Fino a qualche tempo fa espandere il proprio business online poteva essere visto come un’opportunità. Oggi, il commercio elettronico e l’offerta di servizi online sono da considerarsi una necessità per molte imprese. La digitalizzazione ha investito ampie fasce del mercato ed è sempre più spesso richiesta da clienti e consumatori.
Da un punto di vista giuridico, tanti sono gli aspetti da tenere in considerazione per chi si affaccia al business online e hanno a che fare con:
- Tutela della privacy e trattamento dati
- Predisposizione dei contratti
- Gestione dei pagamenti
- Autorizzazioni
La disciplina è composta da una serie di leggi che rendono difficoltosa una valutazione sulle misure da adottare da parte delle imprese. Per questo motivo abbiamo dato vita ad una serie di articoli che affronteranno le innumerevoli domande prodotte da questo tema. Lo scopo è quello contribuire a chiarire i dubbi di chi si approccia al business online così da fornire un supporto per coloro che vogliono programmare e prepararsi ad offrire beni e servizi online.
Questo primo contributo è dedicato alla tutela della privacy.
In questo articolo parleremo di:
1. La tutela della privacy come investimento
2. La tutela della privacy per conquistare nuovi mercati
3. Qual è la normativa applicabile in tema di privacy?
1. La tutela della privacy come investimento
Si potrebbe sostenere che, per professionisti ed imprese, il rispetto della normativa sulla privacy costituisca solamente un obbligo imposto dalla legge.
La normativa sulla privacy ha infatti portata generale ed impone agli operatori economici, tradizionali ed online, di adottare una serie di misure per la tutela dei dati dei propri clienti. La mancata adozione di queste misure può portare all’applicazione di sanzioni amministrative, civili o penali. Da questo punto di vista, le somme spese per uniformarsi acquistano lo stesso significato di una tassa. Tassa che si aggiunge a quelle già in essere. Le procedure da seguire, ed eseguire, tolgono tempo alle attività di acquisizione della clientela, obiettivo primario di ogni attività economica.
Ci sono però imprenditori ed imprese che non la pensano così. Per loro l’implementazione di misure a tutela della privacy è stata vista come parte integrante del piano strategico per la crescita del proprio business. Essi sono stati in grado di cogliere quali fossero le necessità dei loro clienti, trasformando un bisogno di sicurezza in opportunità per la propria impresa.
Con la digitalizzazione della quotidianità si è assistito ad un aumento della sensibilità dei consumatori per la tutela della privacy. Questa accresciuta attenzione è legata al cambiamento delle abitudini generali. Si va online non solo per comprare un prodotto o ricevere un servizio, ma per soddisfare bisogni della vita lavorativa e privata. Con il cambio di abitudini, cambia anche la tipologia di dati che vengono resi disponibili.
Non solo informazioni capaci di identificare la persona, come le generalità o indirizzo e-mail. I dati condivisi appartengono spesso alla stretta intimità quali lo stato di salute, orientamento sessuale o credo religioso, per nominarne solo alcuni. Consci delle implicazioni, i consumatori tendono a preferire esercenti di cui si fidano.
Per chi svolge business online, e non solo, la fiducia dei consumatori gioca un ruolo fondamentale. Essa spesso rappresenta la scelta di un operatore rispetto ad un altro. La fiducia dei clienti può determinare la riuscita del progetto imprenditoriale o il suo fallimento. Una delle ragioni per il grande successo di Amazon è legato anche alle misure a tutela dei dati dei propri clienti. È la ragione per cui milioni di consumatori ogni anno inseriscono i dati della propria carta di credito per effettuare un acquisto, anche se lo stesso oggetto viene offerto ad un prezzo minore altrove.
Riuscire a essere portatori di questa fiducia significa avere un margine di vantaggio sulla concorrenza. Adottare misure a tutela della privacy significa rispettare la normativa, mostrare considerazione nei confronti dei clienti, ma soprattutto un vero valore aggiunto per il proprio brand capace di attrarre nuovi clienti.
2. La tutela della privacy per conquistare nuovi mercati
Svolgere il proprio business online significa guardare alla possibilità di entrare in nuovi mercati.
Adeguarsi alla normativa sulla privacy costituisce spesso una necessità per poter offrire i propri beni e servizi in paesi dove il tema gioca un ruolo fondamentale. La Germania rappresenta uno degli esempi più evidenti essendo il Paese europeo che più di ogni altro ha contribuito a plasmare l’attuale normativa.
Quale principale Paese importatore delle merci italiane per un totale di 58.096 milioni di euro, il mercato tedesco è particolarmente importante.
La tutela della privacy in questo Paese ha un particolare valore per ragioni culturali e storiche. Questo non solamente per l’attenzione mostrata dall’autorità statale, ma dagli utenti a cui beni e servizi sono diretti.
La mancata adesione alle best practices in tema di tutela della privacy avrebbe come conseguenza quella di perdere la possibilità di accedere al mercato di paesi che, come la Germania, valutano con la massima importanza la tutela della privacy. E la consapevolezza in tema di privacy è in ascesa in tutti i paesi UE.
La tutela della privacy è anche rilevante per l’accesso ai mercati delle piattaforme digitali. Misure non adeguate a proteggere i dati raccolti potrebbero anche impattare negativamente su quelle Start-Up specializzate nello sviluppo di applicazioni per dispositivi mobili e desktop. Per poter commercializzare il proprio prodotto sulle maggiori piattaforme, esse sono infatti obbligate conformarsi agli standard in tema di trasparenza e protezione dei dati raccolti. Il mancato rispetto di questi standard può determinare l’esclusione delle applicazioni sviluppate dai maggiori negozi online.
3. Qual è la normativa applicabile in tema di privacy?
Chi svolge un’attività online, deve fare attenzione ad una serie di disposizioni normative specificatamente dedicate alla tutela della privacy.
Al livello di legislazione nazionale, il Decreto Legislativo n. 196/2003 introduce le disposizioni in materia di protezione dei dati personali (il cosiddetto “Codice della Privacy”). Il Codice è stato recentemente oggetto di modifiche apportate con Decreto Legislativo n. 101/2018 per adeguarlo alla normativa europea, e dalla Legge n. 160/2019 (Legge di Bilancio 2020) ponendolo in linea con gli obbiettivi di contrasto all’evasione.
Al livello europeo, nel 2018 è entrato in vigore il Regolamento UE n. 679/2016 (Regolamento Generale sulla Protezione dei Dati, noto con l’acronimo inglese di GDPR). Il regolamento introduce un’articolata disciplina riprendendo alcuni aspetti dalla precedente normativa, e innovandone altri per far fronte agli avanzamenti tecnologici.
Attenzione meritano inoltre quelle disposizioni che, contenute in leggi che disciplinano ambiti diversi dalla tutela della privacy, introducono specifiche tutele nei confronti dei titolari dei dati come il Decreto Legislativo n. 206/2005 (cosiddetto Codice del Consumo).
4. Il Regolamento Generale sulla Protezione dei Dati
4.1 Cos’è il GDPR?
Il Regolamento Generale sulla Protezione dei Dati (o GDPR) è la normativa di riferimento in materia di trattamento e circolazione dei dati al livello europeo. Per assicurare l’uniforme applicazione delle sue disposizioni in tutti gli Stati Membri è stato deciso di utilizzare uno strumento direttamente applicabile in tutti gli Stati europei. Il Regolamento infatti non necessita di una normativa nazionale di recepimento per far sorgere diritti e doveri.
Questo significa che il Codice della Privacy è stato abrogato?
No. Il Codice della Privacy è ancora in vigore. Esso è stato recente oggetto di modifiche da parte del Decreto Legislativo n. 101/2018 che ha provveduto a conformare il Codice alla normativa europea. Questo significa che alcuni articoli del Codice sono stati abrogati per non entrare in contrasto con il Regolamento che è direttamente applicabile.
Esempio
Per consentire il trattamento dei dati personali si era soliti fare riferimento all’articolo 13 del Codice della Privacy. Questo articolo è stato ora abrogato a seguito del Regolamento e l’informativa sulla privacy dovrà essere resa conforme agli articoli 13 e 14 del GDPR.
Altre norme sono invece ancora valide. Il Regolamento dà la possibilità agli Stati Membri di introdurre una disciplina specifica che si discosta dal GDPR in determinate materie.
Esempio
Il GDPR reputa come valido il consenso espresso dal minore che abbia compiuto 16 anni. Esso consente però agli Stati Membri di discostarsi dalla disciplina generale. Il Codice della Privacy ha ridotto il requisito di età a 14 anni per il consenso espresso dal minore al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Qualora lo Stato Membro avesse deciso di adottare una disciplina diversa, troverebbe applicazione la normativa nazionale.
Questo è importante nel caso di servizi offerti in altri paesi europei perché andrà verificato se lo Stato Membro ha deciso di discostarsi dalla normativa generale. Bisognerà quindi fare attenzione alle singole norme nazionali per non incorrere in sanzioni.
Nel prosieguo si farà riferimento al Regolamento per gli ambiti da questo trattati, e alla normativa nazionale se gli Stati Membri hanno adottato una disciplina speciale.
4.2 A chi si applica il GDPR?
Il Regolamento si applica ai titolari e ai responsabili del trattamento dei dati personali per i dati trattati nell’ambito delle attività di uno stabilimento nell’UE. Questo indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
Esempio
L’impresa Alfa S.r.l. ha la propria sede in Italia e, attraverso il proprio sito internet, offre soggiorni turistici in Turchia per i cittadini russi. Anche se i dati trattati appartengono a cittadini non UE, l’impresa Alfa dovrà applicare il GDPR per il solo fatto di avere la sede in un paese UE.
Questo vale anche se i dati personali vengono trattati in un paese non UE (in questo caso, in Turchia).
Come si può vedere dall’esempio, ai fini dell’applicazione del GDPR, è irrilevante che la nazionalità dei titolari dei dati sia europea. Allo stesso tempo, anche se i dati vengono trattati in un paese terzo (non membro dell’UE) il regolamento troverà applicazione se il trattamento di questi dati è svolto nell’ambito delle attività di uno stabilimento situato nell’UE.
4.3 Quando si applica il GDPR?
Il Regolamento si applica in tutti quei casi in cui il trattamento dei dati personali è effettuato con modalità:
interamente o parzialmente automatizzate;
o
non automatizzate, se i dati personali sono contenuti in un archivio o destinati a farvi parte.
Come si può notare, la platea dei soggetti obbligati al rispetto del GDPR è molto ampia. Per offrire una maggiore tutela ai titolari dei dati si è deciso di prescindere dall’uso o meno della tecnologia e delle tecniche impiegate per il trattamento dei dati. Rientrano così nell’ambito di applicazione della normativa la maggior parte delle attività poste in essere da imprese, professionisti e privati.
Esempio
Sono obbligati a rispettare le prescrizioni del GDPR:
i proprietari dei siti web che raccolgono i dati personali degli utenti per l’iscrizione ad una newsletter;
il professionista che raccoglie manualmente i dati personali del cliente per l’esecuzione dell’incarico.
È importante sottolineare che il Regolamento non trova applicazione se i dati personali appartengono a persone giuridiche. Bisogna però fare attenzione ai dati dei loro dipendenti. Infatti, anche se inseriti in un contesto professionale, i dati personali non perdono tale qualifica. Se i dati personali consentono l’identificazione di una persona fisica, si dovrà applicare il GDPR.
Esempio
Se il dipendente di una S.p.A. fornisce le proprie generalità e la propria e-mail per lo svolgimento di un’attività connessa al suo impiego, i dati forniti devono essere trattati nel rispetto della normativa sulla privacy.
Ciò vale anche per quanto riguarda le imprese individuali qualora dai dati trattati sia possibile identificare una persona fisica.
4.4 Chi è escluso dall’applicazione della normativa sulla privacy?
La normativa prevede delle esenzioni. Si è deciso di escludere dall’ambito di applicazione del Regolamento le attività a carattere esclusivamente personale o domestico effettuate dalle persone fisiche. Questo per evitare di gravare eccessivamente sui privati.
È essenziale che queste attività non siano connesse all’esercizio di un’attività professionale o commerciale. Ne consegue che chi esercita un’attività commerciale, anche in assenza di partita IVA, non è escluso dall’applicazione della normativa.
Esempio
è obbligato al rispetto del GDPR:
chi offre in modo saltuario un servizio di alloggio e prima colazione, cosiddetto Bed & Breakfast;
chi restaura oggetti e li vende online se la vendita non può essere definita come occasionale ma una fonte di reddito più o meno stabile.
Non sarà obbligato:
chi vende in modo saltuario oggetti di cui dispone nella propria abitazione, e questa attività non possa definirsi come regolare fonte di reddito.
Inoltre, l’esenzione non si applica a chi offre i servizi online che consentono ai privati di condurre le attività di natura personale o domestica.
Esempio
è obbligato al rispetto del GDPR chi sviluppa applicazioni per dispositivi mobili usate dalle persone fisiche per l’invio di messaggistica per attività personali.
4.5 Cosa si intende per dati personali?
Il GDPR definisce i dati personali come le informazioni riferibili all’interessato. L’interessato è sempre una persona fisica identificata o identificabile. È tale la persona fisica che può essere individuata, direttamente o anche indirettamente, con particolare riferimento a un identificativo. Da sottolineare che l’uso del termine “indirettamente” sta ad indicare che per qualificare un’informazione come dato personale, non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata.
Costituisce un identificativo:
il nome, il numero di identificazione, i dati di localizzazione, l’identificativo online (indirizzo IP), uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Al fine di determinare se la persona è identificabile bisogna far riferimento a tutti gli strumenti di cui il titolare del trattamento o un terzo possono avvalersi per identificare la persona. Per verificare la possibile utilizzabilità di questi mezzi al fine di identificare la persona fisica si prenderanno in considerazione dei fattori obiettivi come:
costi e tempo necessario per l’identificazione;
la disponibilità di tecnologie usabili per l’identificazione al momento del trattamento, ma anche eventuali sviluppi tecnologici.
4.6 Cosa si intende per trattamento dei dati personali?
Il trattamento riguarda qualsiasi operazione o insieme di operazioni, compiute anche senza processi automatizzati, e applicate a dati personali o insiemi di dati personali.
Esso comprende tutte quelle attività che implicano:
la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
4.7 Chi è il titolare del trattamento?
Il Regolamento lo identifica come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Essere qualificato come titolare del trattamento determina l’insorgere di particolari doveri e responsabilità imposte dal Regolamento.
La chiave per determinare chi è il titolare del trattamento è strettamente legata al grado di autonomia ed indipendenza nel decidere il modo in cui i dati sono trattati ed il controllo esercitato su di essi.
È infatti il titolare del trattamento ad esercitare la scelta su quali dati devono essere raccolti e trattati. Sarà sempre il titolare del trattamento che in autonomia deciderà lo scopo per cui i dati verranno trattati. Questi sono solamente alcuni dei tratti distintivi della figura del titolare del trattamento, e la sussistenza di tale status dovrà essere verificato caso per caso.
4.8 Chi è il responsabile del trattamento?
Esso è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Da notare che questa è una figura solamente eventuale.
Il responsabile del trattamento, diversamente dal titolare del trattamento, non decide autonomamente sui dati personali da trattare, ed è soggetto alle istruzioni di quest’ultimo. È importante sottolineare che il responsabile del trattamento non va confuso con l’incaricato del trattamento. Il responsabile è infatti un’entità distinta dal titolare del trattamento, e dispone di un’organizzazione propria.
Anche in questo caso, la chiave per determinare chi è il responsabile del trattamento è da individuarsi nel grado di autonomia in merito ai dati da trattare. Il responsabile seguirà le indicazioni fornitegli dal titolare e non potrà decidere se, e quali dati raccogliere, né la base giuridica su cui fondare il trattamento.
4.9 Chi è l’incaricato del trattamento?
La norma dell’articolo 30 del Codice della Privacy che disciplinava la figura dell’incaricato del trattamento è stata abrogata a seguito dell’introduzione del GDPR. L’incaricato del trattamento veniva identificato con un soggetto interno alla compagine del titolare o del responsabile del trattamento e che opera sotto la diretta autorità.
Pur non trovando esplicito riferimento normativo sotto il GDPR, la figura dell’incaricato è compatibile con il Regolamento. La normativa fa riferimento a quelle persone autorizzate al trattamento dei dati personali che sono sotto la diretta responsabilità del titolare o del responsabile. Continueranno quindi ad applicarsi a tale figura le indicazioni del Garante sul tema.
5. Come adeguare il proprio business online al GDPR?
La normativa sulla privacy impone uno sforzo che si estrinseca su tre distinte fasi che possiamo definire di natura:
Il primo riguarderà l’organizzazione dei processi interni sul trattamento e tutela dei dati.
Il secondo è legato al rapporto con i titolari dei dati.
Il terzo, che chiameremo dimostrativo, concerne il rapporto con le autorità deputate al controllo.
Le modalità con cui questo deve essere posto in essere vengono indicate dal GDPR, e saranno oggetto del successivo articolo.