Blog

GDPR, cookies e privacy per e-commerce: come essere in regola e non pagare sanzioni.

A partire dallo scorso 25 maggio è direttamente applicabile in tutti gli stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection System) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Un tema estremamente importante anche quando parliamo di e-commerce.

Adeguarsi alla normativa è estremamente fondamentale per non incorrere in sanzioni che potrebbero risultare molto salate.

Ad esempio la mancata indicazione della partita iva può comportare una sanzione di 2.065 euro, l’indicazione del foro sbagliato (in caso di controversia) può costare fino a 5mila euro, l’omessa informativa sulla privacy comporta una sanzione di 36mila euro, le informazioni errate per ciò che riguarda il diritto di recesso del consumatore possono costare all’azienda 50mila euro, mentre l’utilizzo dei cookies senza permesso può comportare una sanzione fino a 120mila euro.

• ASSENZA PARTITA IVA € 2.065
• INDICAZIONE DEL FORO SBAGLIATO € 5.000
• OMESSA INFORMATIVA € 36.000
• INFORMAZIONI ERRATE RECESSO € 50.000
• UTILIZZO COOKIES SENZA CONSENSO € 120.000

Molte di queste informazioni possono essere trovate anche all’interno di alcuni dei siti internet più autorevoli, ma è sempre opportuno prestare molta attenzione, soprattutto nel momento in cui riportano eventuali leggi che possono essere applicate in materia.

Passiamo ora alle informazioni che il venditore deve necessariamente indicare, secondo il Codice del Consumo, per non incorrere nel rischio sanzioni.

Si tratta essenzialmente dei dati che vanno riportati sulla carta intestata dell’azienda e che sono:

• Ragione sociale
• Indirizzo della sede legale
• Telefono ed eventuale fax
• e-mail, PEC
• partita iva
• codice fiscale
• numero di iscrizione al Registro delle Imprese
• capitale sociale
• stato di liquidazione
• unipersonalità

Nel caso di vendita B2C dovranno essere indicati inoltre:

• identità e recapiti del professionista
• caratteristiche dei beni e servizi
• prezzo
• imposte e modalità di pagamento
• tempi di consegna, durata del contratto
• promemoria della garanzia legale di conformità
• condizioni di assistenza post vendita
• condizioni di recesso (sono modelli stabiliti dal Codice del Consumo) o esclusioni

Rimando all’EU-ODR ed eventuali ADR
(piattaforma istituita dall’UE per eliminare il contenzioso giudiziario nelle vendite online per la constatazione amichevole e che prevede, peraltro, dei costi molto più irrisori rispetto a quelli previsti per un contenzioso tradizionale.

Il costo massimo per il consumatore è, infatti, di 48 euro contro i 7-10mila previsti da un contenzioso giudiziario).

CI sono comunque delle informazioni stabilite dal codice civile che devono essere obbligatoriamente indicate:

le parti del contratto
le caratteristiche dei beni e servizi venduti, prezzo
imposte e modalità di pagamento (chi paga i dazi)
tempi di consegna
durata del contratto e controversie (è possibile scegliere autonomamente il foro, mentre nel caso di B2C il foro dovrà essere necessariamente quello di residenza o domicilio di chi acquista)

Oltre a questi dati bisogna aggiungere l’informativa privacy, ovvero ogni volta che viene effettuato il trattamento dei dati personali.

Per dato personale intendiamo qualsiasi informazione che possa condurre o identificare un soggetto o renderlo identificabile.

A differenza delle informazioni che conducono all’impresa, le quali non sono assolutamente da considerarsi dati personali.

Cosa va indicato obbligatoriamente nell’informativa se tratto dei dati personali (art. 13 del codice privacy):

titolare del trattamento ovvero chi decide come trattare i dati (il sito non è un’entità giuridica e quindi non può essere assunto come titolare che dovrà, invece, essere l’azienda o la persona fisica che tratta i dati. Non è neppure il legale rappresentante).

Responsabile incaricato di eseguire alcuni trattamenti che può essere interno all’azienda o esterno (ad esempio chi gestisce la newsletter e ha accesso a tutta una serie di dati).

Modalità di trattamento ovvero come vengono trattati i dati materialmente.

Le finalità ovvero il motivo per cui vengono trattati i dati. Questo perché è possibile trattare i dati solo per le finalità espresse e solo per i consensi che ottenuti (ogni tipo di trattamento che sia per profilazione o marketing dovrà avere un consenso unico e saparato).

Naturale conferimento ovvero se i dati vanno forniti obbligatoriamente o facoltativamente (dati non essenziali).

Conseguenza del rifiuto a fornire i dati (è necessario indicare, ad esempio, che il mancato conferimento dei dati comporta la mancata erogazione del servizio).

Comunicazione e diffusione dei dati ovvero a chi vengono consegnati e perché.

Diritti dell’interessato ovvero la facoltà dell’utente di ricevere informazioni, di opporsi al trattamento oppure di bloccare il trattamento.

Informativa cookies ovvero quali cookies vengono utilizzati e perché.

Per essere più chiari, è possibile capire come comportarsi a seconda dei cookies che si utilizzano:

nessun cookie: non è necessario inserire indicazioni nell’informativa.

Cookies tecnici o analitici di prima parte o di terza parte (sempre che siano analitics anonimizzati): è necessario segnalarli nell’informativa, ma non serve il banner per richiedere il consenso al visitatore.

Negli altri casi i cookies devono essere segnalati nell’informativa, deve essere previsto il banner e, salvo che la profilazione venga effettuata solo dal terzo, deve essere fatta anche la notifica al garante.

Compilando un modulo e pagando 150 euro è possibile chiedere al garante la facoltà di trattare i dati, indicando chiaramente i motivi del trattamento.

Solo quando il garante avrà dato il consenso, allora potrò eventualmente procedere alla profilazione.

Il GDPR che è in vigore dal 25 maggio 2018, oltre alle indicazioni che abbiamo visto finora, prevede l’aggiunta di ulteriori informazioni che sono:

il DPO (data protection officer): va nominato in tutti i casi in cui si effettua il trattamento dati o vi sono rischi per i diritti degli interessati.

La nomina di un rappresentante del trattamento.
Nel caso in cui si trattino dati di persone straniere è necessario nominare un rappresentante per ogni paese.

Questo perché qualsiasi autorità europea ha la possibilità di iniziare una procedura di infrazione contro l’azienda.

Le sanzioni vengono incassate dallo Stato che ha iniziato il procedimento.

Paesi come la Spagna hanno triplicato l’organico del proprio garante, poiché hanno visto nel GDPR un modo per fare cassa.

Non avremo, quindi, particolari sanzioni dal garante italiano, ma potremo avere sanzioni che saranno notificate dai garanti stranieri.

Base giuridica del trattamento

Se un tempo i dati si trattavano per consenso o finalità limitate al contratto, ora i dati possono essere trattati anche relativamente a obblighi contrattuali, in caso di interessi vitali (medico che abbia bisogno di avere delle informazioni per salvare la vita a un paziente), interessi legittimi del titolare (in questo caso gli interessi andranno bilanciati caso per caso).

In tutti questi casi non è richiesto il consenso dell’utente.

Durata media del trattamento. In questo caso è possibile fare riferimento agli obblighi di fatturazione che prevedono di trattenere dati per 10 anni.

Ciò malgrado non tutti i dati servono per la fatturazione e sarà quindi opportuno capire quali sono i dati utili e quelli facoltativi.

Processi automatizzati: E’ necessario indicare se il soggetto sarà oggetto di trattamenti automatizzati ed eventualmente come potranno influire su di lui (mail di marketing).

Tra le novità ci sono anche i nuovi diritti dell’interessato:

diritto all’oblio o cancellazione dei dati: l’utente ha il diritto di chiedere la rimozione totale dei dati in possesso del titolare, la limitazione (ovvero chiedere che vengano conservati ma non utilizzati).

Diritto potabilità: l’utente hai il diritto di chiedere e ottenere tutti i dati dai titolari in un formato strutturato, di uso comune e leggibile, nonché di poter trasmettere ad ulteriori titolari del trattamento tali dati da parte dell’attuale titolare del trattamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *