Alla luce della recente approvazione del testo del Data Governance Act, avvenuta il 6 aprile 2022, se ne tracciano dapprima brevemente i punti nodali, per poi soffermarsi sul tema dell’Altruismo dei dati. Questo concetto e le sue estrinsecazioni rappresentano uno snodo fondamentale di questo regolamento. La domanda principale che bisogna porsi però è: le sue previsioni sul tema impatteranno davvero la realtà o resteranno lettera morta?
Il Data Governance Act
Il Data Governance Act[1] è un regolamento che va ad innestarsi in un ambizioso progetto europeo di armonizzazione e regolamentazione dei dati personali e del loro utilizzo. La società odierna poggia ormai le sue basi sul concetto di dati che, come definiti dall’art. 2 del DGA, includono “ogni rappresentazione digitale di atti, fatti o informazioni e ogni raccolta di tali atti, fatti o informazioni, incluse le registrazioni sonore, visive o audiovisive”[2]. Risulta consequenzialmente opportuno procedere ad una pianificazione quanto più condivisa ed organica sul tema, seguendo l’approccio che l’Unione ha sempre avuto riguardo tale materia: regolamentare non per inibire, ma bensì per incentivare un uso consapevole dei dati.
Dopo un discreto periodo di gestazione, il suo testo è stato approvato dal Parlamento Europeo il 6 aprile 2022[3] e si fonda su tre pilastri fondamentali. Il primo di essi è il riutilizzo dei dati nel settore pubblico, strumento chiave al fine di consentire una digitalizzazione efficiente e proficua degli apparati statali che, sempre di più, si affidano a sistemi basati su algoritmi e intelligenze artificiali, i quali richiedono, ai fini del loro fisiologico processo di learning, una grande mole di dati da processare.
Il secondo pilastro si basa, invece, sulla diffusione dei dati attraverso intermediari. La scelta di questo tipo di sistema di condivisione poggia il suo sostrato sulla possibilità di poter garantire maggiori standard sia qualitativi, in riferimento alla bontà dei database stessi, sia di sicurezza ed accountability nel processo di raccolta, gestione e concessione di questi ultimi, nonché di trasparenza per quanto concerne il diritto di accesso e i costi ad esso connessi.
L’ultimo pilastro, fulcro di questo articolo, si pone un obiettivo di grande levatura sociale e morale ed è menzionato sotto il concetto di “Altruismo dei dati”. Esso viene definito dall’art. 2 co. 16 del DGA come “la volontaria diffusione di dati, sulla base del consenso dell’interessato nel trattare i dati personali che lo riguardano o l’autorizzazione del Titolare all’utilizzo dei suoi dati non personali senza ricercare o ricevere un compenso che vada oltre alla compensazione dei costi in cui incorre al fine di rendere tali dati disponibili per obiettivi di interesse generale come previsto dal diritto nazionale, ove applicabile, come ad esempio: sanità, contrasto al cambiamento climatico, miglioramento della mobilità, facilitazione dello sviluppo, produzione e diffusione di statistiche ufficiali, miglioramento della fornitura di servizi pubblici, dell’elaborazione di politiche pubbliche o della ricerca scientifica nell’interesse generale”[4].
Il termine Industria 4.0 è entrato nel linguaggio comune, complici gli ingenti fondi stanziati dal Piano Nazionale Industria 4.0 e dal PNRR in ottica di Transizione 4.0. Ma cosa si intende per Industria 4.0? E soprattutto, a fronte dei gradi benefici in termini di produttività e competitività, quali sono le principali criticità legali da affrontare prima di innovare il proprio modello produttivo?
Il concetto di Industria 4.0
Per Industria 4.0 si è soliti fare riferimento ad un nuovo paradigma nella produzione e gestione aziendale che si caratterizza per la trasformazione digitale del processo produttivo in tutte le sue fasi. L’automazione dei processi e l’utilizzo di macchinari connessi ad Internet consentono di monitorare in tempo reale la produzione, di efficientarne la gestione e, in ultima istanza, di incidere sulla produttività e sulla competitività. La digitalizzazione in azienda si basa sull’introduzione di tecnologie innovative, come il ricorso a nuovi materiali, alla robotica, alla meccatronica, a tecnologie ICT, ai Big Data e alla Data Analytics, a dispositivi interconnessi (IoT) e sensori intelligenti.
Le risorse stanziate per la Transizione 4.0
Si assiste in questi anni ad una vera e propria corsa agli investimenti in tale settore, tanto in Italia, quanto nel contesto internazionale, con importanti ripercussioni sul piano della competitività delle imprese su scala globale. In questa logica si comprende la mole degli incentivi con i quali si intende garantire innovazione e competitività alle imprese italiane, specie nel settore manifatturiero. Basti ricordare come il PNRR, in linea con la politica intrapresa dal MISE con l’adozione del Piano Nazionale Industria 4.0, ha previsto lo stanziamento di ben 13 miliardi di euro con l’obbiettivo di promuovere la trasformazione digitale nei processi produttivi delle imprese italiane.
La pandemia e la globalizzazione tecnologica hanno contribuito ad una vera e propria esplosione del commercio elettronico. Si calcola che soltanto nei primi mesi del 2021 le vendite on line in Italia siano aumentate di oltre il 50%, con una previsione di crescita per l’intero anno di oltre il 70%.
Non c’è alcun dubbio che i vantaggi del commercio elettronico siano innumerevoli e che lo stesso, soprattutto negli ultimi due anni, ha rappresentato per molti, sia imprese offerenti sia consumatori, l’unico modo per vendere e acquistare beni e servizi.
I vantaggi dell’e-commerce
Per il venditore, i vantaggi dell’e-commerce si traducono in: i) riduzione dei costi della rete distributiva, ii) riduzione dei tempi di vendita, iii) bacino di clienti potenzialmente illimitato.
Per il destinatario del servizio invece, l’e-commerce si traduce in: i) possibilità di acquistare in qualsiasi momento e in qualsiasi luogo prodotti e servizi offerti da aziende di qualsiasi parte del mondo, ii) possibilità di risparmiare sui costi e tempi di acquisto, iii) acquisire facilmente informazioni su prodotti e fornitori, iv) comparare in maniera veloce le condizioni di vendita applicate dai diversi venditori.
Numerosi sono però gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”.
In particolare, il soggetto che intende vendere i propri beni e servizi on-line ha un vero e proprio dovere di informazione, dovendo fornire all’utente una serie di informazioni sia a carattere generale sia a carattere specifico per la tutela dell’utente stesso.
Obblighi informativi generali
Il dovere di informazione del venditore si esplicita nella previsione di diversi obblighi informativi, che derivano da diverse norme, ognuna mirante a tutelare determinati interessi e/o categorie di “acquirenti”.
Un primo gruppo di obblighi riguarda quelli a carattere generale.
Infatti, ai sensi dell’art. 7 del D. Lgs. 70/2003, deve essere possibile per l’utente e per le autorità competenti conoscere in maniera semplice alcuni dati che permettono di identificare l’attività svolta e il soggetto che la offre. Si tratta quindi di indicare nome, denominazione o ragione sociale della società venditrice, numero di iscrizione al REA e partita Iva, i contatti di cui l’utente può servirsi in caso di necessità, prezzi e tariffe dei prodotti o dei servizi resi, e simili.
Nel caso di svolgimento di particolari attività, inoltre il D. Lgs. 70/2003 impone al prestatore ulteriori obblighi informativi. Ad esempio, nel caso dell’esercizio di professioni regolamentate, dovrà essere indicato l’ordine professionale di appartenenza, il titolo professionale e lo Stato membro in cui è stato rilasciato, oltre ad un riferimento alle norme professionali applicabili e agli eventuali codici di condotta vigenti; nel caso di attività soggette a concessione, licenza o autorizzazione, invece, sarà necessario indicarne gli estremi e la competente autorità di vigilanza.
Obblighi informativi specifici
Per quanto riguarda gli obblighi informativi specifici, invece, lo stesso decreto richiede che all’utente vengano fornite informazioni, ad esempio, in ordine al modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso, ai mezzi e alle modalità di correzione di eventuali errori di inserimento dei dati prima di inoltrare l’ordine, alle lingue a disposizione per concludere il contratto, alla risoluzione delle controversie che possono scaturire dall’acquisto on-line, ai metodi di pagamento di cui può servirsi l’utente in fase di acquisto.
Tutte le informazioni sopra elencate devono essere costantemente aggiornate dal gestore del sito e-commerce e devono essere di facile accesso per l’utente.
L’incremento dell’utilizzo degli strumenti tecnologici per lo svolgimento delle prestazioni lavorative già da tempo ha dato luogo ad un acceso dibattito tra le parti in gioco nella ricerca del punto di equilibrio tra i diversi interessi coinvolti.
Da un lato, infatti, troviamo l’esigenza del datore di lavoro di controllare l’attività lavorativa prestata dal proprio dipendente, a cui si aggiunge la necessità di tutelare i dati e le informazioni aziendali; dall’altro, bisogna tenere in considerazione il diritto del lavoratore di difendere la propria privacy e garantire la libertà e dignità dello stesso in conformità con quanto previsto dallo Statuto dei Lavoratori (Legge 20.05.1970, n. 300).
La ricerca di tale punto di equilibrio si è fatta ancora più spasmodica nell’emergenza sanitaria avuta inizio poco più di un anno fa.
Il controllo del lavoro “a distanza”
Come fare dunque a controllare la prestazione lavorativa del lavoratore a distanza e a tutelare, sempre a distanza, i dati aziendali e preservarne la sicurezza? È possibile utilizzare dispositivi idonei a controllare a distanza la prestazione del lavoratore?
Ci si riferisce in particolare a quei software in grado di verificare la presenza o meno del lavoratore al pc attraverso un “semaforo” verde, giallo o rosso. Oppure a quei software in grado di trasmettere al datore di lavoro un report periodico su ciò che fa il dipendente, attraverso la registrazione, ad esempio, degli accessi alle pagine web, del tempo trascorso sui social network, dei movimenti del mouse e della digitazione sulla tastiera. Esistono poi dispostivi indossabili o installabili su smartphone attraverso anche delle app di geolocalizzazione del dipendente. Ed infine, programmi capaci di verificare attraverso addirittura la webcam la presenza o meno del lavoratore al pc.
Va detto subito che tali software, per citare i più famosi Time Doctor, Teramind, Productivity Score, dilagano oltreoceano, nella maggior parte dei casi, in spregio a qualsiasi forma di tutela della privacy del lavoratore. E in Italia?
Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.
Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.
Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.
Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.
E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.
Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.
Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?
Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.
In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:
i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
l’app non ha accesso alle posizioni che condividi;
i gruppi sono assolutamente privati;
è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.
Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.
Cos’è Whatsapp Business?
In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.
Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.
Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.
E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?
I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.
Ma Whatsapp condivide o no i miei dati personali con Facebook?
Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.
Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.
Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.
Ad ogni buon conto Whatsapp, ha precisato che:
Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
WhatsApp non condivide i tuoi contatti con Facebook.
Conclusioni
Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.
Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.
Le premesse delle Linee Guida
In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.
I suggerimenti delle Linee Guida
L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:
Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:
Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
Analizzare l’ordinamento giuridico del succitato paese terzo;
Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.
Modifiche alle SCC
L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:
l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.
Consigli finali
Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.
Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.
Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.
Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.
Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.
Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.
Il family tracking
Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.
Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.
Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.
Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?
Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.
Localizzazione dei server e trasferimento dei dati
Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.
Diritti degli utenti interessati
Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.
App per minori
Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).
È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.
Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.
Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli. O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.
I dati raccolti tramite queste app possono essere venduti a soggetti terzi?
Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.
Profilazione e marketing
Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.
Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.
La pandemia ci ha sicuramente ricordato l’importanza del ruolo ricoperto dalla tecnologia in vari ambiti della nostra quotidianità. Non da ultimo: il business. Invero, sono sempre di più gli imprenditori che si stanno rendendo conto che per sopravvivere in questa nuova era, la tecnologia non è una risorsa, ma la risorsa. Il fine? Vendere. Come? Aprendo un e-commerce.
Aprire un e-commerce, tuttavia, non è un gioco da ragazzi. È essenziale valutare attentamente alcuni aspetti.
Aspetti organizzativi.
Il primo passo per aprire un e-commerce è: fare delle scelte. Scegli il tuo target, cosa vendergli, e come farlo. Per esempio, puoi decidere di dotarti di un magazzino (acquistandone la proprietà o prendendolo in affitto), oppure puoi basare il tuo business sul c.d. dropshipping: niente magazzino, giri gli ordini del tuo utente al grossista, che spedisce la merce ordinata al secondo.
Aspetti tecnologici.
La tecnologia è il tuo mezzo, ma attenzione: non fa tutto da sola . Lo sai che è possibile aprire un e-commerce gratuitamente, attraverso servizi online quasi del tutto preconfigurati? Un esempio è Shopify, che può essere utilizzato gratuitamente per un periodo di prova limitato, (senza inserire dati di pagamento e senza obbligo di rinnovo). Se invece preferisci qualcosa di più professionale puoi acquistare un hosting, un dominio e installare un CMS, ovverosia un software che ti permette di configurare l’e-commerce in ogni suo aspetto, come WordPress, Magento o Prestashop. In alternativa, puoi realizzare il tuo e-commerce da zero, attraverso il linguaggio di programmazione. Ma in questo caso, ti consigliamo di affidarti ad un professionista del settore.
Aspetti fiscali e doganali.
Starai pensando: perché limitarsi all’Italia quando si può conquistare il mondo? Qualora questo fosse il tuo proposito, bada bene di considerare eventuali dazi per la circolazione delle merci, nonché le diverse normative fiscali e legali degli stati che vuoi “conquistare”.
Non dimenticare il marketing!
Ricorda che per avere successo, non basta vendere un prodotto di qualità, serve anche il marketing. A tal proposito, è particolarmente indicato che il nome a dominio e i testi presenti nel sito siano improntanti al rispetto delle regole SEO.
Ovviamente, non possono mancare le immagini. Attenzione però alla legge sul diritto d’autore. Qualora tu decida di affidare ad un fotografo la realizzazione delle immagini per il tuo sito, ti consigliamo di disciplinare contrattualmente gli aspetti inerenti al diritto di riproduzione, utilizzo e diffusione delle fotografie.
Aspetti giuridici.
Salvo che tu non voglia fornire servizi sottoforma di prestazioni occasionali, dovrai aprire la partita IVA, che rappresenta però uno degli obblighi che dovrai sostenere se vuoi davvero aprire il tuo e-commerce. Occorre infatti anche:
inviare una comunicazione all’Agenzia delle Entrate e all’INPS;
l’iscrizione alla Camera di Commercio e allo Sportello Unico Attività Produttive (SUAP) del comune;
eventualmente l’iscrizione al VIES (Vat Information Exchange System), se intendi vendere all’estero nella Comunità Europea.
Non è però finita qui. Invero, il commercio elettronico, ovverosia lo svolgimento di attività commerciali e di transazioni per via elettronica soggiace alla disciplina del D.lgs. 70/2003, attuativo della direttiva n. 2000/31/CE. È pertanto chiaro che il tuo il tuo e-commerce deve necessariamente essere costruito nel rispetto di quanto stabilito dalla succitata normativa.
Obblighi informativi
Lo sai per esempio che il tuo sito e-commerce deve obbligatoriamente contenere alcune specifiche informazioni? Invero, gli artt. 7 e ss. del D.lgs. 70/2003 impongono l’indicazione di:
Identità del titolare della ditta, dei soci della società o del professionista;
Dati fiscali (codice fiscale o partita iva);
Indirizzo geografico e contatti dell’impresa (numero di telefono, indirizzo mail, posta elettronica certificata);
Caratteristiche essenziali dei beni e/o dei servizi offerti;
Prezzo totale dei beni e/o servizi offerti con indicazione dell’imposta sul valore aggiunto;
Modalità di pagamento (contrassegno, carta di credito, ecc.);
Modalità di consegna del bene o esecuzione del servizio;
Modalità di presentazione dei reclami;
Esplicazione delle modalità di esercizio del diritto di recesso;
Eventuali altre informazioni sui costi da sostenere in caso di esercizio del diritto di recesso;
Esistenza di garanzie legali di conformità dei beni o di adeguatezza dei servizi offerti;
Durata del contratto.
Puoi inserire le informazioni di cui a punti 1, 2 e 3 nel footer del tuo sito, in modo che siano sempre a disposizione dell’utente; mentre per le altre, dovrai armati di condizioni generali di contratto.
Condizioni generali di contratto
Sei già allarmato, vero? In realtà, le condizioni generali di contratto oltre a fornire le informazioni di cui sopra, possono tutelarti in più di un’occasione. Nelle medesime, per esempio, vengono disciplinate le limitazioni alla tua responsabilità, le procedure da seguire in caso di merce viziata, quelle per gli avvenimenti di forza maggiore, come la pandemia che ben conosciamo, ed infine possono essere inserite apposite regole per la tutela della tua proprietà intellettuale e/o industriale.
Consumatore o professionista?
Ora che ti sei convinto dell’utilità – oltre che della necessarietà – delle condizioni generali di contratto, fermati! Vuoi vendere a consumatori o a imprenditori come te? Invero, qualora tu decidessi di rivolgerti alla prima categoria, le regole da tenere in considerazione per la redazione delle condizioni generali si arricchiscono di un ulteriore tassello: la normativa del Codice del Consumo (D.lgs. 206/2005). A titolo d’esempio, tale normativa assicura a tutti i consumatori la facoltà di recedere dal contratto entro 14 giorni dalla sua conclusione. Fra l’altro, nelle condizioni generali, è essenziale che tale indicazione sia messa nero su bianco, giacché, in assenza, il termine per l’esercizio del succitato diritto diventa di dodici mesi.
E la privacy?
Avrai di certo sentito molto parlare di privacy e trattamento dei dati personali. Invero, per la costruzione del tuo e-commerce, devi tenere in considerazione anche quanto stabilito a tal proposito dal Regolamento Europeo n. 679/2016, meglio conosciuto con il nome di GDPR. Bada bene, non è sufficiente che tu provveda a caricare all’interno del tuo sito e-commerce l’informativa sul trattamento dei dati personali, con tutte le informazioni di cui all’art. 13 del GDPR e la relativa cookie policy.
Infatti, l’art. 25 del GDPR ti impone, in quanto Titolare del trattamento, di mettere in atto, già nella fase di ideazione e creazione del tuo e-commerce, misure tecniche e organizzative adeguate, quali la pseudonimizzazione e la minimizzazione, per proteggere i dati e i diritti degli utenti (c.d. principio della privacy by default e by design).
Le nostre istruzioni per l’uso
Se sei arrivato in fondo a questo articolo, ti sarai certamente reso conto che la rete normativa sottesa al commercio elettrico è parecchio intricata.
Ecco perché è sempre preferibile rivolgersi ad un consulente specializzato in materia, fin dall’inizio dell’implementazione dell’e-commerce. Lo stesso, infatti, può guidare te e gli sviluppatori nella creazione di un portale a norma di legge, facendoti risparmiare non solo il denaro che saresti costretto ad investire in eventuali, alquanto probabili modifiche e/o correzioni, ma anche quello che potresti essere costretto a sborsare in sanzioni, qualora prediligessi il famoso “fai da te”.
Non esitare a contattarci, se vuoi approfondire la questione ovvero se hai bisogno di supporto per la creazione del tuo e-commerce.
Il commercio elettronico è in costante crescita sia in Italia che nel mondo. Nell’ultimo periodo, esso si è ulteriormente diffuso a causa dell’emergenza sanitaria, che ha comportato il blocco delle vendite al dettaglio delle merci ritenute non essenziali. Alla crescente importanza del settore non sempre si accompagna, però, la consapevolezza da parte degli operatori circa le normative vigenti e i rischi legali a cui possono andare incontro, in caso di violazione delle normative applicabili.
Dal punto di vista privacy, come tutti i siti web, anche quello
e-commerce soggiace alle regole dettate in materia di data protection,
sia per quanto riguarda le finalità di trattamento dei dati che il titolare è
tenuto a fornire agli utenti, sia relativamente alle misure di sicurezza
tecniche poste alla base del sistema informatico.
Nello specifico, le principali regole in tema di privacy da tenere
in considerazione ai fini della costruzione di un e-commerce conforme alla
legge sono individuate dal Reg. Ue 679/216 (GDPR) e dai provvedimenti
emessi dal Garante
Le regole basilari
In particolare, in base ai principi dettati dall’art. 25 del GDPR,
la creazione dell’e-commerce deve essere effettuata contestualmente alla
progettazione del trattamento dei dati (privacy by desing) e il Titolare
del Trattamento deve trattare i dati dell’interessato nella misura necessaria e
sufficiente per le finalità previste e per il periodo strettamente necessario (privacy
by default). Invero, il trattamento dei dati degli utenti deve avvenire
tenendo conto del principio di minimizzazione dei dati, di cui all’art.
5 GDPR, secondo il quale possono essere trattati solo quei dati necessari e
indispensabili in relazione alle finalità per le quali sono raccolti, nonché secondo le logiche di accountability,
consistenti nelle responsabilità di definire (a monte di un’attenta analisi dei
dati trattati e dei possibili rischi connessi) l’insieme di quelle misure
adeguate, che limitano il più possibile il verificarsi di eventuali rischi e
garantiscono il rispetto delle disposizioni GDPR.
Ma come deve essere nella pratica un e-commerce per essere GDPR
compliance?
Anzitutto l’e-commerce deve contenere una privacy policy (informativa),
redatta ai sensi dell’art. 13 GDPR, che fornisce tutte le informazioni
necessarie affinché i visitatori del sito possano decidere in modo consapevole
se prestare o meno il loro consenso al trattamento dei dati personali. In
particolare, nell’informativa devono essere inserite specifiche informazioni in
relazione ai trattamenti dei dati degli utenti per determinate richieste o
servizi (ad esempio alla gestione di un’area riservata per monitorare gli
ordini effettuati). Altresì dovrà essere prevista una cookies policy e inserito,
ad esempio, un banner con opt-in che contenga i vari cookies utilizzati, in
modo da permettere all’Utente di poter fornire un consenso espresso.
Newsletter e messaggi sponsorizzati
Proprio per il fatto che il consenso deve essere prestato
dall’utente in modo inequivocabile ed espresso, i moduli per le newsletters inseriti
nel sito non possono contenere il consenso di default. L’impresa deve pertanto
inserire una casella di spunta per il consenso al trattamento dei dati
personali, senza che la stessa possa essere precompilata. Inoltre, sia i
messaggi sponsorizzati che i moduli funzionanti con modalità opt- out (cioè i
moduli che appaiono quando il cursore del mouse si muove verso la parte
superiore della pagina per chiuderla) devono essere riadattati in modalità
opt-in opzionale.
Attenzione al database e misure di
sicurezza!
L’e-commerce deve poi essere dotato di un proprio database
separato che faciliti la richiesta di cancellazione dei dati personali, e di un
sistema di verifica dei dati degli utenti/visitatori, che renda possibile la
verifica immediata nel caso in cui vengano violati i dati personali. Infine, deve
essere garantita la sicurezza dei dati attraverso l’adozione di specifiche
misure di sicurezza come, a titolo esemplificativo non esaustivo: utilizzare
sistemi che permettono la riservatezza, l’integrità, la disponibilità dei dati
personali; dotarsi di metodi che permettono di ripristinare la disponibilità
dei dati personali e l’accesso ad essi in tempi appropriati in caso di incidenti
fisici o tecnici; adottare procedure volte a verificare, analizzare e valutare
regolarmente l’efficacia delle misure tecniche operative per assicurare la
sicurezza.
Si ricorda che il mancato adeguamento agli obblighi imposti dal GDPR
può comportare sanzioni molto pesanti per le imprese, in quanto sono previste
multe sino a 20 milioni di Euro o fino al 4% del fatturato.
Proprio per questa ragione, se state pensando di dotarvi di un
e-commerce, fatevi affiancare da un avvocato esperto in materia, per evitare di
incorrere in guai con il Garante per la protezione dei dati personali.
Le nuove tecnologie possono svolgere un ruolo importante nel contrasto del diffondersi della pandemia da Covid-19. Non si tratta di ipotesi, ma di realtà che sono già state implementate in altri Paesi, che – al pari del nostro – hanno affrontato e stanno affrontando la situazione emergenziale che ben conosciamo. Tra le prime ad attivarsi in questo senso vi è senza dubbio la Cina, che, in tempi record, verso la metà di marzo, ha implementato un sistema di data tracing, denominato “codice salute”, integrato, fra l’altro, all’interno delle app più usate dalla popolazione cinese, ovverosia Alipay e Wechat. L’esempio cinese non poteva non affascinare l’occidente. Ed in breve, anche in Francia, Germania ed Italia si è cominciato a parlare di app di data tracing
Ma che cos’è questa nuova tecnologia?
In estrema sintesi, si tratta di
un’app in grado di registrare tutti i nostri contatti interpersonali,
attraverso lo sfruttamento dei Bluetooth. Qualora uno dei soggetti con cui
siamo è entrati in contatto risulti positivo al Covid-19, l’app genera una
notifica, avvertendo noi, e tutti gli altri contatti a rischio, dell’accaduto.
Ci sono rischi per la privacy?
Come tutte le nuove tecnologie che
trattano dati personali, anche le app di tracciamento dei contatti non vanno
esenti da rischi di sorta; anzi, trattando dati sanitari, il rischio per
l’utente pare finanche maggiore. Per questo, il 21 aprile scorso, il Comitato
Europeo per la protezione dei dati (EPDB) ha emanato le linee guida n. 4/2020, al fine di scongiurare qualsivoglia
forma di abuso. Tali Linee Guida riprendono i principi cardine del GDPR che
abbiamo già imparato a conoscere: liceità, limitazione delle finalità e del
tempo di conservazione, minimizzazione, esattezza, integrità e riservatezza. In
particolare, il Comitato mette in luce come il monitoraggio su larga scala dei
contatti sia una grave intrusione della privacy, che può essere legittimata
solo a fronte dello svolgimento di un compito di interesse pubblico e della
volontarietà dell’utilizzo della tecnologia implementata. Per questo, in
ossequio al principio di minimizzazione, i dati trattati devono essere quelli
strettamente indispensabili per le finalità stabilite. Il Comitato precisa,
inoltre, che tali finalità dovrebbero essere, preferibilmente, regolamentate
per il tramite di apposito intervento legislativo, atto a fornire idonea base
giuridica per il monitoraggio. In ogni caso, il fatto che la base giuridica sia
costituita dalla legge non vuol dire che la tecnologia in questione possa
essere imposta ai cittadini. Il Comitato precisa, infatti, che l’uso della
medesima deve essere strettamente volontario, e non deve condizionare in
nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Infine, viene
sottolineato come sia essenziale la redazione di apposita DPIA, cioè una
valutazione di impatto del trattamento, che analizzi nel dettaglio i possibili
rischi e le conseguenze connesse al medesimo.
Cosa sta accadendo in Europa?
Innanzitutto, va premesso, che in
Europa lo sviluppo e l’implementazione delle app di data tracing è stato
accompagnato, fin dal principio, da una farraginosa bagarre, per la
definizione delle misure tecniche più adeguate non solo per l’efficientamento
delle app, ma anche per la protezione dei dati personali. In particolare, i
tecnici si sono divisi tra sostenitori di un sistema di salvataggio dei dati
personali centralizzato e i sostenitori di un sistema invece decentralizzato.
Le differenze fra i due? Posto che le app di tracciamento
funzionano creando un elenco completo di utenti con cui si è interagito per più
di qualche minuto, il cui identificativo non è il nome e/o il cognome, ma un
codice criptato, la differenza essenziale risiede nelle modalità con cui tale
codice viene realizzato. Nel sistema decentralizzato, il medesimo viene
generato direttamente sui dispositivi mobili dell’utente, nel sistema
centralizzato, è invece un server, per l’appunto centrale, ad eseguire tale
operazione. Il sistema più sicuro? Difficile a dirsi, entrambi possono di
fatto prestare il fianco ad abusi e attacchi hacker.
Le nostre eterne rivali (Francia e
Germania) cosa stanno facendo?
Francia. L’app di tracciamento dei contatti
francese, denominata StopCOVID, è ai blocchi di partenza. Il Ministro
Cédric O, responsabile per il digitale, ha infatti reso noto come il lancio
dovrebbe avvenire il prossimo 2 giugno. Il dibattito tra sostenitori del
sistema centralizzato e sostenitori del decentralizzato – che, il 26 aprile
scorso, avevano addirittura presentato formale petizione contro il primo
sistema – ha visto prevalere i sostenitori del centralizzato. Tuttavia, non
sono del tutto sopite le critiche, posto che l’applicazione – al pari di Immuni
– sarà efficace unicamente qualora almeno la metà della popolazione (il 60%) la
scarichi e la installi, contribuendo così a rendere capillare il suo raggio
d’azione in tutto il territorio.
Germania. La Germania, come la Francia,
inizialmente, pareva aver abbracciato la soluzione centralizzata, promuovendo
lo sviluppo del c.d. Protocollo Robert (ROBust and privacy-presERving
proximity Tracing protocol) e l’implementazione della dell’app, denominata Datenspenden.
Tuttavia, il 25 aprile scorso, il governo federale ha dovuto cedere alla
pressione degli attivisti, preoccupati per la gestione dei dati personali, e
prediligere la soluzione della decentralizzazione, al fine di scongiurare il
timore di abusi da parte delle autorità. Va, tuttavia, sottolineato che, a
fronte della diffidenza della popolazione tedesca e della ancora scarsa
digitalizzazione del paese, l’app tedesca difficilmente verrà mai alla luce. In
attesa, i cittadini tedeschi possono comunque utilizzare la Datenspenden,
che, previo loro consenso, è in grado di raccogliere tutti i dati custoditi da
app di fitness, come Fitbit, Garmin e Polar, compresi gli smartwatch,
utilizzandoli, in forma anonima, per analizzare statisticamente la diffusione
del virus.
Cosa sta accadendo in Italia?
I rumors su Immuni sono molti ed i dubbi ancora di più. Di questo però vi parleremo nella prossima puntata. Nel frattempo, per qualsivoglia dubbio o perplessità, potete visitare il sito e farci pervenire le vostre domande.
