Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
1. CODICE PRIVACY (D.lvo 196/03)
in materia di tutela delle persone e
Codice della
Privacy
di altri soggetti rispetto al
Tutele e sicurezza dei
trattamento dei dati personali
dati personali
è entrato in vigore il
1° gennaio del 2004.
2. A m b it o d i
A P P L IC A Z IO N E
Il trattamento di dati personali, anche detenuti
all'estero, effettuato da chiunque è stabilito nel
territorio dello Stato o in un luogo comunque
soggetto alla sovranità dello Stato
Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati sono
destinati ad una comunicazione sistematica o alla
diffusione
3. Settori specifici
Lavoro e previdenza sociale
Bancario, Finanziario, Assicurativo
Comunicazioni elettroniche
Libere professioni/Investigazione privata
Giornalismo/espressione letteraria ed artistica
Marketing diretto
4. Art. 140. MARKETING
• 1. Il Garante promuove, ai sensi dell'articolo 12, la
sottoscrizione di un codice di deontologia e di
buona condotta per il trattamento dei dati
personali effettuato a fini di invio di materiale
pubblicitario o di vendita diretta, ovvero per il
compimento di ricerche di mercato o di
comunicazione commerciale, prevedendo anche,
per i casi in cui il trattamento non presuppone il
consenso dell'interessato, forme semplificate per
manifestare e rendere meglio conoscibile
l'eventuale dichiarazione di non voler ricevere
determinate comunicazioni.
5. RACCOLTA DATI
La garanzia per un TRATTAMENTO corretto risiede nella
giusta partenza all’atto dell’acquisizione.
In questa fase vengono definiti i diritti dell’INTERESSATO
che riceve l’INFORMATIVA ed esprime l’eventuale
CONSENSO
INTERESSATO
Dati identificativi
Raccolta Informativa Consenso
(eventuale)
6. DIRITTI dell’INTERESSATO- Art. 7
accesso gratuito al Registro generale dei trattamenti
essere informato in merito dal titolare, o dal responsabile del
trattamento dei dati personali (se nominato), alle finalità e alle modalità
del trattamento
ottenere dal titolare (o dal responsabile) subito: informazioni su dati che
lo riguardano (registrati o meno), con lista, origine, logica e finalità del/i
trattamento/i
pretendere e ottenere cancellazione o trasformazione in forma anonima o
blocco dei dati personali trattati in violazione della Legge
pretendere e ottenere aggiornamenti, rettifiche, integrazioni
ottenere attestazione scritta che le due precedenti operazioni siano state
portate a conoscenza (chiara!) di coloro ai quali sono stati, sono e saranno
comunicati / diffusi
7. DIRITTI dell’INTERESSATO- Art. 7
essere informato (dal titolare) non oltre il momento della
comunicazione / diffusione dei dati di cui al punto precedente
della possibilità di esercitare gratuitamente detto diritto
opporsi in tutto o in parte - per motivi legittimi - al trattamento dei
dati personali, ancorché pertinenti allo scopo dichiarato della
raccolta
opporsi in tutto o in parte al trattamento di dati personali per:
• fornire informazioni commerciali
• invio di materiale pubblicitario
• vendita diretta
• ricerche di mercato
• comunicazioni commerciali interattive
8. Il CONSENSO
Il CONSENSO è sempre strettamente
legato ad un’INFORMATIVA, e riguarda
esclusivamente i TRATTAMENTI di
DATI ORDINARI non coperti da ipotesi
di DEROGA ovvero i TRATTAMENTI di
DATI SENSIBILI o GIUDIZIARI
9. MISURE MINIME di SICUREZZA
Art. 33
(Misure minime)
Nel quadro dei più generali obblighi di sicurezza di cui
all'art. 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art. 58,
comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
10. Art. 34
(Trattamenti con strumenti elettronici)
Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'Allegato B, le seguenti misure
minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico della definizione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione
o alla manutenzione degli strumenti elettronici;
11. Art. 34 (Trattamenti con strumenti elettronici) segue
e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla
sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da Organismi sanitari.
12. capire il CODICE
DIAGRAMMA di FLUSSO dei TRATTAMENTI
Le MMS riguardano sia i Trattamenti elettronici che
cartacei e sono distinte in:
Analisi dei Rischi
Misure di Sicurezza – Ingresso
a) Organizzative Individuazione
b) Fisiche incaricati
c) Logiche
Informazione e
formazione
Presuppongono:
l’Analisi dei Rischi
l’individuazione degli Incaricati ai Trattamenti
la loro informazione e formazione
13. CONDIZIONI e DIVIETI
La comunicazione e la diffusione dei dati personali, sono ammesse,
anche senza il consenso dell’interessato, solo in presenza di una
delle ipotesi di deroga espressamente previste dalla legge .
Nessun dato può essere comunicato / diffuso se ne sia stata
ordinata la cancellazione.
La cancellazione dei Dati o la distruzione dei supporti sono
ammissibili solo quando è terminato il ciclo dei trattamenti
collegati alle finalità per cui sono stati raccolti.
Nessun dato può essere comunicato / diffuso se sia decorso il periodo di
tempo associato al trattamento previsto e consolidato all’atto della
raccolta e successivamente notificato
Non si considera comunicazione la conoscenza di dati personali da
parte delle persone incaricate per iscritto di compiere le operazioni di
trattamento
14. Implementare la Sicurezza
L’implementazione delle policy di sicurezza deve essere il
frutto di ragionamenti fatti da tutti coloro che compongono il
nucleo aziendale, ognuno per quanto riguarda la propria
mansione.
Una buona sicurezza è frutto dell’applicazione di precise
regole:
o Regola del minimo privilegio
o Regola del cambiamento
o Regola dell’anello debole
o Regola della separazione
o Regola dell’azione preventiva
o Regola della risposta immediata ed adeguata
15. RISARCIMENTO DEL
DANNO
Art. 15. Il danno cagionato per effetto del
trattamento dei Dati personali è risarcibile ai
sensi dell'art. 2050 cod. civ. (responsabilità per
l'esercizio di attività pericolosa).
Questo comporta l'inversione dell'onere della
prova, ponendo a carico del Titolare una
presunzione di colpa, dalla quale potrà liberarsi
solo dimostrando di aver adottato tutte le misure
di sicurezza previste dalla Legge per la
fattispecie. E' espressamente previsto (comma 2)
anche il risarcimento per il danno non
patrimoniale (quindi in via equitativa).
16. RISCHI del COMMERCIO
ELETTRONICO
truffe sempre più insidiose:
I principali casi sono (Wikipedia):
• Vendita di prodotti da siti civetta: al ricevimento del
pagamento non viene inviata la merce, o viene
solamente simulata la spedizione. Problema presente
anche su ebay con inserzioni truffa.
• Realizzazione di siti clonati con la finalità di rubare
informazioni quali il codice della carta di credito.
• Aziende fallimentari che accumulano ordini, e
introiti, senza la possibilità di evaderli.
17. Codice del consumo
D.Lgs. 70/2003: direttiva europea sul commercio
elettronico
D.Lvo 6 settembre 2005, n. 206
• Commercio elettronico diretto e indiretto.
• Commercio diretto: tutte le fasi avvengono online;
dall’ordine al pagamento, alla consegna, tutto avviene
in maniera elettronica.
• Commercio indiretto: ordine e pagamento
avvengono elettronicamente, ma il bene ceduto viene
poi inviato fisicamente al domicilio dell’acquirente.
18. TUTELA del CONSUMATORE
Il soggetto che vende beni o servizi online deve
rendere facilmente accessibili le seguenti
informazioni:
• nome, denominazione o ragione sociale del fornitore;
• domicilio o sede legale;
• Come contattare rapidamente il fornitore e comunicare
direttamente ed efficacemente con lo stesso, compreso
l’indirizzo di posta elettronica;
• numero di iscrizione al REA, o al registro delle imprese;
• gli elementi di individuazione, nonché gli estremi della
competente autorità di vigilanza qualora un’attività sia
soggetta a concessione, licenza od autorizzazione;
19. TUTELA del CONSUMATORE 2
• numero della partita IVA o altro numero di identificazione
• la descrizione, chiara ed inequivocabile, del prodotto o del
servizio fornito, con l’indicazione delle misure di sicurezza
• l’indicazione, in modo chiaro ed inequivocabile, dei prezzi e
delle tariffe dei diversi servizi della società dell’informazione
forniti, evidenziando se comprendono le imposte, i costi di
consegna ed altri elementi aggiuntivi da specificare;
• l’indicazione delle attività consentite al consumatore e al
destinatario del servizio e gli estremi del contratto qualora
un’attività sia soggetta ad autorizzazione o l’oggetto della
prestazione sia fornito sulla base di un contratto di licenza
d’uso.
20. Fasi dell’Accordo Contrattuale
• le varie fasi tecniche da seguire per la conclusione del
contratto;
• il modo in cui il contratto concluso sarà archiviato e le relative
modalità di accesso;
• i mezzi tecnici messi a disposizione del destinatario per
individuare e correggere gli errori di inserimento dei dati
prima di inoltrare l’ordine al fornitore;
• gli eventuali codici di condotta cui aderisce e come accedervi
per via telematica;
• le lingue a disposizione per concludere il contratto oltre
all’italiano;
• l’indicazione degli strumenti di composizione delle
controversie.
21. Esecuzione dell’ORDINE
Al ricevimento dell’ordine, il fornitore deve:
• Mettere a disposizione del cliente le clausole e le
condizioni generali del contratto
• Accusare ricevuta dell’ordine del destinatario
contenente un riepilogo delle condizioni applicabili, le
informazioni relative alle caratteristiche essenziali del
bene o del servizio e l’indicazione dettagliata del prezzo,
dei mezzi di pagamento, del recesso, dei costi di
consegna e dei tributi applicabili.
• Il consumatore non è obbligato in caso di fornitura non
richiesta e l’assenza di risposta non implica in alcun
modo consenso del consumatore.
22. DIRITTO di RECESSO
• Le forniture non richieste costituiscono pratiche
commerciali scorrette, vietate e punite dagli artt.
18-27quater del Codice del Consumo.
• Il consumatore ha diritto di recedere da qualunque
contratto a distanza, senza alcuna penalità e senza
specificarne il motivo, entro il termine di 10 giorni
lavorativi
• 3 mesi nel caso in cui il fornitore ometta di soddisfare
gli obblighi informativi
GARANZIA
• garanzia legale di 2 anni
23. Carte di Credito
• Pharming: violazione dei database di chi vende
• Intercettazione del numero
• Cramming: acquisizione dei dati e numeri di
carte di credito, attraverso raggiri o, comunque,
comportamenti scorretti
• Carding matematico: produzione di numeri di
carte verosimili
24. MOVIMENTO CONSUMATORI
I SETTE DIRITTI FONDAMENTALI DEI CONSUMATORI
E DEGLI UTENTI
• Diritto alla tutela della salute
• Diritto alla sicurezza ed alla qualità dei prodotti e dei servizi
• Diritto ad un’adeguata informazione e ad una corretta pubblicità
• Diritto all’educazione al consumo
• Diritto alla correttezza, trasparenza ed equità nei rapporti
contrattuali concernenti beni e servizi
• Diritto alla promozione ed allo sviluppo dell’associazionismo libero,
volontario e democratico tra i consumatori e gli utenti
• Diritto all’erogazione di servizi pubblici secondo standard di qualità
ed efficienza
CLASS ACTION
25. DIRITTO D’AUTORE
D.Lgs. 231/01 (art. 25-novies) : Delitti in materia di violazione
del diritto d’autore -L. 633/41
Mettere a disposizione del pubblico immettendola in un sistema
telematico un’opera d’ingegno protetta o parte di essa.
Duplicare abusivamente per trarne profitto, importare,
distribuire, vendere, detenere, concedere in locazione programmi
per elaboratore
Duplicare, riprodurre, trasmettere o diffondere in pubblico
abusivamente un’opera d’ingegno, letteraria, scientifica, didattica,
musicale, multimediale
Produrre, importare, installare, vendere, modificare, apparati atti
alla decodificazione di trasmissioni audiovisive ad accesso
condizionato
26. PROPRIETA’
INTELLETTUALE
D.Lgs. 231/01 - art. 25-bis.1 : Delitti contro l'industria ed il
commercio
Turbata libertà dell'industria o del commercio. (art. 513 c.p.)
Frodi contro le industrie nazionali. (art. 514 c.p.)
Frode nell'esercizio del commercio. (art. 515 c.p.)
Vendita di sostanze alimentari non genuine come genuine. (art.
516 c.p.)
Vendita di prodotti industriali con segni mendaci (art. 517 c.p.)
Fabbricazione e commercio di beni realizzati usurpando titoli di
proprietà industriale. (art. 517-ter c.p.)
Contraffazione di indicazioni geografiche o denominazioni di
origine dei prodotti agroalimentari. (art. 517-quater c.p.)
Editor's Notes
Il codice in materia di protezione dei trattamenti dei dati personali entra in vigore il I Gennaio 2004.
La tutela del trattamento dei dati personali riguarda tutti, senza distinzioni, persone fisiche e giuridiche, con la sola eccezione dei trattamenti effettuati dal singolo individuo, persona fisica, per fini strettamente ed esclusivamente personali.
Il momento iniziale del trattamento e' costituito dalla raccolta, e in questa fase l'interessato deve ricevere l'informativa con l'indicazione delle modalita' e finalita' del trattamento e l'identificazione del titolare della banca dati. In questa fase e su quella informativa gli sara' chiesto il consenso eventualmente necessario per i trattamenti facoltativi o per quelli riguardanti dati sensibili o giudiziari.
I diritti dell'Interessato consistono nelle azioni a garanzia del trattamento corretto e lecito dei suoi dati, cui il Titolare o il Responsabile, se nominato, devono dare puntuale riscontro.
I diritti dell'Interessato consistono nelle azioni a garanzia del trattamento corretto e lecito dei suoi dati, cui il Titolare o il Responsabile, se nominato, devono dare puntuale riscontro.
Il Consenso deve essere informato. Questo significa che esiste solo a seguito di un' informativa, nella quale vengono indicate le ragioni della richiesta di consenso e per quali finalita' e modalita' del trattamento viene richiesto. I consensi generici si hanno per non rilasciati, non esistono.
Non vi sono protezioni assolute contro i rischi sui trattamenti: le Misure Minime di Sicurezza imposte dalla LEGGE rispondono alla logica di documentare uno standard minimo, che non garantisce sempre la tutela dei trattamenti ma la cui applicazione puntuale e documentata garantisce l assolvimento degli obblighi di legge da parte del Titolare.
La legge rinvia all'allegato B la descrizione delle misure minime tecniche da adottare: negli articoli 34 e 35 del Decreto legislativo sono riportate le categorie di misure minime indispensabili. L'articolo 34 descrive quelle elettroniche
La legge rinvia all'allegato B la descrizione delle misure minime tecniche da adottare: negli articoli 34 e 35 del Decreto legislativo sono riportate le categorie di misure minime indispensabili. L'articolo 34 descrive quelle elettroniche
Abbiamo parlato delle Misure Minime di Sicurezza applicate alla sicurezza dei trattamenti. Si tratta di un argomento fondamentale nel sistema della Privacy, per cui in questo modulo proponiamo una rilettura del diagramma di flusso in funzione dell'applicazione delle Misure Minime. La sicurezza la fanno gli operatori, per cui bisogna porre la massima attenzione all'individuazione degli stessi, interni o esterni, ed all'addestramento impartito agli incaricati dipendenti dal titolare
Parlando di condizioni e divieti bisogna precisare che la norma non vieta nulla che sia stato autorizzato espressamente dall'interessato, e pone vincoli solo alle modalita' queste si inderogabili dei trattamenti stessi.
Le regole di un sistema di sicurezza funzionale ed efficace sono elencate in questa diapositiva. Nelle prossime immagini le esamineremo in dettaglio.