lamentando di:
✔️ essere convocati solo dopo che i dati sono stati trattati, e solo per gli adempimenti formali
✔️ trovare forte ostruzionismo nello svolgimento dei loro compiti
✔️ essere costretti ad accettare compensi irrisori rispetto alla loro qualifica. Considerando che spesso la nomina avviene attraverso bandi pubblici.

I tempi sono maturi per poter affermare che le aziende percepiscono il DPO come un mero obbligo di legge e ne sviliscono il valore.

Quando qualcosa è percepito in questo modo, ci sarà sempre tempo per adeguarsi dopo, fino a che il dopo non sarà più possibile in seguito a un controllo e alle relative sanzioni.

😉 @avvocatovercellotti
🎯 SOFTWARE APPLE E GEOLOCALIZZAZIONE
Tag:
#app #privacy

Il marketing digitale per le attività locali basa la sua strategia quasi totalmente sulla possibilità di localizzare gli utenti.

La maggior parte delle APP per funzionare correttamente richiede di poter tracciare la posizione dell’utente.

📌 Come si pone questa funzione nell’ottica del rispetto dei dati?

Chi ha un dispositivo Apple si è accorto che uno degli ultimi aggiornamenti del software introduce una nuova tutela: include promemoria regolari quando le app stanno risucchiando dati sulla posizione dell’utente.

Il pop-up offre la possibilità di scegliere tra:
1️⃣ consentire la raccolta dati in qualsiasi momento
2️⃣ solo quando l'app è aperta
3️⃣ solo una volta.

Dopo quattro mesi le fonti della tecnologia pubblicitaria riportano il risultato previsto da alcuni osservatori: ci sono meno dati sulla posizione provenienti dalle app.

Fino a 3 anni fa la percentuale di attivazione per la condivisione dei dati era vicina al 100%, ora è scesa spesso sotto il 50%.

➡️ Le persone sono sempre più consapevoli del fatto che hanno una scelta su quali dati condividere.

7 utenti su 10 che hanno IPhone hanno scaricato iOS 13 nelle 6 settimane successive alla sua prima disponibilità e l'80% di questi utenti ha interrotto il tracciamento in background sui propri dispositivi.

📌 Sarà sempre più difficile tracciare un funnel di conversione?

😉 @avvocatovercellotti
🎯 CONTRATTO REALIZZAZIONE SITO WEB
Tag
: #contratti

Oggi quasi tutti i professionisti hanno un sito internet: e-commerce, blog o semplicemente una vetrina.

Si rivolgono quindi ad un web master che può essere un’agenzia o un freelance, con cui firmeranno un accordo.

Questo tipo di contratto non è disciplinato dal codice civile.

La prima questione da risolvere è:

📌 Siamo di fronte ad un’obbligazione di risultato o un’obbligazione di mezzi?

Questione non da poco, se sorge una controversia. Nei casi che si sono presentati la giurisprudenza non ha dato un’interpretazione univoca.

Quindi, per evitare l’insorgere di equivoci e conseguenti controversie, è opportuno stipulare un contratto chiaro e trasparente.

👉Oggi sul blog dello studio la mini-guida

😉 @avvocatovercellotti
🎯 PROFESSIONE PRIVACY: TROPPA FORMAZIONE POCA INFORMAZIONE
Tag
: #gdpr

Con l’entrata in vigore del Gdpr sono nate una serie di figure. Per essere abilitati a svolgerle bisogna partecipare a dei corsi, superare un esame e ottenere le relative certificazioni di:

Valutatore privacy

Privacy Specialist

Privacy Manager

Dpo o Data Protection Officer

📌 Quale figura devo avere all'interno della mia azienda?

📌 Quale figura devo selezionare all’esterno della mia azienda?

📌 Con chi devo interagire come utente, cliente o fornitore dell’azienda?

📌 Queste figure devono essere certificare per poter collaborarci insieme?

Ne consegue un’enorme confusione nel definire le responsabilità e attività che vanno svolte da parte di ognuna di queste figure. Non basterebbero 10 post per spiegare tutte le differenze sottili per certi aspetti, enormi per altri.

Il mio fine è far sorgere delle domande che sono la base per entrare nel mindset del Gdpr.

Poi se è vero che il Gdpr è una normativa che può portare benefici a noi tutti come cittadini sarebbe stata utile una maggiore chiarezza a livello legislativo per definire in modo più accessibile cosa fare e soprattutto chi deve farlo.

😉 @avvocatovercellotti
🎯 I DATI PSEUDOMINIZZATI NON SONO PIÙ DATI PERSONALI
Tag
: #gdpr

La pseudonimizzazione è uno strumento funzionale alla riservatezza dei dati. È una tecnica che permette di far sì che i dati personali trattati non siano attribuibili ad una persona specifica, se non con l’aggiunta di altre informazioni. Le informazioni aggiuntive devono essere conservate separatamente e a loro volta tutelate.

I dati di identificazione si distinguono in

🔸Diretti: ad esempio il codice fiscale perché è unico.

🔸Indiretti: ad esempio data, luogo di nascita.

📌 Quali sono le tecniche?

Sostituzione

Shuffling

Variazione dei numeri

Per applicare la tecnica di pseudonimizzazione bisogna ricorrere a sistemi informatici complessi e affidabili al massimo.

📌 Come scegliere la tecnica corretta per la propria azienda?

Il gdpr ancora una volta non è specifico a riguardo. Sicuramente va fatta una valutazione del rischio, ma va anche considerato che il sistema scelto sia in grado di essere introdotto nel sistema informatico in uso, e incida il meno possibile sul database.

📌 Quali aziende devono applicare la pseudonimizzazione?

Al solito il gdpr stabilisce dei principi generali che però ognuno deve adattare alla sua realtà: il gdpr infatti si applica alla grande impresa come all’artigiano.

La pseudonimizzazione entra in gioco quando, per determinate finalità del trattamento, è necessario che la persona fisica interessata non risulti più identificabile in “maniera non irreversibile”.

È diversa dall’anonimizzazione, che invece non è contemplata dal gdpr, ed è irreversebile.

Devono ricorrere a questo sistema le aziende che devono condividere dati con fornitori ad esempio. Non sono quindi esclusiva di grandi aziende, anche le PMI possono avere la necessità di ricorrere a questo processo per garantire la minimizzazione dei dati.

E qui arriva il punto dolente: spesso i principi del gdpr per essere applicati richiedono una totale revisione del sistema informatico interno, e questo per le piccole imprese, quindi sotto i 250 dipendenti, può rappresentare un grosso costo.

👉 Bisogna entrare nell’ottica per cui la tutela dei dati è un investimento, non un costo.

😉 @avvocatovercellotti
🎯 REATO DI DIFFAMAZIONE ON-LINE
Tag
: #reato #Facebook

Il codice civile prevede questo tipo di reato ma ovviamente non prevede che possa essere commesso attraverso i post sui social.

Tuttavia non basta l’offesa su un post per accusare qualcuno del reato di diffamazione:

📌Quali sono i presupposti per cui un post possa considerarsi diffamatorio?

📌 Come bisogna procedere legalmente?

👉 Oggi ne parlo sul blog di LegalforDigital

😉 @avvocatovercellotti
🎯 QUANTO VALE IL TUO LAVORO?
Tag
: #tempo

Quando viene erogato un servizio, che può essere una consulenza o un corso, o un webinar, si espone al cliente il costo finito dell’erogazione del servizio. Ad esempio una consulenza di un’ora costa tot, due ore di webinar hanno quel valore economico, un corso di 12, 40 ore o altro hanno un costo.

Io, come avvocato del digitale ho a che fare soprattutto con Marketers che lamentano la presenza di concorrenti che svendono il loro lavoro.
A causa di questa concorrenza di basso valore, c’è difficoltà a vendere il servizio al suo costo reale.

A volte ci si sente dire dal prospect:
⭕️ Così caro?! ⭕️

Questo avviene per due motivi principali:

1️⃣ Per un utente è difficile capire che dietro quel tempo che gli viene dedicato in concreto, in realtà c’è una preparazione. La preparazione comprende sia i corsi di specializzazione fatti per poter erogare quel servizio, ma anche la preparazione per il caso specifico:

✔️ Dovrò capire le tue esigenze specifiche e non proporti un format che vada bene per tutti e quindi non perfetto per nessuno

➡️ Più mi studio il caso prima di confrontarmi con te, più posso darti un aiuto concreto e immediato appena ci sentiamo. Evito così di fissarti un’altra ora di consulenza che dovrai pagare di nuovo.

✔️ E poi più sono specializzato, più la mia consulenza potrà essere performante per te

2️⃣ Spesso il professionista trascura la parte di personal branding quando fa il preventivo o, ancora prima, quando entra il contatto con il cliente. Quindi il cliente fa presto a farsi “comprare” da chi costa pochi euro meno.

Domandati come professionista se fai capire al cliente che:

✔️ Hai una formazione specialistica: il medico specialista offre un servizio diverso dal medico generico. E tu? Sei verticalizzato su un prodotto? Questo ti porta ad un livello superiore

✔️ Qual è la tua esperienza: ogni volta che fai un lavoro simile ad uno precedente lo fai meglio della volta prima

✔️ Quali sono le soft skill che ti rendono unico? L’aspetto umano conta

✔️ Ti presenti al cliente con una documentazione – preventivo, contratto - che esprimono davvero la tua professionalità e ti tutelano?

Il mio consiglio? A costo di apparire duri, far capire al cliente che se so risponderti facilmente e velocemente ad una domanda è perché ho investito tempo, denaro e fatica per darti un risultato.

➡️ Ora che tu cliente hai capito quanto vale la mia ora, che servizio vuoi?

😉 @avvocatovercellotti
🎯 HOTEL E RACCOLTA DATI
Tag
: #gdpr

Nel 1990 è entrata in vigore Ia Convenzione che recepisce l’accordo di Schengen. Il trattato di Schengen prevede la libera circolazione delle persone nell’area che aderisce all’accordo, ma è necessario monitorare la circolazione delle persone fra un Paese e l’altro.

In base alla Convenzione gli hotel sono tenuti a registrare l’accesso degli ospiti e a richiedere loro un valido documento d’identità.

I dati vengono raccolti attraverso un form e devono essere conservati in un luogo chiuso ed eliminati dopo un certo periodo di tempo.

I dati raccolti sono dati personali (nome e cognome,data di nascita, indirizzo)

📌 Cosa cambia con l’entrata in vigore del GDPR?

Il regolamento stabilisce che è necessaria una base giuridica che legittima il processo dei dati. Il GDPR autorizza le strutture ricettive a trattare i dati personali:

Come requisito per permettere all’ospite di alloggiare nella struttura

Per l’obbligo legale di raccogliere i dati in forza della Convenzione di Schengen recepita dalla normativa nazionale.

📌Personale coinvolto nel trattamento dati: alto rischio di data breach involontario:

Carta di credito

Documento d’identità

Documenti personali

Può capitare che vengano trattati

✔️dal personale alla reception (magari in stage)

✔️da tecnici che devono agire sul software dell’albergo contenente il database degli ospiti

✔️dal personale delle pulizie che ritrova un documento smarrito (e lavora per una cooperativa invece di essere dipendente).

Tutte queste persone devono essere adeguatamente sensibilizzate e istruite sulla corretta procedura di trattamento dei dati.

Questa è una delle ipotesi in cui sarebbe opportuna la nomina del DPO per l’elaborazione di un piano strategico, soprattutto nelle grandi strutture, dove il personale è tanto e c’è molto turn-over legato alla stagionalità.

😉 @avvocatovercellotti
🎯 SERVE L’AVVOCATO NELLE START-UP?
Tag
: #startup

Dal 2015, con l’entrata in vigore del decreto legge “Investment Compact”, sono nate molte startup. Moltissime tuttavia non sono riuscite ad emergere ed hanno chiuso.

Probabilmente le cose sono state fatte con superficialità.

Per ogni fase dall’ideazione del progetto alla messa in atto, esistono professionisti esperti a cui rivolgersi.

👉 Ne parlo sul blog dello studio

😉 @avvocatovercellotti
🎯 E-MAIL AZIENDALE E GDPR
Tag
: #gdpr

Spesso in aula o nelle lezioni on-line mi fate capire che c’è un po' di confusione nel capire quando un indirizzo e-mail è tutelato dal gdpr come dato personale e quando invece non lo è.

La regola è: la mail aziendale diventa dato personale quando consente l’identificazione del soggetto, quindi:

alessandrovercellotti@legalfordgital

av@legafordigital

studio@legalfordigital

➡️ Quando nella mail aziendale c’è nome e cognome allora è un dato personale.

📌 Come deve trattare l’azienda la mail aziendale che identifica il dipendente?

Innanzi tutto è bene chiarire che non c’è alcuna sanzione, si può creare tranquillamente una mail aziendale che identifica chiaramente il dipendente.

Bisogna però rispettare il gdpr:

➡️ Bisogna utilizzare un provider di posta che sia GDPR compliant. Cioè ci deve essere la possibilità di gestire l’account con altri dispositivi da remoto. Infatti nell’ipotesi in cui il dipendente perda il dispositivo elettronico aziendale, bisogna evitare il rischio di Data Breach

➡️ Solo il dipendente può accedere alla mail, come se fosse una qualsiasi mail personale

➡️ Per la diffusione dell’indirizzo e-mail a terze parti deve essere chiesto il consenso al dipendente stesso

➡️ Di conseguenza, in caso di cessazione del rapporto di lavoro, l’azienda non ha il diritto di cancellare la mail del dipendente. Ma non può neppure accedervi.

Infatti il Garante della Privacy ha ammonito un’azienda dopo il reclamo da parte di un ex-dipendente:

L’ex-collaboratore lamentava l’illegittimo accesso dell’azienda alla sua mail personale/aziendale dopo il suo licenziamento. L’azienda accedeva infatti alle sue comunicazioni. Dopo la diffida da parte del dipendente la sua mail è stata resa inattiva. Ma in questo caso si è data esecuzione alla volontà del dipendente che, in conformità al gdpr ha diritto a richiedere la cancellazione del dato personale.

📌 Come prevenire tutto ciò?

Attraverso la redazione di una policy aziendale con cui, fra le altre cose, il datore di lavoro informa il dipendente sulle modalità e le finalità di trattamento della strumentazione concessa in dotazione, fra cui la casella mail. Deve inoltre informare su come la sua mail sarà trattata in termini di back-up, conservazione ed eventuale cancellazione al termine del rapporto di lavoro.

😉 @avvocatovercellotti
🎯 SMART WORKING SICUREZZA AZIENDALE E PRIVACY
TAG
: #gdpr #smartworking

A causa di forze maggiori molte aziende stanno conoscendo il lavoro da remoto.

In questo caso specifico il Decreto Ministeriale ha disciplinato le modalità di attivazione dello smart working:
✔️ Semplificazione della procedura senza dover ricorrere ad accordi individuali con i singoli collaboratori
✔️ I dipendenti devono essere forniti di dispositivi tecnologici aziendali per svolgere le loro mansioni
✔️ Il datore di lavoro è responsabile della sicurezza dei dati che passano attraverso i dispositivi utilizzati per il lavoro da remoto.

📌 Quali sono i rischi di una gestione del lavoro in modalità smart “improvvisata”?

1️⃣ Mancanza di misure che garantiscono la protezione dei dati dell’azienda:
Gestire un dispositivo da remoto ha forti implicazioni sulla privacy, sulla cybersecurity.

Ci sono procedure da seguire per proteggere i dati presenti su un dispositivo mobile, e se ne hai fatto normalmente un uso casalingo, c’è il rischio di non essere in grado di metterle in atto:
✔️ aggiornamento del sistema operativo,
✔️ l’uso di antivirus,
✔️ Password robuste e complesse che vanno cambiate anche sui router per il wi-fi
✔️ Back-up dei dati

Normalmente, quando il datore di lavoro affida un dispositivo tecnologico ad un collaboratore per il lavoro da remoto, si tutela estendendo a quel dispositivo la policy aziendale, si parla infatti di Mobile Device Management. Inoltre il collaboratore riceve un training.

Adesso francamente è difficile pensare che le aziende fossero organizzate per tutto questo.

Soprattutto se pensiamo alla pubblica amministrazione che è il simbolo della macchinosità.

2️⃣ Impossibilità per il datore di lavoro di controllare il collaboratore:
in base al GDPR, il datore di lavoro è autorizzato ad effettuare un controllo a distanza del lavoratore attraverso dispositivi tecnologici, solo dopo che il lavoratore stesso ha ricevuto idonea informativa rispetto all’uso di questi dispositivi.

Oltretutto lo smart working richiede un approccio mentale diverso da quello tradizionale basato sulla gerarchia dei ruoli e sul controllo. Il lavoro agile si basa su un rapporto di fiducia, di democrazia ma anche di grande responsabilizzazione.

È probabile che, mancando queste basi, molti non saranno in grado di percepirne i vantaggi, anzi sarà piuttosto frustrante.

😉 @avvocatovercellotti
🎯 CONTRATTO INFLUENCER
TAG
: #contratti

L’influencer marketing è nato come un accordo in cui in cambio della promozione del brand, l’influencer riceveva dei prodotti.

Oggi non è più così: l’influencer è un lavoro. Ci sono contratti occasionali ma anche rapporti di lunga durata e le attività che può svolgere l’influencer per promuovere il prodotto sono diverse.

Ci sono stati casi in cui si è messa a rischio la brand reputation dell’azienda per un comportamento scorretto da parte dell’influencer.

Forse alla base non c’era un contratto ben fatto.

Un contratto ben fatto risolve a monte tutte le criticità.

👉 Sul blog dello studio oggi la mini-guida

😉 @avvocatovercellotti
🎯 E-MAIL AZIENDALE E BRAND REPUTATION
Tag
: #brandreputation

Ultimamente mi è capitato il caso di un’azienda che lamentava il fatto che un dipendente aveva utilizzato l’indirizzo di posta elettronica aziendale per ricevere aggiornamenti da parte di siti internet equivoci.

Il dipendente voleva infatti rimanere anonimo e non utilizzare la mail personale.

Nel caso specifico era stato utilizzato un nome della casella di posta che non consentiva l’identificazione del soggetto, rimane quindi uno strumento aziendale e non entra in gioco il gdpr, perché non è un dato personale.

Quindi fin qui tutto bene.

Questo però non vuol dire che il datore di lavoro può accedere come e quando vuole alla mail aziendale del dipendente.

Ci sono delle regole per l’accesso del datore di lavoro alla mail aziendale del dipendente anche se la casella mail è di proprietà dell'azienda.

1️⃣ La mail aziendale è considerata una strumentazione dell’azienda concessa al dipendente, quindi il datore di lavoro deve informare il dipendente sulle modalità e finalità dell’utilizzo della mail aziendale come degli altri strumenti aziendali concessi in uso al dipendente.

2️⃣ Lo stesso accesso del datore di lavoro alla mail aziendale del dipendente non può avvenire in maniera casuale, ma devono esserci motivazioni legittime e attinenti all’attività lavorativa. Ad esempio quando ci sono dei sospetti sulle assenze ingiustificate del lavoratore. Tutto questo deve essere scritto nella policy.

Infatti attraverso l’accesso alla casella e-mail, il datore di lavoro effettua un controllo a distanza sul lavoratore.

📌 Come fa il datore di lavoro a tutelarsi?

Il datore di lavoro deve:

istruire in maniera più puntuale possibile il dipendente sull’uso che può fare della mail aziendale

fargli firmare una policy interna

prevedere le relative sanzioni per ogni tipo di violazione.

Se manca la firma sulla policy da parte del dipendente io, avvocato, non posso difendere l’azienda perché senza questa firma il datore di lavoro non ha diritto ad accedere alla casella di posta elettronica aziendale del dipendente.

Poi per quanto riguarda la giurisprudenza, è molto contraddittoria:

Se prima del GDPR la Cassazione ha ritenuto legittimo il licenziamento che si basava su informazioni raccolte sulla mail aziendale del dipendente, il Garante della Privacy invece è giunto a conclusioni diametralmente opposte.

👉 Con una policy chiara, precisa su ogni aspetto, con un tone of voice prescrittivo, il problema viene risolto a monte.

😉 @avvocatovercellotti