E-Commercee siti web a norma di leggea cura di David DAgostini e Paolo Vicenzotto
La presente Guida è stata predisposta nellambito dei lavoridel Progetto Centro di Competenza Open Source attivato dalDited...
SommarioIntroduzione......................................................................5Avvio dellattività di e-commerc...
servizi Internet (D.Lgs 70/03)..........................................22      La tutela del consumatore e i contratti on...
IntroduzioneTutte le imprese sono ormai presenti nel web con ilproprio sito internet aziendale e spesso anche con profilio...
dautore e dei segni distintivi on line.Viene, altresì, affrontato il tema del trattamento di datipersonali tramite il sito...
Avvio dellattività di e-commerce (*)PremessaCon     lespressione    e-commerce      (o    commercioelettronico) si indica ...
La prima tipologia riguarda le transazioni commercialitra imprese e lavvio di tale attività non richiedeadempimenti partic...
compreso il commercio elettronico) fosse soggetta aprevia comunicazione al comune al comune nel qualelesercente ha la resi...
Successivamente, nellart. 19 della Legge 241/90 ladichiarazione di inizio di attività è stata sostituita dallaSegnalazione...
Qualora in sede di controllo delle segnalazioni e deirelativi allegati emergano carenze dei requisiti epresupposti previst...
essere effettuati, ai sensi dell’art. 71 del D.P.R. n.    445/2000, controlli finalizzati ad accertare la    veridicità de...
SanzioniIn caso di violazioni delle disposizioni di cui al d.lgs.114/98 e al d.lgs. 59/2010, si applicano le sanzioniammin...
trovarsi nelle condizioni di cui all’art.71, comma 1 del    D.Lgs. n. 59/2010;•   che non sussistono nei propri confronti ...
Adempimenti giuridici nella realizzazione di siti di e-commerce (*)La scelta e la tutela del nome a dominioNomi a dominio ...
considerazione nella scelta di un nome a dominio è cheesso abbia la capacità di permettere l’individuazionedell’offerta co...
dell’avviamento e degli investimenti marketing giàeffettuati in passato.La tutela giuridica del nome a dominioMa come ci s...
Il soggetto che ha registrato il dominio per primomanterrà tale diritto se riuscirà a provare la propriabuona fede cioè ad...
Il diritto dautore e la realizzazione di siti internetOggetto di tutela del diritto dautore on-lineOgni opera di carattere...
Pertanto, chi realizza siti Internet è pienamente coinvoltonella citata normativa sotto due opposti punti di vista:primo, ...
possibile utilizzare i contenuti del sito web. Ad esempio,in molti casi potrebbe essere consigliabile sfruttare lelicenze ...
produttore sarà ben contento che altri siti vendano epubblicizzano i suoi prodotti. Tuttavia alcuni marchi,soprattutto se ...
“privato” per fini personali è legittima, ma diventafiscalmente “rischiosa” quando tende a sconfinareun’attività più compl...
Da queste informazioni potremmo perciò ricavare iparametri per definire un “venditore professionista”, chesvolge un’attivi...
Giurisprudenza di merito sta prendendo per disciplinarecontroversie sulle responsabilità dei fornitori di serviziweb 2.0, ...
per sé uno stabilimento del prestatore”. Il principioapplicabile, perciò, pare essere quello della “stabileorganizzazione”...
misura di effetto equivalente”. Secondo la direttiva èimportante assicurare che il commercio elettronicopossa beneficiare ...
In generale le informazioni che risulta necessario fornireagli utenti/clienti di un sito web sono numerose e –purtroppo – ...
perciò senza partita IVA e iscrizione REA, non sonoovviamente necessarie le indicazioni dei punto c) - g)rimanendo comunqu...
licenze,   oppure     hanno     riguardano    professioniregolamentate, debba fornire altre specifiche notizie,sugli eleme...
sulla base di un contratto di licenza duso”.Questa previsione risulta in parte simile a quella previstadall’art. 13 comma ...
consapevole e libero l’utente nel momento antecedentel’inoltro definitivo dell’offerta.La norma infatti impone di fornire ...
I software di e-commerce più adeguati alla norma.Conferma dell’ordine e informazioni obbligatorie.Argomento alquanto impor...
di unire queste informazioni con quelle dell’art. 54 delCodice del Consumo (che vedremo a breve), inserendolein un unico d...
merito agli obblighi previsti dall’art. 54 del Codice delConsumo (che vedremo a breve), con quelli di rapidità eusabilità ...
contesto tecnico/giuridico di “firma elettronica”.Avvenendo il tutto in ambiente criptato (https), magaricon sistemi di do...
Pertanto, come suggerito prima, tutti gli elementi delcontratto (nonché ricevuta dellordine, riepilogo einformazioni relat...
Pertanto, un servizio di e-commerce, da un punto divista contrattuale e delle modalità pratiche con cui sisvolge, deve anc...
“estraneo” alla propria vita professionale. Il consiglio,comunque, è quello di impostare il sito web in modo cherispetti l...
13. Le due norme non son ben coordinate anche se daun lato il Codice del Consumo si preoccupa di dire alcomma 5 dell’art. ...
informazioni in un supporto duraturo a disposizionedell’utente e a lui accessibile. Qui ci viene in soccorso lasentenza de...
caso di esercizio del diritto di recesso;h) costo dellutilizzo della tecnica di comunicazione a   distanza, quando e calco...
Se ciò non sia possibile, ad esempio perché il bene o ilservizio richiesto non sono disponibili, entro il medesimotermine ...
•   fornitura di prodotti audiovisivi o di software    informatici sigillati, aperti dal consumatore;•   fornitura di gior...
avvenire mediante lettera raccomandata con avviso diricevimento ovvero posta elettronica certificata. Lacomunicazione può ...
conclusione del contratto.Chiaramente le parti possono convenire termini diversi,ma le garanzie proposte possono essere so...
dellesercizio del diritto di recesso da parte delconsumatore.Sanzioni per violazioni del Codice del ConsumoDi particolare ...
Unultima annotazione riguarda la competenza esclusivadel Giudice luogo di residenza o di domicilio delconsumatore, che non...
Privacy e sicurezza sul web (*)IntroduzioneCreare e gestire un sito di commercio elettronicocomporta necessariamente il tr...
operazioni, effettuati anche senza lausilio di    strumenti elettronici, concernenti la raccolta, la    registrazione, lor...
profilo della sicurezza;•   "responsabile", la persona fisica, la persona giuridica,    la pubblica amministrazione e qual...
per elaboratori e qualunque dispositivo elettronico o    comunque automatizzato con cui si effettua il    trattamento;•   ...
cui si trattino dati personali sia necessario rilasciareallinteressato uninformativa preventiva che descrivacon chiarezza ...
indicati dallart. 13, ossia:•   le finalità e le modalità del trattamento cui sono    destinati i dati;•   la natura obbli...
sito di funzionare richiedono lacquisizione e iltrattamento di alcuni dati personali. Si tratta, di regola, diinformazioni...
Particolare attenzione deve essere prestata allutilizzodei cookies, ossia quelle “stringhe di testo di piccoladimensione i...
informato circa le operazioni cui verranno sottoposte leinformazioni che vengono da lui fornite.È necessario che le finali...
sociale dellattività svolta, i limiti minimi e massimi    stabiliti dal medesimo articolo sono applicati in    misura pari...
Nel paragrafo relativo allart. 13 si è fatto cenno allanatura pregiudiziale della informativa che, di regola, deveessere p...
effetti che il consenso o il diniego possono produrre neiconfronti di ciascuna di esse, nonché di esprimere unamanifestazi...
•   è necessario per eseguire obblighi derivanti da un    contratto del quale è parte linteressato o per    adempiere, pri...
Art. 122. Informazioni            raccolte   nei   riguardi     delcontraente o dell’utente1. L’archiviazione delle inform...
informazioni archiviate nell’apparecchio terminale di uncontraente o di un utente, per archiviare informazioni oper monito...
La Notificazione al GaranteLa notificazione è una dichiarazione con cui un soggettopubblico o privato rende nota al Garant...
elettronica  con      esclusione dei  trattamenti    tecnicamente indispensabili per fornire i servizi    medesimi agli ut...
quadruplo quando possono risultare inefficaci in    ragione   delle condizioni  economiche       del    contravventore.La ...
ma solamente una tendenza ottimale verso laminimizzazione del rischio in considerazione della tuteladei diritti. Essa rich...
comunicazione sicuro tra il browser dellacquirente ed ilsito di e-commerce, in modo tale da prevenire lamanomissione la fa...
•   protezione degli strumenti elettronici e dei dati    rispetto a trattamenti illeciti di dati, ad accessi non    consen...
Gli amministratori di sistema sono, in molti casi,concretamente "responsabili" di specifiche fasilavorative che possono co...
sistema o assimilate sono attribuite solo nel quadro diuna designazione quale incaricato del trattamento aisensi dellart. ...
Verifica delle attivitàLoperato degli amministratori di sistema deve essereoggetto, con cadenza almeno annuale, di unattiv...
da diecimila a centoventimila euro.Allautore del reato, allatto dellaccertamento o, nei casicomplessi, anche con successiv...
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
E-Commerce e siti web a norma di legge
Upcoming SlideShare
Loading in...5
×

E-Commerce e siti web a norma di legge

14,473

Published on

La guida vuole dare all'impresa che si affaccia al mondo del commercio elettronico un quadro chiaro degli obblighi giuridici, indicando i principali adempimenti relativi all'avvio e alla gestione di un sito di e-commerce.

Published in: Technology

E-Commerce e siti web a norma di legge

  1. 1. E-Commercee siti web a norma di leggea cura di David DAgostini e Paolo Vicenzotto
  2. 2. La presente Guida è stata predisposta nellambito dei lavoridel Progetto Centro di Competenza Open Source attivato dalDitedi – Distretto delle Tecnologie Digitali del Friuli VeneziaGiulia.http://www.ditedi.ithttp://www.ditedi.it/progetti/open-sourceLa presente Guida è rilasciata con licenza Creative CommonsBY-SA 3.0E-Commerce e siti web a norma di legge pag.2
  3. 3. SommarioIntroduzione......................................................................5Avvio dellattività di e-commerce .....................................7 Premessa............................................................................7 Fonti normative..................................................................8 Disciplina ...........................................................................8 Procedimento della SCIA.................................................10 Sanzioni............................................................................13Adempimenti giuridicinella realizzazione di siti di e-commerce .......................15 La scelta e la tutela del nome a dominio........................15 Il diritto dautore e la realizzazione di siti internet.........19 Adempimenti giuridici in materia di e-commerce eE-Commerce e siti web a norma di legge pag.3
  4. 4. servizi Internet (D.Lgs 70/03)..........................................22 La tutela del consumatore e i contratti on-line nel Codice del Consumo (D.lgs 206/05)...............................37Privacy e sicurezza sul web ...........................................49 Introduzione......................................................................49 Le definizioni....................................................................49 Informativa o informative ?.............................................52 La Privacy Policy..............................................................54 Linformativa.....................................................................56 Le sanzioni........................................................................57 Il Consenso.......................................................................58 Casi di esclusione del consenso.....................................60 Cookies - le modifiche introdotte dal d.lgs. 69/12........61 La Notificazione al Garante.............................................64 Le sanzioni........................................................................65 La sicurezza informatica.................................................66 Le misure minime di sicurezza.......................................68 La figura dellAmministratore di Sistema.......................69 Le sanzioni........................................................................72 Le comunicazioni commerciali tramite e-mail..............73Open source ed e-commerce ........................................77 Premessa..........................................................................77 Open Source Definition....................................................78 Principali licenze Open Source........................................79Soluzioni open source per le-commerce ......................85E-Commerce e siti web a norma di legge pag.4
  5. 5. IntroduzioneTutte le imprese sono ormai presenti nel web con ilproprio sito internet aziendale e spesso anche con profilio pagine in uno o più social network.Molte di loro, tuttavia, non sanno che nel realizzare egestire un sito per il commercio elettronico si devonorispettare specifiche norme di legge, a volte a pena disanzioni o a rischio di controversie giudiziarie.La presente guida, senza avere la presunzione diesaurire largomento, si prefigge la finalità di illustrare inmodo chiaro quali sono i principali adempimenti legaliinerenti allavvio di unattività di e-commerce, nonché aicontenuti del sito internet (per es. le informazioni cheobbligatoriamente devono essere contenute al suointerno), facendo anche cenno alla tutela del dirittoE-Commerce e siti web a norma di legge pag.5
  6. 6. dautore e dei segni distintivi on line.Viene, altresì, affrontato il tema del trattamento di datipersonali tramite il sito di e-commerce, con le relativepeculiarità (si pensi ai cd. cookies) e degli annessi profilidi sicurezza informatica.In conclusione, previa spiegazione del concetto di opensource, sono indicate alcune soluzioni OS per sitiinternet di e-commerce.E-Commerce e siti web a norma di legge pag.6
  7. 7. Avvio dellattività di e-commerce (*)PremessaCon lespressione e-commerce (o commercioelettronico) si indica la commercializzazione di beni oservizi realizzata per il tramite di internet, vale a direutilizzando strumenti telematici.Convenzionalmente, secondo le modalità di transazioneo in base ai soggetti coinvolti, si è soliti individuarediverse tipologie di commercio elettronico; in questasede appare opportuno distinguere tra e-commerceBusiness to Business (B2B) e Business to Consumer(B2C).(*) Avv. David DAgostiniE-Commerce e siti web a norma di legge pag.7
  8. 8. La prima tipologia riguarda le transazioni commercialitra imprese e lavvio di tale attività non richiedeadempimenti particolari (tranne quelli eventualmenteprevisti da normative di settore).Nella seconda categoria rientrano gli acquisti di beni eservizi da parte dei consumatori finali.Qualora unimpresa volesse esercitare attività di e-commerce B2C, dovrà considerare i seguenti aspetti.Fonti normative• Decreto legislativo 31 marzo 1998, n. 114 Riforma della disciplina relativa al settore del commercioArticolo 18 Vendita per corrispondenza, televisione oaltri sistemi di comunicazione.Articolo 22 Sanzioni e revoca.• Decreto legislativo 26 marzo 2010 n.59 Attuazione della direttiva 2006/123/CE relativa ai servizi nel mercato internoArticolo 68 Vendita per corrispondenza, televisione oaltri sistemi di comunicazione.DisciplinaLart. 18 d.lgs. 114/98 originariamente disponeva che lavendita al dettaglio per corrispondenza, tramitetelevisione o altri sistemi di comunicazione (iviE-Commerce e siti web a norma di legge pag.8
  9. 9. compreso il commercio elettronico) fosse soggetta aprevia comunicazione al comune al comune nel qualelesercente ha la residenza, se persona fisica, o la sedelegale; veniva, inoltre, previsto che lattività potesseessere iniziata solamente decorsi trenta giorni dalricevimento della comunicazione stessa.Il d.lgs. 59/10 (emanato in attuazione alla Direttiva123/2006/CE) ha inteso eliminare le barriere allosviluppo del settore dei servizi tra Stati membri,semplificando la normativa e, in particolare, le procedurerelative all’accesso e allo svolgimento delle attività diservizio.Per effetto dell’art. 68 d.lgs. 59/10, la vendita al dettaglioper corrispondenza, tramite televisione o altri sistemi dicomunicazione è soggetta a dichiarazione di inizio diattività (DIA) da presentare allo sportello unico per leattività produttive del comune nel quale lesercente,persona fisica o giuridica, intende avviare lattività.Si tratta di una semplificazione importante in quanto nonè più necessario attendere i trenta giorni prima dell’avviodell’attività previsti dall’abrogato istituto dellacomunicazione (da effettuarsi mediante il modello COM6 BIS).Resta in vigore l’art. 22 di questultimo decreto chepunisce il mancato invio della DIA con la sanzioneamministrativa del pagamento di una somma fino a lire30.000.000 (odierni € 15.493,71).E-Commerce e siti web a norma di legge pag.9
  10. 10. Successivamente, nellart. 19 della Legge 241/90 ladichiarazione di inizio di attività è stata sostituita dallaSegnalazione certificata di inizio attività (SCIA) in cartasemplice, senza marca da bollo, da effettuarsiutilizzando lidonea modulistica.Procedimento della SCIALa segnalazione certificata di inizio attività è obbligatoriasia nel caso in cui venga avviata unattività di e-commerce mediante un proprio sito internet, sia qualoraa tale fine si utilizzi un negozio on line allinterno di unmarketplace (per es. Ebay o Amazon).La segnalazione ha lo scopo di rendere edotto il Comuneche si sta avviando un’attività di commercio elettronicoB2C, specificando i punti fondamentali della medesima:• i dati del titolare• la sede fisica• il tipo di attività• il codice attività ed eventuali altre attività svolte• il sito utilizzato per le vendite• il documento di riconoscimentoL’inizio dell’attività può avvenire subito dopo lapresentazione al Comune della SCIA, a condizione che lastessa sia compilata in ogni sua parte e completa degliallegati previsti.E-Commerce e siti web a norma di legge pag.10
  11. 11. Qualora in sede di controllo delle segnalazioni e deirelativi allegati emergano carenze dei requisiti epresupposti previsti dalle normative vigenti, entro iltermine di 60 giorni dal ricevimento della SCIA il Comuneadotta motivati provvedimenti di divieto di prosecuzionedell’attività e di rimozione degli eventuali effetti dannosidi essa, salvo che (ove ciò sia possibile) l’interessatoprovveda a conformare alla normativa vigente dettaattività ed i suoi effetti entro il termine fissatodall’Amministrazione, in ogni caso non inferiore a 30giorni.Si ricorda che:• la SCIA devessere completa di tutti gli elementi richiesti a pena di irricevibilità;• è fatto obbligo al sottoscrittore della SCIA di comunicare al Comune, alla data di variazione, ogni modifica intervenuta successivamente alla presentazione della medesima;• per il commercio di determinati prodotti devono essere rispettate le relative norme speciali (art. 26 comma 3 del D.lgs. 114/98 e s.m.);• per il commercio di cose usate/antiche occorre presentare la “Dichiarazione ai sensi degli artt. 126- 128 del T.U.L.P.S”.;• sui dati dichiarati e contenuti nella SCIA possonoE-Commerce e siti web a norma di legge pag.11
  12. 12. essere effettuati, ai sensi dell’art. 71 del D.P.R. n. 445/2000, controlli finalizzati ad accertare la veridicità delle informazioni fornite e confronti dei dati in possesso di altre Pubbliche Amministrazioni;• ai sensi degli artt. 75 e 76 del DPR n. 445/2000, qualora emerga la non veridicità del contenuto della dichiarazione, il dichiarante decade dai benefici eventualmente conseguiti al provvedimento emanato sulla base della dichiarazione non veritiera ed inoltre chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa uso è punito ai sensi del codice penale e delle leggi speciali in materia;• in caso di accertata carenza dei requisiti necessari, il Comune potrà adottare motivati provvedimenti di divieto di prosecuzione dell’attività, salvo che l’interessato provveda a conformarsi alla normativa vigente entro un termine fissato dall’Amministrazione (non inferiore ai trenta giorni, ai sensi dell’art. 19 della L. n. 241/1990, come sostituito dall’art. 49, comma 4-bis della Legge 30 luglio 2010 n. 122);• ai sensi dell’art. 19 comma 6 della L. n. 241/90 e s.m.i., ove il fatto non costituisca più grave reato, chiunque, nelle dichiarazioni o attestazioni o asseverazioni che corredano la SCIA, dichiara o attesta falsamente l’esistenza dei requisiti o dei presupposti di cui al comma 1 è punito con la reclusione da uno a tre anni.E-Commerce e siti web a norma di legge pag.12
  13. 13. SanzioniIn caso di violazioni delle disposizioni di cui al d.lgs.114/98 e al d.lgs. 59/2010, si applicano le sanzioniamministrative previste dagli artt. 22 e s.s. del d.lgs.114/98.In particolare, se si omette la segnalazione certificata diinizio attività prevista per le-commerce B2C, vieneirrogata la sanzione amministrativa di una somma da €2.582,28 a € 15.493,71.In ipotesi di particolare gravità o di recidiva (qualora siastata commessa la stessa violazione per due volte in unanno) il sindaco può, inoltre, disporre la sospensionedellattività di vendita per un periodo non superiore aventi giorni. FAC SIMILE DI SCIA:Il sottoscritto ...............................................................................ai fini dellapplicazione al procedimento amministrativodellistituto della segnalazione certificata di inizio attività inossequio alla normativa vigente, consapevole che ledichiarazioni false, la falsità negli atti e luso di atti falsicomportano lapplicazione delle sanzioni penali previste dallavigente normativa in materia DICHIARA• di essere in possesso dei requisiti di onorabilità e di nonE-Commerce e siti web a norma di legge pag.13
  14. 14. trovarsi nelle condizioni di cui all’art.71, comma 1 del D.Lgs. n. 59/2010;• che non sussistono nei propri confronti “cause di divieto, di decadenza o di sospensione di cui allart. 10 della legge 31.5.1965 n. 575” (antimafia);• di aver rispettato tutte le norme ed i regolamenti vigenti in materia relativi allesercizio dellattività in oggetto;• (solo in caso di vendita di prodotti alimentari) di essere in possesso di uno dei requisiti professionali di cui allart.71, comma 6 del D. Lgs. 59/2010;• (solo in caso di nomina di un preposto) che la persona specificatamente preposta allattività è il Sig./la Sig.ra ...................... in possesso dei requisiti morali e professionali per lesercizio dellattività di cui alla presente Segnalazione Certificata di Inizio Attività.In caso dichiarazioni false o mendaci è fatta salva,comunque, l’applicazione delle sanzioni penali previstedall’art. 76 del D.P.R. 445/2000 e dall’art. 19 comma 6 della L.241/90 e s.m.i.E-Commerce e siti web a norma di legge pag.14
  15. 15. Adempimenti giuridici nella realizzazione di siti di e-commerce (*)La scelta e la tutela del nome a dominioNomi a dominio nel contesto e-commerceI nomi di dominio, se dal lato tecnico sonosemplicemente lettere che sostituiscono numeri (IPaddress) per costituire un “indirizzo” identificativo di uncomputer connesso alla rete, una volta inseriti nelcontesto dell’e-commerce assumono un significatoeconomico-giuridico strategico.La prima esigenza che un imprenditore tiene in(*) Avv. Paolo VicenzottoE-Commerce e siti web a norma di legge pag.15
  16. 16. considerazione nella scelta di un nome a dominio è cheesso abbia la capacità di permettere l’individuazionedell’offerta commerciale contenuta nel sito in questione,distinguendola dalle innumerevoli altre presenti nellarete. Il nome a dominio assume un valore suggestivo edun’efficacia distintiva identici a quelli di ogni altro segnodistintivo dell’imprenditore (marchio, insegna, ditta).Così, si garantirà al cliente, che ritenga comodo l’utilizzodi Internet, la certezza di ritrovare in rete lecaratteristiche e la qualità dei beni e dei servizi offerti nelmercato “reale” da quell’imprenditore.A tal fine l’art. 22 D. Lgs. 30/05 dispone che è vietatoadottare come ditta, denominazione o ragione sociale,insegna e nome a dominio aziendale un segno uguale osimile allaltrui marchio se, a causa dellidentità odellaffinità tra lattività di impresa dei titolari di queisegni ed i prodotti o servizi per i quali il marchio èadottato, possa determinarsi un rischio di confusioneper il pubblico che può consistere anche in un rischio diassociazione fra i due segni.Nella scelta del nome a dominio da utilizzare in un sitoe-commerce, pertanto, l’imprenditore dovrà evitare discegliere nel dominio di secondo livello, nomi identici osimili ad altri marchi registrati per prodotti affini a quelliche si intende commercializzare.Nella pratica, l’imprenditore titolare di un marchio, anchedi fatto, tenderà a registrare un nome a dominio cherichiami il proprio segno distintivo, proprio per giovarsiE-Commerce e siti web a norma di legge pag.16
  17. 17. dell’avviamento e degli investimenti marketing giàeffettuati in passato.La tutela giuridica del nome a dominioMa come ci si deve comportare se il dominiocorrispondente o simile al proprio segno distintivoaziendale è già stato registrato da soggetti terzi?Le soluzioni giuridiche a tutela del diritto di utilizzo delproprio marchio nel nome a dominio sono due. La primaconsiste nel ricorso alla procedura stragiudiziale diriassegnazione fornita dai prestatori del Servizio diRisoluzione extragiudiziale delle Dispute (PSRD)accreditati dal Registro per la conduzione delleprocedure di riassegnazione di un nome a dominio nelccTLD "it" (per il TLD “.com” la procedura analogaavviene tramite la WIPO). La procedura è disciplinata daapposito Regolamento (oggi alla versione 2.0 di data 19giugno 2009) disponibile, insieme a tutte le indicazioniutili, al sito www.nic.it/legale.La seconda soluzione, invece, è quella giudiziale conricorso, anche d’urgenza, alle sezioni specializzate delTribunale competente.In generale, comunque, se vi è una disputa fra diversisoggetti che reclamano il diritto di utilizzare un nome adominio o se, come accade di frequente, un terzo occupaun dominio corrispondente ad un nostro segnodistintivo, i parametri utili per dirimere la controversia ingenerale sono questi.E-Commerce e siti web a norma di legge pag.17
  18. 18. Il soggetto che ha registrato il dominio per primomanterrà tale diritto se riuscirà a provare la propriabuona fede cioè ad esempio se proverà di essere giàconosciuto, personalmente, come associazione o entecommerciale con il nome corrispondente al nome adominio registrato, anche se non ha registrato il relativomarchio. Parimenti egli potrà provare la propria buonafede se l’uso che sta facendo di tale dominio è noncommerciale e non comporta sviamento di clientela delricorrente o nocumento per il marchio registrato.Per chi invece vorrà “recuperare” il dominiocorrispondente al proprio marchio, anche di fatto, serviràinvece provare la “mala fede” del registrant: cosaagevole nei casi di registrazione del dominiocorrispondente al nostro marchio da parte di soggettiche hanno poi tentato di “rivenderci” il dominio per uncorrispettivo, monetario o meno, che sia superiore aicosti ragionevolmente sostenuti per la registrazione ed ilmantenimento del nome a dominio. Oppure se vi è provache il nome a dominio sia stato registrato (magari da unconcorrente) proprio per impedirci di utilizzare talenome, ovvero venga utilizzato per attività in concorrenzaalla nostra. Altra circostanza che consente il recuperodel dominio è che – in assenza di requisiti di buona fedesopra citati - si provi che non esiste alcun collegamentodimostrabile tra il titolare del nome di dominio e il nomedi dominio registrato identico o simile al marchio.E-Commerce e siti web a norma di legge pag.18
  19. 19. Il diritto dautore e la realizzazione di siti internetOggetto di tutela del diritto dautore on-lineOgni opera di carattere creativo è realizzata da unsoggetto che ne è Autore e che è il titolare dei relatividiritti morali. L’autore dispone poi dei diritti materiali edeconomici sulle singole opere, potendo così cederli aterzi, verso il pagamento di un corrispettivo ogratuitamente.Alla luce di ciò, si può affermare che i contenutimultimediali di un sito Internet sono oggetto di tutela aisensi della Legge sul Diritto d’Autore (Legge 22 aprile1941 n. 633 “Protezione del diritto dautore e di altridiritti connessi al suo esercizio”), nella misura in cui essisiano dotati di “carattere creativo”.Secondo una certa interpretazione, anche il sito Internetnel suo complesso potrebbe essere oggetto di tutela, inquanto ricompreso nella definizione di “data base” dellaDirettiva 96/9/CE, recepita nella legge sul Diritto d’Autoreagli art. 64 quinquies e seguenti.Nella pratica, però, è più frequente applicare la normativasul copyright non tanto a tutela dell’intero sito nel suocomplesso, quanto a singole parti di esso, quali testi,foto, video, animazioni, grafici, tabelle, jingle, musiche.Elementi questi che se dotati di un minimo carattere dicreatività costituiscono elementi tutelati dalle leggiitaliane e straniere sul copyright.E-Commerce e siti web a norma di legge pag.19
  20. 20. Pertanto, chi realizza siti Internet è pienamente coinvoltonella citata normativa sotto due opposti punti di vista:primo, dovrà rispettarla nel momento in cui vorràutilizzare per propri siti Internet un contenutomultimediale non originale, in quanto tratto da terzeparti; secondo, dovrà invocarla quando terzi utilizzanoillecitamente contenuti multimediali presenti sulleproprie pagine web.L’elemento essenziale è comunque che l’elementotutelabile deve essere “dell’ingegno” e di “caratterecreativo”. Cioè deve essere nuova rispetto creazioniprecedenti e deve riflettere la personalità dellautore.Alcuni semplici suggerimenti per chi realizza siti webQuesta brevissima e generale introduzione all’oggettodel diritto d’autore nei siti Internet consente di elaborarealcuni principi ai quali è opportuno attenersi nellarealizzazione di un sito web.In primo luogo è importante indicare in un apposito linknella home page (denominato “diritti d’autore” o“copyright”) l’autore dei contenuti multimediali del sito echi ne detiene i diritti economici di sfruttamento (chepuò essere la web agency che ha creato il sito ovverol’azienda Cliente). Questa accortezza è utile in primoluogo perché la legge ritiene che sia “Autore” dellopera,salvo prova contraria, semplicemente chi è in essaindicato come tale (art. 8 L. 633/41). Inoltre tale link ènecessario anche indicare se e in che misura saràE-Commerce e siti web a norma di legge pag.20
  21. 21. possibile utilizzare i contenuti del sito web. Ad esempio,in molti casi potrebbe essere consigliabile sfruttare lelicenze “creative commons”, già universalmente note ericonosciute in ambito Internet e sufficientementeflessibili per le più classiche esigenze.In generale è sempre consigliato evitare il “copia incolla”di testi o di altro materiale multimediale tratto daInternet, salvo che nel sito di provenienza sia esplicitatauna licenza di utilizzo del materiale compatibile con lefinalità del nostro lavoro.E’ pertanto utile avvalersi di materiale tratto da librerieche cedono i diritti di utilizzazione per uso commercialeo non personale, ovvero da siti Internet cheprofessionalmente mettono a disposizione foto, video,musica e quant’altro sempre per uso commerciale(www.istockphoto.com, www.fotolia.com ecc.) ed anche inquesto caso – e non per ragioni giuridiche ma diprofessionalità – si raccomanda di verificare i siti“concorrenti” della vostra committente, onde evitareleciti, ma sgradevoli, doppioni.Occorre particolare attenzione anche nei frequenti casidi progetti e-commerce dove è prevista la rivendita on-line di beni di aziende terze. Solitamente in tali casil’immagine o la foto del bene in vendita viene presadirettamente dal sito Internet del produttore, oppure ilprodotto viene direttamente fotografato, magari con ilrelativo marchio in bella vista. In questi casinormalmente non vi saranno problemi, visto che ilE-Commerce e siti web a norma di legge pag.21
  22. 22. produttore sarà ben contento che altri siti vendano epubblicizzano i suoi prodotti. Tuttavia alcuni marchi,soprattutto se notori, non sempre lasciano totale libertàin campo di diritto intellettuale ed industriale. Se vi sonodei dubbi sull’utilizzabilità di determinato materialemultimediale (o sulla possibilità di riprodurre un marchioo un logo) è sempre opportuno leggere attentamente lecondizioni di copyright per l’utilizzo del materiale trattoda quel sito ed eventualmente, qualora non vi sianoindicazioni specifiche, inviare una mail richiedendo ilconsenso all’utilizzo.Altre piccole attenzioni devono essere poste qualora siail Cliente a fornire testi e foto da inserire nel sito: èsempre opportuno farsi confermare per iscritto, oppureanche via mail, la titolarità dei relativi diritti didisposizione. Questo al fine di prevenire possibili futurifraintendimenti a fronte di contestazioni sulla titolaritàdei diritti di utilizzazione del materiale.Adempimenti giuridici in materia di e-commercee servizi Internet (D.Lgs 70/03)Brevi cenni su alcuni aspetti fiscali dell’e-commercePrima di trattare alcune parti più specifiche circa gliaspetti giuridici dell’e-commerce, si ritiene utileaccennare, pur senza approfondire, alcuni aspetti fiscalidell’impresa in Internet.Generalmente l’attività di e-commerce svolta dalE-Commerce e siti web a norma di legge pag.22
  23. 23. “privato” per fini personali è legittima, ma diventafiscalmente “rischiosa” quando tende a sconfinareun’attività più complessa ed organizzata.L’attività di e-commerce, infatti, richiede l’apertura di unapartita IVA, con conseguente inquadramento come dittaindividuale, società di persone o società di capitali,quando non è occasionale e genera un fatturatosuperiore ai € 5.000,00 annui. Sotto tale soglia l’attivitàdi e-commerce potrebbe rientrare nella c.d. “prestazionemeramente occasionale” che da un punto di vista fiscalerientra nelle previsioni dellarticolo 67 del TUIR (redditidiversi) ed è esclusa dal campo di applicazione dellIVAai sensi dellarticolo 5 del Dpr 633/1972, per carenza delpresupposto soggettivo.Il giro d’affari e la non occasionalità delle prestazioni diun sito e-commerce possono essere oggetto divalutazioni da parte della Agenzia delle Entrate ondevalutare eventuali evasioni di imposta diretta e indiretta.La cosa rileva particolarmente per chi ha aperto un“negozio” nella piattaforma eBay. Ricordo, a mero titoloinformativo, che la Guardia di Finanza ha richiestoformalmente ed ottenuto da eBay informazioni quali:Nome e Cognome, Ragione Sociale (per gli accountbusiness) ID utente, Indirizzo, Recapito telefonico,Indirizzo e-mail, Codice Fiscale, di tutti gli utenti cheavessero ricevuto fatture da eBay per importi superiori a€ 1.000,00 annui, per ogni anno dal 2004 al 2007 eavessero venduto più di 5 oggetti per anno.E-Commerce e siti web a norma di legge pag.23
  24. 24. Da queste informazioni potremmo perciò ricavare iparametri per definire un “venditore professionista”, chesvolge un’attività di fatto imprenditoriale e non piùpersonale.A seguito di tale indagine, l’Autorità ha eseguito unaserie di controlli ed accertamenti fiscali che hannocoinvolto anche alcuni “privati”, di fatto rivelatisi“professionisti” ed evasori totali.Introduzione al D.lgs 70/03 su e-commerce e serviziInternetIl Decreto legislativo 9 aprile 2003, n. 70 è il recepimentonell’ordinamento italiano della “Direttiva 2000/31/CErelativa a taluni aspetti giuridici dei servizi della societàdellinformazione, in particolare il commercio elettronico,nel mercato interno” ed è uno dei riferimenti giuridiciprincipali per la realizzazione di siti Internet a norma dilegge. Di fatto, il D.lgs 70/03 regola i servizi che vengonoerogati tramite un sito Internet, con l’obiettivo dipromuoverne “la libera circolazione” nella UE.E’ opportuno sottolineare come i “taluni aspetti giuridici”citati dal titolo della normativa sono alquanto variegati.La legge, infatti, oltre il tema della libertà di erogazionedei servizi web, disciplina tematiche quali il contenutoobbligatorio dei siti Internet, le modalità con cui si deveimpostare e gestire un sistema di e-commerce ed infinela responsabilità dei provider.Quest’ultimo aspetto è il parametro giuridico che laE-Commerce e siti web a norma di legge pag.24
  25. 25. Giurisprudenza di merito sta prendendo per disciplinarecontroversie sulle responsabilità dei fornitori di serviziweb 2.0, quali social network, blog, piattaforme perutenti o elaborazioni software in modalità as a service.Ambito di applicazione e ubicazione dei serverL’ambito di applicazione del d.lgs 70/03 non si limita aisoli siti di commercio elettronico, ma è ben più ampio, inquanto coinvolge tutti i “servizi della societàdell’informazione”. L’art. 1, infatti, richiamando anche lalegge 317/86, specifica che la norma si applica aqualsiasi “attività economica svolta on-line” (perciò dalsemplice “sito vetrina” aziendale ai più complessi servizihosting dei provider ecc.) nonché a “qualsiasi servizioprestato normalmente dietro retribuzione, a distanza, pervia elettronica e a richiesta individuale di un destinatariodi servizi”, cioè “un servizio inviato allorigine e ricevutoa destinazione mediante attrezzature elettroniche ditrattamento, compresa la compressione digitale e dimemorizzazione di dati e che è interamente trasmesso,inoltrato e ricevuto mediante fili, radio, mezzi ottici odaltri mezzi elettromagnetici”.Il prestatore del servizio deve essere stabilito nelterritorio italiano (o Europeo). In un contesto tecnologicocome quello di Internet non è sempre agevoleindividuare dove sia effettivamente stabilita un’azienda.A tal fine, la norma precisa correttamente che “Lapresenza e luso dei mezzi tecnici e delle tecnologienecessarie per prestare un servizio non costituiscono diE-Commerce e siti web a norma di legge pag.25
  26. 26. per sé uno stabilimento del prestatore”. Il principioapplicabile, perciò, pare essere quello della “stabileorganizzazione” di diritto tributario. Esemplificando,un’azienda costituita a Londra, con server in Irlanda, mache di fatto gestisce e organizza il servizio dall’Italia,sarà sottoposta alla disciplina del D.lgs 70/03 così comead ogni altra normativa di diritto italiano. Cosa di nonpoco conto, se si tengono conto gli aspetti fiscali o idivieti e limitazioni previste nel nostro ordinamento pertalune attività in Internet (si pensi ai giochi d’azzardo,alla vendita di medicinali, alle c.d. aste al ribasso ecc).Tutela generale e la libertà di erogazione di serviziInternet in UEIn primo luogo il D.Lgs 70/03 garantisce che qualsiasiservizio erogato via Internet (siti web, e-commerce,hosting, mail, applicazioni ecc.) offerto da un soggettostabilito in uno degli stati membri dell’Unione Europeanon possa essere limitato da norme o Autorità di un altropaese, salvo – ovviamente – casi di ordine pubblico,prevenzione e repressione di reati, salute, sicurezza,tutela del consumatore, però con modalità e limiti benspecifici (art. 7 comma 2 e 3).Altro obiettivo della norma è quello di vietare che singolipaesi membri approvino forme “locali” di autorizzazioneai servizi ICT. L’art. 8 dispone infatti che “laccessoallattività di un prestatore di un servizio della societàdellinformazione e il suo esercizio non sono soggetti, inquanto tali, ad autorizzazione preventiva o ad altraE-Commerce e siti web a norma di legge pag.26
  27. 27. misura di effetto equivalente”. Secondo la direttiva èimportante assicurare che il commercio elettronicopossa beneficiare pienamente del mercato interno diogni singolo paese, favorendo così la libera circolazionedei servizi.Ad esempio, anche in ossequio a tale principio, dal 2010in Italia sono stati finalmente eliminati i farraginosiobblighi autorizzatori previsti dal D.Lgs 31/3/1998 n.114(art. 18 e 26 comma 5) per intraprendere un’attività dicommercio elettronico, oggi sostituiti da una semplicecomunicazione di inizio attività al Comune ove a sedel’azienda, che potrà così operare con effetto immediato.Rimangono comunque leciti i limiti imposti per attivitàche non riguardano specificatamente ed esclusivamentei servizi della società dellinformazione, come servizifinanziari, assicurativi, medici, giuridici, ditelecomunicazioni ecc.Contenuto minimo obbligatorio di siti web, obblighigenerali di informazioneUn primo ed importante aspetto pratico del D.lgs 70/03 èla previsione di una serie di contenuti minimi obbligatoriper chi intenda realizzare un qualsiasi servizio tramiteInternet, come ad esempio un sito di e-commerce.Chiaramente questi obblighi informativi valgono ancheper l’attività on-line svolta da aziende di un qualsiasipaese membro della UE, in forza delle rispettive norme direcepimento della direttiva 31/00/CE.E-Commerce e siti web a norma di legge pag.27
  28. 28. In generale le informazioni che risulta necessario fornireagli utenti/clienti di un sito web sono numerose e –purtroppo – sparse in diverse normative non sempre bencoordinate: il D.lgs 70/03 e il Codice del Consumo, chevedremo in modo più specifico qui di seguito, nonché ilCodice Civile e il DPR 633/72.Le prime informazioni obbligatorie che deve contenereun sito web sono elencate analiticamente all’art. 7 deld.lgs 70/03, e sono le seguenti:a) il nome, la denominazione o la ragione sociale (del soggetto che eroga il servizio tramite il sito)b) il domicilio o la sede legale;c) gli estremi che permettono di contattare rapidamente il prestatore e di comunicare direttamente ed efficacemente con lo stesso, compreso lindirizzo di posta elettronica;d) il numero di iscrizione al repertorio delle attività economiche, REA, o al registro delle imprese;e) il numero della partita IVA o altro numero di identificazione considerato equivalente nello Stato membro, qualora il prestatore eserciti unattività soggetta ad imposta;Questi primi cinque elementi sono sostanzialmentecomuni ed obbligatori per qualsiasi attività economicasvolta on-line da un soggetto, sia esso personagiuridica, professionista o ditta individuale. Qualorainvece il sito Internet sia gestito da un persona fisica,E-Commerce e siti web a norma di legge pag.28
  29. 29. perciò senza partita IVA e iscrizione REA, non sonoovviamente necessarie le indicazioni dei punto c) - g)rimanendo comunque in vigore gli altri obblighi diinformazione.Dal tenore letterale del punto c) dell’art. 7, ritengo chel’indicazione del solo indirizzo mail per contattarerapidamente e direttamente il prestatore forse non siasufficiente, essendo necessario fornire anche unulteriore mezzo, quale il numero di telefono, fax, accountSkype o analoghi strumenti di comunicazione o chat.In generale, comunque, l’obbligo di fornire informazionianaloghe a quelle previste da questi primi 5 puntidell’art. 7 del D.lgs 70/03 non sono una novità assoluta.Cito in questa sede, ad esempio, la formulazione degliarticoli 2250 e 2630 del Codice Civile a seguitodell’entrata in vigore della Legge comunitaria n. 88/09,che prevedono l’obbligo per le società di capitali diinserire determinate informazioni legali (sede, numero diiscrizione e ufficio del Registro delle imprese, ecc.)anche sul proprio sito Web. Si sottolinea, poi, che anchelarticolo 35, comma 1 del D.P.R. n. 633/72 obbliga tutti isoggetti in possesso di partita IVA a pubblicare sullahome page del proprio sito Internet il relativo codice dipartita IVA, e lomessa indicazione, è punita con unasanzione amministrativa fino a € 2.065,83L’art. 7 del d.lgs 70/03 prosegue poi specificando chel’imprenditore di e-commerce che intenda erogareservizi o vendere beni che sono soggetti a concessioni,E-Commerce e siti web a norma di legge pag.29
  30. 30. licenze, oppure hanno riguardano professioniregolamentate, debba fornire altre specifiche notizie,sugli elementi di individuazione nonché gli estremi dellacompetente autorità di vigilanza qualora unattività siasoggetta a concessione, licenza od autorizzazione;E se il servizio offerto on-line è normalmente riservatoalle professioni regolamentate (ad es. servizio diconsulenza legale, tributaria, psicologica ecc) ènecessario altresì indicare sul sito Internet:a) lordine professionale o istituzione analoga, presso cui il prestatore sia iscritto e il numero di iscrizione;b) il titolo professionale e lo Stato membro in cui è stato rilasciato;c) il riferimento alle norme professionali e agli eventuali codici di condotta vigenti nello Stato membro di stabilimento e le modalità di consultazione dei medesimi;La lettera h) del D.lgs 70/03 dispone che l’imprenditoredi e-commerce debba fornire altresì “l’indicazione inmodo chiaro ed inequivocabile dei prezzi e delle tariffedei diversi servizi della società dellinformazione forniti,evidenziando se comprendono le imposte, i costi diconsegna ed altri elementi aggiuntivi da specificare”nonché “lindicazione delle attività consentite alconsumatore e al destinatario del servizio e gli estremidel contratto qualora unattività sia soggetta adautorizzazione o loggetto della prestazione sia fornitoE-Commerce e siti web a norma di legge pag.30
  31. 31. sulla base di un contratto di licenza duso”.Questa previsione risulta in parte simile a quella previstadall’art. 13 comma II. Inoltre anche il Codice delConsumo tratta il medesimo argomento, qualora ilservizio sia fornito, anche solo potenzialmente, ad unc.d. “consumatore”. Pertanto si rimanda ai prossimicapitoli uno specifico approfondimento, in particolaresulle modalità tecniche con cui è opportuno rendere taliinformazioni al Cliente.Secondo il D.lgs 70/03 tutte le informazioni obbligatoriesopra citate, cioè quelle dell’art. 7, devono essere“facilmente accessibili, in modo diretto e permanente”.Si ritiene che il modo migliore per adempiere alla norma,senza rovinare la grafica del sito, sia quello di creare unapagina ad hoc che riporti tutte queste informazioni. Talepagina sarà accessibile tramite un link nella home pagedenominato “termini legali”, di solito posto in basso,accanto ai link che disciplinano gli altri aspetti “giuridici”del sito, come il link “privacy” (informativa e consensi,gestione dei cookie) e il copyright. Sarebbe opportunofornire le informazioni legali almeno in due lingue,italiano e inglese.Le informazioni obbligatorie nella conclusione delcontratto: gli art. 12 e 13 del D.lgs 70/03L’art. 12 del D.lgs 70/03 tratta ulteriori obblighiinformativi in aggiunta a quelli sopra visti, ma questavolta finalizzati in modo più specifico a rendereE-Commerce e siti web a norma di legge pag.31
  32. 32. consapevole e libero l’utente nel momento antecedentel’inoltro definitivo dell’offerta.La norma infatti impone di fornire “in modo chiaro,comprensibile ed inequivocabile, prima dellinoltrodellordine da parte del destinatario del servizio” questeinformazioni:a) le varie fasi tecniche da seguire per la conclusione del contratto;b) il modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso;c) i mezzi tecnici messi a disposizione del destinatario per individuare e correggere gli errori di inserimento dei dati prima di inoltrare lordine al prestatore;d) gli eventuali codici di condotta cui aderisce e come accedervi per via telematica;e) le lingue a disposizione per concludere il contratto oltre allitaliano;f) lindicazione degli strumenti di composizione delle controversie.Queste informazioni dovranno essere visibili, anche inuna pagina ad hoc accessibile con un link all’interno delnegozio virtuale, fra le pagine dei prodotti e dei serviziofferti nel sito.E-Commerce e siti web a norma di legge pag.32
  33. 33. I software di e-commerce più adeguati alla norma.Conferma dell’ordine e informazioni obbligatorie.Argomento alquanto importante, soprattutto al fine diindividuare i sistemi software di e-commerce (carrello)più corretti dal punto di vista normativo, si trovanell’articolo 12 comma 3 del D.lgs 70/03, il qualedispone che i contratti che disciplinano il rapporto fraimprenditore e Cliente debbano essere messi adisposizione “in modo che gli sia consentita lamemorizzazione e la riproduzione”. Il successivo articolo13 (Inoltro dell’ordine) specifica nel dettaglio ilcomplesso rapporto fra contratto/ordine/accettazionenel commercio elettronico.L’art. 13 dispone che, salvo differente accordo tra partidiverse dai consumatori, l’imprenditore di e-commercedebba “accusare” - dice precisamente il testo di legge -subito e per via telematica, una “ricevuta” dell’ordine, conil riepilogo del contratto, le informazioni relative allecaratteristiche essenziali del bene o del servizio scelto,lindicazione dettagliata del prezzo, dei mezzi dipagamento, del diritto di recesso (come diremo poi)nonchè dei costi di consegna e dei tributi applicabili. Piùche il “riepilogo del contratto” sarebbe opportunoriportare l’intero testo delle condizioni generali dicontratto che disciplinano il rapporto con il Cliente, inmodo che sia soddisfatto il requisito del comma 3dell’art. 12 del D.lgs 70/03.Il modo più corretto per “accusare” tale ricevuta è quelloE-Commerce e siti web a norma di legge pag.33
  34. 34. di unire queste informazioni con quelle dell’art. 54 delCodice del Consumo (che vedremo a breve), inserendolein un unico documento PDF di riepilogo che si generaautomaticamente alla definitiva conferma dell’ordine eche viene allegato ad una comunicazione e-mail chesarà spedita all’indirizzo che il Cliente ha indicato,obbligatoriamente, nel form di registrazione.Molti software e-commerce permettono sì di fornire alconsumatore tutte le informazioni obbligatorie sopraelencate, ma solo per mezzo di una pagina webresidente nel server stesso del fornitore del servizio.Questo sistema di elaborazione dell’ordine è statoconsiderato non conforme alla normativa e-commerceda una Sentenza della Corte di Giustizia dellUnioneEuropea del 5 luglio 2012 nella causa C-49/11. Secondoi Giudici “la prassi commerciale consistente nel rendereaccessibili ai consumatori le informazioni richiestedallart. 5, paragrafo 1, della direttiva 97/7/CE per laprotezione dei consumatori in materia di contratti adistanza, solamente attraverso un collegamentoipertestuale a un sito Internet dellimpresa interessatanon soddisfa i requisiti imposti dalla direttiva stessa, dalmomento che tali informazioni non sono né "fornite" datale impresa né "ricevute" dal consumatore". Eccoperché riteniamo che l’invio al cliente di una e-mailriassuntiva, con allegato il documento PDF contenente laconferma dell’ordine e gli altri elementi informativiobbligatori, sia lo strumento tecnico che coniuga almeglio gli adempimenti legali dell’e-commerce, anche inE-Commerce e siti web a norma di legge pag.34
  35. 35. merito agli obblighi previsti dall’art. 54 del Codice delConsumo (che vedremo a breve), con quelli di rapidità eusabilità del sito.I software di e-commerce più adeguati alla norma. Laregistrazione del Cliente.Quanto riportato all’art. 12 e 13 del D.lgs 70/03 sonomolto utili per indirizzare l’imprenditore (o chimaterialmente propone e realizza siti e-commerce) nellascelta della modalità tecnica e grafica con cui sicompleta l’ordine di acquisto, cioè in sostanza nellascelta del software di “carrello” e-commerce piùadeguato.A nostro parere, oltre quanto sopra detto, i sistemi diacquisto più adeguati sono quelli che permettono divisionare i prodotti liberamente, di inserirli nel carrello,ma al momento dell’acquisto effettivo obbligano ilCliente a registrarsi al sito e a proseguire l’acquisto inuna pagina protetta.Tale soluzione, che molti imprenditori ritengonomacchinosa, in realtà permetterebbe di affermare chel’incontro di proposta e accettazione del bene o servizio,nonché l’accettazione delle condizioni generali dicontratto che disciplinano tale accordo, sono avvenutein un contesto di “dati in forma elettronica, allegatioppure connessi tramite associazione logica ad altri datielettronici, utilizzati come metodo di identificazioneinformatica” cioè - ai sensi del D.lgs 82/05 - in unE-Commerce e siti web a norma di legge pag.35
  36. 36. contesto tecnico/giuridico di “firma elettronica”.Avvenendo il tutto in ambiente criptato (https), magaricon sistemi di doppio consenso all’autenticazione aseguito dell’invio di una e-mail di conferma, tale firmaelettronica (debole) potrà essere considerata dal Giudiceragionevolmente sicura per “caratteristiche oggettive diqualità, sicurezza, integrità ed immodificabilità”. Laconseguenza di ciò sarà la sua validità giuridica (20comma 1 bis del D.lgs 82/05) e probatoria (21 comma1).Non è detto che sistemi meno complessi pregiudichinola validità giuridica dell’accordo contrattuale, visto che –come ha ribadito una recente ordinanza del Tribunale diCatanzaro – anche se in sede cautelare – “per ilperfezionamento del contratto, “vigendo nel nostroordinamento il principio di libertà delle forme, la tecnica“del tasto virtuale” o “point and click”, utilizzata nellacontrattazione telematica, è sufficiente a manifestare ilconsenso contrattuale e ritenere perfezionato ilcontratto, laddove si tratti di un contratto a forma libera”.Tuttavia, la stessa ordinanza dichiara che ove vi sianoclausole da approvarsi per iscritto (come le vessatoriesia ai sensi e per gli effetti dell’art. 1341 II comma chequelle previste dal Codice del Consumo) essedovrebbero essere sottoscritte con “firma digitale”, cioèuna firma elettronica che presuppone crittografiaasimmetrica, ente certificatore e un “dispositivo difirma”. Strumento questo per nulla diffuso fra iconsumatori.E-Commerce e siti web a norma di legge pag.36
  37. 37. Pertanto, come suggerito prima, tutti gli elementi delcontratto (nonché ricevuta dellordine, riepilogo einformazioni relative alle caratteristiche essenziali delbene o del servizio scelto, indicazione dettagliata delprezzo, dei mezzi di pagamento, del diritto di recesso,dei costi di consegna e dei tributi applicabili) sarebbeopportuno venissero riepilogati in una pagina“riassuntiva” prima dell’effettiva accettazione (e delpagamento con carta di credito) per poi essere inseriti inun unico PDF e contestualmente inviati alla maildichiarata dal Cliente (meglio, ma improbabile, da unanostra PEC alla PEC del Cliente).Si specifica infine che la violazione delle normesull’informazione degli utenti (art. 7 e 12) sono punitecon il pagamento di una sanzione amministrativapecuniaria da 103 a 10.000 euro.La tutela del consumatore e i contratti on-linenel Codice del Consumo (D.lgs 206/05)Nella realizzazione di servizi e-commerce diviene oramaifondamentale la conoscenza e l’applicazione del Codicedel Consumo, cioè Decreto Legislativo 6 settembre 2005,n. 206 (pubblicato nella Gazzetta Ufficiale n. 235 del 8ottobre 2005 - Supplemento Ordinario n. 162).Tale normativa contiene la disciplina giuridica dei c.d.“contratti a distanza” con i consumatori, primadisciplinati dal D.lgs 185/99 in attuazione della Dir.97/7/CE.E-Commerce e siti web a norma di legge pag.37
  38. 38. Pertanto, un servizio di e-commerce, da un punto divista contrattuale e delle modalità pratiche con cui sisvolge, deve anche sottostare alle prescrizioni delCodice del Consumo.In primo luogo è necessario individuare la nozione di“consumatore”, inizialmente introdotta nel nostroordinamento con la legge 52/1996, in attuazione delladirettiva 1993/13/CEE, e oggi precisata all’art. 3 comma1 lett. A) del Codice del Consumo, quale “la personafisica che agisce per scopi estranei allattivitàimprenditoriale, commerciale, artigianale o professionaleeventualmente svolta”.La nozione di “consumatore” ha avuto alterneinterpretazioni e sfumature nel nostro ordinamento, maai fini di quanto interessa in questa sede, possiamoaffermare che tale è esclusivamente la persona fisica(anche imprenditore ovvero professionista) che concludeun contratto on-line per la soddisfazione di esigenzedella vita quotidiana, sempre che siano estraneeall’esercizio della propria attività lavorativa eprofessionale. Pertanto un avvocato che acquista on-line un libro per i propri figli è un “consumatore”, seacquista sul medesimo sito web un libro sul “contratto dilocazione” è invece un professionista.Nella prassi è opportuno valutare accuratamente se ilbene o servizio venduto tramite il proprio sito di e-commerce, di fatto – anche solo potenzialmente –possa essere acquistato da un soggetto per uno scopoE-Commerce e siti web a norma di legge pag.38
  39. 39. “estraneo” alla propria vita professionale. Il consiglio,comunque, è quello di impostare il sito web in modo cherispetti le prescrizioni del Codice del Consumo chevedremo qui di seguito.E-commerce e consumatore, adempimentiGli adempimenti tecnici e giuridici di cui parleremo, chesi sommano a quelli del d.lgs 70/03 visti sopra, siapplicano a tutti i siti di e-commerce potenzialmenteaccessibili a consumatori. Elemento essenziale perapplicare la norma è che offerta, proposta e accettazionedel bene o del servizio si svolgano “senza la presenzafisica e simultanea del professionista e delconsumatore”: cosa comune al banalissimo “sitovetrina” con un ordine che si perfeziona via mail, ainormali sistemi “a carrello” point and click ovvero altre epiù complesse forme di e-procurement.La legge elenca una serie di tipologie di contratti on-lineai quali, invece, non si applica la norma, in quanto giàricompresi in discipline specifiche. Sono esclusi, adesempio, i contratti relativi ai servizi finanziari, quelliconclusi con gli operatori delle telecomunicazioni, quellidi costruzione e vendita di beni immobili, quelli conclusiin occasione di aste.In materia di Codice del Consumo, il primo obbligo a cuil’imprenditore di e-commerce deve sottostare è,nuovamente, quello di informazione, come già previstodall’art. 7 del D.lgs 70/03 e dai successivi articoli 12 eE-Commerce e siti web a norma di legge pag.39
  40. 40. 13. Le due norme non son ben coordinate anche se daun lato il Codice del Consumo si preoccupa di dire alcomma 5 dell’art. 52 “In caso di commercio elettronicogli obblighi informativi dovuti dal professionista vannointegrati con le informazioni previste dallarticolo 12 deldecreto legislativo 9 aprile 2003, n. 70” e dall’altro il D.lgs70/03 all’art. 12 comma 1 fa salvi “obblighi informativiprevisti per specifici beni e servizi” nonché “quellistabiliti dallarticolo 3 del decreto legislativo 22 maggio1999, n. 185”, oggi nel Codice del Consumo.Nella pratica, comunque, è opportuno fornire leinformazioni prescritte dal Codice del Consumounitamente a quelle previste dagli articoli 12 del D.lgs70/03, coordinando al meglio il contenuto delle duenorme in funzione del prodotto e servizio venduto.Soprattutto, comunque, è necessario inviare taliinformazioni con le modalità tecniche che abbiamosopra dettagliato, tramite documento PDF allegato allae-mail di conferma d’ordine.Questo perché l’art. 53 del Codice del Consumoprescrive che il consumatore debba ricevere questeinformazioni “per iscritto” o, a sua scelta, “su altrosupporto duraturo a sua disposizione ed a luiaccessibile”, e ciò prima o al momento della esecuzionedel contratto.Posto che la “conferma per iscritto”, cioè via posta o amezzo fax, vanifica il senso dell’e-commerce, èopportuno specificare cosa consista fornire taliE-Commerce e siti web a norma di legge pag.40
  41. 41. informazioni in un supporto duraturo a disposizionedell’utente e a lui accessibile. Qui ci viene in soccorso lasentenza della Corte di Giustizia sopra citata, con laquale i Giudici negano che un semplice link che puntiuna pagina del sito web del fornitore possa soddisfare ilrequisito di legge. Ecco perché le informazioni prescrittedevono perlomeno essere inserite nel citato PDFriassuntivo che, come detto, conterrà anche leinformazioni dell’art. 12 e 13 del D.lgs 70/03, e saràinviato al consumatore allegato alle e-mail di confermadellordine.Ciò detto, le informazioni obbligatorie del Codice delConsumo (art. 51 comma 1) sono le seguenti:a) identità del professionista e, in caso di contratti che prevedono il pagamento anticipato, lindirizzo del professionista;b) caratteristiche essenziali del bene o del servizio;c) prezzo del bene o del servizio, comprese tutte le tasse e le imposte;d) spese di consegna;e) modalità del pagamento, della consegna del bene o della prestazione del servizio e di ogni altra forma di esecuzione del contratto;f) esistenza del diritto di recesso o di esclusione dello stesso, ai sensi dellarticolo 55, comma 2;g) modalità e tempi di restituzione o di ritiro del bene inE-Commerce e siti web a norma di legge pag.41
  42. 42. caso di esercizio del diritto di recesso;h) costo dellutilizzo della tecnica di comunicazione a distanza, quando e calcolato su una base diversa dalla tariffa di base;i) durata della validità dellofferta e del prezzo;j) durata minima del contratto in caso di contratti per la fornitura di prodotti o la prestazione di servizi ad esecuzione continuata o periodica.Altre informazioni obbligatorie sono:• lindirizzo geografico della sede del professionista a cui il consumatore può presentare reclami;• le informazioni sui servizi di assistenza e sulle garanzie commerciali esistenti;• le condizioni di recesso dal contratto in caso di durata indeterminata o superiore ad un anno.Queste ultime due informazioni non devono essere reseper servizi on-line forniti in un’unica soluzione (tipodownload di musica o software).La gestione dell’ordine in back officeL’imprenditore di e-commerce deve organizzare ilproprio servizio adeguandosi alle prescrizioni dell’art. 54del Codice del Consumo. L’invio dei beni o l’erogazionedel servizio, ad esempio, deve essere eseguito entrotrenta giorni a decorrere dal giorno successivo a quelloin cui il consumatore ha trasmesso l’ordine.E-Commerce e siti web a norma di legge pag.42
  43. 43. Se ciò non sia possibile, ad esempio perché il bene o ilservizio richiesto non sono disponibili, entro il medesimotermine il professionista deve informare il Cliente eprovvedere al rimborso delle somme eventualmente giàcorrisposte per il pagamento della fornitura.Tutela essenziale a favore del consumatore è quella deldiritto di recesso prevista normativamente all’art. 64 eseguenti del Codice. Prima di indicare la relativadisciplina, è opportuno sottolineare che tale diritto non siapplica, in contesto e-commerce ai contratti di “fornituradi servizi relativi allalloggio, ai trasporti, allaristorazione, al tempo libero, quando allatto dellaconclusione del contratto il professionista si impegna afornire tali prestazioni ad una data determinata o in unperiodo prestabilito”.Altri casi in cui è escluso il diritto di recesso, salvodiverso accordo contrattuale a favore del consumatore,sono i seguenti:• fornitura di servizi la cui esecuzione sia iniziata, con laccordo del consumatore, prima della scadenza del termine di dieci giorni lavorativi• fornitura di beni o servizi il cui prezzo è legato a fluttuazioni dei tassi del mercato finanziario• fornitura di beni confezionati su misura o chiaramente personalizzati o che, per loro natura, non possono essere rispediti o rischiano di deteriorarsi o alterarsi rapidamente;E-Commerce e siti web a norma di legge pag.43
  44. 44. • fornitura di prodotti audiovisivi o di software informatici sigillati, aperti dal consumatore;• fornitura di giornali, periodici e riviste;• servizi di scommesse e lotterie.Il diritto di recesso del consumatore nell’e-commerceUno degli elementi di tutela essenziale per ilcliente/consumatore che acquista nel sito di e-commerce è il diritto di recesso garantito ex lege dall’art.64 del Codice: “il consumatore ha diritto di recederesenza alcuna penalità e senza specificarne il motivo,entro il termine di dieci giorni lavorativi”, salvo i diversitermini stabiliti dallarticolo 65, commi 3, 4 e 5.Come riferito sopra, ai sensi dall’art. 52 del Codice, ilConsumatore deve essere già avvisato prima dell’inoltrodell’ordine dell’esistenza del diritto di recesso, nonchédelle modalità e tempi di restituzione o di ritiro del benein caso di esercizio del diritto di recesso. Questainformazione preventiva ha un valore fondamentale inquanto la sua omissione o incompletezza dilata i terminientro cui il Consumatore ha diritto di recedere, comespecificheremo qui di seguito.Il diritto di recesso si esercita con linvio, entro i terminiprevisti sopra, di una comunicazione scritta alla sededell’impresa di e-commerce indicata negli obblighi diinformazione previsti sia dal D.lgs 70/03 che dallostesso Codice del Consumo. La comunicazione deveE-Commerce e siti web a norma di legge pag.44
  45. 45. avvenire mediante lettera raccomandata con avviso diricevimento ovvero posta elettronica certificata. Lacomunicazione può essere inviata, entro lo stessotermine, anche mediante telegramma, posta elettronica efax, a condizione che sia confermata mediante letteraraccomandata con avviso di ricevimento ovvero postaelettronica certificata, entro le quarantotto oresuccessive. Fa fede, in tali casi, la data di consegnataallufficio postale accettante entro i termini previsti dalcodice o dal contratto, ove diversi.L’imprenditore può espressamente prevedere nelcontratto, o in una pagina del sito web, che al posto dellacomunicazione è sufficiente la restituzione, entro iltermine visto sopra, della merce ricevuta.Ma da quando decorrono i termini per esercitare ilrecesso? Generalmente dalla data di ricevimento dellamerce da parte del consumatore. Tuttavia, ove non sianostati soddisfatti gli obblighi di informazione sopra citati(art. 52) ovvero sia stata data un’informazioneincompleta o errata, il termine di 10 giorni per il recessodecorre dal giorno in cui questi ultimi siano statipienamente soddisfatti, purché ciò non avvenga oltre iltermine di tre mesi dalla conclusione del contratto.Se invece l’imprenditore di e-commerce non abbiasoddisfatto agli obblighi di informazione il termine perl’esercizio del diritto di recesso è di novanta giorni edecorre, per i beni, dal giorno del loro ricevimento daparte del consumatore, per i servizi, dal giorno dellaE-Commerce e siti web a norma di legge pag.45
  46. 46. conclusione del contratto.Chiaramente le parti possono convenire termini diversi,ma le garanzie proposte possono essere solo più ampienei confronti dei consumatori rispetto a quanto previstodal Codice.Una volta esercitato il diritto di recesso entro i termini, leparti sono sciolte dalle rispettive obbligazioni derivantidal contratto o dalla proposta contrattuale. Ilconsumatore è tenuto a restituire il bene ricevuto alprofessionista, o della persona da questi designata,entro non oltre a dieci giorni lavorativi decorrenti dalladata del ricevimento del bene. Ai fini della scadenza deltermine la merce si intende restituita nel momento in cuiviene consegnata allufficio postale accettante o allospedizioniere. Il bene restituito deve esseresostanzialmente integro, cioè in normale stato diconservazione, in quanto custodito ed eventualmenteadoperato con luso della normale diligenza.Importante sottolineare che in caso di recesso, le solespese dovute dal consumatore per l’esercizio del dirittosono solo le spese dirette di restituzione del bene almittente, ove espressamente previsto dal contratto.Conseguentemente l’impresa di e-commerce dovràprocedere al rimborso delle somme versate dalconsumatore, ivi comprese le somme versate a titolo dicaparra. Il rimborso deve avvenire gratuitamente, nelminor tempo possibile e in ogni caso entro trenta giornidalla data in cui il professionista è venuto a conoscenzaE-Commerce e siti web a norma di legge pag.46
  47. 47. dellesercizio del diritto di recesso da parte delconsumatore.Sanzioni per violazioni del Codice del ConsumoDi particolare rilievo sono le sanzioni previste dal Codicein caso di mancata adozione delle misure a tutela delconsumatore. L’art. 62 comma 1 dispone che “Salvo cheil fatto costituisca reato il professionista checontravviene alle norme di cui al presente capo, ovveronon fornisce linformazione al consumatore, ovveroostacola lesercizio del diritto di recesso ovvero fornisceinformazione incompleta o errata o comunque nonconforme sul diritto di recesso da parte del consumatoresecondo le modalità di cui agli articoli 64 e seguenti,ovvero non rimborsa al consumatore le somme daquesti eventualmente pagate, nonché nei casi in cuiabbia presentato allincasso o allo sconto gli effetticambiari prima che sia trascorso il termine di cuiallarticolo 64, è punito con la sanzione amministrativapecuniaria da euro 516 a euro 5165” che possono essereraddoppiati in caso di gravità o recidiva.Come specificato sopra, ricordo poi che il servizio e-commerce che non riporta gli obblighi di informazionecirca il diritto del consumatore di poter recedere dalcontratto, comporta allungamento del termine perl’esercizio del diritto di recesso fino a novanta giorni dalgiorno del ricevimento dei beni e, per i servizi, dal giornodella conclusione del contratto.E-Commerce e siti web a norma di legge pag.47
  48. 48. Unultima annotazione riguarda la competenza esclusivadel Giudice luogo di residenza o di domicilio delconsumatore, che non può essere in nessun casoderogata dalle parti.E-Commerce e siti web a norma di legge pag.48
  49. 49. Privacy e sicurezza sul web (*)IntroduzioneCreare e gestire un sito di commercio elettronicocomporta necessariamente il trattamento di datipersonali, quindi devono essere rispettate le regole e gliadempimenti previsti dal d.lgs. 196/03 “Codice inmateria di protezione dei dati personali” (di seguitoCodice Privacy) e dagli specifici provvedimenti pubblicatidal Garante per la protezione dei dati personali.Le definizioni • "trattamento", qualunque operazione o complesso di(*) Avv. David DAgostiniE-Commerce e siti web a norma di legge pag.49
  50. 50. operazioni, effettuati anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;• "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;• "dati identificativi", i dati personali che permettono lidentificazione diretta dellinteressato;• "dati sensibili", i dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;• "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso ilE-Commerce e siti web a norma di legge pag.50
  51. 51. profilo della sicurezza;• "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;• "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;• "interessato", la persona fisica cui si riferiscono i dati personali;• "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dallinteressato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;• "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;• "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nellarticolo 31;• "strumenti elettronici", gli elaboratori, i programmiE-Commerce e siti web a norma di legge pag.51
  52. 52. per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;• "autenticazione informatica", linsieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dellidentità;• "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per lautenticazione informatica;• "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;• "profilo di autorizzazione", linsieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;• "sistema di autorizzazione", linsieme degli strumenti e delle procedure che abilitano laccesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.Informativa o informative ?Larticolo 13 del d.lgs. 196/03 dispone che nel caso inE-Commerce e siti web a norma di legge pag.52
  53. 53. cui si trattino dati personali sia necessario rilasciareallinteressato uninformativa preventiva che descrivacon chiarezza tutti gli elementi base del trattamento che,in base al disposto del Codice Privacy, devonoobbligatoriamente essergli indicati.Le disposizioni in tema di informativa allinteressatocostituiscono il nucleo fondante della normativa in temadi privacy, in quanto essa costituisce una vera e propria“carta didentità” del trattamento, consentendoallinteressato di conoscere preventivamente leoperazioni di trattamento cui verranno sottoposti i propridati personali.Le disposizioni di cui allart. 13 si applicano anche aicasi in cui il trattamento venga effettuato tramite un sitointernet.È necessario sgombrare preliminarmente il campo da undubbio: nel caso di un sito internet, il trattamento di datipersonali inizia già dal momento in cui lutente cominciaa navigare nel sito, e non solo quando questi forniscavolontariamente delle informazioni (per es. compilando iform presenti in alcune pagine web).Quindi è necessario provvedere a redigere due distinteinformative: una prima relativa alla navigazione (spessoindicata come Privacy Policy) e una seconda cheriguarda più propriamente i servizi erogati dal sito.Entrambe le tipologie di informative devononecessariamente indicare gli elementi tassativamenteE-Commerce e siti web a norma di legge pag.53
  54. 54. indicati dallart. 13, ossia:• le finalità e le modalità del trattamento cui sono destinati i dati;• la natura obbligatoria o facoltativa del conferimento dei dati;• le conseguenze di un eventuale rifiuto di rispondere;• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati;• lambito di diffusione dei dati;• i diritti di cui allarticolo 7;• gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dellarticolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole lelenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro allinteressato in caso di esercizio dei diritti di cui allarticolo 7, è indicato tale responsabile.La Privacy PolicyI sistemi, i software e i protocolli che permettono a unE-Commerce e siti web a norma di legge pag.54
  55. 55. sito di funzionare richiedono lacquisizione e iltrattamento di alcuni dati personali. Si tratta, di regola, diinformazioni che non consentono di risalire direttamentea interessati identificati, ma che, attraverso elaborazionie associazioni con altri dati detenuti da terzi, potrebberopermettere di identificare gli utenti.Si pensi in particolare a:• indirizzi IP;• nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito;• indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste;• orario della richiesta;• metodo utilizzato nel sottoporre la richiesta al server;• dimensione del file ottenuto in risposta;• codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.);• parametri relativi al sistema operativo dellutente.Normalmente questi dati vengono utilizzati al solo fine diricavare informazioni statistiche sulluso del sito e perfinalità di troubleshooting (eliminazione del problema),ragion per cui essi vengono cancellati poco tempo dopolelaborazione.E-Commerce e siti web a norma di legge pag.55
  56. 56. Particolare attenzione deve essere prestata allutilizzodei cookies, ossia quelle “stringhe di testo di piccoladimensione inviate da un server a un web client (di solitoun browser) e poi rimandati indietro dal client al serverogni volta che il client accede allo stessa porzione dellostesso dominio” (definizione tratta da wikipedia.it).I cookies si prestano a incidere in maniera moltoimportante sulla privacy dellutente che accede a un sitoweb e proprio per questo la loro disciplina è statarecentemente modificata dall’entrata in vigore del d.lgs.69/12 che ha rivoluzionato l’art. 122 del d.lgs. 196/03.LinformativaNel caso in cui un sito internet preveda che un utentepossa fornire volontariamente dati personali percomunicare o per fruire di qualche servizio, è necessariopredisporre unulteriore specifica informativa.Si pensi, ad esempio:• ai form presenti nella pagine dei contatti tramite cui ogni utente può comunicare con il titolare del sito;• ai siti di e-commerce, in cui lutente deve registrarsi per poter concludere gli acquisiti.In queste ipotesi il Titolare effettua operazioni ditrattamento ulteriori rispetto a quelle relative allasemplice navigazione nelle pagine del sito, quindi ènecessario che linteressato venga previamenteE-Commerce e siti web a norma di legge pag.56
  57. 57. informato circa le operazioni cui verranno sottoposte leinformazioni che vengono da lui fornite.È necessario che le finalità dichiarate nellinformativa e idati richiesti nei vari form presenti sul sito non risultinoin contrasto con i principi di pertinenza e non eccedenzadi cui all’art. 11 comma 1, lettera d) e non diano quindiluogo a un vero e proprio trattamento illecito di datipersonali.Spesso, infatti, vengono richiesti informazioni ulterioririspetto alle finalità dichiarate: si pensi, ad esempio, adun ipotesi in cui un sito di e-commerce, per inviare unadomanda sulle caratteristiche di un prodotto in vendita,richieda dati quali il luogo e la data di nascita, il codicefiscale, la cittadinanza, o altre preferenze personali.Linformativa, pertanto, devessere predisposta con lamassima attenzione e personalizzata sulle esigenzepeculiari del singolo sito, anche per non incorrere nellesanzioni previste dal Codice Privacy.Le sanzioniLart. 161 del D.Lgs 196/03 stabilisce che lomessa oinidonea informativa allinteressato sia punita con lasanzione amministrativa del pagamento di una sommada seimila a trentaseimila euro.Lart. 164-bis, invece, precisa che:• se la violazione di cui allart. 161 è di minore gravità, avuto altresì riguardo alla natura anche economica oE-Commerce e siti web a norma di legge pag.57
  58. 58. sociale dellattività svolta, i limiti minimi e massimi stabiliti dal medesimo articolo sono applicati in misura pari a due quinti;• nel caso di una violazione di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio;• le sanzioni possono, infine, essere aumentate fino al quadruplo quando risulterebbero inefficaci in ragione delle condizioni economiche del contravventore.Il ConsensoIl trattamento di dati personali da parte di privati puòavvenire solo in presenza del consenso dellinteressato,salvo i casi di esonero espressamente previsti dallalegge. Il consenso è validamente prestato solo se:• sono state previamente rese allinteressato le informazioni di cui allart. 13;• è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato;• è documentato per iscritto.Consenso libero e informatoE-Commerce e siti web a norma di legge pag.58
  59. 59. Nel paragrafo relativo allart. 13 si è fatto cenno allanatura pregiudiziale della informativa che, di regola, deveessere portata a conoscenza dellinteressato primadellinizio delle operazioni di trattamento. Il CodicePrivacy ribadisce che la mancanza dellinformativa olinidoneità del suo contenuto causa linvalidità delconsenso eventualmente ottenuto.Affinché il consenso al trattamento possa svolgere lapropria funzione di garanzia prevista dal Codice, occorreche esso sia libero e, quindi, che non venga richiesto invia definitiva, generale ed incondizionata.Consenso specificoIl consenso non è valido se viene prestato in modogenerico, in quanto deve avere per oggetto uno specificotrattamento o determinate operazioni di trattamento deidati personali, poste in essere al fine di perseguire lefinalità che sono state esplicitate nellinformativa ex art.13.Si pensi, ad esempio, al caso in cui nellinformativa ilTitolare dichiari di trattare i dati per tre finalità distinte:• soddisfare un obbligo di legge;• eseguire un contratto di cui è parte linteressato;• finalità promozionali.È necessario che linteressato sia messo nelle condizionidi capire la diversità delle situazioni, di apprezzare gliE-Commerce e siti web a norma di legge pag.59
  60. 60. effetti che il consenso o il diniego possono produrre neiconfronti di ciascuna di esse, nonché di esprimere unamanifestazione libera nei confronti di ciascuna.Ritornando allesempio, quindi, il Titolare non potràchiedere un unico consenso che riguardi tutte le tredistinte e specifiche finalità.Forma del consensoIl Codice Privacy richiede che il consenso siadocumentato per iscritto. Nel caso in cui, però, iltrattamento riguardi dati sensibili, il consenso deveessere manifestato in forma scritta.Per quanto attiene ai trattamenti effettuati tramite sitiinternet è fondamentale sapere che il consenso èlegittimamente espresso anche con la modalità dellaselezione di unapposita casella, via internet.Casi di esclusione del consensoBisogna, da ultimo, ricordare che il Codice Privacy haespressamente individuato i casi nei quali può essereeffettuato il trattamento senza dover chiedere edottenere il consenso dellinteressato. Con particolareriferimento alle attività di e-commerce, il consenso non èrichiesto quando il trattamento:• è necessario per adempiere a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;E-Commerce e siti web a norma di legge pag.60
  61. 61. • è necessario per eseguire obblighi derivanti da un contratto del quale è parte linteressato o per adempiere, prima della conclusione del contratto, a specifiche richieste dellinteressato;• riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;• riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale.Cookies - le modifiche introdotte dal d.lgs. 69/12Dal 1° giugno 2012 è entrato in vigore il d.lgs. 69/12 che,in attuazione delle direttive 2009/136/CE e 2009/140/CE,ha modificato in modo sensibile gli articoli del CodicePrivacy relativi ai servizi di comunicazione elettronicaaccessibili al pubblico.Di particolare interesse sono le modifiche che hannoriguardato i c.d. cookies, di regola finalizzati a renderepiù piacevole e semplice la navigazione dell’utente, masenza dubbio utilizzati per scopi ulteriori, idonei a lederela riservatezza di chi naviga sul web.Il d.lgs 69/12 ha così modificato il testo dell’articolo 122del Codice Privacy:E-Commerce e siti web a norma di legge pag.61
  62. 62. Art. 122. Informazioni raccolte nei riguardi delcontraente o dell’utente1. L’archiviazione delle informazioni nell’apparecchioterminale di un contraente o di un utente o l’accesso ainformazioni già archiviate sono consentiti unicamentea condizione che il contraente o l’utente abbia espressoil proprio consenso dopo essere stato informato con lemodalità semplificate di cui all’articolo 13, comma 3. Ciònon vieta l’eventuale archiviazione tecnica o l’accessoalle informazioni già archiviate se finalizzati unicamentead effettuare la trasmissione di una comunicazione suuna rete di comunicazione elettronica, o nella misurastrettamente necessaria al fornitore di un servizio dellasocietà dell’informazione esplicitamente richiesto dalcontraente o dall’utente a erogare tale servizio. Ai finidella determinazione delle modalità semplificate di cui alprimo periodo il Garante tiene anche conto delleproposte formulate dalle associazioni maggiormenterappresentative a livello nazionale dei consumatori edelle categorie economiche coinvolte, anche allo scopodi garantire l’utilizzo di metodologie che assicurinol’effettiva consapevolezza del contraente o dell’utente.2. Ai fini dell’espressione del consenso di cui al comma1, possono essere utilizzate specifiche configurazioni diprogrammi informatici o di dispositivi che siano di facilee chiara utilizzabilità per il contraente o l’utente.2-bis. Salvo quanto previsto dal comma 1, è vietato l’usodi una rete di comunicazione elettronica per accedere aE-Commerce e siti web a norma di legge pag.62
  63. 63. informazioni archiviate nell’apparecchio terminale di uncontraente o di un utente, per archiviare informazioni oper monitorare le operazioni dell’utente.La nuova stesura dell’art. 122 introduce per quantoriguarda i cookies il definitivo passaggio dal regimedell’OPT OUT a quello - ben più severo e di difficileattuazione - dell’OPT IN che prevede la necessità per iltitolare di ottenere il consenso preventivo da partedell’utente.In altre parole, l’utente dovrà essere informato in modochiaro e completo in merito a finalità e modalità deltrattamento dei propri dati, per poi esprimere il proprioconsenso affinché i cookies vengano attivati durante lanavigazione.È importante evidenziare due casi di esenzione per iquali permane il regime dell’OPT OUT.Non occorre il consenso preventivo nel caso in cuisussista uno dei seguenti requisiti:• CRITERIO A: il cookie viene utilizzato “per il solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica”;• CRITERIO B: il cookie è “strettamente necessario per il prestatore di un servizio della società dell’informazione per fornire un servizio esplicitamente richiesto dall’abbonato o dall’utente”.E-Commerce e siti web a norma di legge pag.63
  64. 64. La Notificazione al GaranteLa notificazione è una dichiarazione con cui un soggettopubblico o privato rende nota al Garante per laprotezione dei dati personali lesistenza di unattività diraccolta e di utilizzazione dei dati personali, svolta qualeautonomo titolare del trattamento.La notifica è trasmessa al Garante, esclusivamente pervia telematica utilizzando la procedura indicata nelleistruzioni presenti nel sito istituzionale www.gpdp.it.La notificazione va effettuata una tantum prima che iniziil trattamento dei dati, indipendentemente dalla durata,dal tipo e dal numero delle operazioni di trattamento, siache si effettui un solo trattamento, sia che si curino piùattività di trattamento con finalità correlate tra loro.A differenza di quanto previsto dalla vecchia legge675/96, lobbligo di notificazione è previsto solo pertrattamenti di specifiche categorie di dati e di finalità chepresentano un impatto privacy di particolare rilevanza.Di regola i trattamenti normalmente connessi aunattività di commercio elettronico non rientrano inquelli per cui è obbligatorio effettuare la notificazione.Risulta necessario notificare il trattamento di:• dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalità dellinteressato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare lutilizzo di servizi di comunicazioneE-Commerce e siti web a norma di legge pag.64
  65. 65. elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;• dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.Le sanzioniA norma dellarticolo 163 d.lgs 196/03 chiunque,essendovi tenuto, non provvede tempestivamente allanotificazione, ovvero indica in essa notizie incomplete,viene punito con la sanzione amministrativa delpagamento di una somma da ventimila a centoventimilaeuro.Larticolo 164-bis prevede che:• se la violazione di cui allart. 163 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dellattività svolta, i limiti minimi e massimi stabiliti dal medesimo articolo sono applicati in misura pari a due quinti;• in caso, invece, di una violazione di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio;• le sanzioni possono, infine, essere aumentate fino alE-Commerce e siti web a norma di legge pag.65
  66. 66. quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.La sicurezza informaticaUna delle principali problematiche connesse alcommercio elettronico è quella relativa alla tutela dellaprivacy delle parti coinvolte nella compravenditasoprattutto per quanto attiene ai pagamenti on-line,nonché della sicurezza dei dati personali richiesti al finedi eseguire le varie operazioni negoziali e, più ingenerale, dei dati che viaggiano sulla rete.Secondo lo standard internazionale di valutazione dellasicurezza informatica ITSEC per sicurezza dellatecnologia informatica» (IT) si intende la somma diquesti tre requisiti:• confidenzialità: vale a dire protezione dalla divulgazione non autorizzata di informazioni;• integrità: cioè tutela da modifiche delle informazioni non autorizzate;• disponibilità: consistente nella prevenzione da ipotesi di inaccessibilità non autorizzata ai dati o alle risorse informatiche.La sicurezza è un obiettivo che si può raggiungere graziea unattività composita e permanente. Soprattutto inambito informatico, non esiste una sicurezza assoluta,E-Commerce e siti web a norma di legge pag.66
  67. 67. ma solamente una tendenza ottimale verso laminimizzazione del rischio in considerazione della tuteladei diritti. Essa richiede interventi di tipo organizzativo,fisico e logico sottoposti ad un continuo processo diaggiornamento e verifica alla luce delle novità introdottedallevoluzione tecnologica.Per tale motivo lart. 31 d.lgs. 196/03 stabilisce che i datipersonali oggetto di trattamento devono essere custoditie controllati, anche in relazione alle conoscenzeacquisite in base al progresso tecnico, alla natura deidati e alle specifiche caratteristiche del trattamento, inmodo da ridurre al minimo, mediante ladozione diidonee e preventive misure di sicurezza, i rischi didistruzione o perdita, anche accidentale, dei dati stessi,di accesso non autorizzato o di trattamento nonconsentito o non conforme alle finalità della raccolta.Risulta opportuno che chi esercita unattività dicommercio elettronico tenga conto di tali prescrizioni,onde evitare di dover risarcire il danno causato dallamancata adozione delle cautele indicate nellart. 31.Si pensi, ad esempio allutilizzo di protocolli crittograficiquali il Transport Layer Security (TLS) e il suopredecessore Secure Sockets Layer (SSL): essipermettono una comunicazione sicura dal sorgente aldestinatario (end-to-end) sulla rete Internet, garantendoautenticazione, integrità dei dati e cifratura operando aldi sopra del livello di trasporto. Si tratta, in altre parole, diprotocolli in grado di garantire un canale diE-Commerce e siti web a norma di legge pag.67
  68. 68. comunicazione sicuro tra il browser dellacquirente ed ilsito di e-commerce, in modo tale da prevenire lamanomissione la falsificazione e lintercettazione deidati relativi alla navigazione e alla transazioneeconomica.Le misure minime di sicurezzaNel quadro dei più generali obblighi di sicurezza di cuiallart. 31, i titolari del trattamento sono comunque tenutiad adottare le misure volte ad assicurare un livellominimo di protezione dei dati personali. Si tratta, inquesto caso, di una serie di adempimenti individuati inmaniera puntuale e analiticaLart. 34 d.lgs. 196/03, infatti, stabilisce che iltrattamento di dati personali effettuato con strumentielettronici è consentito solo se sono adottate, nei modiprevisti dal disciplinare tecnico contenuto nellallegatoB), le seguenti misure minime:• autenticazione informatica;• adozione di procedure di gestione delle credenziali di autenticazione;• utilizzazione di un sistema di autorizzazione;• aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;E-Commerce e siti web a norma di legge pag.68
  69. 69. • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.Tali misure minime devono essere obbligatoriamenterispettate anche da chi gestisce un sito di e-commerce.La figura dellAmministratore di SistemaMolto spesso il titolare del sito di e-commerce non è ilsoggetto che materialmente realizza e amministra il sitostesso.Con la definizione di "amministratore di sistema" siindividuano generalmente, in ambito informatico, figureprofessionali finalizzate alla gestione e allamanutenzione di un impianto di elaborazione o di suecomponenti. Ai fini della normativa privacy vengono,però, considerate tali anche altre figure equiparabili dalpunto di vista dei rischi relativi alla protezione dei dati,quali gli amministratori di basi di dati, gli amministratoridi reti e di apparati di sicurezza e gli amministratori disistemi software complessi.E-Commerce e siti web a norma di legge pag.69
  70. 70. Gli amministratori di sistema sono, in molti casi,concretamente "responsabili" di specifiche fasilavorative che possono comportare elevate criticitàrispetto alla protezione dei dati; attività tecniche quali ilsalvataggio dei dati, la gestione dei database e lamanutenzione hardware comportano infatti, in molticasi, unattività che deve essere considerata a tutti glieffetti alla stregua di un trattamento di dati personali.La figura dellAmministratore di Sistema, non previstaespressamente dal Codice Privacy, è stata introdotta dalProvvedimento Generale del 27 novembre 2008, recante“Misure e accorgimenti prescritti ai titolari deitrattamenti effettuati con strumenti elettronicirelativamente alle attribuzioni delle funzioni diamministratore di sistema”.Tale provvedimento dispone che, salva esclusionedallambito applicativo espressamente previste, ilTitolare del trattamento debba adottare una serie dimisure.Valutazione delle caratteristiche soggettiveLattribuzione delle funzioni di amministratore di sistemadeve avvenire previa valutazione delle caratteristiche diesperienza, capacità e affidabilità del soggettodesignato, il quale deve fornire idonea garanzia del pienorispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo allasicurezza. Anche quando le funzioni di amministratore diE-Commerce e siti web a norma di legge pag.70
  71. 71. sistema o assimilate sono attribuite solo nel quadro diuna designazione quale incaricato del trattamento aisensi dellart. 30 del Codice, il titolare e il responsabiledevono attenersi comunque a criteri di valutazioneequipollenti a quelli richiesti per la designazione deiresponsabili ai sensi dellart. 29.Designazioni individualiLa designazione quale amministratore di sistema deveessere individuale e recare lelencazione analitica degliambiti di operatività consentiti in base al profilo diautorizzazione assegnato.Elenco degli amministratori di sistemaGli estremi identificativi delle persone fisicheamministratori di sistema, con lelenco delle funzioni loroattribuite, devono essere riportati in un documentointerno da mantenere aggiornato e disponibile in caso diaccertamenti da parte del Garante.Servizi in outsourcingNel caso di servizi di amministrazione di sistema affidatiin outsourcing il titolare o il responsabile esterno devonoconservare direttamente e specificamente, per ognieventuale evenienza, gli estremi identificativi dellepersone fisiche preposte quali amministratori disistema.E-Commerce e siti web a norma di legge pag.71
  72. 72. Verifica delle attivitàLoperato degli amministratori di sistema deve essereoggetto, con cadenza almeno annuale, di unattività diverifica da parte dei titolari del trattamento o deiresponsabili, in modo da controllare la sua rispondenzaalle misure organizzative, tecniche e di sicurezzariguardanti i trattamenti dei dati personali previste dallenorme vigenti.Registrazione degli accessiDevono essere adottati sistemi idonei alla registrazionedegli accessi logici (autenticazione informatica) aisistemi di elaborazione e agli archivi elettronici da partedegli amministratori di sistema. Le registrazioni (accesslog) devono avere caratteristiche di completezza,inalterabilità e possibilità di verifica della loro integritàadeguate al raggiungimento dello scopo per cui sonorichieste. Le registrazioni devono comprendere iriferimenti temporali e la descrizione dellevento che leha generate e devono essere conservate per un congruoperiodo, non inferiore a sei mesiLe sanzioniSecondo il combinato disposto degli artt. 169 e 161d.lgs. 196/03 chiunque, essendovi tenuto, omette diadottare le misure minime di sicurezza è punito conlarresto sino a due anni. Viene altresì prevista lasanzione amministrativa del pagamento di una sommaE-Commerce e siti web a norma di legge pag.72
  73. 73. da diecimila a centoventimila euro.Allautore del reato, allatto dellaccertamento o, nei casicomplessi, anche con successivo atto del Garante, èimpartita una prescrizione fissando un termine per laregolarizzazione non eccedente il periodo di tempotecnicamente necessario, prorogabile in caso diparticolare complessità o per loggettiva difficoltàdelladempimento e comunque non superiore a sei mesi.Nei sessanta giorni successivi allo scadere del termine,se risulta ladempimento alla prescrizione, lautore delreato è ammesso dal Garante a pagare una somma parial quarto del massimo della sanzione stabilita per laviolazione amministrativa. Ladempimento e ilpagamento estinguono il reato.Le comunicazioni commerciali tramite e-mailLart. 130 del Codice Privacy stabilisce che (fermorestando quanto stabilito dagli articoli 8 e 21 del decretolegislativo 9 aprile 2003, n. 70), lutilizzo della postaelettronica, effettuato per le finalità di invio di materialepubblicitario o di vendita diretta o per il compimento diricerche di mercato o di comunicazione commerciale èconsentito con il consenso del contraente o utenteQuesta regola si applica anche alle comunicazionielettroniche, effettuate per le finalità ivi indicate,mediante telefax, messaggi del tipo Mms (MultimediaMessaging Service) o Sms (Short Message Service) o dialtro tipo.E-Commerce e siti web a norma di legge pag.73

×