Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).
La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.
Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.
Quali dati tratta e trasferisce Google?
Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.
Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.
La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.
Tuttavia, tale soluzione non risulta sufficiente e adeguata.
Numerosi sono gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”. Tra questi, rileva il fatto che il soggetto che intende vendere i propri beni e servizi on-line ha un dovere di informazione, che si concretizza nella necessità di fornire all’utente determinate informazioni, sia a carattere generale sia a carattere specifico a seconda del bene o servizio offerto.
Nel presente articolo vorremmo provare a definire l’esatto contenuto di alcuni degli obblighi informativi presenti, seguendo le indicazioni fornite dai giudici nazionali ed europei.
Contratti a distanza e pratiche commerciali scorrette
A tale riguardo, la disciplina del Codice del consumo (d. lgs. 6 settembre 2005, n. 206) e in particolare l’art. 49 integrano quanto previsto dal d.lgs. 70/2003 relativo al commercio elettronico. Il Codice del consumo prevede altresì che, nel caso di contratti conclusi attraverso un mezzo di comunicazione a distanza che consente uno spazio o un tempo limitato per visualizzare le informazioni, il professionista è tenuto a dare solo parte delle “informazioni obbligatorie”, ai sensi dell’art. 51, co. 4 Cod. cons.
Si rileva altresì che, nelle ipotesi di mancato corretto adempimento agli obblighi informativi posti a tutela dei consumatori, si possono talvolta configurare anche pratiche commerciali “scorrette” oppure configuranti atti di pubblicità ingannevole (ai sensi del d. lgs. 145/2007). Le pratiche commerciali scorrette, in particolare, sono disciplinate dagli artt. 18-27 quater Cod. cons. Tale disciplina amplia la tutela del consumatore perché egli risulta protetto da qualsiasi pratica commerciale che possa recargli danno, indipendentemente dal momento in cui questa è posta in essere. Le pratiche commerciali scorrette si distinguono in aggressive ed ingannevoli. Si ha una pratica ingannevole quando vengono riportate informazioni non rispondenti al vero o che, seppure di fatto corrette, per la loro presentazione complessiva, siano tali da indurre in errore il consumatore medio riguardo ad uno o più elementi e, in ogni caso, da indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (art. 21, co. 1 Cod. cons.).
Indicazione del costo complessivo del prodotto o servizio
In primo luogo, con riferimento all’obbligo di indicare il costo del prodotto o del servizio comprensivo di tutte le voci (imposte, costi di spedizione, costi per la restituzione per recesso) (art. 49, co. 1, lett. e) Cod. cons.) nonché le modalità di calcolo del prezzo definitivo, si segnala che la giurisprudenza amministrativa (Consiglio di Stato, sez. VI, 2 settembre 2019, n. 6033) ha condannato la società titolare di un sito di vendita online per il settore turistico in cui era emersa una notevole divergenza tra l’offerta pubblicizzata sulla homepage ed il prezzo finale.
La pandemia e la globalizzazione tecnologica hanno contribuito ad una vera e propria esplosione del commercio elettronico. Si calcola che soltanto nei primi mesi del 2021 le vendite on line in Italia siano aumentate di oltre il 50%, con una previsione di crescita per l’intero anno di oltre il 70%.
Non c’è alcun dubbio che i vantaggi del commercio elettronico siano innumerevoli e che lo stesso, soprattutto negli ultimi due anni, ha rappresentato per molti, sia imprese offerenti sia consumatori, l’unico modo per vendere e acquistare beni e servizi.
I vantaggi dell’e-commerce
Per il venditore, i vantaggi dell’e-commerce si traducono in: i) riduzione dei costi della rete distributiva, ii) riduzione dei tempi di vendita, iii) bacino di clienti potenzialmente illimitato.
Per il destinatario del servizio invece, l’e-commerce si traduce in: i) possibilità di acquistare in qualsiasi momento e in qualsiasi luogo prodotti e servizi offerti da aziende di qualsiasi parte del mondo, ii) possibilità di risparmiare sui costi e tempi di acquisto, iii) acquisire facilmente informazioni su prodotti e fornitori, iv) comparare in maniera veloce le condizioni di vendita applicate dai diversi venditori.
Numerosi sono però gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”.
In particolare, il soggetto che intende vendere i propri beni e servizi on-line ha un vero e proprio dovere di informazione, dovendo fornire all’utente una serie di informazioni sia a carattere generale sia a carattere specifico per la tutela dell’utente stesso.
Obblighi informativi generali
Il dovere di informazione del venditore si esplicita nella previsione di diversi obblighi informativi, che derivano da diverse norme, ognuna mirante a tutelare determinati interessi e/o categorie di “acquirenti”.
Un primo gruppo di obblighi riguarda quelli a carattere generale.
Infatti, ai sensi dell’art. 7 del D. Lgs. 70/2003, deve essere possibile per l’utente e per le autorità competenti conoscere in maniera semplice alcuni dati che permettono di identificare l’attività svolta e il soggetto che la offre. Si tratta quindi di indicare nome, denominazione o ragione sociale della società venditrice, numero di iscrizione al REA e partita Iva, i contatti di cui l’utente può servirsi in caso di necessità, prezzi e tariffe dei prodotti o dei servizi resi, e simili.
Nel caso di svolgimento di particolari attività, inoltre il D. Lgs. 70/2003 impone al prestatore ulteriori obblighi informativi. Ad esempio, nel caso dell’esercizio di professioni regolamentate, dovrà essere indicato l’ordine professionale di appartenenza, il titolo professionale e lo Stato membro in cui è stato rilasciato, oltre ad un riferimento alle norme professionali applicabili e agli eventuali codici di condotta vigenti; nel caso di attività soggette a concessione, licenza o autorizzazione, invece, sarà necessario indicarne gli estremi e la competente autorità di vigilanza.
Obblighi informativi specifici
Per quanto riguarda gli obblighi informativi specifici, invece, lo stesso decreto richiede che all’utente vengano fornite informazioni, ad esempio, in ordine al modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso, ai mezzi e alle modalità di correzione di eventuali errori di inserimento dei dati prima di inoltrare l’ordine, alle lingue a disposizione per concludere il contratto, alla risoluzione delle controversie che possono scaturire dall’acquisto on-line, ai metodi di pagamento di cui può servirsi l’utente in fase di acquisto.
Tutte le informazioni sopra elencate devono essere costantemente aggiornate dal gestore del sito e-commerce e devono essere di facile accesso per l’utente.
Il Consiglio di Stato ha affermato molto chiaramente che per le piattaforme on line e, in generale, per i fornitori di servizi digitali non è sufficiente conformarsi alle norme sulla privacy, ma devono essere altresì garantiti tutta una serie di diritti previsti a tutela dei consumatori.
Le norme sulla tutela dei consumatori non riguardano infatti solo le forniture di beni “fisici” o i servizi dati a pagamento, bensì anche i servizi digitali offerti a titolo gratuito, qualora “in cambio” vengano richiesti dati personali degli utenti.
È stato inoltre chiarito che, in caso di violazioni, le sanzioni pecuniarie previste dalle norme sulla protezione dei dati e da quelle per la tutela dei consumatori sono cumulabili, non alternative.
A cosa devono stare quindi attenti gli imprenditori che offrono servizi digitali, per evitare di essere sanzionati, come è successo a Facebook?
Il caso Facebook
Il Consiglio di Stato ha confermato la sanzione che ha colpito Facebook per la pratica commerciale ingannevole consistente nell’omessa informazione al consumatore sulla raccolta e l’utilizzo dei dati per scopi commerciali (sentt. nn. 2630 e 2631 del 29 marzo 2021).
Questa sanzione non veniva dal Garante privacy, come ci si potrebbe aspettare, bensì dall’Autorità Garante della Concorrenza e del Mercato (AGCM), che è competente a decidere sulle pratiche commerciali scorrette delle imprese nei confronti dei consumatori. La stessa sanzione era stata confermata dal TAR del Lazio, insieme a quella relativa alla pratica aggressiva consistente nel trasferimento di dati a soggetti terzi, senza un effettivo e libero consenso dell’utente. Su questo punto il Consiglio di Stato ha sostenuto che la pratica commerciale non fosse scorretta, perché in realtà all’utente era consentita la scelta se trasferire o meno i propri dati ad altre piattaforme e service provider.
Invece, il punto fondamentale che è stato riaffermato dal Consiglio di Stato, confermando la sanzione per la pratica ingannevole, è che tutti gli utenti dei social network devono essere tutelati, oltre che ai sensi del GDPR e del Codice Privacy, anche in base alla normativa sui diritti dei consumatori.
Il rispetto delle norme sul trattamento dei dati personali non basta!
Facebook ha provato a sostenere che, siccome i dati personali sono beni extra commercium, è possibile affermare che il servizio digitale in questione è offerto gratuitamente, senza corrispettivo, e che per questo non si dovrebbe applicare la disciplina consumeristica. Facebook ha sostenuto altresì che le norme a tutela dei consumatori sarebbero comunque “assorbite” da quelle relative alla privacy.
La prima questione è una di quelle che ha riempito negli ultimi anni i discorsi di centinaia di studiosi e politici: esiste la proprietà sui dati personali? L’interessato può farne “uso e abuso”, fino al punto di venderli dietro compenso o di utilizzarli come merce di scambio?
A prescindere dalla qualificazione da dare ai dati personali, tuttavia, è evidente che ormai, di fatto, spopolano modelli di business che si basano proprio sull’utilizzo e lo sfruttamento economico dei dati, inclusi quelli personali.
Ecco che allora si arriva alla seconda questione, alla quale il Consiglio di Stato ha risposto confermando che la tutela che deriva dal GDPR per i dati personali non esclude quella prevista dalle norme sui diritti dei consumatori.
Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.
Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.
Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.
Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.
E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.
Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.
Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?
Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.
In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:
i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
l’app non ha accesso alle posizioni che condividi;
i gruppi sono assolutamente privati;
è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.
Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.
Cos’è Whatsapp Business?
In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.
Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.
Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.
E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?
I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.
Ma Whatsapp condivide o no i miei dati personali con Facebook?
Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.
Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.
Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.
Ad ogni buon conto Whatsapp, ha precisato che:
Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
WhatsApp non condivide i tuoi contatti con Facebook.
Conclusioni
Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.
Hai mai sentito parlare di dropshipping? Si tratta di un particolare modello di business che ti consente, con alcuni piccoli accorgimenti, di fare buoni profitti, con pochissime spese.
Come funziona?
Il dropshipping è un metodo di vendita applicabile all’e-commerce, grazie al quale è possibile vendere un prodotto online senza averlo materialmente in magazzino. Anzi, senza avere il magazzino!
Nessun magazzino… com’è possibile?
Ebbene sì, il venditore non acquista la merce dal fornitore, ma si limita a proporla al pubblico per il tramite del proprio e-commerce. Non appena il venditore riceve l’ordine del cliente, lo trasmette al fornitore, il quale si occupa dell’imballaggio e della spedizione del prodotto direttamente all’acquirente. Semplice, no? Naturalmente, tutto questo è reso possibile da apposito accordo commerciale, regolante i rapporti tra venditore e fornire in un’ottica di mutuo vantaggio.
Caratteristiche dell’accordo commerciale
Se prima di questo articolo non avevi mai sentito nominare il dropshipping, è perché si tratta di un modello di vendita di recente invenzione. Per tale ragione, il contratto di dropshipping non presenta alcuna normativa codicistica di riferimento, salvo le regole generali sui contratti, di cui al nostro codice civile. Va però messo in luce come si tratti pur sempre di una modalità di commercio elettronico, la quale non può che essere regolamentata dal D.Lgs. 70/2003, rubricato “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico“. Tale normativa impone al venditore una serie composita di obblighi, già descritti in questo nostro precedente articolo. Ad ogni buon conto, come in tutti i rapporti commerciali, è essenziale definire precipuamente quali sono i diritti e i doveri delle parti del contratto, ossia, nel caso di specie, del merchant e del fornitore.
Obblighi del fornitore
L’accordo commerciale deve necessariamente prevedere che il fornitore si impegni a:
Garantire la disponibilità in magazzino dei beni pubblicizzati nell’e-commerce dal merchant, avvisandolo prontamente qualora un prodotto risulti esaurito;
Curare la logistica del magazzino, ovverosia il flusso delle merci in entrata e in uscita;
Curare l’imballaggio dei beni ordinati ed acquistati dal cliente finale, tramite il sito del merchant. Le caratteristiche del packaging devono essere descritte nel contratto o in un suo allegato tecnico;
Garantire che la merce in magazzino soddisfi pienamente i requisiti di sicurezza previsti dalle normative vigenti e siano conformi alle stesse;
Spedire la merce ordinata, nei termini e con le modalità indicate nel contratto, direttamente all’acquirente finale.
Obblighi del venditore
Parimenti, l’accordo commerciale deve stabilire che il merchant si impegni a:
Promuovere nel proprio e-commerce i prodotti del fornitore;
Curare la gestione degli ordini. Si specifica, tuttavia, che dovrebbe essere il fornitore ad inviare ai clienti una notifica via e-mail non appena l’ordine va in consegna;
Curare il flusso dei pagamenti, ed in particolare, corrispondere al fornitore le somme pattuite nel contratto.
Quindi, chi paga chi?
All’interno dell’accordo commerciale è necessario che sia descritto il flusso dei pagamenti, con chiara indicazione delle modalità con cui il merchant corrisponde al fornitore le somme stabilite. Si specifica infatti che il cliente paga il prezzo del prodotto acquistato direttamente al venditore, tramite l’e-commerce. Quest’ultimo trattiene sulla somma incassata una percentuale per i servizi dal medesimo svolti, e trasmette l’importo rimanente al fornitore, a titolo di corrispettivo per le attività effettuate.
È opportuno che nel contratto sia previsto che il merchant corrisponda mensilmente le somme dovute al fornitore. In questo modo, qualora il cliente finale eserciti il diritto di recesso e sia necessario restituire le somme dallo stesso versate, il venditore, non avendo ancora pagato il fornitore, non si troverà a dover sborsare di tasca propria le somme in questione.
Chi è responsabile nei confronti del cliente finale?
La responsabilità per eventuali vizi, non conformità, o danni causati dai prodotti acquistati dal cliente è una tematica davvero spinosa. È essenziale che nel contratto sia inserita apposita clausola di manleva, con cui il fornitore si impegna a tenere indenne il venditore da qualsivoglia danno cagionato a persone e/o cose derivante dai prodotti dallo stesso forniti.
Consigli pratici
Se sei arrivato fino a qui, dovrebbe esserti chiaro che il dropshipping è davvero un business innovativo e ricco di potenzialità economicamente allettanti. Tuttavia, avrai anche capito che, per tutelare la tua posizione, è essenziale che i rapporti con il fornitore da te scelto siano disciplinati da apposito contratto scritto.Per la redazione dello stesso, ti consigliamo di rivolgerti sempre ad un esperto del settore: saprà come proteggere al meglio i tuoi interessi, scongiurando il rischio di fraintendimenti con il fornitore, che nel peggiore dei casi si traducono in annose controversie giudiziali.
In caso di dubbi o perplessità, non avere remore a contattare lo Studio Legale Soccol.
Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.
Il caso
Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.
La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.
I motivi della sentenza.
Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.
Le Clausola Contrattuali Standard
Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.
Impatto sulle attività imprenditoriali
Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarànecessario trovare altre basi giuridiche che legittimino il trasferimento.
A tale proposito, il GDPR ne indica diverse:
• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;
• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);
• le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;
• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;
• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.
In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:
– basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure
– motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure
– un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).
Le soluzioni
Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.
In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.
Adempimenti necessari
Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.
Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.
Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.
Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.
Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.
Il family tracking
Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.
Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.
Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.
Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?
Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.
Localizzazione dei server e trasferimento dei dati
Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.
Diritti degli utenti interessati
Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.
App per minori
Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).
È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.
Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.
Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli. O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.
I dati raccolti tramite queste app possono essere venduti a soggetti terzi?
Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.
Profilazione e marketing
Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.
Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.
