Alla luce della recente approvazione del testo del Data Governance Act, avvenuta il 6 aprile 2022, se ne tracciano dapprima brevemente i punti nodali, per poi soffermarsi sul tema dell’Altruismo dei dati. Questo concetto e le sue estrinsecazioni rappresentano uno snodo fondamentale di questo regolamento. La domanda principale che bisogna porsi però è: le sue previsioni sul tema impatteranno davvero la realtà o resteranno lettera morta?
Il Data Governance Act
Il Data Governance Act[1] è un regolamento che va ad innestarsi in un ambizioso progetto europeo di armonizzazione e regolamentazione dei dati personali e del loro utilizzo. La società odierna poggia ormai le sue basi sul concetto di dati che, come definiti dall’art. 2 del DGA, includono “ogni rappresentazione digitale di atti, fatti o informazioni e ogni raccolta di tali atti, fatti o informazioni, incluse le registrazioni sonore, visive o audiovisive”[2]. Risulta consequenzialmente opportuno procedere ad una pianificazione quanto più condivisa ed organica sul tema, seguendo l’approccio che l’Unione ha sempre avuto riguardo tale materia: regolamentare non per inibire, ma bensì per incentivare un uso consapevole dei dati.
Dopo un discreto periodo di gestazione, il suo testo è stato approvato dal Parlamento Europeo il 6 aprile 2022[3] e si fonda su tre pilastri fondamentali. Il primo di essi è il riutilizzo dei dati nel settore pubblico, strumento chiave al fine di consentire una digitalizzazione efficiente e proficua degli apparati statali che, sempre di più, si affidano a sistemi basati su algoritmi e intelligenze artificiali, i quali richiedono, ai fini del loro fisiologico processo di learning, una grande mole di dati da processare.
Il secondo pilastro si basa, invece, sulla diffusione dei dati attraverso intermediari. La scelta di questo tipo di sistema di condivisione poggia il suo sostrato sulla possibilità di poter garantire maggiori standard sia qualitativi, in riferimento alla bontà dei database stessi, sia di sicurezza ed accountability nel processo di raccolta, gestione e concessione di questi ultimi, nonché di trasparenza per quanto concerne il diritto di accesso e i costi ad esso connessi.
L’ultimo pilastro, fulcro di questo articolo, si pone un obiettivo di grande levatura sociale e morale ed è menzionato sotto il concetto di “Altruismo dei dati”. Esso viene definito dall’art. 2 co. 16 del DGA come “la volontaria diffusione di dati, sulla base del consenso dell’interessato nel trattare i dati personali che lo riguardano o l’autorizzazione del Titolare all’utilizzo dei suoi dati non personali senza ricercare o ricevere un compenso che vada oltre alla compensazione dei costi in cui incorre al fine di rendere tali dati disponibili per obiettivi di interesse generale come previsto dal diritto nazionale, ove applicabile, come ad esempio: sanità, contrasto al cambiamento climatico, miglioramento della mobilità, facilitazione dello sviluppo, produzione e diffusione di statistiche ufficiali, miglioramento della fornitura di servizi pubblici, dell’elaborazione di politiche pubbliche o della ricerca scientifica nell’interesse generale”[4].
Numerosi sono gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”. Tra questi, rileva il fatto che il soggetto che intende vendere i propri beni e servizi on-line ha un dovere di informazione, che si concretizza nella necessità di fornire all’utente determinate informazioni, sia a carattere generale sia a carattere specifico a seconda del bene o servizio offerto.
Nel presente articolo vorremmo provare a definire l’esatto contenuto di alcuni degli obblighi informativi presenti, seguendo le indicazioni fornite dai giudici nazionali ed europei.
Contratti a distanza e pratiche commerciali scorrette
A tale riguardo, la disciplina del Codice del consumo (d. lgs. 6 settembre 2005, n. 206) e in particolare l’art. 49 integrano quanto previsto dal d.lgs. 70/2003 relativo al commercio elettronico. Il Codice del consumo prevede altresì che, nel caso di contratti conclusi attraverso un mezzo di comunicazione a distanza che consente uno spazio o un tempo limitato per visualizzare le informazioni, il professionista è tenuto a dare solo parte delle “informazioni obbligatorie”, ai sensi dell’art. 51, co. 4 Cod. cons.
Si rileva altresì che, nelle ipotesi di mancato corretto adempimento agli obblighi informativi posti a tutela dei consumatori, si possono talvolta configurare anche pratiche commerciali “scorrette” oppure configuranti atti di pubblicità ingannevole (ai sensi del d. lgs. 145/2007). Le pratiche commerciali scorrette, in particolare, sono disciplinate dagli artt. 18-27 quater Cod. cons. Tale disciplina amplia la tutela del consumatore perché egli risulta protetto da qualsiasi pratica commerciale che possa recargli danno, indipendentemente dal momento in cui questa è posta in essere. Le pratiche commerciali scorrette si distinguono in aggressive ed ingannevoli. Si ha una pratica ingannevole quando vengono riportate informazioni non rispondenti al vero o che, seppure di fatto corrette, per la loro presentazione complessiva, siano tali da indurre in errore il consumatore medio riguardo ad uno o più elementi e, in ogni caso, da indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (art. 21, co. 1 Cod. cons.).
Indicazione del costo complessivo del prodotto o servizio
In primo luogo, con riferimento all’obbligo di indicare il costo del prodotto o del servizio comprensivo di tutte le voci (imposte, costi di spedizione, costi per la restituzione per recesso) (art. 49, co. 1, lett. e) Cod. cons.) nonché le modalità di calcolo del prezzo definitivo, si segnala che la giurisprudenza amministrativa (Consiglio di Stato, sez. VI, 2 settembre 2019, n. 6033) ha condannato la società titolare di un sito di vendita online per il settore turistico in cui era emersa una notevole divergenza tra l’offerta pubblicizzata sulla homepage ed il prezzo finale.
Il diritto di recesso, anche detto diritto al “ripensamento”, consiste nel diritto del consumatore di poter sciogliere, unilateralmente, il contratto stipulato con il professionista e di avere diritto alla restituzione del prezzo già corrisposto.
Tale diritto, il quale va esercitato entro un termine previsto per legge, nasce dall’esigenza di tutelare il consumatore, quale soggetto debole e vulnerabile rispetto al professionista venditore, durante gli acquisti di beni e servizi effettuati a distanza o fuori dai locali commerciali.
Il diritto di recesso ha acquisito una centralità nella società dell’informazione a seguito della trasformazione dell’utente in consumatore digitale.
Il “consumatore digitale”
Il legislatore europeo ha mostrato da sempre una spiccata sensibilità al tema della tutela del consumatore non soltanto quale parte “debole” del rapporto contrattuale, ma anche quale protagonista di un mercato in continua evoluzione e sempre più complesso.
Trasparenza e informazione (inclusa quella al diritto al recesso) hanno costituito, sin dalle prime delibere comunitarie, gli strumenti con cui è stata attuata a livello comunitario la tutela del consumatore, e oggi lo sono sempre di più dal momento che quest’ultimo si è trasformato in consumatore digitale.
Con l’intento di rafforzare la tutela del consumatore, agevolandone la consapevolezza dei propri diritti in fase di acquisto “on-line”, e con l’intento di armonizzazione dei sistemi nazionali il legislatore europeo, è intervenuto sulla normativa consumeristica con la direttiva 83/2011 EU.
La pandemia e la globalizzazione tecnologica hanno contribuito ad una vera e propria esplosione del commercio elettronico. Si calcola che soltanto nei primi mesi del 2021 le vendite on line in Italia siano aumentate di oltre il 50%, con una previsione di crescita per l’intero anno di oltre il 70%.
Non c’è alcun dubbio che i vantaggi del commercio elettronico siano innumerevoli e che lo stesso, soprattutto negli ultimi due anni, ha rappresentato per molti, sia imprese offerenti sia consumatori, l’unico modo per vendere e acquistare beni e servizi.
I vantaggi dell’e-commerce
Per il venditore, i vantaggi dell’e-commerce si traducono in: i) riduzione dei costi della rete distributiva, ii) riduzione dei tempi di vendita, iii) bacino di clienti potenzialmente illimitato.
Per il destinatario del servizio invece, l’e-commerce si traduce in: i) possibilità di acquistare in qualsiasi momento e in qualsiasi luogo prodotti e servizi offerti da aziende di qualsiasi parte del mondo, ii) possibilità di risparmiare sui costi e tempi di acquisto, iii) acquisire facilmente informazioni su prodotti e fornitori, iv) comparare in maniera veloce le condizioni di vendita applicate dai diversi venditori.
Numerosi sono però gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”.
In particolare, il soggetto che intende vendere i propri beni e servizi on-line ha un vero e proprio dovere di informazione, dovendo fornire all’utente una serie di informazioni sia a carattere generale sia a carattere specifico per la tutela dell’utente stesso.
Obblighi informativi generali
Il dovere di informazione del venditore si esplicita nella previsione di diversi obblighi informativi, che derivano da diverse norme, ognuna mirante a tutelare determinati interessi e/o categorie di “acquirenti”.
Un primo gruppo di obblighi riguarda quelli a carattere generale.
Infatti, ai sensi dell’art. 7 del D. Lgs. 70/2003, deve essere possibile per l’utente e per le autorità competenti conoscere in maniera semplice alcuni dati che permettono di identificare l’attività svolta e il soggetto che la offre. Si tratta quindi di indicare nome, denominazione o ragione sociale della società venditrice, numero di iscrizione al REA e partita Iva, i contatti di cui l’utente può servirsi in caso di necessità, prezzi e tariffe dei prodotti o dei servizi resi, e simili.
Nel caso di svolgimento di particolari attività, inoltre il D. Lgs. 70/2003 impone al prestatore ulteriori obblighi informativi. Ad esempio, nel caso dell’esercizio di professioni regolamentate, dovrà essere indicato l’ordine professionale di appartenenza, il titolo professionale e lo Stato membro in cui è stato rilasciato, oltre ad un riferimento alle norme professionali applicabili e agli eventuali codici di condotta vigenti; nel caso di attività soggette a concessione, licenza o autorizzazione, invece, sarà necessario indicarne gli estremi e la competente autorità di vigilanza.
Obblighi informativi specifici
Per quanto riguarda gli obblighi informativi specifici, invece, lo stesso decreto richiede che all’utente vengano fornite informazioni, ad esempio, in ordine al modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso, ai mezzi e alle modalità di correzione di eventuali errori di inserimento dei dati prima di inoltrare l’ordine, alle lingue a disposizione per concludere il contratto, alla risoluzione delle controversie che possono scaturire dall’acquisto on-line, ai metodi di pagamento di cui può servirsi l’utente in fase di acquisto.
Tutte le informazioni sopra elencate devono essere costantemente aggiornate dal gestore del sito e-commerce e devono essere di facile accesso per l’utente.
Il Consiglio di Stato ha affermato molto chiaramente che per le piattaforme on line e, in generale, per i fornitori di servizi digitali non è sufficiente conformarsi alle norme sulla privacy, ma devono essere altresì garantiti tutta una serie di diritti previsti a tutela dei consumatori.
Le norme sulla tutela dei consumatori non riguardano infatti solo le forniture di beni “fisici” o i servizi dati a pagamento, bensì anche i servizi digitali offerti a titolo gratuito, qualora “in cambio” vengano richiesti dati personali degli utenti.
È stato inoltre chiarito che, in caso di violazioni, le sanzioni pecuniarie previste dalle norme sulla protezione dei dati e da quelle per la tutela dei consumatori sono cumulabili, non alternative.
A cosa devono stare quindi attenti gli imprenditori che offrono servizi digitali, per evitare di essere sanzionati, come è successo a Facebook?
Il caso Facebook
Il Consiglio di Stato ha confermato la sanzione che ha colpito Facebook per la pratica commerciale ingannevole consistente nell’omessa informazione al consumatore sulla raccolta e l’utilizzo dei dati per scopi commerciali (sentt. nn. 2630 e 2631 del 29 marzo 2021).
Questa sanzione non veniva dal Garante privacy, come ci si potrebbe aspettare, bensì dall’Autorità Garante della Concorrenza e del Mercato (AGCM), che è competente a decidere sulle pratiche commerciali scorrette delle imprese nei confronti dei consumatori. La stessa sanzione era stata confermata dal TAR del Lazio, insieme a quella relativa alla pratica aggressiva consistente nel trasferimento di dati a soggetti terzi, senza un effettivo e libero consenso dell’utente. Su questo punto il Consiglio di Stato ha sostenuto che la pratica commerciale non fosse scorretta, perché in realtà all’utente era consentita la scelta se trasferire o meno i propri dati ad altre piattaforme e service provider.
Invece, il punto fondamentale che è stato riaffermato dal Consiglio di Stato, confermando la sanzione per la pratica ingannevole, è che tutti gli utenti dei social network devono essere tutelati, oltre che ai sensi del GDPR e del Codice Privacy, anche in base alla normativa sui diritti dei consumatori.
Il rispetto delle norme sul trattamento dei dati personali non basta!
Facebook ha provato a sostenere che, siccome i dati personali sono beni extra commercium, è possibile affermare che il servizio digitale in questione è offerto gratuitamente, senza corrispettivo, e che per questo non si dovrebbe applicare la disciplina consumeristica. Facebook ha sostenuto altresì che le norme a tutela dei consumatori sarebbero comunque “assorbite” da quelle relative alla privacy.
La prima questione è una di quelle che ha riempito negli ultimi anni i discorsi di centinaia di studiosi e politici: esiste la proprietà sui dati personali? L’interessato può farne “uso e abuso”, fino al punto di venderli dietro compenso o di utilizzarli come merce di scambio?
A prescindere dalla qualificazione da dare ai dati personali, tuttavia, è evidente che ormai, di fatto, spopolano modelli di business che si basano proprio sull’utilizzo e lo sfruttamento economico dei dati, inclusi quelli personali.
Ecco che allora si arriva alla seconda questione, alla quale il Consiglio di Stato ha risposto confermando che la tutela che deriva dal GDPR per i dati personali non esclude quella prevista dalle norme sui diritti dei consumatori.
Hai mai sentito parlare di dropshipping? Si tratta di un particolare modello di business che ti consente, con alcuni piccoli accorgimenti, di fare buoni profitti, con pochissime spese.
Come funziona?
Il dropshipping è un metodo di vendita applicabile all’e-commerce, grazie al quale è possibile vendere un prodotto online senza averlo materialmente in magazzino. Anzi, senza avere il magazzino!
Nessun magazzino… com’è possibile?
Ebbene sì, il venditore non acquista la merce dal fornitore, ma si limita a proporla al pubblico per il tramite del proprio e-commerce. Non appena il venditore riceve l’ordine del cliente, lo trasmette al fornitore, il quale si occupa dell’imballaggio e della spedizione del prodotto direttamente all’acquirente. Semplice, no? Naturalmente, tutto questo è reso possibile da apposito accordo commerciale, regolante i rapporti tra venditore e fornire in un’ottica di mutuo vantaggio.
Caratteristiche dell’accordo commerciale
Se prima di questo articolo non avevi mai sentito nominare il dropshipping, è perché si tratta di un modello di vendita di recente invenzione. Per tale ragione, il contratto di dropshipping non presenta alcuna normativa codicistica di riferimento, salvo le regole generali sui contratti, di cui al nostro codice civile. Va però messo in luce come si tratti pur sempre di una modalità di commercio elettronico, la quale non può che essere regolamentata dal D.Lgs. 70/2003, rubricato “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico“. Tale normativa impone al venditore una serie composita di obblighi, già descritti in questo nostro precedente articolo. Ad ogni buon conto, come in tutti i rapporti commerciali, è essenziale definire precipuamente quali sono i diritti e i doveri delle parti del contratto, ossia, nel caso di specie, del merchant e del fornitore.
Obblighi del fornitore
L’accordo commerciale deve necessariamente prevedere che il fornitore si impegni a:
Garantire la disponibilità in magazzino dei beni pubblicizzati nell’e-commerce dal merchant, avvisandolo prontamente qualora un prodotto risulti esaurito;
Curare la logistica del magazzino, ovverosia il flusso delle merci in entrata e in uscita;
Curare l’imballaggio dei beni ordinati ed acquistati dal cliente finale, tramite il sito del merchant. Le caratteristiche del packaging devono essere descritte nel contratto o in un suo allegato tecnico;
Garantire che la merce in magazzino soddisfi pienamente i requisiti di sicurezza previsti dalle normative vigenti e siano conformi alle stesse;
Spedire la merce ordinata, nei termini e con le modalità indicate nel contratto, direttamente all’acquirente finale.
Obblighi del venditore
Parimenti, l’accordo commerciale deve stabilire che il merchant si impegni a:
Promuovere nel proprio e-commerce i prodotti del fornitore;
Curare la gestione degli ordini. Si specifica, tuttavia, che dovrebbe essere il fornitore ad inviare ai clienti una notifica via e-mail non appena l’ordine va in consegna;
Curare il flusso dei pagamenti, ed in particolare, corrispondere al fornitore le somme pattuite nel contratto.
Quindi, chi paga chi?
All’interno dell’accordo commerciale è necessario che sia descritto il flusso dei pagamenti, con chiara indicazione delle modalità con cui il merchant corrisponde al fornitore le somme stabilite. Si specifica infatti che il cliente paga il prezzo del prodotto acquistato direttamente al venditore, tramite l’e-commerce. Quest’ultimo trattiene sulla somma incassata una percentuale per i servizi dal medesimo svolti, e trasmette l’importo rimanente al fornitore, a titolo di corrispettivo per le attività effettuate.
È opportuno che nel contratto sia previsto che il merchant corrisponda mensilmente le somme dovute al fornitore. In questo modo, qualora il cliente finale eserciti il diritto di recesso e sia necessario restituire le somme dallo stesso versate, il venditore, non avendo ancora pagato il fornitore, non si troverà a dover sborsare di tasca propria le somme in questione.
Chi è responsabile nei confronti del cliente finale?
La responsabilità per eventuali vizi, non conformità, o danni causati dai prodotti acquistati dal cliente è una tematica davvero spinosa. È essenziale che nel contratto sia inserita apposita clausola di manleva, con cui il fornitore si impegna a tenere indenne il venditore da qualsivoglia danno cagionato a persone e/o cose derivante dai prodotti dallo stesso forniti.
Consigli pratici
Se sei arrivato fino a qui, dovrebbe esserti chiaro che il dropshipping è davvero un business innovativo e ricco di potenzialità economicamente allettanti. Tuttavia, avrai anche capito che, per tutelare la tua posizione, è essenziale che i rapporti con il fornitore da te scelto siano disciplinati da apposito contratto scritto.Per la redazione dello stesso, ti consigliamo di rivolgerti sempre ad un esperto del settore: saprà come proteggere al meglio i tuoi interessi, scongiurando il rischio di fraintendimenti con il fornitore, che nel peggiore dei casi si traducono in annose controversie giudiziali.
In caso di dubbi o perplessità, non avere remore a contattare lo Studio Legale Soccol.
Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.
Il caso
Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.
La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.
I motivi della sentenza.
Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.
Le Clausola Contrattuali Standard
Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.
Impatto sulle attività imprenditoriali
Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarànecessario trovare altre basi giuridiche che legittimino il trasferimento.
A tale proposito, il GDPR ne indica diverse:
• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;
• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);
• le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;
• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;
• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.
In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:
– basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure
– motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure
– un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).
Le soluzioni
Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.
In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.
Adempimenti necessari
Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.
Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.
La pandemia ci ha sicuramente ricordato l’importanza del ruolo ricoperto dalla tecnologia in vari ambiti della nostra quotidianità. Non da ultimo: il business. Invero, sono sempre di più gli imprenditori che si stanno rendendo conto che per sopravvivere in questa nuova era, la tecnologia non è una risorsa, ma la risorsa. Il fine? Vendere. Come? Aprendo un e-commerce.
Aprire un e-commerce, tuttavia, non è un gioco da ragazzi. È essenziale valutare attentamente alcuni aspetti.
Aspetti organizzativi.
Il primo passo per aprire un e-commerce è: fare delle scelte. Scegli il tuo target, cosa vendergli, e come farlo. Per esempio, puoi decidere di dotarti di un magazzino (acquistandone la proprietà o prendendolo in affitto), oppure puoi basare il tuo business sul c.d. dropshipping: niente magazzino, giri gli ordini del tuo utente al grossista, che spedisce la merce ordinata al secondo.
Aspetti tecnologici.
La tecnologia è il tuo mezzo, ma attenzione: non fa tutto da sola . Lo sai che è possibile aprire un e-commerce gratuitamente, attraverso servizi online quasi del tutto preconfigurati? Un esempio è Shopify, che può essere utilizzato gratuitamente per un periodo di prova limitato, (senza inserire dati di pagamento e senza obbligo di rinnovo). Se invece preferisci qualcosa di più professionale puoi acquistare un hosting, un dominio e installare un CMS, ovverosia un software che ti permette di configurare l’e-commerce in ogni suo aspetto, come WordPress, Magento o Prestashop. In alternativa, puoi realizzare il tuo e-commerce da zero, attraverso il linguaggio di programmazione. Ma in questo caso, ti consigliamo di affidarti ad un professionista del settore.
Aspetti fiscali e doganali.
Starai pensando: perché limitarsi all’Italia quando si può conquistare il mondo? Qualora questo fosse il tuo proposito, bada bene di considerare eventuali dazi per la circolazione delle merci, nonché le diverse normative fiscali e legali degli stati che vuoi “conquistare”.
Non dimenticare il marketing!
Ricorda che per avere successo, non basta vendere un prodotto di qualità, serve anche il marketing. A tal proposito, è particolarmente indicato che il nome a dominio e i testi presenti nel sito siano improntanti al rispetto delle regole SEO.
Ovviamente, non possono mancare le immagini. Attenzione però alla legge sul diritto d’autore. Qualora tu decida di affidare ad un fotografo la realizzazione delle immagini per il tuo sito, ti consigliamo di disciplinare contrattualmente gli aspetti inerenti al diritto di riproduzione, utilizzo e diffusione delle fotografie.
Aspetti giuridici.
Salvo che tu non voglia fornire servizi sottoforma di prestazioni occasionali, dovrai aprire la partita IVA, che rappresenta però uno degli obblighi che dovrai sostenere se vuoi davvero aprire il tuo e-commerce. Occorre infatti anche:
inviare una comunicazione all’Agenzia delle Entrate e all’INPS;
l’iscrizione alla Camera di Commercio e allo Sportello Unico Attività Produttive (SUAP) del comune;
eventualmente l’iscrizione al VIES (Vat Information Exchange System), se intendi vendere all’estero nella Comunità Europea.
Non è però finita qui. Invero, il commercio elettronico, ovverosia lo svolgimento di attività commerciali e di transazioni per via elettronica soggiace alla disciplina del D.lgs. 70/2003, attuativo della direttiva n. 2000/31/CE. È pertanto chiaro che il tuo il tuo e-commerce deve necessariamente essere costruito nel rispetto di quanto stabilito dalla succitata normativa.
Obblighi informativi
Lo sai per esempio che il tuo sito e-commerce deve obbligatoriamente contenere alcune specifiche informazioni? Invero, gli artt. 7 e ss. del D.lgs. 70/2003 impongono l’indicazione di:
Identità del titolare della ditta, dei soci della società o del professionista;
Dati fiscali (codice fiscale o partita iva);
Indirizzo geografico e contatti dell’impresa (numero di telefono, indirizzo mail, posta elettronica certificata);
Caratteristiche essenziali dei beni e/o dei servizi offerti;
Prezzo totale dei beni e/o servizi offerti con indicazione dell’imposta sul valore aggiunto;
Modalità di pagamento (contrassegno, carta di credito, ecc.);
Modalità di consegna del bene o esecuzione del servizio;
Modalità di presentazione dei reclami;
Esplicazione delle modalità di esercizio del diritto di recesso;
Eventuali altre informazioni sui costi da sostenere in caso di esercizio del diritto di recesso;
Esistenza di garanzie legali di conformità dei beni o di adeguatezza dei servizi offerti;
Durata del contratto.
Puoi inserire le informazioni di cui a punti 1, 2 e 3 nel footer del tuo sito, in modo che siano sempre a disposizione dell’utente; mentre per le altre, dovrai armati di condizioni generali di contratto.
Condizioni generali di contratto
Sei già allarmato, vero? In realtà, le condizioni generali di contratto oltre a fornire le informazioni di cui sopra, possono tutelarti in più di un’occasione. Nelle medesime, per esempio, vengono disciplinate le limitazioni alla tua responsabilità, le procedure da seguire in caso di merce viziata, quelle per gli avvenimenti di forza maggiore, come la pandemia che ben conosciamo, ed infine possono essere inserite apposite regole per la tutela della tua proprietà intellettuale e/o industriale.
Consumatore o professionista?
Ora che ti sei convinto dell’utilità – oltre che della necessarietà – delle condizioni generali di contratto, fermati! Vuoi vendere a consumatori o a imprenditori come te? Invero, qualora tu decidessi di rivolgerti alla prima categoria, le regole da tenere in considerazione per la redazione delle condizioni generali si arricchiscono di un ulteriore tassello: la normativa del Codice del Consumo (D.lgs. 206/2005). A titolo d’esempio, tale normativa assicura a tutti i consumatori la facoltà di recedere dal contratto entro 14 giorni dalla sua conclusione. Fra l’altro, nelle condizioni generali, è essenziale che tale indicazione sia messa nero su bianco, giacché, in assenza, il termine per l’esercizio del succitato diritto diventa di dodici mesi.
E la privacy?
Avrai di certo sentito molto parlare di privacy e trattamento dei dati personali. Invero, per la costruzione del tuo e-commerce, devi tenere in considerazione anche quanto stabilito a tal proposito dal Regolamento Europeo n. 679/2016, meglio conosciuto con il nome di GDPR. Bada bene, non è sufficiente che tu provveda a caricare all’interno del tuo sito e-commerce l’informativa sul trattamento dei dati personali, con tutte le informazioni di cui all’art. 13 del GDPR e la relativa cookie policy.
Infatti, l’art. 25 del GDPR ti impone, in quanto Titolare del trattamento, di mettere in atto, già nella fase di ideazione e creazione del tuo e-commerce, misure tecniche e organizzative adeguate, quali la pseudonimizzazione e la minimizzazione, per proteggere i dati e i diritti degli utenti (c.d. principio della privacy by default e by design).
Le nostre istruzioni per l’uso
Se sei arrivato in fondo a questo articolo, ti sarai certamente reso conto che la rete normativa sottesa al commercio elettrico è parecchio intricata.
Ecco perché è sempre preferibile rivolgersi ad un consulente specializzato in materia, fin dall’inizio dell’implementazione dell’e-commerce. Lo stesso, infatti, può guidare te e gli sviluppatori nella creazione di un portale a norma di legge, facendoti risparmiare non solo il denaro che saresti costretto ad investire in eventuali, alquanto probabili modifiche e/o correzioni, ma anche quello che potresti essere costretto a sborsare in sanzioni, qualora prediligessi il famoso “fai da te”.
Non esitare a contattarci, se vuoi approfondire la questione ovvero se hai bisogno di supporto per la creazione del tuo e-commerce.
Il commercio elettronico è in costante crescita sia in Italia che nel mondo. Nell’ultimo periodo, esso si è ulteriormente diffuso a causa dell’emergenza sanitaria, che ha comportato il blocco delle vendite al dettaglio delle merci ritenute non essenziali. Alla crescente importanza del settore non sempre si accompagna, però, la consapevolezza da parte degli operatori circa le normative vigenti e i rischi legali a cui possono andare incontro, in caso di violazione delle normative applicabili.
Dal punto di vista privacy, come tutti i siti web, anche quello
e-commerce soggiace alle regole dettate in materia di data protection,
sia per quanto riguarda le finalità di trattamento dei dati che il titolare è
tenuto a fornire agli utenti, sia relativamente alle misure di sicurezza
tecniche poste alla base del sistema informatico.
Nello specifico, le principali regole in tema di privacy da tenere
in considerazione ai fini della costruzione di un e-commerce conforme alla
legge sono individuate dal Reg. Ue 679/216 (GDPR) e dai provvedimenti
emessi dal Garante
Le regole basilari
In particolare, in base ai principi dettati dall’art. 25 del GDPR,
la creazione dell’e-commerce deve essere effettuata contestualmente alla
progettazione del trattamento dei dati (privacy by desing) e il Titolare
del Trattamento deve trattare i dati dell’interessato nella misura necessaria e
sufficiente per le finalità previste e per il periodo strettamente necessario (privacy
by default). Invero, il trattamento dei dati degli utenti deve avvenire
tenendo conto del principio di minimizzazione dei dati, di cui all’art.
5 GDPR, secondo il quale possono essere trattati solo quei dati necessari e
indispensabili in relazione alle finalità per le quali sono raccolti, nonché secondo le logiche di accountability,
consistenti nelle responsabilità di definire (a monte di un’attenta analisi dei
dati trattati e dei possibili rischi connessi) l’insieme di quelle misure
adeguate, che limitano il più possibile il verificarsi di eventuali rischi e
garantiscono il rispetto delle disposizioni GDPR.
Ma come deve essere nella pratica un e-commerce per essere GDPR
compliance?
Anzitutto l’e-commerce deve contenere una privacy policy (informativa),
redatta ai sensi dell’art. 13 GDPR, che fornisce tutte le informazioni
necessarie affinché i visitatori del sito possano decidere in modo consapevole
se prestare o meno il loro consenso al trattamento dei dati personali. In
particolare, nell’informativa devono essere inserite specifiche informazioni in
relazione ai trattamenti dei dati degli utenti per determinate richieste o
servizi (ad esempio alla gestione di un’area riservata per monitorare gli
ordini effettuati). Altresì dovrà essere prevista una cookies policy e inserito,
ad esempio, un banner con opt-in che contenga i vari cookies utilizzati, in
modo da permettere all’Utente di poter fornire un consenso espresso.
Newsletter e messaggi sponsorizzati
Proprio per il fatto che il consenso deve essere prestato
dall’utente in modo inequivocabile ed espresso, i moduli per le newsletters inseriti
nel sito non possono contenere il consenso di default. L’impresa deve pertanto
inserire una casella di spunta per il consenso al trattamento dei dati
personali, senza che la stessa possa essere precompilata. Inoltre, sia i
messaggi sponsorizzati che i moduli funzionanti con modalità opt- out (cioè i
moduli che appaiono quando il cursore del mouse si muove verso la parte
superiore della pagina per chiuderla) devono essere riadattati in modalità
opt-in opzionale.
Attenzione al database e misure di
sicurezza!
L’e-commerce deve poi essere dotato di un proprio database
separato che faciliti la richiesta di cancellazione dei dati personali, e di un
sistema di verifica dei dati degli utenti/visitatori, che renda possibile la
verifica immediata nel caso in cui vengano violati i dati personali. Infine, deve
essere garantita la sicurezza dei dati attraverso l’adozione di specifiche
misure di sicurezza come, a titolo esemplificativo non esaustivo: utilizzare
sistemi che permettono la riservatezza, l’integrità, la disponibilità dei dati
personali; dotarsi di metodi che permettono di ripristinare la disponibilità
dei dati personali e l’accesso ad essi in tempi appropriati in caso di incidenti
fisici o tecnici; adottare procedure volte a verificare, analizzare e valutare
regolarmente l’efficacia delle misure tecniche operative per assicurare la
sicurezza.
Si ricorda che il mancato adeguamento agli obblighi imposti dal GDPR
può comportare sanzioni molto pesanti per le imprese, in quanto sono previste
multe sino a 20 milioni di Euro o fino al 4% del fatturato.
Proprio per questa ragione, se state pensando di dotarvi di un
e-commerce, fatevi affiancare da un avvocato esperto in materia, per evitare di
incorrere in guai con il Garante per la protezione dei dati personali.
