MANAGEMENT

GDPR, cookies e privacy per Ecommerce: come mettersi in regola e non pagare sanzioni

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Un tema estremamente importante anche quando parliamo di e-commerce.

Adeguarsi alla normativa è estremamente fondamentale per non incorre in sanzioni che potrebbero risultare molto salate.

Ad esempio la mancata indicazione della partita Iva può comportare una sanzione di 2065 euro, l’indicazione del foro sbagliato (in caso di controversia) può costare fino a 5mila euro, l’omessa informativa sulla privacy comporta una sanzione di 36mila euro, le informazioni errate per ciò che riguarda il diritto di recesso del consumatore possono costare all’azienda 50mila euro, mentre l’utilizzo dei cookies senza consenso può comportare una sanzione fino a 120mila euro.

Molte di queste informazioni possono essere trovate anche all’interno di alcuni dei siti internet più autorevoli, ma è sempre opportuno prestare molta attenzione, soprattutto nel momento in cui riportano eventuali leggi che possono essere applicate in materia.

Nella fattispecie, dovrete esimervi dal prendere in considerazione la legge 675/96 (vecchia normativa privacy) che è stata poi abrogata dal decreto legislativo 196 del 2003 (che sarà ora abrogato dal GDRP), il decreto legislativo 185 del 1999 (precedente Codice del Consumo) abrogato dal decreto legislativo 206 del 2005 (attuale Codice del Consumo).

Non dovrete fare riferimento neppure alla Convenzione di Vienna che viene spesso citata in molti siti poiché non si applica alle vendite al consumo e neppure la legge 765/85 che è poi un recepimento italiano della Convenzione di Vienna.

Non fatevi ingannare neppure dal DPS (Documento Programmatico per la Sicurezza) che non esiste più dal 2012.

Queste sono tutte informazioni che non dovranno essere indicate all’interno del sito, poiché si tratta di leggi non più in corso di validità.

Passiamo ora alle informazioni che il venditore deve necessariamente indicare, secondo il Codice del Consumo, per non incorrere nel rischio di sanzioni.

Si tratta essenzialmente dei dati che vanno riportati sulla carta intestata dell’azienda e che sono:

  • Ragione sociale
  • Indirizzo della sede legale
  • Telefono ed eventuale fax
  • E-mail, PEC
  • Partita IVA
  • Codice fiscale
  • Numero di iscrizione al Registro delle Imprese
  • Capitale sociale
  • Stato di liquidazione
  • Unipersonalità

Nel caso di vendita B2C dovranno essere indicati inoltre:

  • Identità e recapiti del professionista
  • Caratteristiche dei beni e servizi
  • Prezzo
  • Imposte e modalità di pagamento
  • Tempi di consegna, durata del contratto
  • Promemoria della garanzia legale di conformità
  • Condizioni di assistenza post vendita
  • Condizioni di recesso (sono modelli stabiliti dal Codice del Consumo nell’allegato 1 parte B) o esclusioni
  • Rimando all’EU-ODR ed eventuali ADR
    (piattaforma istituita dall’UE per eliminare il contenzioso giudiziario nelle vendite online per la constatazione amichevole e che prevede, peraltro, dei costi molto più irrisori rispetto a quelli previsti per un contenzioso tradizionale.

Il costo massimo per il consumatore è, infatti, di 48 euro contro i 7-10mila euro previsti da un contenzioso giudiziario)

Nel caso B2B il legislatore ha scelto di non stabilire dei paletti ferrei, rimandando il tutto alla contrattazione tra le parti.

Ci sono comunque delle informazioni stabilite dal codice civile che devono essere obbligatoriamente indicate:

  • Le parti del contratto
  • Le caratteristiche dei beni e servizi venduti, prezzo
  • Imposte e modalità di pagamento (chi paga i dazi)
  • Tempi di consegna
  • Durata del contratto e controversie
    (è possibile scegliere autonomamente il foro, mentre nel caso di B2C il foro dovrà essere necessariamente quello di residenza o domicilio di chi acquista).

Oltre a questi dati bisogna aggiungere l’informativa privacy ovvero ogni volta che viene effettuato il trattamento di dati personali.

Per dato personale intendiamo qualsiasi informazione che possa condurre o identificare un soggetto o renderlo identificabile.

A differenza delle informazioni che conducono all’impresa, le quali non sono assolutamente da considerarsi dati personali.

Cosa va indicato obbligatoriamente nell’informativa se tratto dei dati personali (art 13 del Codice Privacy):

titolare del trattamento ovvero chi decide come trattare i dati (il sito non è un’entità giuridica e quindi non può essere assunto come titolare che dovrà, invece, essere l’azienda o la persona fisica che tratta i dati. Non è neppure il legale rappresentate);

responsabile incaricato di eseguire alcuni trattamenti che può essere interno all’azienda o esterno (ad esempio chi gestisce la newsletter e ha accesso a tutta una serie di dati);

modalità di trattamento ovvero come vengono trattati i dati materialmente;

le finalità ovvero il motivo per cui vengono trattati i dati. Questo perché è possibile trattare i dati solo per le finalità espresse e solo per i consensi che ottenuti (ogni tipo di trattamento che sia per profilazione o marketing dovrà avere un consenso unico e separato);

naturale conferimento ovvero se i dati vanno forniti obbligatoriamente o facoltativamente (dati non essenziali);

conseguenza del rifiuto a fornire i dati (è necessario indicare, ad esempio, che il mancato conferimento dei dati comporta la mancata erogazione del servizio);

comunicazione e diffusione dei dati ovvero a chi vengono consegnati e perché

diritti dell’interessato ovvero la facoltà dell’utente di ricevere informazioni, di opporsi al trattamento oppure di bloccare il trattamento;

informativa cookies ovvero quali cookies vengono utilizzati e perché;

Per essere più chiari nella tabella qui sotto è possibile capire come comportarsi a seconda dei cookies che si utilizzano:

nessun cookie: non è necessario inserire indicazioni nell’informativa;

cookies tecnici o analitici di prima parte o di terza parte (sempre che siano analitics anonimizzati): è necessario segnalarli nell’informativa, ma non serve il banner per richiedere il consenso al visitatore.

negli altri casi i cookies devono essere segnalati nell’informativa, deve essere previsto il banner e, salvo che la profilazione venga effettuata solo dal terzo, deve essere fatta anche la notifica al garante.

Compilando un modulo e pagando 150 euro è possibile chiedere al garante la facoltà di trattare i dati, indicando chiaramente i motivi del trattamento.

Solo quando il garante avrà dato il consenso allora potrò eventualmente procedere alla profilazione.

Il GDPR che è in vigore dal 25 maggio 2018, oltre alle indicazioni che abbiamo visto finora, prevede l’aggiunta di ulteriori informazioni che sono:

– il DPO (data protection officer): va nominato in tutti i casi in cui si effettua il trattamento dati o vi sono rischi per i i diritti degli interessati;

– la nomina di un rappresentate del trattamento.
Nel caso in cui si trattino dati di persone straniere è necessario nominare un rappresentate per ogni paese.

Questo perché qualsiasi autorità europea ha la possibilità di iniziare una procedura di infrazione contro l’azienda.

Le sanzioni vengono incassate dallo Stato che ha iniziato il procedimento.

Paesi come la Spagna hanno triplicato l’organico del proprio garante, poiché hanno visto nel GDPR un modo per fare cassa.

Non avremo, quindi, particolari sanzioni dal garante italiano, ma potremo avere sanzioni che saranno notificate dai garanti stranieri.

base giudica del trattamento.
Se un tempo i dati si trattavano per consenso o finalità limitate al contratto, ora i dati possono essere trattati anche relativamente a obblighi contrattuali, in caso di interessi vitali (medico che abbia bisogno di avere delle informazioni per salvare la vita a un paziente), interessi legittimi del titolare (in questo caso gli interessi andranno bilanciati caso per caso).

In tutti questi casi non è richiesto il consenso dell’utente.

Durata media del trattamento. In questo caso è possibile fare riferimento agli di obblighi fatturazione che prevedono di trattenere dati per 10 anni.

Ciò malgrado non tutti i dati servono per la fatturazione e sarà quindi opportuno capire quali sono i dati utili e quelli facoltativi.

Processi automatizzati. E’ necessario indicare se il soggetto sarà oggetto di trattamenti automatizzati ed eventualmente come potranno influire su di lui (mail di marketing).

Tra le novità ci sono anche i nuovi diritti dell’interessato:

diritto all’oblio o cancellazione dei dati: l’utente ha il diritto di chiedere la rimozione totale dei dati in possesso del titolare, la limitazione (ovvero chiedere che vengano conservati ma non utilizzati.

diritto potabilità: l’utente ha il diritto di chiedere e ottenere tutti i dati dal titolari in un formato formato strutturato, di uso comune e leggibile, nonché di poter trasmettere ad ulteriori titolari del trattamento tali dati da parte dell’attuale titolare del trattamento.

Per maggiori informazioni ti consiglio ti seguire il video dell’Avv. Luigi Cristiano che spiega come adeguarsi al GDPR (video estratto dal Corso Ecommerce Management)

Post correlati

10 errori che gli imprenditori commettono prima di aprire un ecommerce

Francesco Chiappini

Creare un e-commerce scalabile e non lavorare più

Francesco Chiappini

Il futuro del retail? E’ nell’integrazione tra online e offline

Valentina Samara Ferrero

Lascia un commento

Accetto e dichiaro di aver letto l’Informativa Privacy

gdpr-cookies-e-privacy-per-ecommerce-come-mettersi-in-regola-e-non-pagare-sanzioni-ecommerceschool-blog-formazione-in-e-commerce-management