Federsicurezza, la federazione del settore della vigilanza e sicurezza privata, ha redatto l’annuale Report sui servizi di sicurezza offerti dalle molteplici aziende presenti sul territorio italiano.

Dalla ricerca emerge la presenza di 1339 imprese che operano nel settore della sicurezza privata in Italia.

Il Presidente di Federsicurezza, Luigi Gabriele, ha sottolineato come bisogni innanzitutto riconoscere che il termine vigilanza privata sia ormai obsoleto, e che sia più lecito discutere di sistemi di sicurezza integrata, in cui ciascuno possa concorrere con la sua professionalità specifica.

Tale report va però a sottolineare una situazione particolarmente delicata nell’ambito della security.

Il Report sottolinea un crescente dislivello tra le diverse imprese che si occupano di sicurezza.

Difatti la ricerca ha evidenziato come un’elevata quota di mercato sia detenuta da determinate aziende a discapito di molte micro realtà che invece non riescono a progredire.

Ciò è amplificato anche dal difficile processo di riqualificazione, professionalizzazione e rivitalizzazione del settore sicurezza a causa della difficoltà delle Istituzioni di controllare efficacemente la regolamentazione di tale settore, ne è un esempio esplicito l’uso indiscriminato del portierato anche su servizi esclusivi della vigilanza armata.

A tal proposito, per cercare di arginare l’abusivismo diffuso, ad aprile 2019 è stata diffusa dal Capo della Polizia una circolare che specifica come l’esercizio di attività esclusive della vigilanza privata da parte di portierati concretizzi a tutti gli effetti il reato di abusivismo, punibile anche penalmente richiedendo necessariamente la presenza di Guardie particolari Giurate debitamente formate.

Dal Report emerge inoltre la questione sul fatturato in ambito di security.

In tal senso a discapito di un fatturato complessivo di 3,5 miliardi di euro, il sud Italia risulta penalizzato detenendo solo il 22,6% del fatturato nazionale anche avendo il 47,5% delle imprese della vigilanza italiana.

Tuttavia la ricerca ha evidenziato come la domanda di sicurezza continui ad essere molto presente.

Ciò è sottolineato dal 33,7% delle imprese del territorio meridionale, ovvero clienti attivi e potenziali in ambito security, che richiedono un bisogno di sicurezza maggiore, in aumento rispetto ai due anni precedenti.

Si sottolinea inoltre come quasi la metà delle organizzazioni che si sono affidate ad uno o più fornitori di sicurezza siano rimaste soddisfatto del servizio: l’indice medio di soddisfazione del comparto sicurezza è molto più alto di altri settori industriali.

L’indagine mette in risalto la necessità di divulgare la Cultura della Sicurezza.

A conclusione dell’indagine svolta, infatti Federsicurezza propone una nuova visione della cultura della sicurezza, in cui anche lo Stato sia in prima linea nel diffondere i servizi di vigilanza privata e nell’attivare percorsi formativi delle guardie giurate, ed ancora ampliando gli spazi di mercato, in modo che le imprese del settore possano recuperare marginalità con l’apertura alla difesa della persona fisica.

Scegliere soluzioni outsourcing è una decisione difficile ma determinante per l’evoluzione di un’azienda.

In mercati sempre più competitivi Pegaso Service, parte integrante di Giuliano Group, è in grado di dotare le aziende di servizi flessibili e personalizzabili, rendendo semplice ed immediata tale scelta.

Ma cosa si intende per outsourcing?

Il suo ricorso garantisce alle imprese vantaggi in termini di rapidità, efficienza e disponibilità di risorse e tale tipologia di esternalizzazione prende il nome di Business Process Outsourcing (BPO).

La cui definizione potrebbe essere la seguente:

L’esternalizzazione dei processi gestionali e di controllo di un’impresa che, per tali funzioni, si affida a un partner altamente qualificato per liberare risorse interne e dedicarle ad attività più orientate al core-business aziendale.

Per l’azienda, optare per il Business Process Outsourcing significa abbattere costi gestionali e riappropriarsi di risorse (in termini di personale, tempo e spazi) per perseguire gli obiettivi d’impresa.

Questo processo, altamente performante, può tuttavia generare alcune criticità.

Quali sono le criticità più frequenti?

Numerose possono essere le implicazioni e i quesiti che possono intervenire ad ostacolare le decisioni prese in tal senso.

Secondo un recente studio le aziende commettono più di frequente 4 tipologie di errori:

  1. Fraintendere la vera natura del “BPO”: è importante per le aziende esaminare l’intero ventaglio di opzioni prima di scegliere il servizio di outsourcing più utile per la propria attività.
  2. Non voler perdere il controllo aziendale: l’idea di esternalizzare può creare incertezza all’interno delle organizzazioni. Tuttavia, ciò che spesso viene sottovalutato è che il “Bpo”, in realtà, è in grado di creare un sistema migliore rispetto a una gestione in-house.
  3. Mancanza di comunicazione: non informare opportunamente della tipologia di servizio che si richiede né delle modalità previste può determinare confusione portando ad un mediocre utilizzo dei servizi in outsourcing.
  4. Non pianificare strategicamente i servizi di outsourcing: l’inadeguata pianificazione limiterà l’utilizzo dei suddetti servizi che non potranno essere implementati nel futuro ma solo a breve termine.

Tali criticità insorgono anche a causa dei fornitori di servizi di esternalizzazione non sempre adeguatamente qualificati.

Pegaso service, con il suo personale altamente formato e competenze sviluppate dalla sua lunga esperienza, pone particolare attenzione nel personalizzare opportunamente ogni servizio di outsourcing, perseguendo gli obiettivi del cliente ed evitando così di commettere spiacevoli errori.

In un futuro in cui bisogna orientarsi su un Outsourcing flessibile e dinamico, capace realmente di generare valore per il business, Pegaso Service diviene quindi una soluzione altamente vincente.

Per maggiori informazioni: https://www.pegasoservice.it/

Il cybercrime è sempre più diffuso. La ricerca Kaspersky Lab sulla sicurezza informatica ha riscontrato un fortissimo aumento dei casi di attacchi phishing nel terzo trimestre del 2018.

Ma cosa sono gli attacchi phishing? Il pishing è una particolare tipologia di truffa che avviene online in cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.

Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli o SMS (SMISHING) in cui si richiede la verifica dell’account o presunti aggiornamenti delle informazioni, cliccando su link presenti all’interno dei messaggi.

Tali link invece reindirizzano la vittima della truffa verso un sito che simula l’originale, ma che in realtà è un falso creato ad arte per ingannare gli utenti. Le informazioni sottratte vengono infine usate per accedere ai veri portali e compiere operazioni illecite, come il trasferimento di fondi.

La ricerca ha individuato quasi 140 milioni di tentativi di truffa perpetuati nel mondo attraverso questa tecnica nel solo terzo trimestre del 2018. Tale dato sottolinea come gli utenti spesso abbiano poca conoscenza del mondo online o non diano la giusta attenzione nel preservare i propri dati sensibili.

Ma qual è il settore più attaccato?

Stando al report di Kaspersky, il settore finanziario è stato uno dei più colpiti: più di un terzo di tutti gli attacchi di phishing registrati ha avuto come obiettivo infatti banche, sistemi di pagamento e canali di e-commerce.

Il Paese con la percentuale più alta di utenti attaccati dal phishing nel terzo trimestre del 2018 è stato il Guatemala, con quasi il 19% del totale, seguito dal Brasile con il 18,6%. Il terzo posto è occupato dalla Spagna, con il 17,5% degli utenti colpiti.

Anche l’Italia è molto provata dalle innumerevoli campagne phishing in circolazione. Falsi domini di banche come Unicredit, Poste Italiane, falsi rimborsi Tim, Enel, e tanto altro circolano sul web, come evidenziato dal ricercatore di cyber security @IllegalFawnIl che attraverso il suo account Twitter invita gli utenti a fare attenzione a determinati siti “truffa”, segnalandoli quando possibile.

Anche le aziende devono tutelarsi da tali attacchi, stando all’Italian CyberSecurity Report 2018 gli attacchi subiti sono cresciuti del +34,21% e i soggetti più a rischio sono le piccole e medie imprese.

Il metodo più usato per attaccarle è quasi sempre lo stesso: i ransomware.

Mascherati da documenti di testo o altre tipologie di formato file apparentemente innocue, i ransomware si diffondono, solitamente, tramite posta elettronica. La loro diffusione avviene dunque con un’operazione di phishing, che causerà l’illeggibilità dei documenti aziendali che saranno crittografati e resi leggibili solo dall’hacker attraverso il pagamento di un riscatto.

Le soluzioni ideali per arginare tali attacchi? L’osservazione.

Il consiglio per difendersi da tali attacchi è ben preciso. Bisogna prima di tutto analizzare sempre con accuratezza i link proposti nelle email o negli sms ricevuti, controllandone l’autenticità. In secondo luogo è buona norma essere costantemente informati sulle nuove tipologie di attacchi phishing in corso in modo da non cadere in questa spiacevole trappola.

Si ricercano risorse interessate ad intraprendere una carriera lavorativa nella Vigilanza Privata, da decretare come Guardie Particolari Giurate.

Saranno considerati requisiti preferenziali 
• possesso del titolo di diploma di scuola media superiore,
• precedente esperienza lavorativa in ambito militare,
• conoscenza dei principali strumenti informatici,
• possesso della patente B (automunito)
• domicilio nella provincia di Salerno
• il profilo deve avere disponibilità a lavorare in orario notturno e festivo

Offerta
• inserimento tramite contratto a tempo determinato, formazione aziendale e crescita professionale.
• Sedi di lavoro Salerno

Titolo di studio minimo
• Diploma di Maturità

Indispensabile
• Residente in Salerno e provincia
• Patente B (automunito)
• Disponibilità a turni notturni e festivi.

Si prega di inviare la propria candidatura all’indirizzo e -mail: frontoffice@giulianogroup.it, indicando nell’oggetto “candidatura GPG Servizi di zona Salerno”.

Si ricercano risorse interessate ad intraprendere una carriera lavorativa nella Vigilanza Privata, da decretare come Guardie Particolari Giurate con mansioni di Operatore di Centrale.

Saranno considerati requisiti preferenziali:
• possesso del titolo di diploma di laurea
• Laurea Triennale con formazione scientifica e/o informatica
• la conoscenza dei principali strumenti informatici
• padronanza e dimestichezza sistemi hardware
• possesso della patente B (automunito)
• domicilio nella provincia di Salerno.
• il profilo deve avere disponibilità a lavorare in orario notturno e festivo

Offerta
• inserimento tramite contratto a tempo determinato, formazione aziendale e crescita professionale.
Sedi di lavoro Salerno

Titolo di studio minimo
• Diploma di Laurea
• Laurea
• Formazione scientifica/informatica

Indispensabile
• Residente in Salerno e provincia
• Patente B (automunito)
• Disponibilità a turni notturni e festivi
• Conoscenza dei principali strumenti informatici, padronanza e dimestichezza sistemi hardware.

Si prega di inviare la propria candidatura all’indirizzo e -mail: frontoffice@giulianogroup.it, indicando nell’oggetto “candidatura GPG Operatore di Centrale / back end Zona Salerno”.

E’ legittima l’attività degli investigatori privati diretta ad accertare i motivi del mancato svolgimento dell’attività lavorativa del dipendente.

E’ quanto chiarito dalla Corte di Cassazione, Sezione Lavoro, nella sentenza n. 8373/18 depositata il 4 aprile 2018.

La vicenda in esame riguardava l’ex dipendente di un’agenzia assicurativa, il quale era stato licenziato poiché, in seguito ad alcuni controlli effettuati da investigatori privati, incaricati dal datore di lavoro, non avrebbe rispettato l’orario lavorativo settimanale, per come previsto contrattualmente.

Orbene, il lavoratore aveva impugnato per cassazione la sentenza con cui i giudici dell’appello, avevano rigettato la domanda proposta dallo stesso per ottenere l’annullamento del licenziamento intimatogli e la conseguente reintegrazione. In particolare, la Corte territoriale aveva rilevato sia la proporzionalità della sanzione irrogata dal datore di lavoro rispetto ai fatti contestati al ricorrente, sia la legittimità dell’attività dell’agenzia investigativa svolta, in quanto finalizzata a verificare se le assenze del lavoratore dal luogo di lavoro fossero dovute ad un senza giustificato motivo o meno.

La Suprema Corte ha ritenuto infondata la violazione delle garanzie previste dagli articoli 2 e 3 dello Statuto dei lavoratori, eccepita dal ricorrente, in quanto, nello specifico, l’art. 2, nel limitare l’intervento di soggetti preposti dal datore di lavoro a tutela dell’azienda, non preclude a quest’ultimo di rivolgersi anche ad agenzie investigative. Inoltre, le garanzie poste dagli art. 2 e 3 già menzionati, riguardano l’esecuzione dell’attività lavorativa intesa in senso stretto, non estendendosi ad eventuali condotte illecite commesse dal dipendente.

Secondo i giudici di merito, nel caso in oggetto, l’attività degli investigatori rientrava tra i poteri di controllo del datore di lavoro in quanto esercitata in luoghi pubblici. A ciò si aggiunga che, proprio in virtù di detti controlli, era stato accertato il mancato rispetto, da parte del lavoratore, dell’orario di lavoro, nonché lo svolgimento di altre attività, non inerenti al lavoro, compiute dal dipendente al di fuori dell’ufficio, durante le ore lavorative.

La Suprema Corte ha condiviso la decisione della Corte d’appello, secondo la quale, il controllo effettuato dagli investigatori, non era finalizzato ad accertare le modalità dell’adempimento dell’obbligazione lavorativa, bensì «le cause dell’assenza del dipendente dal luogo di lavoro concernenti appunto il mancato svolgimento dell’attività lavorativa da compiersi anche all’esterno della struttura aziendale». Pertanto, la Cassazione ha rigettato il ricorso.

(Altalex, 17 aprile 2018. Nota di Maria Elena Bagnato)

1. La rilevanza del tema della Privacy nell’attività di recupero dei crediti e di raccolta di dati

L’attività di recupero crediti può essere intrapresa direttamente dal creditore come pure, nel suo interesse, da terzi (quali avvocati e società specializzate nel recupero crediti, queste ultime in possesso della licenza di cui all’art. 115 TULPS), generalmente operanti in virtù di un contratto di mandato.

Nello svolgimento dell’attività, il creditore, ovvero il terzo incaricato, sono inevitabilmente coinvolti nel trattamento di determinati dati del debitore, sia nella fase di raccolta delle informazioni, sia nel tentativo di presa di contatto, finalizzata alla riscossione del credito.

Vi sono quindi due principali aspetti che vengono in rilievo:

a) quali dati e informazioni possono essere oggetto di trattamento, nella fase che è propedeutica al recupero vero e proprio del credito;
b) sulla base dei dati forniti, quali comportamenti possono essere messi in atto per sollecitare ed ottenere il pagamento delle somme dovute.

Il Regolamento UE del 27 aprile 2016, n. 679 (“GDPR”) ha apportato sostanziali modifiche al D.Lgs. 30 giugno 2003, n. 196 (“Codice della Privacy”). Si cercherà quindi di capire se ed in quale misura dette modifiche abbiano una rilevanza (anche e soprattutto a livello di pratica) nel settore del recupero dei crediti, con specifico riferimento, per quanto attiene alla presente diserzione, ai rilievi sub a).

V’è da fare sin d’ora una necessaria premessa: le norme del GDPR trovano applicazione con esclusivo riferimento alle persone fisiche, non già, invece, verso persone giuridiche quali enti e società. I rilievi più sotto affrontati, quindi, riguarderanno le sole persone fisiche.

2. I dati oggetto di trattamento e la liceità del trattamento

Al fine di comprendere quali dati possono legittimamente essere oggetto di trattamento, v’è anzitutto da chiarire cosa si debba intendere per dati e cosa, invece, per trattamento.

Ai sensi dell’art. 4 del GDPR, rubricato “definizioni”, per «dato personale» si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il medesimo articolo, specifica che per «trattamento», si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Ora, il Garante della Privacy, già nel Vademecum dell’aprile 2016 “Privacy e recupero crediti, le regole per il corretto trattamento dei dati personali”, ha stabilito che possono formare oggetto di trattamento, finalizzato al recupero crediti, solamente i dati necessari all’esecuzione dell’incarico (dati anagrafici del debitore, codice fiscale o partita IVA, ammontare del credito vantato, unitamente alle condizioni del pagamento, e recapiti, anche telefonici) di norma forniti dall’interessato in occasione del rapporto intrattenuto con il creditore, o comunque desumibili da elenchi o registri pubblici.

Per comprendere se l’assetto prospettato dal Garante nel 2016 sia ancora attuale, è necessario fare riferimento all’art. 6 del GDPR, che illustra le circostanze in cui il trattamento possa dirsi lecito. Per quanto d’interesse, tale è qualora: i) “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”; ovvero ii) “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

La norma, dal contenuto assimilabile a quello dell’art. 24 del Codice della Privacy (ora abrogato), consente il trattamento dei dati personali vuoi in virtù di un consenso prestato, vuoi in virtù della necessità dello stesso al fine di tutelare i legittimi interessi del titolare del trattamento.

Va da sé che nella maggior parte dei rapporti tra privati (eccezione è data rinvenire, ad esempio, nei contratti stipulati con istituti di credito), il contratto, in forza del quale potrà sorgere un diritto di credito, non contempla al suo interno il preventivo consenso dell’interessato a che i suoi dati vengano trattati ai fini di una futura escussione del credito. Inoltre, detto consenso sarebbe inverosimile da ottenere qualora il credito derivi, ad esempio, da un illecito di tipo extra-contrattuale.

Ora, giacché il diritto di credito è un interesse (o meglio, un diritto) meritevole di tutela da parte dell’Ordinamento, il trattamento dei dati del debitore potrà avvenire anche senza che vi sia il consenso dello stesso.

Ne consegue che il creditore, ed il suo mandatario, potranno legittimamente trattare tutti i dati del debitore, senza che debba essere assunto il preventivo consenso di questi, purché, tuttavia, gli stessi dati siano necessari ai fini dell’esercizio del diritto di credito.

Quest’ultimo inciso è invero rilevante giacché pone il dubbio di quali dati debbano essere considerati necessari e quali, invece superflui. In assenza di precise indicazioni legislative, è opportuno, se non d’obbligo, rifarsi alle già citate indicazioni fornite dal Garante.

Ne deriva che il “nocciolo duro” dei dati che potrà essere oggetto di trattamento è costituito da: i) dati anagrafici riferiti al debitore; ii) codice fiscale (o partita Iva del medesimo); iii) ammontare del credito vantato (unitamente alle condizioni del pagamento); iv) recapiti (anche telefonici); v) altre informazioni desumibili da elenchi o registri pubblici.

3. L’informativa al soggetto interessato da parte del soggetto riscossore

Dato per lecito il trattamento, non sarà sfuggito che il soggetto riscossore si trova a trattare, in ogni caso, determinati dati personali. Ne consegue che lo stesso soggetto si deve porre il problema della necessità, o meno, di fornire una idonea informativa (di cui all’art. 13 del GDPR) nei confronti dei soggetti debitori interessati del trattamento.

L’informativa, infatti, ha lo scopo di illustrare all’interessato le informazioni su come vengono raccolti, utilizzati, condivisi e conservati i suoi dati personali, rendendolo allo stesso tempo edotto di quali siano i suoi diritti.

Oltretutto, i dati trattati dal creditore o dal terzo incaricato, sono, nella maggior parte dei casi, non direttamente raccolti dall’interessato, in quanto forniti da un terzo. È il caso, ad esempio, in cui l’agenzia di recupero dei crediti si trovi a trattare dati del debitore che le sono stati forniti direttamente dal creditore; o ancora, il caso in cui il creditore, ovvero l’agenzia di recupero dei crediti, acquisisca determinate informazioni da banche dati private di Business Information.

In tutti questi casi, l’informativa dovrà essere integrata alla luce delle indicazioni di cui all’art. 14, GDPR, che prevede quali informazioni debbano essere fornite qualora i dati personali non siano stati ottenuti presso l’interessato.

Ai sensi della disposizione appena citata l’informativa dovrà contenere: l’identità e i dati di contatto del titolare e del responsabile del trattamento; le finalità del trattamento; le categorie di dati personali oggetto di trattamento; gli eventuali destinatari dei dati personali; l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo; il periodo di conservazione dei dati personali; i legittimi interessi perseguiti dal titolare del trattamento o da terzi; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi, nonché il diritto di proporre reclamo a un’autorità di controllo; la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; l’esistenza o meno di un processo decisionale automatizzato (profilazione).

Oltre al contenuto dell’informativa, è altresì opportuno porsi il problema del momento in cui è da effettuarsi la comunicazione della medesima.

Sul punto, particolarmente interessante per i suoi risvolti pratici è il comma 3 dell’art. 14 che prevede che tutte le informazioni più sopra elencate debbano essere comunicate all’interessato: i) “entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati”; ovvero ii) “nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato”.

Per fare un esempio pratico, in un’ottica di stretta interpretazione del dato normativo, la diffida di pagamento, che costituisce il primo atto tipico con cui viene contattato il debitore, dovrebbe essere corredata di una informativa ai sensi dell’art. 14, GDPR. Ciò in quanto, in applicazione della lettera b), la preventiva raccolta dei dati è finalizzata a comunicare efficacemente all’interessato-debitore la sua situazione debitoria.

Ora, dato che le agenzie di recupero dei crediti basano la propria attività sul recupero massivo delle somme, fornire ad ogni singolo soggetto debitore un’informativa individualizzata, introdurrebbe una pratica a oggi estranea alle prassi di settore perché eccessivamente gravosa.

Peraltro, proprio in ragione dell’eccesiva onerosità dell’adempimento prescritto dalla legge, potrebbe trovare applicazione il comma 5, lettera b) dell’art. 14 del GDPR. La disposizione prevede che non sussiste alcun obbligo di comunicare al soggetto interessato l’informativa qualora “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”.

L’applicabilità di tale eccezione ai casi illustrati è tuttavia dubbia, di talché si auspica un intervento chiarificatore del Garante.

È da segnalare, tuttavia, che nelle more del precedente Codice della Privacy, la prassi di settore, adottando una soluzione maturata dal Garante con riferimento al trattamento dei dati nell’attività di raccolta di informazioni commerciali (si veda il paragrafo successivo), ha indotto gli operatori a rendere l’informativa mediante pubblicazione, generalmente sul proprio sito web, delle modalità di assunzione e trattamento dei dati, e dei diritti degli interessati.

Per valutare l’attualità di tale soluzione è dunque opportuno illustrare quali sono, alla luce del GDRP, gli obblighi di informativa che coinvolgono le società che si occupano di business information.

4. (segue) L’informativa al soggetto interessato da parte delle banche dati di Informazioni Commerciali

Le Banche Dati di Informazioni Commerciali (Business Information) raccolgono ed elaborano dati relativi a perone fisiche o società perlopiù attraverso la consultazione di pubblici registri. In altri casi, i dati possono essere raccolti con il consenso esplicito (diretto o indiretto) dagli interessati, fornito, per esempio, in occasione di ricerche di mercato o questionari.

Le tipologie di dati raccolti possono quindi essere estremamente variabili: dati relativi alla situazione patrimoniale dell’interessato (debiti, mancati pagamenti, protesti, situazione reddituale), recapiti quali e-mail, numeri telefonici, indirizzi di residenza, ma anche interessi o preferenze.

A queste banche dati possono accedere tutti, mediante il pagamento del prezzo del servizio.

Ora, anche questi soggetti, raccogliendo i dati presso terzi (quali sono i pubblici registri, ovvero le società che a loro volta svolgono ricerche di mercato e/o questionari) dovrebbero – ai sensi di una stretta interpretazione delle norme del GDPR sopra analizzate – essere onerate a fornire un’informativa a tutti quei soggetti interessati del trattamento. Il che, come è dato intuire, introdurrebbe un onere molto gravoso, legato ai costi di rilascio di questa informativa individualizzata agli interessati.

La situazione ora delineata è invero già stata affrontata e risolta dal Garante della Privacy con la “sanatoria” contenuta nel Provvedimento del 14 maggio 2009, “Esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”, e, successivamente, nel Provvedimento del 22 maggio 2014, “Modifica parziale del provvedimento di esonero dall’informativa per l’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (ANCIC)”.

Il Garante ha dapprima, con il provvedimento del 2009, esonerato le imprese associate ANCIC dall’obbligo di rendere una informativa individualizzata agli interessati in occasione del trattamento dei loro dati per finalità di business information, per poi stabilire, con il provvedimento del 2014, due criteri “semplificati” regolanti le modalità di comunicazione dell’informativa da parte delle suddette società.

In particolare, il secondo criterio, risolveva il problema del rilascio dell’informativa mediante “la permanente pubblicazione, da parte di ciascuna società di informazione commerciale aderente ad Ancic, sul proprio sito web, dell’informativa prevista dall’art. 13 del Codice, da evidenziarsi adeguatamente in autonomi riquadri di immediata consultazione”.

Le società di Business Information, sostanzialmente, non devono fare altro che produrre e pubblicare l’informativa all’interno del proprio sito web: l’onere di lettura della stessa ricade sull’interessato.

Con l’introduzione del GDPR, il problema della produzione dell’informativa individualizzata potrebbe presentarsi nuovamente, qualora i Provvedimenti del Garante risalenti al 2009 e al 2014 fossero ritenuti non conformi a quanto previsto dall’art. 14 del Regolamento.

Si sottolinea, inoltre, che l’art. 118 del Codice della Privacy, dedicato alle “Informazioni Commerciali” è stato abrogato. La circostanza rileva, dal momento che la norma prevedeva la possibilità di elaborare “modalità semplificate per l’informativa all’interessato e idonei meccanismi per garantire la qualità e l’esattezza dei dati raccolti e comunicati”.

Anche in questo caso, quindi, in attesa di un auspicabile intervento del Garante, le società di Business Information potrebbero, mediante l’applicazione della fattispecie di cui al comma 5, lettera c) dell’art. 14 del GDPR, derogare agli stringenti ed onerosi obblighi previsti dal Regolamento, optando per il regime di comunicazione semplificato, già adottato nella vigenza del Codice della Privacy.

In tal senso, l’obbligo di rendere l’informativa risulterebbe essere adempiuto mediante la pubblicazione permanente della stessa sul sito internet della società che presta il servizio.

Fonte: Altalex, 9 novembre 2018

Sempre più spesso le imprese si rivolgono alle società ed alle agenzie di investigazioni private per proteggere e preservare il proprio business. Nello specifico, la “business intelligence” è quella serie di attività svolte dagli investigatori privati per potenziare e tutelare il business aziendale. Attraverso queste specifiche operazioni, da un lato si cerca di proteggere l’azienda, dall’altro di agevolarne l’ingresso in nuovi mercati o incentivarne la crescita.

In senso stretto, il lavoro degli investigatori privati consiste nella stesura di rapporti contenenti informazioni che mettono in evidenza i potenziali fattori di rischio di una particolare attività. Nei rapporti vengono spiegate la provenienza e la funzione delle informazioni analizzate. Per l’elaborazione di questi documenti vengono consultate varie fonti, tra le quali banche dati, archivi, registri pubblici, big data e interviste. L’intelligence aziendale viene utilizzata in particolare dalle imprese in fase di market entry. In questo caso, le agenzie d’investigazione tracciano un rapporto dettagliato sulla concorrenza, esaminando i principali competitor e fornendo all’azienda committente informazioni specifiche sui vari fattori di rischio e sulle opportunità relative all’inserimento in un nuovo mercato.

La “business intelligence” è ormai diventata parte integrante della strategia di impresa a livello globale. In Italia, quest’attività funziona ancora a rilento, nonostante sia cresciuto il numero delle aziende che ne richiede il servizio. In particolare, nel Belpaese manca ancora la cultura della prevenzione. Le aziende faticano a comprendere quale grandissimo valore aggiunto e potere strategico derivi dal possesso delle informazioni. Esse si rivolgono per lo più alle società investigative solamente dopo che il problema si è verificato, riducendo così il potere d’intervento alla sola risoluzione del danno.

Oltre alla “business intelligence” le agenzie investigative si occupano anche di tutelare le imprese da eventuali minacce, interne ed esterne, che ne mettono a repentaglio la sicurezza, quali ad esempio lo spionaggio industriale, la corruzione, le fughe di informazioni, il cyber-crime etc. La sicurezza di un’azienda può essere infatti minata sia dalle aziende concorrenti quanto da vere e proprie azioni criminali, senza dimenticare i rischi che possono incombere dall’interno. Non è un caso che la principale causa di frode sia rappresentata dagli stessi dipendenti. In questo senso, la scelta delle persone da inserire nei posti chiave può diventare fondamentale. E anche qui, gli investigatori privati possono venire in aiuto alle imprese.

Con la sentenza n. 15094 dell’11 giugno 2018, la Corte Suprema ha chiarito i casi in cui l’attività investigativa effettuata sui dipendenti può considerarsi legittima o meno. La Cassazione ha infatti stabilito la leicità per un imprenditore di avvalersi di una società di investigazioni private “per la tutela del patrimonio aziendale o per accertare mancanze specifiche da parte dei lavoratori”, purché l’attività investigativa non sconfini nella verifica delle inadempienze dei dipendenti nello svolgimento delle proprie mansioni.

Questo significa che l’impiego dei detective privati è da considerarsi legittimo esclusivamente fuori dalle mura aziendali e quando l’orario di lavoro è terminato (ad esempio per verificare se l’attività extra-lavorativa svolta dal dipendente violi il divieto di concorrenza o per accertare l’utilizzo improprio dei permessi della legge 104). In tal caso, l’attività investigativa non costituisce una violazione della privacy, fermo restando ovviamente che le indagini non avvengano nei luoghi di privata dimora. Inoltre, nel caso di un esercizio commerciale, la Cassazione ritiene legittimi i controlli eseguiti da un investigatore privato qualora si finga un normale cliente e, senza esercitare poteri di vigilanza, verifichi l’eventuale mancata fiscalizzazione di una vendita da parte del personale preposto. In pratica il detective può controllare, come una qualsiasi altra persona, se il dipendente emette lo scontrino o oppure no.

Viceversa, la Corte Suprema ha stabilito anche il perimetro entro il quale un datore di lavoro non può avvalersi del servizio di un investigatore privato. È il caso delle indagini svolte all’interno del luogo di lavoro per verificare possibili inadempienze da parte dei dipendenti, che spettano invece solamente al datore di lavoro. Infatti, secondo lo Statuto dei lavoratori, gli 007 non possono sorvegliare i dipendenti per “azioni o fatti diversi da quelli relativi alla tutela del patrimonio aziendale stesso”, o meglio non posso verificare se un dato lavoratore svolge bene la sua mansione o meno. Lo stesso discorso vale anche per quei lavoratori così detti “in missione”, cioè che svolgono la propria attività fuori dalle mura aziendali (si pensi ad esempio al settore edile). In tal caso, il controllo viene equiparato a quello all’interno della sede aziendale e, come detto, è vietato dalla legge. Questo tipo di indagini sono possibili solamente in casi specifici, in cui vi sia ipotesi di reato da parte del lavoratore, come ad esempio “l’esercizio di attività retribuita in favore di terzi durante l’orario lavorativo”.