di Claudia Lupo e Federica Caretta

In un contesto emergenziale in cui molti Governi, incluso quello italiano, hanno ordinato la chiusura totale al pubblico degli esercizi commerciali fisici, molti negozianti hanno trovato nella vendita online un valido supporto per arginare le perdite. Si è assistito, quindi, ad un proliferare di iniziative, anche da parte di negozi “di quartiere”, volte a sfruttare internet come strumento per la vendita, principalmente, di prodotti. Ma ci sono adempimenti o formalità che un sito e-commerce deve rispettare per essere in linea con le leggi applicabili? E quali sono?

Inquadramento normativo del commercio elettronico

Cosa s’intende per e-commerce? Sebbene non sia mai stata codificata una definizione di “e-commerce” o “commercio elettronico”, la Commissione Europea nella Comunicazione al Parlamento n. (COM (97) 197) l’ha qualificata come “[…] lo svolgimento di attività commerciali e transazioni per via elettronica […]”. Stando a tale definizione, quindi, si definisce e-commerce qualsiasi transazione commerciale che avviene tramite internet.

Il fenomeno è stato oggetto, nel tempo, di una serie disomogenea di atti normativi a livello europeo, ma soprattutto nazionale. Ad oggi, in Italia, le principali fonti legislative che regolamentano il commercio elettronico sono la c.d. “Direttiva e-commerce” (Direttiva 2000/31/CE) e il d. lgs. n. 70 del 9 aprile 2003, che ne dà attuazione in Italia. A ciò si aggiunge la Circolare Ministeriale n. 3487/C del 1 giugno 2000, che fornisce alcune linee guida interpretative rispetto all’applicazione al commercio elettronico delle previsioni del d. lgs. n. 114 del 31 marzo 1998, come modificato nel tempo. Il tutto va inquadrato nella più generale normativa dettata a tutela del consumatore dal Codice del Consumo.

Sulla base di queste fonti normative e ministeriali emerge che, salvo che si tratti di attività saltuaria, ogniqualvolta un’attività commerciale avvenga tramite internet nei confronti di un consumatore, è necessario presentare una segnalazione certificata di inizio attività presso lo sportello unico per le attività produttive del comune nel quale la persona fisica che gestisce l’e-commerce è residente o, nel caso di persona giuridica, ha la propria sede legale. Ciò a prescindere dal fatto che la vendita riguardi beni o servizi, salva qualche esclusione legislativamente prevista. Si precisa, tuttavia, che la segnalazione non è dovuta nel caso in cui la vendita tramite internet sia solo saltuaria.

A ciò si aggiunge un obbligo del professionista di fornire diverse informazioni ai consumatori che acquistano sul proprio sito. Tale obbligo si esplica sia nella fase precedente alla conclusione dell’ordine da parte dell’utente sia successivamente e devono riguardare il prodotto in sé e le sue caratteristiche principali, nonché la procedura di acquisto: a titolo esemplificativo, (i) deve essere ben identificato il venditore dei prodotti, (ii) dev’essere esplicitato il prezzo finale del prodotto, specificando anche se è comprensivo o meno dell’IVA o di altre imposte applicabili, e (iii) devono essere chiare le caratteristiche del prodotto messo in vendita.

Infine, ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e della normativa italiana in materia di protezione dei dati personali, occorrerà rendere agli utenti-consumatori le informazioni sul trattamento dei loro dati personali.

Principali adempimenti in materia di protezione dei dati personali

La redazione dell’informativa sul trattamento dei dati personali dell’utente-consumatore (o “Privacy policy”) è solo una parte minimale (nonché il risultato, la punta dell’iceberg) di una serie di attività da svolgere necessariamente affinché l’e-commerce possa considerarsi conforme alla normativa vigente in materia data protection.

La protezione dei dati personali, infatti, deve essere considerata parte integrante di un processo aziendale, fin dalla fase di progettazione di un’attività e sino alla conclusione del ciclo di vita del dato.

Il Regolamento (UE) 2016/679, ormai pienamente applicabile da due anni, richiede un approccio sostanziale di tutela dei dati personali totalmente differente rispetto a quanto era previsto dalla vecchia normativa. Nello specifico, l’approccio basato sul rischio introdotto dal GDPR comporta la necessità, per le imprese, di valutare e gestire opportunamente i rischi in ambito data protection tenendo conto della natura e dello specifico contesto in cui si svolgono i trattamenti di dati personali, al fine di individuare le misure di sicurezza più adeguate al rischio valutato.

In particolare, quando si tratta di attività online, è importante porre una maggiore attenzione all’adeguamento alla normativa in materia di protezione dei dati perché, da un lato, l’esposizione dell’attività commerciale su un sito internet accresce inevitabilmente il rischio di essere oggetto di segnalazioni e reclami al Garante da parte degli utenti per presunte violazioni alla normativa in materia di protezione dati, dall’altro tale attività rientra tra quelle spesso ricomprese nei piani di ispezione semestrali del Garante, con particolare riferimento alle attività di marketing e profilazione.

Pertanto, al fine di evitare il rischio di essere sottoposti ad importanti sanzioni pecuniarie – fino a 20 milioni di euro o al 4% del fatturato totale annuo di gruppo dell’esercizio precedente – prima che l’e-commerce diventi operativo, è importante svolgere diverse attività di verifica della compliance alla normativa in materia di protezione dei dati e di eventuale adeguamento.

Tali attività altro non sono che l’espressione dei principi di privacy by design e by default che richiedono alle aziende di prevedere e mettere in atto – fin dalla fase di sviluppo e progettazione dell’e-commerce – le garanzie indispensabili al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati (privacy by design), nonché tutte quelle misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (privacy by default).

Modello di gestione dei dati personali

Il modello di gestione dei dati personali è l’insieme delle regole e delle misure di sicurezza che le imprese devono adottare al fine di garantire un corretto trattamento dei dati personali nello svolgimento delle attività aziendali.

Qualora sia già stato adottato un modello di gestione dei dati personali, sarà necessario estendere regole, misure di sicurezza e procedure sui nuovi trattamenti che saranno oggetto delle attività svolte tramite l’e-commerce, nonché aggiornare (o predisporre) il Registro delle attività di trattamento.

In caso contrario, sarà necessario sviluppare un modello che tenga in considerazione il core business e gli obiettivi aziendali, al fine di far convergere gli interessi economici e tecnico-progettuali con quelli di compliance legale. In particolare, è importante individuare il framework normativo applicabile, mappare i trattamenti di dati personali svolti dalla società ed i relativi rischi, individuare i gap rispetto agli adempimenti e le misure da porre in essere per la compliance e la tutela dei dati personali. Sarà, inoltre, fondamentale individuare ruoli e responsabilità dei soggetti sia interni (es. dipendenti) che esterni (es. fornitori e consulenti) coinvolti nel trattamento dei dati personali, autorizzarli ed istruirli in merito al corretto trattamento dei dati.

Analisi dei rischi e Valutazione di impatto sulla protezione dei dati (“DPIA”)

Con particolare riferimento al trattamento di dati personali che sarà svolto tramite l’e-commerce, sia che l’impresa si sia già dotata di un modello di gestione, sia nel caso in cui si approcci per la prima volta agli adempimenti data protection, la prima attività da svolgere sarà l’analisi dei rischi, al fine di individuare e adottare le misure di sicurezza adeguate ai rischi valutati in base alle caratteristiche dei trattamenti svolti.

Ove il risultato dell’analisi sia di “alto rischio” per le libertà e i diritti degli interessati, sarà necessario svolgere una valutazione di impatto sui diritti e le libertà degli interessati, al fine di analizzare gli impatti negativi derivanti dai trattamenti oggetto dell’analisi e adottare le misure per gestire il rischio.

Qualora, poi, vengano svolte attività quali – ad esempio – la profilazione degli utenti, processi decisionali automatizzati, trattamento di dati personali “su larga scala”, lo svolgimento di una DPIA diventa obbligatorio a prescindere dal livello di rischio determinato dalla prima analisi.

Nomina di un Responsabile per la protezione dei dati personali (“DPO”)

Il titolare dell’e-commerce dovrà attentamente valutare l’obbligatorietà della designazione del DPO con riferimento ai prodotti venduti online ed al numero degli utenti-clienti che acquisteranno sul sito.

La designazione del DPO ben potrebbe essere anche svolta su base volontaria, trattandosi di professionista con competenze specifiche che potrà supportare il titolare fornendo consulenza, vigilando sull’osservanza della normativa e gestendo i rapporti con l’autorità di controllo e con gli interessati.

Procedure per la gestione delle violazioni dei dati personali e per la gestione delle richieste di esercizio dei diritti da parte degli interessati

Una non efficace o tardiva gestione di un data breach o di una richiesta di esercizio di un diritto da parte di un utente-cliente può esporre il titolare dell’e-commerce a provvedimenti sanzionatori amministrativi da parte dell’Autorità di controllo e conseguenti importanti danni economici dovuti all’applicazione di sanzioni economiche significative.

È pertanto fondamentale che il titolare si doti di procedure interne per gestire correttamente e senza ritardo le richieste degli utenti-interessati che dovessero pervenire, individuando preventivamente i soggetti da coinvolgere nella valutazione della legittimità e accoglibilità dell’istanza per poterla esaudire.

Anche la valutazione e la gestione di un data breach richiede particolare attenzione. Occorre, innanzitutto, valutare se l’incidente di sicurezza ha comportato una violazione di dati personali e, dunque, se vi è stata distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati. Dopo questa analisi preliminare, è necessario valutare il rischio potenziale per i diritti e le libertà degli interessati coinvolti (es. rischi di discriminazione, furto o usurpazione d’identità, perdite finanziarie o pregiudizio alla reputazione) al fine di intraprendere le opportune azioni di contrasto e di mitigazione della violazione e, al contempo, stabilire se procedere o meno con la notificazione all’Autorità di controllo e/o alla comunicazione agli interessati nelle stringenti tempistiche indicate dal GDPR (es. 72h dal momento in cui si è venuti a conoscenza del data breach per la notifica all’Autorità). 

Attenzione al ruolo dei fornitori

Qualora un servizio connesso alla vendita su e-commerce venga affidato ad un fornitore terzo (es. customer care, servizi di logistica per la gestione del magazzino e delle spedizioni/resi), il titolare dovrà ricorre unicamente a fornitori che presentino garanzie idonee a tutelare i dati dei propri clienti finali.

In particolare dovrà disciplinare il trattamento dei dati svolti dal fornitore – che assumerà il ruolo di responsabile del trattamento ai sensi dell’art. 28 GDPR – con un contratto o altro atto giuridicamente vincolante (c.d. “Data Processing Agreement”). Laddove il fornitore proponga delle proprie condizioni di utilizzo del servizio al titolare dell’e-commerce (ipotesi frequente nel contesto dei servizi ancillari alle vendite online) il titolare dovrà verificarne il contenuto nella parte relativa al trattamento dei dati personali ed eventualmente integrarlo, con particolare attenzione alla possibilità di svolgere attività di audit sul fornitore anche sotto il profilo data protection e all’impegno del fornitore a supportarlo nella gestione tempestiva di data breach, di richieste di esercizio di diritti e di altre eventuali attività relativamente ad attività di trattamento svolte dal responsabile per conto del titolare.

Privacy Policy e Cookie Policy

Come anticipato in premessa, il titolare dell’e-commerce dovrà rendere agli utenti-consumatori le informazioni sul trattamento dei loro dati personali.

Le informazioni sul trattamento devono essere rese in formaconcisa, trasparente, intellegibile e facilmente accessibile per l’interessato, preferibilmente nel footer di ogni pagina del sito. Laddove l’e-commerce sia disponibile tramite App messa a disposizione presso store online(es. Apple store e Google Play Store), le informazioni dovranno essere messe a disposizione prima del download. Una volta installata l’App, l’informativa dovrà essere accessibile a non più di due click di distanza da ogni sezione visualizzata: è possibile, per esempio, includere un’opzione «Privacy» o «Protezione dei dati» nella funzione di Menù dell’applicazione.

È possibile eventualmente valutare di realizzare una privacy policy iconografica (con rinvio all’informativa estesa) per rendere il documento maggiormente fruibile e comprensibile per l’utente, dovendo lo stesso contenere numerose informazioni ai sensi dell’art. 13 GDPR quali, a titolo esemplificativo, identità e dati di contatto del titolare, finalità e basi giuridiche del trattamento (conclusione del contratto, spedizione del prodotto, ma anche navigazione dell’utente sul sito internet), eventuali categorie di soggetti cui vengono comunicati i dati ed eventuali trasferimenti dei dati in paesi al di fuori dell’UE (trasferimento che dovrà avvenire in osservanza delle prescrizioni dettate in merito dal GDPR).

Nel corso dello sviluppo dell’e-commerce è, inoltre, opportuno valutare, sulla base delle finalità che si intendono perseguire, se e quali cookie installare in quanto ad ogni tipologia di cookie corrispondono diversi adempimenti da tenere in considerazione. In particolare, i cookie installabili sulla piattaforma possono essere cookie tecnici, cookie analitici e cookie di profilazione, (di prima o di terza parte – ad esempio, Google Analytics). L’utilizzo dei cookie di profilazione, per esempio, sia quando sono di prima parte sia quando sono di terza parte, richiede l’obbligo di informativa e la richiesta di consenso.

Alla luce degli ultimi orientamenti espressi dalle Autorità europee, è raccomandata l’installazione di un cookie-banner contenente l’informativa breve ed un pannello di configurazione che consenta all’utente di esprimere in modo granulare e con modalità opt-in (senza che l’accettazione sia pre-flaggata) le proprie preferenze (i.e. consenso) rispetto alle diverse tipologie di cookie utilizzabili dalla piattaforma.

Sul tema si segnala che è ancora in fase di definizione il Regolamento (UE) e-Privacy che potrebbe prevedere ulteriori requisiti e adempimenti le imprese che operano in campo digitale dovranno tenere in considerazione.

Marketing e profilazione

Attenzione, infine, se si vogliono utilizzare i dati degli interessati-clienti per inviare comunicazioni informative, promozionali e commerciali. In questo caso occorrerà valutare attentamente la base giuridica che legittimerà tale invio (es. consenso dell’interessato o interesse legittimo del titolare) a seconda di elementi quali, a titolo esemplificativo, l’oggetto e la finalità delle comunicazioni, i destinatari (es. tutti gli utenti, gli utenti registrati o solo chi abbia acquistato un prodotto?) e l’eventuale svolgimento di attività di profilazione atte a mirare le attività di marketing in base agli interessi del target analizzato e di volta in volta individuato.

Conclusioni

L’e-commerce è certamente un’opportunità per moltissimi imprenditori, soprattutto in periodi di incertezza come quello attuale. Tuttavia, per farlo bene, è necessario essere consapevoli e applicare un insieme articolato di regole in cui è abbastanza complesso districarsi. Il rischio è quello che un’iniziativa promettente si ritorca contro l’imprenditore con conseguenze anche molto severe dal punto di vista economico, laddove vengano riscontrate violazioni del framework normativo applicabile e comminate sanzioni pecuniarie importanti dalle Autorità competenti ovvero esercitate richieste di risarcimento danni dagli utenti.

Articolo pubblicato anche sulla testata Riskmanagement360.