ECommerce: aspetti legali a cui è necessario prestare attenzione.

 

Ogni attività che viene svolta sul web ed ogni servizio che viene offerto per mezzo delle piattaforme on-line, non può prescindere dalla corretta gestione del trattamento dei dati personali degli utenti e quindi dal rispetto del Regolamento UE 2016/679 (“GDPR”) e del d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come novellato dal d.lgs. 10 agosto 2018, n. 101.

Il GDPR conferma che ogni trattamento deve trovare fondamento nel consenso dell’interessato o in un’idonea base giuridica. Pertanto un sito internet di e-commerce, per essere a norma con la disciplina in materia di privacy, dovrà obbligatoriamente prevedere:

a) un’ adeguata informativa privacy rivolta agli utenti , facilmente accessibile e visibile. La stessa normalmente dovrà necessariamente fornire dettagli circa (contenuto minimo ex articoli 13 e 14 del GDPR):

• – categorie di dati trattati e finalità del trattamento, e le modalità;
  – la base giuridica del trattamento;
  – natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto;
  – se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
  – soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
  – intenzione del titolare di trasferire i dati in paesi extra UE;
  – il periodo di conservazione dei dati oppure l’indicazione dei criteri per determinarlo;
  – i diritti dell’interessato (tra cui in particolare il diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi);
  – dati identificativi del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO);
  – se il trattamento comporta processi decisionali automatizzati (come la profilazione);
  – i cookie utilizzati, le modalità di disabilitazione dei cookie.

b) apposite e distinte clausole di consenso , a seconda delle diverse finalità e modalità di trattamento. A tal fine si ricorda che la disciplina non consente di prevedere un solo ed unico consenso, ma differenti consensi, raggruppati eventualmente per categoria di trattamento.

c) che l’ attività di profilazione degli utenti sia anch’essa autorizzata tramite apposita clausola di consenso e svolta nei limiti stabiliti sia dalla normativa sopra citata sia dai numerosi interventi del Garante privacy.

d) Apposito banner di informativa breve sui cookie in “home page”, che rispetti i requisiti stabiliti dal Garante nel Provvedimento n. 229 dell’8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014.

e) Informativa estesa sui cookie.

La normativa italiana in tema di commercio elettronico, contenuta nel Decreto Legislativo 70/2003, disciplina invece le comunicazioni commerciali elettroniche intese come ” tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di un soggetto che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione “.

Il dettato legislativo prevede che le comunicazioni commerciali debbano essere subito chiaramente identificabili come tali e, sin dal primo invio, devono contenere, in modo chiaro e inequivocabile, una specifica informativa diretta ad evidenziare la natura di comunicazione commerciale.

L’art. 9 del D.Lgs 70/2003 prevede invece che le comunicazioni commerciali non sollecitate (c.d. spamming ) debbano essere chiaramente identificabili come tali, fin dal momento in cui il destinatario le riceve e devono contenere l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.

Ad ogni modo, laddove si configurasse un conflitto di norme tra le previsioni del D.Lgs e quelle della normativa privacy, queste ultime prevarrebbero in quanto “lex specialis”, con conseguente necessità di monitorare l’evoluzione della normativa, alla luce di continui interventi del Garante Privacy.

In tema si richiama ad esempio il “ Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale ”, approvato con deliberazione del Garante in data 12 giugno 2019, il quale contribuisce alla corretta applicazione del regolamento nel settore delle informazioni commerciali e può costituire elemento idoneo a dimostrare la conformità del trattamento posto in essere alla disciplina della protezione dei dati.