Categoria: Aspetti Legali

Pubblicato il di Lascia un commento

Rimuovere una Recensione: come abbiamo fatto?

Rimuovere Una Recensione

“Come posso rimuovere una recensione?” Questa è una domanda che ci viene rivolta spesso. Nel continuo supporto ai venditori on-line, essere contattati per problematiche legate al mondo delle recensioni è abbastanza comune.
Nell’e-Commerce, una recensione è un feedback che un cliente lascia ad un venditore dopo aver ricevuto un prodotto o aver usufruito di un servizio.
Se il cliente è soddisfatto dell’acquisto c’è una buona probabilità che lasci una recensione positiva; se qualche cosa è andato storto e/o il prodotto non è all’altezza delle aspettative, c’è la certezza matematica di ricevere una recensione negativa.
Le recensioni dei clienti giocano un ruolo importante considerato che in Europa oltre il 50% dei consumatori afferma di controllare le recensioni prima di effettuare un acquisto. Quindi se una buona recensione fa propendere il consumatore a comprare da un negozio, una cattiva recensione lo fa allontanare.
Ecco perché la domanda “come posso rimuovere una recensione” è così frequente: nessuno vorrebbe avere recensioni negative!

Le recensioni dei clienti sono “protette” dal diritto alla libertà di espressione e pertanto non si può impedire che qualcuno vi recensisca su Internet o che la recensione venga resa pubblica, il venditore non ha il diritto di far cancellare una recensione negativa.

Ma cosa succede se la recensione è falsa, non veritiera, fatta con l’intento di danneggiare l’impresa o peggio non inerente al nostro lavoro? Come possiamo rimuovere una recensione? Vi raccontiamo un caso reale che abbiamo risolto.

Il Caso

Una società associata AICEL, unico e vero punto di riferimento in materia di e-commerce e retail digitale nel panorama nazionale e internazionale, si trova in una situazione di parziale omonimia con altra società avente sede nel territorio della Repubblica di San Marino. Le analogie si esauriscono a livello nominativo, infatti le due aziende non sono in alcun modo collegate né presentano altri caratteri comuni, a partire dalle categorie di prodotti venduti online, del tutto differenti. La società sammarinese, non brilla certo per correttezza commerciale e raccoglie parecchie critiche sui principali servizi di recensioni.
In una delle più note piattaforme internazionali di raccolta recensioni, questa situazione di omonimia ha indotto in errore numerosi consumatori: anziché recensire negativamente l’azienda di San Marino, hanno nel corso del tempo inserito i commenti negativi sul profilo riferito all’azienda omonima.
Le recensioni sono tutte estremamente negative, in quanto i consumatori lamentano la scarsa qualità dei prodotti recapitati e l’impossibilità di contattare la ditta venditrice, arrivando a parlare apertamente di truffa e furto.
Tale situazione ambigua ha provocato gravi danni economici e d’immagine alla società associata, la quale ha visto il proprio profilo sul portale ingiustamente riempito di recensioni negative e accuse di truffa.
Nonostante la natura dell’equivoco apparisse del tutto evidente e i numerosi solleciti e tentativi di contatto della società associata, la piattaforma non ha mai dimostrato alcuna disponibilità a ricercare una soluzione adeguata.

La richiesta ad AICEL per rimuovere la recensione

L’azienda si rivolge ad Aicel e chiede l’aiuto per ottenere la rimozione delle recensioni che arrecano danno alla sua immagine nel web.
AICEL, dopo una approfondita analisi del caso, un controllo delle condizioni generali di servizio e sopratutto una verifica della veridicità di quanto affermato, decide di attivarsi sia sul piano formale che quello relazionale.
Per garantire un’ampia tutela per l’azienda associata, i legali AICEL inviano una diffida alla piattaforma evidenziando, il mancato rispetto di quanto indicato nelle suo linee guida e Condizioni e la violazione del Regolamento UE n. 2019/1150 (regolamento P2B).
Infatti il regolamento P2B impone alle Piattaforme online di indicare “nei loro termini e nelle loro condizioni due o più mediatori disposti a impegnarsi nel tentativo di raggiungere un accordo con gli utenti commerciali sulla risoluzione extragiudiziale di controversie che insorgano tra il fornitore e gli utenti commerciali nel ambito della fornitura dei servizi di intermediazione online in questione, compresi i reclami che non è stato possibile risolvere mediante il sistema interno di gestione dei reclami di cui al articolo 11”. 
Oltre a non aver fornito alcun riscontro tramite il proprio sistema interno alle legittime ed evidenti ragioni della società associata, la piattaforma nemmeno ha messo a disposizione sul suo sito quanto disposto dalla normativa europea, impedendo di fatto agli utenti l’accesso ai meccanismi idonei a ricercare una soluzione stragiudiziale delle controversie insorte.

Attraverso i propri canali, AICEL è poi entrata in contatto con il referente nazionale della piattaforma. Esposto il caso e evidenziate le anomalie riscontrate, AICEL ha di fatto svolto la funzione di mediatore presso la piattaforma. Dopo un’ampia discussione del caso evidenziando le problematiche segnalate, il primo intervento concordato con la piattaforma è stato quello della rimozione dal profilo di ogni recensione non riferibile all’azienda associata, considerata anche la natura del profilo presso la piattaforma, non aperto dall’azienda associata ma direttamente dalla piattaforma.

Rimuovere una Recensione non è semplice, ma è possibile

Come si può vedere, rimuovere una recensione inappropriata o addirittura menzognera è una sfida complicata, ma non impossibile.
Nonostante il Regolamento P2B, dialogare con le piattaforme non è mai semplice. Anche se si ha familiarità con le questioni giuridiche, vale la pena di rivolgersi a un avvocato esperto nel campo.
Le probabilità di risposta da parte della piattaforma diventano certezza quando le richieste sono portate avanti da un soggetto legittimato per legge.
AICEL, come associazione di categoria, ha un legittimo interesse a rappresentare gli utenti commerciali o gli utenti titolari di siti web aziendali, e ha quindi il diritto di adire i giudici nazionali competenti nell’Unione, per far cessare o vietare qualsiasi caso d inadempienza delle prescrizioni del regolamento P2B da parte di fornitori di servizi di intermediazione online o di fornitori di motori di ricerca online.

 
Pubblicato il di Lascia un commento

Come Evitare la Sanzione? Ci pensa AICEL

evitare la sanzione

AICEL interviene per Evitare la Sanzione fornendo l’assistenza necessaria con AGCM. Il merchant risparmia da 50 a 250 mila euro!

Attraverso i propri canali informativi, AICEL ha spesso trattato e dedicato approfondimenti ai provvedimenti dell’AGCM, Autorità Garante della Concorrenza e del Mercato, che negli ultimi anni, nell’ambito della tutela dei consumatori dalle pratiche commerciali scorrette, sempre più frequentemente si è occupata del settore dell’e-Commerce. Di recente AICEL ha avuto modo di occuparsi “direttamente” di un caso dell’Autorità, in quanto ha riguardato proprio un suo associato.

Il Caso

Un’azienda associata, infatti, ha ricevuto comunicazione PEC da parte dell’AGCM con cui l’Autorità segnalava l’apertura di un procedimento nei suoi confronti, con l’invito entro 30 giorni a rimuovere i profili di criticità rilevati sul suo sito e-commerce in ordine alla violazione delle norme del Codice del Consumo e a pratiche commerciali scorrette. Il rischio era quello di vedersi comminata una sanzione amministrativa pecuniaria che in questi casi può variare da 50.000 fino a 250.000 euro!

LE CRITICITÀ RILEVATE: GARANZIA, RECESSO E SURCHARGE

Uno dei maggiori aspetti di criticità rilevati dall’Autorità riguardava le informazioni relative alla garanzia legale di conformità e alla garanzia convenzionale dei prodotti venduti, la cui distinzione non era operata in maniera chiara nelle Condizioni di vendita presenti sul sito dell’azienda venditrice.
In particolare, i termini e i contenuti della garanzia convenzionale, pur coincidendo per larga parte con quelli della garanzia legale di conformità, venivano presentati dal venditore come una caratteristica della propria offerta commerciale, sebbene si trattasse di diritti in ogni caso spettanti al consumatore in forza delle norme del Codice del Consumo.

Inoltre, la sezione dedicata alle informazioni sull’esercizio del diritto di recesso non risultava conforme alle corrispondenti norme del Codice del Consumo, in special modo per quanto riguardava le modalità di comunicazione di recesso (veniva richiesta obbligatoriamente una conferma a mezzo raccomandata) e il termine per il rimborso da parte del venditore, che risultava superiore rispetto a quanto disposto per legge.

Infine, l’Autorità rilevava la violazione delle norme del Codice del Consumo che vietano il così detto “surcharge giacché, nella sezione delle Condizioni di Vendita riservata alle modalità di pagamento, il venditore dichiarava di applicare una percentuale di sovrapprezzo in caso di pagamento con carte di credito, in tal modo imponendo al cliente consumatore spese aggiuntive in relazione all’uso di un determinato metodo di pagamento.

L’INTERVENTO DI AICEL PER EVITARE LA SANZIONE

L’azienda, già associata ad AICEL, chiedeva l’assistenza dell’associazione per evitare la sanzione che avrebbe messo in ginocchio l’attività. AICEL, tramite i suoi esperti legali, ha operato la revisione delle Condizioni di Vendita del sito e ha assistito il merchant nel redigere la relazione richiesta dall’Autorità.
Nel riesame dell’intero sito, AICEL ha fornito inoltre tutto il supporto per la messa a norma anche per gli aspetti relativi a privacy secondo le disposizioni del GDPR e alla messa a norma del banner cookie.

L’Azienda ha lavorato a stretto contatto con il team AICEL durante tutte le fasi di analisi e redazione. Il lavoro di squadra ha permesso all’Azienda di essere formata sulla corretta gestione delle informazioni e delle procedure e di poter intervenire e correggere tutte le difformità. L’obiettivo primario è sempre stato quello di evitare la sanzione e nessun aspetto è stato tralasciato. Anzi, il lavoro è andato oltre alle segnalazioni ricevute da AGCM e ha avuto come effetto secondario quello di permettere all’eShop di ottenere anche il Certificato SonoSicuro rilasciato dall’associazione.

Con la proprietà si è poi proceduto alla redazione della relazione richiesta dall’autorità mettendo in risalto tutte le attività svolte a soluzione dei problemi indicati e anche di quelle effettuate in una logica di miglioramento.

LA RELAZIONE AIUTA AD EVITARE LA SAZIONE

L’autorità, quando interviene, mette in luce le criticità e chiede che il merchant produca una relazione scritta che indichi le attività svolte.
Questo documento è fondamentale e deve essere redatto con cognizione di causa e con le giuste attenzioni in modo da fornire all’autorità tutte le informazioni necessarie.
Il team ha assistito il venditore in ogni fase e ciò ha permesso di redigere una relazione puntuale e approfondita che è stata trasmessa all’autorità
Grazie a questo intervento, all’esito della una nuova verifica l’Autorità ha archiviato il procedimento senza comminare alcuna sanzione all’azienda.

LA MARCIA IN PIÙ DEI SOCI AICEL: IL CERTIFICATO SONOSICURO

Oggi più che mai Il Merchant online deve prontamente adeguarsi a tutte le normative del settore per non rischiare di incorrere in sanzioni anche pesanti, e soprattutto per dare un’immagine di correttezza e trasparenza ai propri clienti.

Da sempre AICEL è impegnata nell’assistere i propri associati su questo fronte. Proprio per questo, ormai da diversi anni ha messo a disposizione dei merchant uno strumento impareggiabile: il Certificato SonoSicuro, che ogni socio può richiedere gratuitamente, e che consente di verificare la conformità del proprio e-commerce a tutte le normative vigenti.

Se l’azienda di cui si è parlato sopra, che ha riuscita comunque ad evitare la sazione salata grazie all’intervento di AICEL, avesse completato prima l’iter per ottenere la certificazione, non sarebbe mai stata raggiunta dal provvedimento dell’AGCM.
Difatti, i parametri di verifica impiegati dall’Autorità e sopra citati, sono gli stessi utilizzati dai certificatori AICEL per il rilascio di SonoSicuro. Qualora durante la verifica rilevino delle criticità, i certificatori forniscono al merchant un report dettagliato per procedere alla loro risoluzione.

SonoSicuro è una attestazione che permette ai merchant di farsi riconoscere a colpo d’occhio dai propri clienti come negozi affidabili e sicuri, mettendosi al contempo al riparo dalle possibili sanzioni delle autorità preposte.

 
Pubblicato il di Lascia un commento

Le Condizioni di Vendita nell’eCommerce

Le condizioni di vendita sono un elemento cruciale per ogni e-commerce che si rispetti. Si tratta di un insieme di regole, termini e condizioni che stabiliscono i rapporti tra il venditore e l’acquirente. La loro presenza è obbligatoria per legge, e il loro scopo è quello di tutelare gli interessi di entrambe le parti.

Le condizioni generali di vendita sono quindi fondamentali per garantire la corretta gestione delle transazioni e la corretta informazione dei clienti. In particolare, le norme del Codice del Consumo prevedono che il venditore debba informare il cliente su una serie di informazioni essenziali, come il prezzo dei prodotti, le modalità di consegna, i tempi di spedizione, i diritti di recesso e i termini di garanzia.

L’obbligo informativo è quindi uno degli aspetti fondamentali delle condizioni generali di vendita. Il venditore deve fornire al cliente tutte le informazioni necessarie in modo chiaro e preciso, prima dell’acquisto. Solo in questo modo l’acquirente potrà decidere consapevolmente se acquistare o meno il prodotto.

Ma le condizioni di vendita non sono importanti solo per rispettare gli obblighi informativi previsti dal Codice del Consumo. Sono un modo per tutelare i diritti del venditore e dell’acquirente e per evitare eventuali malintesi o dispute.

Ad esempio, le condizioni generali di vendita possono stabilire chiaramente le modalità di pagamento accettate dal venditore, le procedure per la sostituzione o la restituzione dei prodotti difettosi, i diritti di recesso e i tempi di consegna. In questo modo, l’acquirente avrà a disposizione tutte le informazioni necessarie per effettuare un acquisto consapevole e il venditore potrà evitare eventuali contestazioni o reclami.

Le condizioni di vendita devono quindi essere redatte con la massima cura e precisione, in modo da garantire la massima trasparenza e chiarezza ai clienti. È importante che siano comprensibili anche per coloro che non hanno conoscenze giuridiche, in modo da evitare eventuali fraintendimenti o equivoci.

In sintesi, le condizioni di vendita sono un elemento fondamentale per la corretta gestione di un e-commerce. Sono un modo per garantire la tutela dei diritti del venditore e dell’acquirente, ma anche per rispettare gli obblighi informativi previsti dalla legge. Per questo motivo, è importante dedicare la massima attenzione alla loro redazione e alla loro corretta applicazione.

Se vuoi avere un’idea delle condizioni di vendita, scarica gratis il template messo a disposizione da AICEL

Pubblicato il di Lascia un commento

Vendere online senza partita IVA

Frequentemente i nostri esperti legali sono interpellati per sapere se è possibile vendere online senza partita IVA, Quesiti come questi sotto sono all’ordine del giorno:

“Vorrei iniziare a vendere online, è possibile aprire un ecommerce senza la partita iva?”

“Ho preso contatto con una azienda, vorrei aprire un eCommerce e vendere il loro prodotti. Devo aprire una PIVA?”

“È possibile fare dropshipping in Italia senza partita IVA?”

“Voglio vendere su Shopify ma non ho la PIVA, poso farlo?”

“Fare dropshipping senza partita IVA è legale?”

vendere online senza partita iva

Vendere online senza partita Iva è una attività che è prevista in particolari casi e con alcuni limiti.
Bisogna quindi capire come si possa farlo e quali sono questi limiti.

Vendere online senza partita Iva: si può?

Per il nostro sistema fiscale si può vendere on-line senza partita Iva, ma solamente quando l’attività ha un carattere di occasionalità. (art. 67 lett. i) del D.P.R. n. 917/1986 ).
A volte non è semplice distinguere un’attività occasionale da una abituale, in quanto non vi sono specifici limiti di importo da prendere a riferimento, o un numero specifico di azioni  che devono essere svolte per configurare l’attività come abituale-

In questo caso ci viene in aiuto l’agenzia delle entrate che ha chiarito che la qualifica di imprenditore può determinarsi anche dall’effettuazione di un solo affare, in considerazione della sua rilevanza economica e del numero elevato di operazioni che il suo svolgimento può comportare. Per essere considerata occasionale, l’attività deve essere effettuata in modo accidentale, sporadico, non organizzata e non deve essere svolta con continuità nel tempo

Vediamo quindi quali azioni non si possono compiere in una attività occasionale.

  • una attività occasionale non può avere un catalogo così come l’attività “occasionale” di cessione di beni non può essere supportata da attività di creazione di un sito di vendita on-line. 
    E’ ben chiaro infatti che organizzare un sito eCommerce per vendere online non è certo una attività non organizzata oltre al fatto che la sua implementazione richiede un buon numero di operazioni.
  • L’attività occasionale non può essere supportata da alcuna attività di promozione. 
    Avviare campagne marketing, creare inserzioni o fare promozione poco si prestano ad una attività che non sia pensata per durare nel tempo e quindi svolta con continuità.
  • L’attività occasionale inoltre non può essere supportata dall’acquisto merci per la successiva rivendita al consumatore.
    in questo caso è totalmente assente l’occasionalità della prestazione! 

Il limite dei 5.000 euro

Sfatiamo il mito: non esiste alcun “fatturato” minimo sotto il quale l’attività di compra vendita di beni on-line si possa considerare occasionale
Non esistono dei limiti precisi stabiliti dalla legge al di sotto ed al di sopra dei quali è obbligatorio o meno aprire una partita IVA. 
I famosi “5.000 euro” si riferiscono invece al lavoratore autonomo occasionale ovvero chi si obbliga a compiere, dietro corrispettivo, un’opera o un servizio con lavoro prevalentemente proprio, senza vincolo di subordinazione, ne’ potere di coordinamento del committente ed in via del tutto occasionale.

Quindi alla domanda “Vendere online senza partita IVA: Si Può?” la risposta è una sola: NO

Approfondimento: Come Aprire un eCommerce: GUIDA

 
Pubblicato il di Lascia un commento

GDPR: un’opportunità per gli eCommerce

Gli interventi formativi e le pubblicazioni contenenti i passaggi decisivi e le conseguenze pregiudizievoli previste dal regolamento europeo non sono certo stati esigui in tutti questi mesi, eppure negli operatori permane ancora incertezza sul percorso da intraprendere verso la compliance al GDPR. La preoccupazione è ben comprensibile in quanto il GDPR rappresenta una vera e propria svolta epocale che porta le aziende a prevedere un nuovo sistema, inspirato alla trasparenza, alla legalità ed alla correttezza nel trattamento dei dati personali.

Il punto di partenza è senza dubbio la consapevolezza. L’adeguamento ai nuovi adempimenti deve essere frutto di presa di coscienza da parte del responsabile del trattamento e/o responsabile  in ordine ai nuovi obblighi ed alle sanzioni che a breve diverranno applicabili. Vediamo quindi cosa cambierà.

Vedi il regolamento: General Data Protection Regulation

A CHI SI APPLICA IL REGOLAMENTO?

Il GDPR si applica a qualsiasi organizzazione nell’Unione Europea che tratti dati personali, indipendentemente dal fatto che l’organizzazione abbia una presenza nell’Unione europea o dal fatto che il trattamento sia condotto all’interno dell’Unione europea.

Pertanto, se l’azienda raccoglie, archivia, gestisce o analizza dati personali di qualsiasi tipo, inclusi gli indirizzi email, è probabile che sia tenuta all’applicazione del GDPR.

COSA CAMBIA CON IL GDPR?

Rispetto al passato, il principale cambiamento è costituito dall’obbligo di reimpostare un processo sostanziale in base al concreto rischio collegato al trattamento dei dati.

La Protezione dei Dati Personali all’interno di un’organizzazione aziendale non costituirà più un semplice e formale adempimento, ma costituirà per l’azienda un punto di partenza importante per affermarsi sul mercato in modo altamente competitivo.

QUALI SONO LE PRINCIPALI NOVITA’?

Il GDPR stabilisce una serie di requisiti relativi al consenso, ai diritti individuali e al trattamento dei dati. In via non esaustiva si analizzano quelli più significativi

Consenso

Il consenso è fra i requisiti che il GDPR disciplina con maggiore attenzione e rigore. La nuova disciplina richiede che sia: informato ,esplicito, inequivocabile; libero; specifico;  verificabile;  revocabile.
Le organizzazioni hanno l’obbligo di presentare informazioni sul trattamento “in forma concisa, trasparente, intelligibile e facilmente accessibile, usando un linguaggio chiaro e chiaro” ( articolo 12 ). Laddove il trattamento dei dati si basa sul consenso, le organizzazioni necessitano del consenso esplicito degli individui e devono essere in grado di dimostrare che le persone hanno dato il consenso ( articolo 7 ).

Diritti riconosciuti agli interessati

Il GDPR estende la gamma dei diritti riconosciuti in capo agli interessati che sono i seguenti:

  • Diritto di accesso (art.15) che prevede la possibilità di chiedere la verifica dell’utilizzo dei dati ed anche una copia degli stessi.
  • Diritto di rettifica (art.16) che autorizza gli interessati a chiedere la correzione di dati personali inesatti;
  • Diritto di cancellazione (art.17) nel caso in cui i dati non devono più essere elaborati per il motivo originale sono stati raccolti, opposizione al trattamento, obbligo di cancellazione derivante da un obbligo di legge, illiceità del trattamento;
  • Diritto di limitazione del trattamento (art.18)
  • Diritto alla portabilità dei dati (art.20) consegnati all’interessato in formato strutturato e di uso comune e leggibile per la trasmissione ad altro titolare del trattamento senza impedimenti del precedente;
  • Diritto di Obiezione (art.21) rispetto al trattamento dei dati, alla profilazione ed al marketing diretto, salvo il caso previsto dal n.6.

L’informativa del trattamento dei dati personali

Le aziende che trattano dati hanno l’obbligo di fornire un’adeguata informativa, ai sensi dell’art.13 par.1 e 14 par.1  del GDPR. Tale informativa deve obbligatoriamente specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati (data retention) o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.  Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Riguardo la forma, il GDPR indica che sia resa in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile per iscritto, preferibilmente in formato elettronico, ma è ammessa anche la forma orale purchè sia provata con altri mezzi l’identità dell’interessato.  Particolari le prescrizioni previste per i minori

Cosa non cambia?

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

IL TRATTAMENTO  DEI  DATI

Il regolamento pone con forza l’accento sulla  “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è il “data protection by default and by design”,  che impone di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

 

I soggetti che effettuano il trattamento

 

Cosa non cambia rispetto al D.Lgs 196/2003?

l regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

I rapporti fra Titolare ed il Responsabile

Il Titolare è chi concretamente determina il modo in cui verranno utilizzati i dati personali, mentre il Responsabile chi elabora i dati personali per conto e sulle istruzioni del Titolare, ciascuno con  le responsabilità specifiche di ciascuna parte sono stabilite negli articoli 24-43 .

I rapporti fra entrambi sono disciplinati dall’articolo 28 che stabilisce che fra i Titolari ed i Responsabili devono esserci  contratti  che definiscono l’ambito del trattamento. Questi contratti devono essere “scritti, anche in formato elettronico”.

DPO (ART.37)

E’ un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA). All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia, con eventuale successiva consultazione dell’Autorità, tranne alcune specifiche situazioni di trattamento (vedi art. 36, paragrafo 5 del regolamento). Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l’erede dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.

Registro dei trattamenti

Previsto dall’art. 30 per  i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, si tratta in realtà di uno strumento fondamentale consigliabile a qualsiasi realtà aziendale. Rivela la sua utilità ai fini della dimostrazione dell’accountability, in caso di eventuale supervisione da parte del Garante, ma contribuisce a fornire quadro aggiornato dei trattamenti in essere all’interno di un’azienda. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.

Tuttavia, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all’art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

Notifica delle violazioni di dati personali (Data Breach)

A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85).

La tua azienda ha bisogno di una consulenza? Ti guidiamo verso la compliance!

Le aziende non sono tutte uguali ed hanno necessità di un’analisi personalizzata che valuti l’effettiva consistenza del trattamento concretamente effettuato e le misure realmente necessarie da un punto di vista legale e tecnologico.

 

    Hai un eCommerce attivo?
    SiNo

     

     
    Pubblicato il di Lascia un commento

    Come Redigere una Cookie Policy Corretta

    Il tuo shopping cart installa cookies? Molto probabile, anzi è quasi una certezza, quindi avrai bisogno di una Cookie Policy.
    Infatti la quasi totalità dei carrelli elettronici memorizza dei piccoli file (c.d. cookie) nel computer del compratore. Questi files servono al tuo carrello elettronico per gestire il dato. I cookies creati dal nostro shopping cart sono chiamati Cookie Tecnici o Analitici di Prima Parte.

    Il nostro carrello potrebbe inoltre creare dei cookie di profilazione che serviranno poi per individuare il cliente, profilarlo e riconoscerlo  e/o a raccogliere informazioni che serviranno poi per operazioni di marketing come il retargeting. Questi cookie sono invece chiamati Cookie di Profilazione di Prima Parte.

    Oltre a questi cookies che possono essere generati dal nostro carrello elettronico (quindi di prima parte), possono esistere altri cookies che invece sono generati da altri.  Esempio classico i cookies di Google Analytics o di Facebook.
    Anche in questo caso, i cookies sono differenziati secondo la finalità. Avremo quindi Cookies Analitici di Terze Parti e Cookies di Profilazione di Terze Parti

    In linea di principio un eCommerce Manager dovrebbe sapere, almeno in linea di massima, quali cookies sono creati e utilizzati. Sappiamo che la realtà e ben diversa….

    Quindi se hai anche un solo cookie (non importa di che tipo), allora sei sei soggetto a degli adempimenti formali che vanno dall’Obbligo dell’Informativa cookies, alla Pubblicazione del Banner cookies o alla Notifica al Garante.

    Ma di cosa parliamo?

    Con un provvedimento dell’8 maggio 2014, l’Autorità Garante ha provveduto all’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie .

    Il Garante ha individuato le varie possibilità del ricorso ai cookies e ha espressamente indicato quali atti debba compiere il venditore on-line per essere a norma.

    L’autorità Garante ha inoltre specificato la tipologia dei cookie e in particolare, ha creato delle F.A.Q. dalle quali si può comprendere cosa siano le diverse tipologie di cookie.

    Cosa sono i cookie “tecnici”?

    Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

    Cosa sono i cookie “di profilazione”?

    Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

    I cookie analytics sono cookie “tecnici”?

    No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

    Come redigere una corretta Cookie Policy?

    Il primo passo importante per una corretta Cookie Policy è comprendere realmente quali cookies utilizziamo e soprattutto, nel caso di cookie analytics, come questi siano settati e che uso ne viene fatto. Una volta che avremo effettuato tali valutazioni, dovremo procedere all’adozione degli adempimenti conseguenti.

    A titolo esemplificativo, riprendiamo la tabella  elaborata dal Garante, non più applicabile con riguardo all’obbligo di notifica (prima colonna a destra):

    Cookies Policy

    da cui deduciamo, ad esempio,  che:

    se lo shopping cart utilizza solo solo Cookie Tecnici di Prima Parte, il titolare del webshop può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito;

    se si utilizzano cookies di profilazione, prima della loro installazione sarà necessario acquisire il consenso. Il consenso può essere acquisito attraverso una informativa semplificata (detta anche Informativa Breve) dove compare l’esplicita richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare. Solo dopo aver acquisito il consenso, i cookies potranno essere memorizzati nel computer del cliente.

    La redazione di una corretta Cookie Policy quindi non può e non deve essere lasciata a sistemi automatizzati e/o a valutazioni singole senza il ricorso ad un esperto. Ad esempio molti ‘plugin’ che gestiscono l’acquisizione del consenso in realtà non intervengono bloccando la creazione del file che invece avviene comunque.

    Un legale esperto, coadiuvato da un IT Man, queste cose le sa e le verifica e redige un report che permetterà all’ecommerce manager di procedere nel pieno rispetto della legge.

    E’ bene ricordare che in caso di Utilizzo Cookies senza consenso, l’Autorità Garante può comminare una sanzione fino a 120.000 euro!