E-Commerce e siti web a norma di legge

E-Commerce
e siti web a norma di legge

a cura di David D'Agostini e Paolo Vicenzotto

La presente Guida è stata predisposta nell'ambito dei lavori
del Progetto Centro di Competenza Open Source attivato dal
Ditedi – Distretto delle Tecnologie Digitali del Friuli Venezia
Giulia.

http://www.ditedi.it
http://www.ditedi.it/progetti/open-source

La presente Guida è rilasciata con licenza Creative Commons
BY-SA 3.0

E-Commerce e siti web a norma di legge pag.2

Sommario

Introduzione......................................................................5

Avvio dell'attività di e-commerce .....................................7
Premessa............................................................................7
Fonti normative..................................................................8
Disciplina ...........................................................................8
Procedimento della SCIA.................................................10
Sanzioni............................................................................13
Adempimenti giuridici
nella realizzazione di siti di e-commerce .......................15
La scelta e la tutela del nome a dominio........................15
Il diritto d'autore e la realizzazione di siti internet.........19
Adempimenti giuridici in materia di e-commerce e


servizi Internet (D.Lgs 70/03)..........................................22
La tutela del consumatore e i contratti on-line nel
Codice del Consumo (D.lgs 206/05)...............................37
Privacy e sicurezza sul web ...........................................49
Introduzione......................................................................49
Le definizioni....................................................................49
Informativa o informative ?.............................................52
La Privacy Policy..............................................................54
L'informativa.....................................................................56
Le sanzioni........................................................................57
Il Consenso.......................................................................58
Casi di esclusione del consenso.....................................60
Cookies - le modifiche introdotte dal d.lgs. 69/12........61
La Notificazione al Garante.............................................64
Le sanzioni........................................................................65
La sicurezza informatica.................................................66
Le misure minime di sicurezza.......................................68
La figura dell'Amministratore di Sistema.......................69
Le sanzioni........................................................................72
Le comunicazioni commerciali tramite e-mail..............73
Open source ed e-commerce ........................................77
Premessa..........................................................................77
Open Source Definition....................................................78
Principali licenze Open Source........................................79
Soluzioni open source per l'e-commerce ......................85


Introduzione

Tutte le imprese sono ormai presenti nel web con il
proprio sito internet aziendale e spesso anche con profili
o pagine in uno o più social network.
Molte di loro, tuttavia, non sanno che nel realizzare e
gestire un sito per il commercio elettronico si devono
rispettare specifiche norme di legge, a volte a pena di
sanzioni o a rischio di controversie giudiziarie.
La presente guida, senza avere la presunzione di
esaurire l'argomento, si prefigge la finalità di illustrare in
modo chiaro quali sono i principali adempimenti legali
inerenti all'avvio di un'attività di e-commerce, nonché ai
contenuti del sito internet (per es. le informazioni che
obbligatoriamente devono essere contenute al suo
interno), facendo anche cenno alla tutela del diritto


d'autore e dei segni distintivi on line.
Viene, altresì, affrontato il tema del trattamento di dati
personali tramite il sito di e-commerce, con le relative
peculiarità (si pensi ai cd. cookies) e degli annessi profili
di sicurezza informatica.
In conclusione, previa spiegazione del concetto di open
source, sono indicate alcune soluzioni OS per siti
internet di e-commerce.


Avvio dell'attività di e-commerce (*)

Premessa
Con l'espressione e-commerce (o commercio
elettronico) si indica la commercializzazione di beni o
servizi realizzata per il tramite di internet, vale a dire
utilizzando strumenti telematici.
Convenzionalmente, secondo le modalità di transazione
o in base ai soggetti coinvolti, si è soliti individuare
diverse tipologie di commercio elettronico; in questa
sede appare opportuno distinguere tra e-commerce
Business to Business (B2B) e Business to Consumer
(B2C).

(*)
Avv. David D'Agostini


La prima tipologia riguarda le transazioni commerciali
tra imprese e l'avvio di tale attività non richiede
adempimenti particolari (tranne quelli eventualmente
previsti da normative di settore).
Nella seconda categoria rientrano gli acquisti di beni e
servizi da parte dei consumatori finali.
Qualora un'impresa volesse esercitare attività di e-
commerce B2C, dovrà considerare i seguenti aspetti.

Fonti normative
• Decreto legislativo 31 marzo 1998, n. 114 Riforma
della disciplina relativa al settore del commercio
Articolo 18 Vendita per corrispondenza, televisione o
altri sistemi di comunicazione.
Articolo 22 Sanzioni e revoca.

• Decreto legislativo 26 marzo 2010 n.59 Attuazione
della direttiva 2006/123/CE relativa ai servizi nel
mercato interno
Articolo 68 Vendita per corrispondenza, televisione o
altri sistemi di comunicazione.

Disciplina
L'art. 18 d.lgs. 114/98 originariamente disponeva che la
vendita al dettaglio per corrispondenza, tramite
televisione o altri sistemi di comunicazione (ivi


compreso il commercio elettronico) fosse soggetta a
previa comunicazione al comune al comune nel quale
l'esercente ha la residenza, se persona fisica, o la sede
legale; veniva, inoltre, previsto che l'attività potesse
essere iniziata solamente decorsi trenta giorni dal
ricevimento della comunicazione stessa.
Il d.lgs. 59/10 (emanato in attuazione alla Direttiva
123/2006/CE) ha inteso eliminare le barriere allo
sviluppo del settore dei servizi tra Stati membri,
semplificando la normativa e, in particolare, le procedure
relative all’accesso e allo svolgimento delle attività di
servizio.
Per effetto dell’art. 68 d.lgs. 59/10, la vendita al dettaglio
per corrispondenza, tramite televisione o altri sistemi di
comunicazione è soggetta a dichiarazione di inizio di
attività (DIA) da presentare allo sportello unico per le
attività produttive del comune nel quale l'esercente,
persona fisica o giuridica, intende avviare l'attività.
Si tratta di una semplificazione importante in quanto non
è più necessario attendere i trenta giorni prima dell’avvio
dell’attività previsti dall’abrogato istituto della
comunicazione (da effettuarsi mediante il modello COM
6 BIS).
Resta in vigore l’art. 22 di quest'ultimo decreto che
punisce il mancato invio della DIA con la sanzione
amministrativa del pagamento di una somma fino a lire
30.000.000 (odierni € 15.493,71).


Successivamente, nell'art. 19 della Legge 241/90 la
dichiarazione di inizio di attività è stata sostituita dalla
Segnalazione certificata di inizio attività (SCIA) in carta
semplice, senza marca da bollo, da effettuarsi
utilizzando l'idonea modulistica.

Procedimento della SCIA
La segnalazione certificata di inizio attività è obbligatoria
sia nel caso in cui venga avviata un'attività di e-
commerce mediante un proprio sito internet, sia qualora
a tale fine si utilizzi un negozio on line all'interno di un
marketplace (per es. Ebay o Amazon).
La segnalazione ha lo scopo di rendere edotto il Comune
che si sta avviando un’attività di commercio elettronico
B2C, specificando i punti fondamentali della medesima:
• i dati del titolare
• la sede fisica
• il tipo di attività
• il codice attività ed eventuali altre attività svolte
• il sito utilizzato per le vendite
• il documento di riconoscimento
L’inizio dell’attività può avvenire subito dopo la
presentazione al Comune della SCIA, a condizione che la
stessa sia compilata in ogni sua parte e completa degli
allegati previsti.


Qualora in sede di controllo delle segnalazioni e dei
relativi allegati emergano carenze dei requisiti e
presupposti previsti dalle normative vigenti, entro il
termine di 60 giorni dal ricevimento della SCIA il Comune
adotta motivati provvedimenti di divieto di prosecuzione
dell’attività e di rimozione degli eventuali effetti dannosi
di essa, salvo che (ove ciò sia possibile) l’interessato
provveda a conformare alla normativa vigente detta
attività ed i suoi effetti entro il termine fissato
dall’Amministrazione, in ogni caso non inferiore a 30
giorni.

Si ricorda che:
• la SCIA dev'essere completa di tutti gli elementi
richiesti a pena di irricevibilità;
• è fatto obbligo al sottoscrittore della SCIA di
comunicare al Comune, alla data di variazione, ogni
modifica intervenuta successivamente alla
presentazione della medesima;
• per il commercio di determinati prodotti devono
essere rispettate le relative norme speciali (art. 26
comma 3 del D.lgs. 114/98 e s.m.);
• per il commercio di cose usate/antiche occorre
presentare la “Dichiarazione ai sensi degli artt. 126-
128 del T.U.L.P.S”.;
• sui dati dichiarati e contenuti nella SCIA possono


essere effettuati, ai sensi dell’art. 71 del D.P.R. n.
445/2000, controlli finalizzati ad accertare la
veridicità delle informazioni fornite e confronti dei
dati in possesso di altre Pubbliche Amministrazioni;
• ai sensi degli artt. 75 e 76 del DPR n. 445/2000,
qualora emerga la non veridicità del contenuto della
dichiarazione, il dichiarante decade dai benefici
eventualmente conseguiti al provvedimento emanato
sulla base della dichiarazione non veritiera ed inoltre
chiunque rilascia dichiarazioni mendaci, forma atti
falsi o ne fa uso è punito ai sensi del codice penale e
delle leggi speciali in materia;
• in caso di accertata carenza dei requisiti necessari, il
Comune potrà adottare motivati provvedimenti di
divieto di prosecuzione dell’attività, salvo che
l’interessato provveda a conformarsi alla normativa
vigente entro un termine fissato
dall’Amministrazione (non inferiore ai trenta giorni, ai
sensi dell’art. 19 della L. n. 241/1990, come
sostituito dall’art. 49, comma 4-bis della Legge 30
luglio 2010 n. 122);
• ai sensi dell’art. 19 comma 6 della L. n. 241/90 e
s.m.i., ove il fatto non costituisca più grave reato,
chiunque, nelle dichiarazioni o attestazioni o
asseverazioni che corredano la SCIA, dichiara o
attesta falsamente l’esistenza dei requisiti o dei
presupposti di cui al comma 1 è punito con la
reclusione da uno a tre anni.


Sanzioni
In caso di violazioni delle disposizioni di cui al d.lgs.
114/98 e al d.lgs. 59/2010, si applicano le sanzioni
amministrative previste dagli artt. 22 e s.s. del d.lgs.
114/98.
In particolare, se si omette la segnalazione certificata di
inizio attività prevista per l'e-commerce B2C, viene
irrogata la sanzione amministrativa di una somma da €
2.582,28 a € 15.493,71.
In ipotesi di particolare gravità o di recidiva (qualora sia
stata commessa la stessa violazione per due volte in un
anno) il sindaco può, inoltre, disporre la sospensione
dell'attività di vendita per un periodo non superiore a
venti giorni.

FAC SIMILE DI SCIA:

Il sottoscritto ...............................................................................
ai fini dell'applicazione al procedimento amministrativo
dell'istituto della segnalazione certificata di inizio attività in
ossequio alla normativa vigente, consapevole che le
dichiarazioni false, la falsità negli atti e l'uso di atti falsi
comportano l'applicazione delle sanzioni penali previste dalla
vigente normativa in materia
DICHIARA
• di essere in possesso dei requisiti di onorabilità e di non


trovarsi nelle condizioni di cui all’art.71, comma 1 del
D.Lgs. n. 59/2010;
• che non sussistono nei propri confronti “cause di divieto,
di decadenza o di sospensione di cui all'art. 10 della
legge 31.5.1965 n. 575” (antimafia);
• di aver rispettato tutte le norme ed i regolamenti vigenti in
materia relativi all'esercizio dell'attività in oggetto;
• (solo in caso di vendita di prodotti alimentari) di essere in
possesso di uno dei requisiti professionali di cui all'art.71,
comma 6 del D. Lgs. 59/2010;
• (solo in caso di nomina di un preposto) che la persona
specificatamente preposta all'attività è il Sig./la
Sig.ra ...................... in possesso dei requisiti morali e
professionali per l'esercizio dell'attività di cui alla
presente Segnalazione Certificata di Inizio Attività.

In caso dichiarazioni false o mendaci è fatta salva,
comunque, l’applicazione delle sanzioni penali previste
dall’art. 76 del D.P.R. 445/2000 e dall’art. 19 comma 6 della L.
241/90 e s.m.i.


Adempimenti giuridici
nella realizzazione di siti di e-commerce (*)

La scelta e la tutela del nome a dominio

Nomi a dominio nel contesto e-commerce
I nomi di dominio, se dal lato tecnico sono
semplicemente lettere che sostituiscono numeri (IP
address) per costituire un “indirizzo” identificativo di un
computer connesso alla rete, una volta inseriti nel
contesto dell’e-commerce assumono un significato
economico-giuridico strategico.
La prima esigenza che un imprenditore tiene in

(*)
Avv. Paolo Vicenzotto


considerazione nella scelta di un nome a dominio è che
esso abbia la capacità di permettere l’individuazione
dell’offerta commerciale contenuta nel sito in questione,
distinguendola dalle innumerevoli altre presenti nella
rete. Il nome a dominio assume un valore suggestivo ed
un’efficacia distintiva identici a quelli di ogni altro segno
distintivo dell’imprenditore (marchio, insegna, ditta).
Così, si garantirà al cliente, che ritenga comodo l’utilizzo
di Internet, la certezza di ritrovare in rete le
caratteristiche e la qualità dei beni e dei servizi offerti nel
mercato “reale” da quell’imprenditore.
A tal fine l’art. 22 D. Lgs. 30/05 dispone che è vietato
adottare come ditta, denominazione o ragione sociale,
insegna e nome a dominio aziendale un segno uguale o
simile all'altrui marchio se, a causa dell'identità o
dell'affinità tra l'attività di impresa dei titolari di quei
segni ed i prodotti o servizi per i quali il marchio è
adottato, possa determinarsi un rischio di confusione
per il pubblico che può consistere anche in un rischio di
associazione fra i due segni.
Nella scelta del nome a dominio da utilizzare in un sito
e-commerce, pertanto, l’imprenditore dovrà evitare di
scegliere nel dominio di secondo livello, nomi identici o
simili ad altri marchi registrati per prodotti affini a quelli
che si intende commercializzare.
Nella pratica, l’imprenditore titolare di un marchio, anche
di fatto, tenderà a registrare un nome a dominio che
richiami il proprio segno distintivo, proprio per giovarsi


dell’avviamento e degli investimenti marketing già
effettuati in passato.

La tutela giuridica del nome a dominio
Ma come ci si deve comportare se il dominio
corrispondente o simile al proprio segno distintivo
aziendale è già stato registrato da soggetti terzi?
Le soluzioni giuridiche a tutela del diritto di utilizzo del
proprio marchio nel nome a dominio sono due. La prima
consiste nel ricorso alla procedura stragiudiziale di
riassegnazione fornita dai prestatori del Servizio di
Risoluzione extragiudiziale delle Dispute (PSRD)
accreditati dal Registro per la conduzione delle
procedure di riassegnazione di un nome a dominio nel
ccTLD "it" (per il TLD “.com” la procedura analoga
avviene tramite la WIPO). La procedura è disciplinata da
apposito Regolamento (oggi alla versione 2.0 di data 19
giugno 2009) disponibile, insieme a tutte le indicazioni
utili, al sito www.nic.it/legale.
La seconda soluzione, invece, è quella giudiziale con
ricorso, anche d’urgenza, alle sezioni specializzate del
Tribunale competente.
In generale, comunque, se vi è una disputa fra diversi
soggetti che reclamano il diritto di utilizzare un nome a
dominio o se, come accade di frequente, un terzo occupa
un dominio corrispondente ad un nostro segno
distintivo, i parametri utili per dirimere la controversia in
generale sono questi.


Il soggetto che ha registrato il dominio per primo
manterrà tale diritto se riuscirà a provare la propria
buona fede cioè ad esempio se proverà di essere già
conosciuto, personalmente, come associazione o ente
commerciale con il nome corrispondente al nome a
dominio registrato, anche se non ha registrato il relativo
marchio. Parimenti egli potrà provare la propria buona
fede se l’uso che sta facendo di tale dominio è non
commerciale e non comporta sviamento di clientela del
ricorrente o nocumento per il marchio registrato.
Per chi invece vorrà “recuperare” il dominio
corrispondente al proprio marchio, anche di fatto, servirà
invece provare la “mala fede” del registrant: cosa
agevole nei casi di registrazione del dominio
corrispondente al nostro marchio da parte di soggetti
che hanno poi tentato di “rivenderci” il dominio per un
corrispettivo, monetario o meno, che sia superiore ai
costi ragionevolmente sostenuti per la registrazione ed il
mantenimento del nome a dominio. Oppure se vi è prova
che il nome a dominio sia stato registrato (magari da un
concorrente) proprio per impedirci di utilizzare tale
nome, ovvero venga utilizzato per attività in concorrenza
alla nostra. Altra circostanza che consente il recupero
del dominio è che – in assenza di requisiti di buona fede
sopra citati - si provi che non esiste alcun collegamento
dimostrabile tra il titolare del nome di dominio e il nome
di dominio registrato identico o simile al marchio.


Il diritto d'autore e la realizzazione di siti internet

Oggetto di tutela del diritto d'autore on-line
Ogni opera di carattere creativo è realizzata da un
soggetto che ne è Autore e che è il titolare dei relativi
diritti morali. L’autore dispone poi dei diritti materiali ed
economici sulle singole opere, potendo così cederli a
terzi, verso il pagamento di un corrispettivo o
gratuitamente.
Alla luce di ciò, si può affermare che i contenuti
multimediali di un sito Internet sono oggetto di tutela ai
sensi della Legge sul Diritto d’Autore (Legge 22 aprile
1941 n. 633 “Protezione del diritto d'autore e di altri
diritti connessi al suo esercizio”), nella misura in cui essi
siano dotati di “carattere creativo”.
Secondo una certa interpretazione, anche il sito Internet
nel suo complesso potrebbe essere oggetto di tutela, in
quanto ricompreso nella definizione di “data base” della
Direttiva 96/9/CE, recepita nella legge sul Diritto d’Autore
agli art. 64 quinquies e seguenti.
Nella pratica, però, è più frequente applicare la normativa
sul copyright non tanto a tutela dell’intero sito nel suo
complesso, quanto a singole parti di esso, quali testi,
foto, video, animazioni, grafici, tabelle, jingle, musiche.
Elementi questi che se dotati di un minimo carattere di
creatività costituiscono elementi tutelati dalle leggi
italiane e straniere sul copyright.


Pertanto, chi realizza siti Internet è pienamente coinvolto
nella citata normativa sotto due opposti punti di vista:
primo, dovrà rispettarla nel momento in cui vorrà
utilizzare per propri siti Internet un contenuto
multimediale non originale, in quanto tratto da terze
parti; secondo, dovrà invocarla quando terzi utilizzano
illecitamente contenuti multimediali presenti sulle
proprie pagine web.
L’elemento essenziale è comunque che l’elemento
tutelabile deve essere “dell’ingegno” e di “carattere
creativo”. Cioè deve essere nuova rispetto creazioni
precedenti e deve riflettere la personalità dell'autore.

Alcuni semplici suggerimenti per chi realizza siti web
Questa brevissima e generale introduzione all’oggetto
del diritto d’autore nei siti Internet consente di elaborare
alcuni principi ai quali è opportuno attenersi nella
realizzazione di un sito web.
In primo luogo è importante indicare in un apposito link
nella home page (denominato “diritti d’autore” o
“copyright”) l’autore dei contenuti multimediali del sito e
chi ne detiene i diritti economici di sfruttamento (che
può essere la web agency che ha creato il sito ovvero
l’azienda Cliente). Questa accortezza è utile in primo
luogo perché la legge ritiene che sia “Autore” dell'opera,
salvo prova contraria, semplicemente chi è in essa
indicato come tale (art. 8 L. 633/41). Inoltre tale link è
necessario anche indicare se e in che misura sarà


possibile utilizzare i contenuti del sito web. Ad esempio,
in molti casi potrebbe essere consigliabile sfruttare le
licenze “creative commons”, già universalmente note e
riconosciute in ambito Internet e sufficientemente
flessibili per le più classiche esigenze.
In generale è sempre consigliato evitare il “copia incolla”
di testi o di altro materiale multimediale tratto da
Internet, salvo che nel sito di provenienza sia esplicitata
una licenza di utilizzo del materiale compatibile con le
finalità del nostro lavoro.
E’ pertanto utile avvalersi di materiale tratto da librerie
che cedono i diritti di utilizzazione per uso commerciale
o non personale, ovvero da siti Internet che
professionalmente mettono a disposizione foto, video,
musica e quant’altro sempre per uso commerciale
(www.istockphoto.com, www.fotolia.com ecc.) ed anche in
questo caso – e non per ragioni giuridiche ma di
professionalità – si raccomanda di verificare i siti
“concorrenti” della vostra committente, onde evitare
leciti, ma sgradevoli, doppioni.
Occorre particolare attenzione anche nei frequenti casi
di progetti e-commerce dove è prevista la rivendita on-
line di beni di aziende terze. Solitamente in tali casi
l’immagine o la foto del bene in vendita viene presa
direttamente dal sito Internet del produttore, oppure il
prodotto viene direttamente fotografato, magari con il
relativo marchio in bella vista. In questi casi
normalmente non vi saranno problemi, visto che il


produttore sarà ben contento che altri siti vendano e
pubblicizzano i suoi prodotti. Tuttavia alcuni marchi,
soprattutto se notori, non sempre lasciano totale libertà
in campo di diritto intellettuale ed industriale. Se vi sono
dei dubbi sull’utilizzabilità di determinato materiale
multimediale (o sulla possibilità di riprodurre un marchio
o un logo) è sempre opportuno leggere attentamente le
condizioni di copyright per l’utilizzo del materiale tratto
da quel sito ed eventualmente, qualora non vi siano
indicazioni specifiche, inviare una mail richiedendo il
consenso all’utilizzo.
Altre piccole attenzioni devono essere poste qualora sia
il Cliente a fornire testi e foto da inserire nel sito: è
sempre opportuno farsi confermare per iscritto, oppure
anche via mail, la titolarità dei relativi diritti di
disposizione. Questo al fine di prevenire possibili futuri
fraintendimenti a fronte di contestazioni sulla titolarità
dei diritti di utilizzazione del materiale.

Adempimenti giuridici in materia di e-commerce
e servizi Internet (D.Lgs 70/03)

Brevi cenni su alcuni aspetti fiscali dell’e-commerce
Prima di trattare alcune parti più specifiche circa gli
aspetti giuridici dell’e-commerce, si ritiene utile
accennare, pur senza approfondire, alcuni aspetti fiscali
dell’impresa in Internet.
Generalmente l’attività di e-commerce svolta dal


“privato” per fini personali è legittima, ma diventa
fiscalmente “rischiosa” quando tende a sconfinare
un’attività più complessa ed organizzata.
L’attività di e-commerce, infatti, richiede l’apertura di una
partita IVA, con conseguente inquadramento come ditta
individuale, società di persone o società di capitali,
quando non è occasionale e genera un fatturato
superiore ai € 5.000,00 annui. Sotto tale soglia l’attività
di e-commerce potrebbe rientrare nella c.d. “prestazione
meramente occasionale” che da un punto di vista fiscale
rientra nelle previsioni dell'articolo 67 del TUIR (redditi
diversi) ed è esclusa dal campo di applicazione dell'IVA
ai sensi dell'articolo 5 del Dpr 633/1972, per carenza del
presupposto soggettivo.
Il giro d’affari e la non occasionalità delle prestazioni di
un sito e-commerce possono essere oggetto di
valutazioni da parte della Agenzia delle Entrate onde
valutare eventuali evasioni di imposta diretta e indiretta.
La cosa rileva particolarmente per chi ha aperto un
“negozio” nella piattaforma eBay. Ricordo, a mero titolo
informativo, che la Guardia di Finanza ha richiesto
formalmente ed ottenuto da eBay informazioni quali:
Nome e Cognome, Ragione Sociale (per gli account
business) ID utente, Indirizzo, Recapito telefonico,
Indirizzo e-mail, Codice Fiscale, di tutti gli utenti che
avessero ricevuto fatture da eBay per importi superiori a
€ 1.000,00 annui, per ogni anno dal 2004 al 2007 e
avessero venduto più di 5 oggetti per anno.


Da queste informazioni potremmo perciò ricavare i
parametri per definire un “venditore professionista”, che
svolge un’attività di fatto imprenditoriale e non più
personale.
A seguito di tale indagine, l’Autorità ha eseguito una
serie di controlli ed accertamenti fiscali che hanno
coinvolto anche alcuni “privati”, di fatto rivelatisi
“professionisti” ed evasori totali.

Introduzione al D.lgs 70/03 su e-commerce e servizi
Internet
Il Decreto legislativo 9 aprile 2003, n. 70 è il recepimento
nell’ordinamento italiano della “Direttiva 2000/31/CE
relativa a taluni aspetti giuridici dei servizi della società
dell'informazione, in particolare il commercio elettronico,
nel mercato interno” ed è uno dei riferimenti giuridici
principali per la realizzazione di siti Internet a norma di
legge. Di fatto, il D.lgs 70/03 regola i servizi che vengono
erogati tramite un sito Internet, con l’obiettivo di
promuoverne “la libera circolazione” nella UE.
E’ opportuno sottolineare come i “taluni aspetti giuridici”
citati dal titolo della normativa sono alquanto variegati.
La legge, infatti, oltre il tema della libertà di erogazione
dei servizi web, disciplina tematiche quali il contenuto
obbligatorio dei siti Internet, le modalità con cui si deve
impostare e gestire un sistema di e-commerce ed infine
la responsabilità dei provider.
Quest’ultimo aspetto è il parametro giuridico che la


Giurisprudenza di merito sta prendendo per disciplinare
controversie sulle responsabilità dei fornitori di servizi
web 2.0, quali social network, blog, piattaforme per
utenti o elaborazioni software in modalità as a service.

Ambito di applicazione e ubicazione dei server
L’ambito di applicazione del d.lgs 70/03 non si limita ai
soli siti di commercio elettronico, ma è ben più ampio, in
quanto coinvolge tutti i “servizi della società
dell’informazione”. L’art. 1, infatti, richiamando anche la
legge 317/86, specifica che la norma si applica a
qualsiasi “attività economica svolta on-line” (perciò dal
semplice “sito vetrina” aziendale ai più complessi servizi
hosting dei provider ecc.) nonché a “qualsiasi servizio
prestato normalmente dietro retribuzione, a distanza, per
via elettronica e a richiesta individuale di un destinatario
di servizi”, cioè “un servizio inviato all'origine e ricevuto
a destinazione mediante attrezzature elettroniche di
trattamento, compresa la compressione digitale e di
memorizzazione di dati e che è interamente trasmesso,
inoltrato e ricevuto mediante fili, radio, mezzi ottici od
altri mezzi elettromagnetici”.
Il prestatore del servizio deve essere stabilito nel
territorio italiano (o Europeo). In un contesto tecnologico
come quello di Internet non è sempre agevole
individuare dove sia effettivamente stabilita un’azienda.
A tal fine, la norma precisa correttamente che “La
presenza e l'uso dei mezzi tecnici e delle tecnologie
necessarie per prestare un servizio non costituiscono di


per sé uno stabilimento del prestatore”. Il principio
applicabile, perciò, pare essere quello della “stabile
organizzazione” di diritto tributario. Esemplificando,
un’azienda costituita a Londra, con server in Irlanda, ma
che di fatto gestisce e organizza il servizio dall’Italia,
sarà sottoposta alla disciplina del D.lgs 70/03 così come
ad ogni altra normativa di diritto italiano. Cosa di non
poco conto, se si tengono conto gli aspetti fiscali o i
divieti e limitazioni previste nel nostro ordinamento per
talune attività in Internet (si pensi ai giochi d’azzardo,
alla vendita di medicinali, alle c.d. aste al ribasso ecc).

Tutela generale e la libertà di erogazione di servizi
Internet in UE
In primo luogo il D.Lgs 70/03 garantisce che qualsiasi
servizio erogato via Internet (siti web, e-commerce,
hosting, mail, applicazioni ecc.) offerto da un soggetto
stabilito in uno degli stati membri dell’Unione Europea
non possa essere limitato da norme o Autorità di un altro
paese, salvo – ovviamente – casi di ordine pubblico,
prevenzione e repressione di reati, salute, sicurezza,
tutela del consumatore, però con modalità e limiti ben
specifici (art. 7 comma 2 e 3).
Altro obiettivo della norma è quello di vietare che singoli
paesi membri approvino forme “locali” di autorizzazione
ai servizi ICT. L’art. 8 dispone infatti che “l'accesso
all'attività di un prestatore di un servizio della società
dell'informazione e il suo esercizio non sono soggetti, in
quanto tali, ad autorizzazione preventiva o ad altra


misura di effetto equivalente”. Secondo la direttiva è
importante assicurare che il commercio elettronico
possa beneficiare pienamente del mercato interno di
ogni singolo paese, favorendo così la libera circolazione
dei servizi.
Ad esempio, anche in ossequio a tale principio, dal 2010
in Italia sono stati finalmente eliminati i farraginosi
obblighi autorizzatori previsti dal D.Lgs 31/3/1998 n.114
(art. 18 e 26 comma 5) per intraprendere un’attività di
commercio elettronico, oggi sostituiti da una semplice
comunicazione di inizio attività al Comune ove a sede
l’azienda, che potrà così operare con effetto immediato.
Rimangono comunque leciti i limiti imposti per attività
che non riguardano specificatamente ed esclusivamente
i servizi della società dell'informazione, come servizi
finanziari, assicurativi, medici, giuridici, di
telecomunicazioni ecc.

Contenuto minimo obbligatorio di siti web, obblighi
generali di informazione
Un primo ed importante aspetto pratico del D.lgs 70/03 è
la previsione di una serie di contenuti minimi obbligatori
per chi intenda realizzare un qualsiasi servizio tramite
Internet, come ad esempio un sito di e-commerce.
Chiaramente questi obblighi informativi valgono anche
per l’attività on-line svolta da aziende di un qualsiasi
paese membro della UE, in forza delle rispettive norme di
recepimento della direttiva 31/00/CE.


In generale le informazioni che risulta necessario fornire
agli utenti/clienti di un sito web sono numerose e –
purtroppo – sparse in diverse normative non sempre ben
coordinate: il D.lgs 70/03 e il Codice del Consumo, che
vedremo in modo più specifico qui di seguito, nonché il
Codice Civile e il DPR 633/72.
Le prime informazioni obbligatorie che deve contenere
un sito web sono elencate analiticamente all’art. 7 del
d.lgs 70/03, e sono le seguenti:
a) il nome, la denominazione o la ragione sociale (del
soggetto che eroga il servizio tramite il sito)
b) il domicilio o la sede legale;
c) gli estremi che permettono di contattare
rapidamente il prestatore e di comunicare
direttamente ed efficacemente con lo stesso,
compreso l'indirizzo di posta elettronica;
d) il numero di iscrizione al repertorio delle attività
economiche, REA, o al registro delle imprese;
e) il numero della partita IVA o altro numero di
identificazione considerato equivalente nello Stato
membro, qualora il prestatore eserciti un'attività
soggetta ad imposta;
Questi primi cinque elementi sono sostanzialmente
comuni ed obbligatori per qualsiasi attività economica
svolta on-line da un soggetto, sia esso persona
giuridica, professionista o ditta individuale. Qualora
invece il sito Internet sia gestito da un persona fisica,


perciò senza partita IVA e iscrizione REA, non sono
ovviamente necessarie le indicazioni dei punto c) - g)
rimanendo comunque in vigore gli altri obblighi di
informazione.
Dal tenore letterale del punto c) dell’art. 7, ritengo che
l’indicazione del solo indirizzo mail per contattare
rapidamente e direttamente il prestatore forse non sia
sufficiente, essendo necessario fornire anche un
ulteriore mezzo, quale il numero di telefono, fax, account
Skype o analoghi strumenti di comunicazione o chat.
In generale, comunque, l’obbligo di fornire informazioni
analoghe a quelle previste da questi primi 5 punti
dell’art. 7 del D.lgs 70/03 non sono una novità assoluta.
Cito in questa sede, ad esempio, la formulazione degli
articoli 2250 e 2630 del Codice Civile a seguito
dell’entrata in vigore della Legge comunitaria n. 88/09,
che prevedono l’obbligo per le società di capitali di
inserire determinate informazioni legali (sede, numero di
iscrizione e ufficio del Registro delle imprese, ecc.)
anche sul proprio sito Web. Si sottolinea, poi, che anche
l'articolo 35, comma 1 del D.P.R. n. 633/72 obbliga tutti i
soggetti in possesso di partita IVA a pubblicare sulla
home page del proprio sito Internet il relativo codice di
partita IVA, e l'omessa indicazione, è punita con una
sanzione amministrativa fino a € 2.065,83
L’art. 7 del d.lgs 70/03 prosegue poi specificando che
l’imprenditore di e-commerce che intenda erogare
servizi o vendere beni che sono soggetti a concessioni,


licenze, oppure hanno riguardano professioni
regolamentate, debba fornire altre specifiche notizie,
sugli elementi di individuazione nonché gli estremi della
competente autorità di vigilanza qualora un'attività sia
soggetta a concessione, licenza od autorizzazione;
E se il servizio offerto on-line è normalmente riservato
alle professioni regolamentate (ad es. servizio di
consulenza legale, tributaria, psicologica ecc) è
necessario altresì indicare sul sito Internet:
a) l'ordine professionale o istituzione analoga, presso
cui il prestatore sia iscritto e il numero di iscrizione;
b) il titolo professionale e lo Stato membro in cui è
stato rilasciato;
c) il riferimento alle norme professionali e agli eventuali
codici di condotta vigenti nello Stato membro di
stabilimento e le modalità di consultazione dei
medesimi;
La lettera h) del D.lgs 70/03 dispone che l’imprenditore
di e-commerce debba fornire altresì “l’indicazione in
modo chiaro ed inequivocabile dei prezzi e delle tariffe
dei diversi servizi della società dell'informazione forniti,
evidenziando se comprendono le imposte, i costi di
consegna ed altri elementi aggiuntivi da specificare”
nonché “l'indicazione delle attività consentite al
consumatore e al destinatario del servizio e gli estremi
del contratto qualora un'attività sia soggetta ad
autorizzazione o l'oggetto della prestazione sia fornito


sulla base di un contratto di licenza d'uso”.
Questa previsione risulta in parte simile a quella prevista
dall’art. 13 comma II. Inoltre anche il Codice del
Consumo tratta il medesimo argomento, qualora il
servizio sia fornito, anche solo potenzialmente, ad un
c.d. “consumatore”. Pertanto si rimanda ai prossimi
capitoli uno specifico approfondimento, in particolare
sulle modalità tecniche con cui è opportuno rendere tali
informazioni al Cliente.
Secondo il D.lgs 70/03 tutte le informazioni obbligatorie
sopra citate, cioè quelle dell’art. 7, devono essere
“facilmente accessibili, in modo diretto e permanente”.
Si ritiene che il modo migliore per adempiere alla norma,
senza rovinare la grafica del sito, sia quello di creare una
pagina ad hoc che riporti tutte queste informazioni. Tale
pagina sarà accessibile tramite un link nella home page
denominato “termini legali”, di solito posto in basso,
accanto ai link che disciplinano gli altri aspetti “giuridici”
del sito, come il link “privacy” (informativa e consensi,
gestione dei cookie) e il copyright. Sarebbe opportuno
fornire le informazioni legali almeno in due lingue,
italiano e inglese.

Le informazioni obbligatorie nella conclusione del
contratto: gli art. 12 e 13 del D.lgs 70/03
L’art. 12 del D.lgs 70/03 tratta ulteriori obblighi
informativi in aggiunta a quelli sopra visti, ma questa
volta finalizzati in modo più specifico a rendere


consapevole e libero l’utente nel momento antecedente
l’inoltro definitivo dell’offerta.
La norma infatti impone di fornire “in modo chiaro,
comprensibile ed inequivocabile, prima dell'inoltro
dell'ordine da parte del destinatario del servizio” queste
informazioni:
a) le varie fasi tecniche da seguire per la conclusione
del contratto;
b) il modo in cui il contratto concluso sarà archiviato e
le relative modalità di accesso;
c) i mezzi tecnici messi a disposizione del destinatario
per individuare e correggere gli errori di inserimento
dei dati prima di inoltrare l'ordine al prestatore;
d) gli eventuali codici di condotta cui aderisce e come
accedervi per via telematica;
e) le lingue a disposizione per concludere il contratto
oltre all'italiano;
f) l'indicazione degli strumenti di composizione delle
controversie.
Queste informazioni dovranno essere visibili, anche in
una pagina ad hoc accessibile con un link all’interno del
negozio virtuale, fra le pagine dei prodotti e dei servizi
offerti nel sito.


I software di e-commerce più adeguati alla norma.
Conferma dell’ordine e informazioni obbligatorie.
Argomento alquanto importante, soprattutto al fine di
individuare i sistemi software di e-commerce (carrello)
più corretti dal punto di vista normativo, si trova
nell’articolo 12 comma 3 del D.lgs 70/03, il quale
dispone che i contratti che disciplinano il rapporto fra
imprenditore e Cliente debbano essere messi a
disposizione “in modo che gli sia consentita la
memorizzazione e la riproduzione”. Il successivo articolo
13 (Inoltro dell’ordine) specifica nel dettaglio il
complesso rapporto fra contratto/ordine/accettazione
nel commercio elettronico.
L’art. 13 dispone che, salvo differente accordo tra parti
diverse dai consumatori, l’imprenditore di e-commerce
debba “accusare” - dice precisamente il testo di legge -
subito e per via telematica, una “ricevuta” dell’ordine, con
il riepilogo del contratto, le informazioni relative alle
caratteristiche essenziali del bene o del servizio scelto,
l'indicazione dettagliata del prezzo, dei mezzi di
pagamento, del diritto di recesso (come diremo poi)
nonchè dei costi di consegna e dei tributi applicabili. Più
che il “riepilogo del contratto” sarebbe opportuno
riportare l’intero testo delle condizioni generali di
contratto che disciplinano il rapporto con il Cliente, in
modo che sia soddisfatto il requisito del comma 3
dell’art. 12 del D.lgs 70/03.
Il modo più corretto per “accusare” tale ricevuta è quello


di unire queste informazioni con quelle dell’art. 54 del
Codice del Consumo (che vedremo a breve), inserendole
in un unico documento PDF di riepilogo che si genera
automaticamente alla definitiva conferma dell’ordine e
che viene allegato ad una comunicazione e-mail che
sarà spedita all’indirizzo che il Cliente ha indicato,
obbligatoriamente, nel form di registrazione.
Molti software e-commerce permettono sì di fornire al
consumatore tutte le informazioni obbligatorie sopra
elencate, ma solo per mezzo di una pagina web
residente nel server stesso del fornitore del servizio.
Questo sistema di elaborazione dell’ordine è stato
considerato non conforme alla normativa e-commerce
da una Sentenza della Corte di Giustizia dell'Unione
Europea del 5 luglio 2012 nella causa C-49/11. Secondo
i Giudici “la prassi commerciale consistente nel rendere
accessibili ai consumatori le informazioni richieste
dall'art. 5, paragrafo 1, della direttiva 97/7/CE per la
protezione dei consumatori in materia di contratti a
distanza, solamente attraverso un collegamento
ipertestuale a un sito Internet dell'impresa interessata
non soddisfa i requisiti imposti dalla direttiva stessa, dal
momento che tali informazioni non sono né "fornite" da
tale impresa né "ricevute" dal consumatore". Ecco
perché riteniamo che l’invio al cliente di una e-mail
riassuntiva, con allegato il documento PDF contenente la
conferma dell’ordine e gli altri elementi informativi
obbligatori, sia lo strumento tecnico che coniuga al
meglio gli adempimenti legali dell’e-commerce, anche in


merito agli obblighi previsti dall’art. 54 del Codice del
Consumo (che vedremo a breve), con quelli di rapidità e
usabilità del sito.

I software di e-commerce più adeguati alla norma. La
registrazione del Cliente.
Quanto riportato all’art. 12 e 13 del D.lgs 70/03 sono
molto utili per indirizzare l’imprenditore (o chi
materialmente propone e realizza siti e-commerce) nella
scelta della modalità tecnica e grafica con cui si
completa l’ordine di acquisto, cioè in sostanza nella
scelta del software di “carrello” e-commerce più
adeguato.
A nostro parere, oltre quanto sopra detto, i sistemi di
acquisto più adeguati sono quelli che permettono di
visionare i prodotti liberamente, di inserirli nel carrello,
ma al momento dell’acquisto effettivo obbligano il
Cliente a registrarsi al sito e a proseguire l’acquisto in
una pagina protetta.
Tale soluzione, che molti imprenditori ritengono
macchinosa, in realtà permetterebbe di affermare che
l’incontro di proposta e accettazione del bene o servizio,
nonché l’accettazione delle condizioni generali di
contratto che disciplinano tale accordo, sono avvenute
in un contesto di “dati in forma elettronica, allegati
oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione
informatica” cioè - ai sensi del D.lgs 82/05 - in un


contesto tecnico/giuridico di “firma elettronica”.
Avvenendo il tutto in ambiente criptato (https), magari
con sistemi di doppio consenso all’autenticazione a
seguito dell’invio di una e-mail di conferma, tale firma
elettronica (debole) potrà essere considerata dal Giudice
ragionevolmente sicura per “caratteristiche oggettive di
qualità, sicurezza, integrità ed immodificabilità”. La
conseguenza di ciò sarà la sua validità giuridica (20
comma 1 bis del D.lgs 82/05) e probatoria (21 comma
1).
Non è detto che sistemi meno complessi pregiudichino
la validità giuridica dell’accordo contrattuale, visto che –
come ha ribadito una recente ordinanza del Tribunale di
Catanzaro – anche se in sede cautelare – “per il
perfezionamento del contratto, “vigendo nel nostro
ordinamento il principio di libertà delle forme, la tecnica
“del tasto virtuale” o “point and click”, utilizzata nella
contrattazione telematica, è sufficiente a manifestare il
consenso contrattuale e ritenere perfezionato il
contratto, laddove si tratti di un contratto a forma libera”.
Tuttavia, la stessa ordinanza dichiara che ove vi siano
clausole da approvarsi per iscritto (come le vessatorie
sia ai sensi e per gli effetti dell’art. 1341 II comma che
quelle previste dal Codice del Consumo) esse
dovrebbero essere sottoscritte con “firma digitale”, cioè
una firma elettronica che presuppone crittografia
asimmetrica, ente certificatore e un “dispositivo di
firma”. Strumento questo per nulla diffuso fra i
consumatori.


Pertanto, come suggerito prima, tutti gli elementi del
contratto (nonché ricevuta dell'ordine, riepilogo e
informazioni relative alle caratteristiche essenziali del
bene o del servizio scelto, indicazione dettagliata del
prezzo, dei mezzi di pagamento, del diritto di recesso,
dei costi di consegna e dei tributi applicabili) sarebbe
opportuno venissero riepilogati in una pagina
“riassuntiva” prima dell’effettiva accettazione (e del
pagamento con carta di credito) per poi essere inseriti in
un unico PDF e contestualmente inviati alla mail
dichiarata dal Cliente (meglio, ma improbabile, da una
nostra PEC alla PEC del Cliente).
Si specifica infine che la violazione delle norme
sull’informazione degli utenti (art. 7 e 12) sono punite
con il pagamento di una sanzione amministrativa
pecuniaria da 103 a 10.000 euro.

La tutela del consumatore e i contratti on-line
nel Codice del Consumo (D.lgs 206/05)
Nella realizzazione di servizi e-commerce diviene oramai
fondamentale la conoscenza e l’applicazione del Codice
del Consumo, cioè Decreto Legislativo 6 settembre 2005,
n. 206 (pubblicato nella Gazzetta Ufficiale n. 235 del 8
ottobre 2005 - Supplemento Ordinario n. 162).
Tale normativa contiene la disciplina giuridica dei c.d.
“contratti a distanza” con i consumatori, prima
disciplinati dal D.lgs 185/99 in attuazione della Dir.
97/7/CE.


Pertanto, un servizio di e-commerce, da un punto di
vista contrattuale e delle modalità pratiche con cui si
svolge, deve anche sottostare alle prescrizioni del
Codice del Consumo.
In primo luogo è necessario individuare la nozione di
“consumatore”, inizialmente introdotta nel nostro
ordinamento con la legge 52/1996, in attuazione della
direttiva 1993/13/CEE, e oggi precisata all’art. 3 comma
1 lett. A) del Codice del Consumo, quale “la persona
fisica che agisce per scopi estranei all'attività
imprenditoriale, commerciale, artigianale o professionale
eventualmente svolta”.
La nozione di “consumatore” ha avuto alterne
interpretazioni e sfumature nel nostro ordinamento, ma
ai fini di quanto interessa in questa sede, possiamo
affermare che tale è esclusivamente la persona fisica
(anche imprenditore ovvero professionista) che conclude
un contratto on-line per la soddisfazione di esigenze
della vita quotidiana, sempre che siano estranee
all’esercizio della propria attività lavorativa e
professionale. Pertanto un avvocato che acquista on-
line un libro per i propri figli è un “consumatore”, se
acquista sul medesimo sito web un libro sul “contratto di
locazione” è invece un professionista.
Nella prassi è opportuno valutare accuratamente se il
bene o servizio venduto tramite il proprio sito di e-
commerce, di fatto – anche solo potenzialmente –
possa essere acquistato da un soggetto per uno scopo


“estraneo” alla propria vita professionale. Il consiglio,
comunque, è quello di impostare il sito web in modo che
rispetti le prescrizioni del Codice del Consumo che
vedremo qui di seguito.

E-commerce e consumatore, adempimenti
Gli adempimenti tecnici e giuridici di cui parleremo, che
si sommano a quelli del d.lgs 70/03 visti sopra, si
applicano a tutti i siti di e-commerce potenzialmente
accessibili a consumatori. Elemento essenziale per
applicare la norma è che offerta, proposta e accettazione
del bene o del servizio si svolgano “senza la presenza
fisica e simultanea del professionista e del
consumatore”: cosa comune al banalissimo “sito
vetrina” con un ordine che si perfeziona via mail, ai
normali sistemi “a carrello” point and click ovvero altre e
più complesse forme di e-procurement.
La legge elenca una serie di tipologie di contratti on-line
ai quali, invece, non si applica la norma, in quanto già
ricompresi in discipline specifiche. Sono esclusi, ad
esempio, i contratti relativi ai servizi finanziari, quelli
conclusi con gli operatori delle telecomunicazioni, quelli
di costruzione e vendita di beni immobili, quelli conclusi
in occasione di aste.
In materia di Codice del Consumo, il primo obbligo a cui
l’imprenditore di e-commerce deve sottostare è,
nuovamente, quello di informazione, come già previsto
dall’art. 7 del D.lgs 70/03 e dai successivi articoli 12 e


13. Le due norme non son ben coordinate anche se da
un lato il Codice del Consumo si preoccupa di dire al
comma 5 dell’art. 52 “In caso di commercio elettronico
gli obblighi informativi dovuti dal professionista vanno
integrati con le informazioni previste dall'articolo 12 del
decreto legislativo 9 aprile 2003, n. 70” e dall’altro il D.lgs
70/03 all’art. 12 comma 1 fa salvi “obblighi informativi
previsti per specifici beni e servizi” nonché “quelli
stabiliti dall'articolo 3 del decreto legislativo 22 maggio
1999, n. 185”, oggi nel Codice del Consumo.
Nella pratica, comunque, è opportuno fornire le
informazioni prescritte dal Codice del Consumo
unitamente a quelle previste dagli articoli 12 del D.lgs
70/03, coordinando al meglio il contenuto delle due
norme in funzione del prodotto e servizio venduto.
Soprattutto, comunque, è necessario inviare tali
informazioni con le modalità tecniche che abbiamo
sopra dettagliato, tramite documento PDF allegato alla
e-mail di conferma d’ordine.
Questo perché l’art. 53 del Codice del Consumo
prescrive che il consumatore debba ricevere queste
informazioni “per iscritto” o, a sua scelta, “su altro
supporto duraturo a sua disposizione ed a lui
accessibile”, e ciò prima o al momento della esecuzione
del contratto.
Posto che la “conferma per iscritto”, cioè via posta o a
mezzo fax, vanifica il senso dell’e-commerce, è
opportuno specificare cosa consista fornire tali


informazioni in un supporto duraturo a disposizione
dell’utente e a lui accessibile. Qui ci viene in soccorso la
sentenza della Corte di Giustizia sopra citata, con la
quale i Giudici negano che un semplice link che punti
una pagina del sito web del fornitore possa soddisfare il
requisito di legge. Ecco perché le informazioni prescritte
devono perlomeno essere inserite nel citato PDF
riassuntivo che, come detto, conterrà anche le
informazioni dell’art. 12 e 13 del D.lgs 70/03, e sarà
inviato al consumatore allegato alle e-mail di conferma
dell'ordine.
Ciò detto, le informazioni obbligatorie del Codice del
Consumo (art. 51 comma 1) sono le seguenti:
a) identità del professionista e, in caso di contratti che
prevedono il pagamento anticipato, l'indirizzo del
professionista;
b) caratteristiche essenziali del bene o del servizio;
c) prezzo del bene o del servizio, comprese tutte le
tasse e le imposte;
d) spese di consegna;
e) modalità del pagamento, della consegna del bene o
della prestazione del servizio e di ogni altra forma di
esecuzione del contratto;
f) esistenza del diritto di recesso o di esclusione dello
stesso, ai sensi dell'articolo 55, comma 2;
g) modalità e tempi di restituzione o di ritiro del bene in


caso di esercizio del diritto di recesso;
h) costo dell'utilizzo della tecnica di comunicazione a
distanza, quando e' calcolato su una base diversa
dalla tariffa di base;
i) durata della validità dell'offerta e del prezzo;
j) durata minima del contratto in caso di contratti per
la fornitura di prodotti o la prestazione di servizi ad
esecuzione continuata o periodica.
Altre informazioni obbligatorie sono:
• l'indirizzo geografico della sede del professionista a
cui il consumatore può presentare reclami;
• le informazioni sui servizi di assistenza e sulle
garanzie commerciali esistenti;
• le condizioni di recesso dal contratto in caso di
durata indeterminata o superiore ad un anno.
Queste ultime due informazioni non devono essere rese
per servizi on-line forniti in un’unica soluzione (tipo
download di musica o software).

La gestione dell’ordine in back office
L’imprenditore di e-commerce deve organizzare il
proprio servizio adeguandosi alle prescrizioni dell’art. 54
del Codice del Consumo. L’invio dei beni o l’erogazione
del servizio, ad esempio, deve essere eseguito entro
trenta giorni a decorrere dal giorno successivo a quello
in cui il consumatore ha trasmesso l’ordine.


Se ciò non sia possibile, ad esempio perché il bene o il
servizio richiesto non sono disponibili, entro il medesimo
termine il professionista deve informare il Cliente e
provvedere al rimborso delle somme eventualmente già
corrisposte per il pagamento della fornitura.
Tutela essenziale a favore del consumatore è quella del
diritto di recesso prevista normativamente all’art. 64 e
seguenti del Codice. Prima di indicare la relativa
disciplina, è opportuno sottolineare che tale diritto non si
applica, in contesto e-commerce ai contratti di “fornitura
di servizi relativi all'alloggio, ai trasporti, alla
ristorazione, al tempo libero, quando all'atto della
conclusione del contratto il professionista si impegna a
fornire tali prestazioni ad una data determinata o in un
periodo prestabilito”.
Altri casi in cui è escluso il diritto di recesso, salvo
diverso accordo contrattuale a favore del consumatore,
sono i seguenti:
• fornitura di servizi la cui esecuzione sia iniziata, con
l'accordo del consumatore, prima della scadenza del
termine di dieci giorni lavorativi
• fornitura di beni o servizi il cui prezzo è legato a
fluttuazioni dei tassi del mercato finanziario
• fornitura di beni confezionati su misura o
chiaramente personalizzati o che, per loro natura,
non possono essere rispediti o rischiano di
deteriorarsi o alterarsi rapidamente;


• fornitura di prodotti audiovisivi o di software
informatici sigillati, aperti dal consumatore;
• fornitura di giornali, periodici e riviste;
• servizi di scommesse e lotterie.

Il diritto di recesso del consumatore nell’e-commerce
Uno degli elementi di tutela essenziale per il
cliente/consumatore che acquista nel sito di e-
commerce è il diritto di recesso garantito ex lege dall’art.
64 del Codice: “il consumatore ha diritto di recedere
senza alcuna penalità e senza specificarne il motivo,
entro il termine di dieci giorni lavorativi”, salvo i diversi
termini stabiliti dall'articolo 65, commi 3, 4 e 5.
Come riferito sopra, ai sensi dall’art. 52 del Codice, il
Consumatore deve essere già avvisato prima dell’inoltro
dell’ordine dell’esistenza del diritto di recesso, nonché
delle modalità e tempi di restituzione o di ritiro del bene
in caso di esercizio del diritto di recesso. Questa
informazione preventiva ha un valore fondamentale in
quanto la sua omissione o incompletezza dilata i termini
entro cui il Consumatore ha diritto di recedere, come
specificheremo qui di seguito.
Il diritto di recesso si esercita con l'invio, entro i termini
previsti sopra, di una comunicazione scritta alla sede
dell’impresa di e-commerce indicata negli obblighi di
informazione previsti sia dal D.lgs 70/03 che dallo
stesso Codice del Consumo. La comunicazione deve


avvenire mediante lettera raccomandata con avviso di
ricevimento ovvero posta elettronica certificata. La
comunicazione può essere inviata, entro lo stesso
termine, anche mediante telegramma, posta elettronica e
fax, a condizione che sia confermata mediante lettera
raccomandata con avviso di ricevimento ovvero posta
elettronica certificata, entro le quarantotto ore
successive. Fa fede, in tali casi, la data di consegnata
all'ufficio postale accettante entro i termini previsti dal
codice o dal contratto, ove diversi.
L’imprenditore può espressamente prevedere nel
contratto, o in una pagina del sito web, che al posto della
comunicazione è sufficiente la restituzione, entro il
termine visto sopra, della merce ricevuta.
Ma da quando decorrono i termini per esercitare il
recesso? Generalmente dalla data di ricevimento della
merce da parte del consumatore. Tuttavia, ove non siano
stati soddisfatti gli obblighi di informazione sopra citati
(art. 52) ovvero sia stata data un’informazione
incompleta o errata, il termine di 10 giorni per il recesso
decorre dal giorno in cui questi ultimi siano stati
pienamente soddisfatti, purché ciò non avvenga oltre il
termine di tre mesi dalla conclusione del contratto.
Se invece l’imprenditore di e-commerce non abbia
soddisfatto agli obblighi di informazione il termine per
l’esercizio del diritto di recesso è di novanta giorni e
decorre, per i beni, dal giorno del loro ricevimento da
parte del consumatore, per i servizi, dal giorno della


conclusione del contratto.
Chiaramente le parti possono convenire termini diversi,
ma le garanzie proposte possono essere solo più ampie
nei confronti dei consumatori rispetto a quanto previsto
dal Codice.
Una volta esercitato il diritto di recesso entro i termini, le
parti sono sciolte dalle rispettive obbligazioni derivanti
dal contratto o dalla proposta contrattuale. Il
consumatore è tenuto a restituire il bene ricevuto al
professionista, o della persona da questi designata,
entro non oltre a dieci giorni lavorativi decorrenti dalla
data del ricevimento del bene. Ai fini della scadenza del
termine la merce si intende restituita nel momento in cui
viene consegnata all'ufficio postale accettante o allo
spedizioniere. Il bene restituito deve essere
sostanzialmente integro, cioè in normale stato di
conservazione, in quanto custodito ed eventualmente
adoperato con l'uso della normale diligenza.
Importante sottolineare che in caso di recesso, le sole
spese dovute dal consumatore per l’esercizio del diritto
sono solo le spese dirette di restituzione del bene al
mittente, ove espressamente previsto dal contratto.
Conseguentemente l’impresa di e-commerce dovrà
procedere al rimborso delle somme versate dal
consumatore, ivi comprese le somme versate a titolo di
caparra. Il rimborso deve avvenire gratuitamente, nel
minor tempo possibile e in ogni caso entro trenta giorni
dalla data in cui il professionista è venuto a conoscenza


dell'esercizio del diritto di recesso da parte del
consumatore.

Sanzioni per violazioni del Codice del Consumo
Di particolare rilievo sono le sanzioni previste dal Codice
in caso di mancata adozione delle misure a tutela del
consumatore. L’art. 62 comma 1 dispone che “Salvo che
il fatto costituisca reato il professionista che
contravviene alle norme di cui al presente capo, ovvero
non fornisce l'informazione al consumatore, ovvero
ostacola l'esercizio del diritto di recesso ovvero fornisce
informazione incompleta o errata o comunque non
conforme sul diritto di recesso da parte del consumatore
secondo le modalità di cui agli articoli 64 e seguenti,
ovvero non rimborsa al consumatore le somme da
questi eventualmente pagate, nonché' nei casi in cui
abbia presentato all'incasso o allo sconto gli effetti
cambiari prima che sia trascorso il termine di cui
all'articolo 64, è punito con la sanzione amministrativa
pecuniaria da euro 516 a euro 5165” che possono essere
raddoppiati in caso di gravità o recidiva.
Come specificato sopra, ricordo poi che il servizio e-
commerce che non riporta gli obblighi di informazione
circa il diritto del consumatore di poter recedere dal
contratto, comporta allungamento del termine per
l’esercizio del diritto di recesso fino a novanta giorni dal
giorno del ricevimento dei beni e, per i servizi, dal giorno
della conclusione del contratto.


Un'ultima annotazione riguarda la competenza esclusiva
del Giudice luogo di residenza o di domicilio del
consumatore, che non può essere in nessun caso
derogata dalle parti.


Privacy e sicurezza sul web (*)

Introduzione
Creare e gestire un sito di commercio elettronico
comporta necessariamente il trattamento di dati
personali, quindi devono essere rispettate le regole e gli
adempimenti previsti dal d.lgs. 196/03 “Codice in
materia di protezione dei dati personali” (di seguito
Codice Privacy) e dagli specifici provvedimenti pubblicati
dal Garante per la protezione dei dati personali.

Le definizioni
• "trattamento", qualunque operazione o complesso di

(*)
Avv. David D'Agostini


operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
• "dato personale", qualunque informazione relativa a
persona fisica, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale;
• "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
• "dati sensibili", i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale;
• "titolare", la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il


profilo della sicurezza;
• "responsabile", la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al
trattamento di dati personali;
• "incaricati", le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal
responsabile;
• "interessato", la persona fisica cui si riferiscono i dati
personali;
• "comunicazione", il dare conoscenza dei dati
personali a uno o più soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione;
• "diffusione", il dare conoscenza dei dati personali a
soggetti indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o
consultazione;
• "misure minime", il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali
di sicurezza che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti
nell'articolo 31;
• "strumenti elettronici", gli elaboratori, i programmi


per elaboratori e qualunque dispositivo elettronico o
comunque automatizzato con cui si effettua il
trattamento;
• "autenticazione informatica", l'insieme degli
strumenti elettronici e delle procedure per la verifica
anche indiretta dell'identità;
• "credenziali di autenticazione", i dati ed i dispositivi,
in possesso di una persona, da questa conosciuti o
ad essa univocamente correlati, utilizzati per
l'autenticazione informatica;
• "parola chiave", componente di una credenziale di
autenticazione associata ad una persona ed a
questa nota, costituita da una sequenza di caratteri
o altri dati in forma elettronica;
• "profilo di autorizzazione", l'insieme delle
informazioni, univocamente associate ad una
persona, che consente di individuare a quali dati
essa può accedere, nonché i trattamenti ad essa
consentiti;
• "sistema di autorizzazione", l'insieme degli strumenti
e delle procedure che abilitano l'accesso ai dati e alle
modalità di trattamento degli stessi, in funzione del
profilo di autorizzazione del richiedente.

Informativa o informative ?
L'articolo 13 del d.lgs. 196/03 dispone che nel caso in


cui si trattino dati personali sia necessario rilasciare
all'interessato un'informativa preventiva che descriva
con chiarezza tutti gli elementi base del trattamento che,
in base al disposto del Codice Privacy, devono
obbligatoriamente essergli indicati.
Le disposizioni in tema di informativa all'interessato
costituiscono il nucleo fondante della normativa in tema
di privacy, in quanto essa costituisce una vera e propria
“carta d'identità” del trattamento, consentendo
all'interessato di conoscere preventivamente le
operazioni di trattamento cui verranno sottoposti i propri
dati personali.
Le disposizioni di cui all'art. 13 si applicano anche ai
casi in cui il trattamento venga effettuato tramite un sito
internet.
È necessario sgombrare preliminarmente il campo da un
dubbio: nel caso di un sito internet, il trattamento di dati
personali inizia già dal momento in cui l'utente comincia
a navigare nel sito, e non solo quando questi fornisca
volontariamente delle informazioni (per es. compilando i
form presenti in alcune pagine web).
Quindi è necessario provvedere a redigere due distinte
informative: una prima relativa alla navigazione (spesso
indicata come Privacy Policy) e una seconda che
riguarda più propriamente i servizi erogati dal sito.
Entrambe le tipologie di informative devono
necessariamente indicare gli elementi tassativamente


indicati dall'art. 13, ossia:
• le finalità e le modalità del trattamento cui sono
destinati i dati;
• la natura obbligatoria o facoltativa del conferimento
dei dati;
• le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono
venirne a conoscenza in qualità di responsabili o
incaricati;
• l'ambito di diffusione dei dati;
• i diritti di cui all'articolo 7;
• gli estremi identificativi del titolare e, se designati,
del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile. Quando il titolare
ha designato più responsabili è indicato almeno uno
di essi, indicando il sito della rete di comunicazione o
le modalità attraverso le quali è conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando
è stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui
all'articolo 7, è indicato tale responsabile.

La Privacy Policy
I sistemi, i software e i protocolli che permettono a un


sito di funzionare richiedono l'acquisizione e il
trattamento di alcuni dati personali. Si tratta, di regola, di
informazioni che non consentono di risalire direttamente
a interessati identificati, ma che, attraverso elaborazioni
e associazioni con altri dati detenuti da terzi, potrebbero
permettere di identificare gli utenti.
Si pensi in particolare a:
• indirizzi IP;
• nomi a dominio dei computer utilizzati dagli utenti
che si connettono al sito;
• indirizzi in notazione URI (Uniform Resource
Identifier) delle risorse richieste;
• orario della richiesta;
• metodo utilizzato nel sottoporre la richiesta al
server;
• dimensione del file ottenuto in risposta;
• codice numerico indicante lo stato della risposta
data dal server (buon fine, errore, ecc.);
• parametri relativi al sistema operativo dell'utente.
Normalmente questi dati vengono utilizzati al solo fine di
ricavare informazioni statistiche sull'uso del sito e per
finalità di troubleshooting (eliminazione del problema),
ragion per cui essi vengono cancellati poco tempo dopo
l'elaborazione.


Particolare attenzione deve essere prestata all'utilizzo
dei cookies, ossia quelle “stringhe di testo di piccola
dimensione inviate da un server a un web client (di solito
un browser) e poi rimandati indietro dal client al server
ogni volta che il client accede allo stessa porzione dello
stesso dominio” (definizione tratta da wikipedia.it).
I cookies si prestano a incidere in maniera molto
importante sulla privacy dell'utente che accede a un sito
web e proprio per questo la loro disciplina è stata
recentemente modificata dall’entrata in vigore del d.lgs.
69/12 che ha rivoluzionato l’art. 122 del d.lgs. 196/03.

L'informativa
Nel caso in cui un sito internet preveda che un utente
possa fornire volontariamente dati personali per
comunicare o per fruire di qualche servizio, è necessario
predisporre un'ulteriore specifica informativa.
Si pensi, ad esempio:
• ai form presenti nella pagine dei contatti tramite cui
ogni utente può comunicare con il titolare del sito;
• ai siti di e-commerce, in cui l'utente deve registrarsi
per poter concludere gli acquisiti.
In queste ipotesi il Titolare effettua operazioni di
trattamento ulteriori rispetto a quelle relative alla
semplice navigazione nelle pagine del sito, quindi è
necessario che l'interessato venga previamente


informato circa le operazioni cui verranno sottoposte le
informazioni che vengono da lui fornite.
È necessario che le finalità dichiarate nell'informativa e i
dati richiesti nei vari form presenti sul sito non risultino
in contrasto con i principi di pertinenza e non eccedenza
di cui all’art. 11 comma 1, lettera d) e non diano quindi
luogo a un vero e proprio trattamento illecito di dati
personali.
Spesso, infatti, vengono richiesti informazioni ulteriori
rispetto alle finalità dichiarate: si pensi, ad esempio, ad
un ipotesi in cui un sito di e-commerce, per inviare una
domanda sulle caratteristiche di un prodotto in vendita,
richieda dati quali il luogo e la data di nascita, il codice
fiscale, la cittadinanza, o altre preferenze personali.
L'informativa, pertanto, dev'essere predisposta con la
massima attenzione e personalizzata sulle esigenze
peculiari del singolo sito, anche per non incorrere nelle
sanzioni previste dal Codice Privacy.

Le sanzioni
L'art. 161 del D.Lgs 196/03 stabilisce che l'omessa o
inidonea informativa all'interessato sia punita con la
sanzione amministrativa del pagamento di una somma
da seimila a trentaseimila euro.
L'art. 164-bis, invece, precisa che:
• se la violazione di cui all'art. 161 è di minore gravità,
avuto altresì riguardo alla natura anche economica o


sociale dell'attività svolta, i limiti minimi e massimi
stabiliti dal medesimo articolo sono applicati in
misura pari a due quinti;
• nel caso di una violazione di maggiore gravità e, in
particolare, di maggiore rilevanza del pregiudizio per
uno o più interessati, ovvero quando la violazione
coinvolge numerosi interessati, i limiti minimo e
massimo delle sanzioni sono applicati in misura pari
al doppio;
• le sanzioni possono, infine, essere aumentate fino al
quadruplo quando risulterebbero inefficaci in ragione
delle condizioni economiche del contravventore.

Il Consenso
Il trattamento di dati personali da parte di privati può
avvenire solo in presenza del consenso dell'interessato,
salvo i casi di esonero espressamente previsti dalla
legge. Il consenso è validamente prestato solo se:
• sono state previamente rese all'interessato le
informazioni di cui all'art. 13;
• è espresso liberamente e specificamente in
riferimento ad un trattamento chiaramente
individuato;
• è documentato per iscritto.

Consenso libero e informato


Nel paragrafo relativo all'art. 13 si è fatto cenno alla
natura pregiudiziale della informativa che, di regola, deve
essere portata a conoscenza dell'interessato prima
dell'inizio delle operazioni di trattamento. Il Codice
Privacy ribadisce che la mancanza dell'informativa o
l'inidoneità del suo contenuto causa l'invalidità del
consenso eventualmente ottenuto.
Affinché il consenso al trattamento possa svolgere la
propria funzione di garanzia prevista dal Codice, occorre
che esso sia libero e, quindi, che non venga richiesto in
via definitiva, generale ed incondizionata.

Consenso specifico
Il consenso non è valido se viene prestato in modo
generico, in quanto deve avere per oggetto uno specifico
trattamento o determinate operazioni di trattamento dei
dati personali, poste in essere al fine di perseguire le
finalità che sono state esplicitate nell'informativa ex art.
13.
Si pensi, ad esempio, al caso in cui nell'informativa il
Titolare dichiari di trattare i dati per tre finalità distinte:
• soddisfare un obbligo di legge;
• eseguire un contratto di cui è parte l'interessato;
• finalità promozionali.
È necessario che l'interessato sia messo nelle condizioni
di capire la diversità delle situazioni, di apprezzare gli


effetti che il consenso o il diniego possono produrre nei
confronti di ciascuna di esse, nonché di esprimere una
manifestazione libera nei confronti di ciascuna.
Ritornando all'esempio, quindi, il Titolare non potrà
chiedere un unico consenso che riguardi tutte le tre
distinte e specifiche finalità.

Forma del consenso
Il Codice Privacy richiede che il consenso sia
documentato per iscritto. Nel caso in cui, però, il
trattamento riguardi dati sensibili, il consenso deve
essere manifestato in forma scritta.
Per quanto attiene ai trattamenti effettuati tramite siti
internet è fondamentale sapere che il consenso è
legittimamente espresso anche con la modalità della
selezione di un'apposita casella, via internet.

Casi di esclusione del consenso
Bisogna, da ultimo, ricordare che il Codice Privacy ha
espressamente individuato i casi nei quali può essere
effettuato il trattamento senza dover chiedere ed
ottenere il consenso dell'interessato. Con particolare
riferimento alle attività di e-commerce, il consenso non è
richiesto quando il trattamento:
• è necessario per adempiere a un obbligo previsto
dalla legge, da un regolamento o dalla normativa
comunitaria;


• è necessario per eseguire obblighi derivanti da un
contratto del quale è parte l'interessato o per
adempiere, prima della conclusione del contratto, a
specifiche richieste dell'interessato;
• riguarda dati provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, fermi
restando i limiti e le modalità che le leggi, i
regolamenti o la normativa comunitaria stabiliscono
per la conoscibilità e pubblicità dei dati;
• riguarda dati relativi allo svolgimento di attività
economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e
industriale.

Cookies - le modifiche introdotte dal d.lgs. 69/12
Dal 1° giugno 2012 è entrato in vigore il d.lgs. 69/12 che,
in attuazione delle direttive 2009/136/CE e 2009/140/CE,
ha modificato in modo sensibile gli articoli del Codice
Privacy relativi ai servizi di comunicazione elettronica
accessibili al pubblico.
Di particolare interesse sono le modifiche che hanno
riguardato i c.d. cookies, di regola finalizzati a rendere
più piacevole e semplice la navigazione dell’utente, ma
senza dubbio utilizzati per scopi ulteriori, idonei a ledere
la riservatezza di chi naviga sul web.
Il d.lgs 69/12 ha così modificato il testo dell’articolo 122
del Codice Privacy:


Art. 122. Informazioni raccolte nei riguardi del
contraente o dell’utente
1. L’archiviazione delle informazioni nell’apparecchio
terminale di un contraente o di un utente o l’accesso a
informazioni già archiviate sono consentiti unicamente
a condizione che il contraente o l’utente abbia espresso
il proprio consenso dopo essere stato informato con le
modalità semplificate di cui all’articolo 13, comma 3. Ciò
non vieta l’eventuale archiviazione tecnica o l’accesso
alle informazioni già archiviate se finalizzati unicamente
ad effettuare la trasmissione di una comunicazione su
una rete di comunicazione elettronica, o nella misura
strettamente necessaria al fornitore di un servizio della
società dell’informazione esplicitamente richiesto dal
contraente o dall’utente a erogare tale servizio. Ai fini
della determinazione delle modalità semplificate di cui al
primo periodo il Garante tiene anche conto delle
proposte formulate dalle associazioni maggiormente
rappresentative a livello nazionale dei consumatori e
delle categorie economiche coinvolte, anche allo scopo
di garantire l’utilizzo di metodologie che assicurino
l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma
1, possono essere utilizzate specifiche configurazioni di
programmi informatici o di dispositivi che siano di facile
e chiara utilizzabilità per il contraente o l’utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso
di una rete di comunicazione elettronica per accedere a


informazioni archiviate nell’apparecchio terminale di un
contraente o di un utente, per archiviare informazioni o
per monitorare le operazioni dell’utente.
La nuova stesura dell’art. 122 introduce per quanto
riguarda i cookies il definitivo passaggio dal regime
dell’OPT OUT a quello - ben più severo e di difficile
attuazione - dell’OPT IN che prevede la necessità per il
titolare di ottenere il consenso preventivo da parte
dell’utente.
In altre parole, l’utente dovrà essere informato in modo
chiaro e completo in merito a finalità e modalità del
trattamento dei propri dati, per poi esprimere il proprio
consenso affinché i cookies vengano attivati durante la
navigazione.
È importante evidenziare due casi di esenzione per i
quali permane il regime dell’OPT OUT.
Non occorre il consenso preventivo nel caso in cui
sussista uno dei seguenti requisiti:
• CRITERIO A: il cookie viene utilizzato “per il solo
scopo di effettuare la trasmissione di una
comunicazione su una rete di comunicazione
elettronica”;
• CRITERIO B: il cookie è “strettamente necessario per
il prestatore di un servizio della società
dell’informazione per fornire un servizio
esplicitamente richiesto dall’abbonato o dall’utente”.


La Notificazione al Garante
La notificazione è una dichiarazione con cui un soggetto
pubblico o privato rende nota al Garante per la
protezione dei dati personali l'esistenza di un'attività di
raccolta e di utilizzazione dei dati personali, svolta quale
autonomo titolare del trattamento.
La notifica è trasmessa al Garante, esclusivamente per
via telematica utilizzando la procedura indicata nelle
istruzioni presenti nel sito istituzionale www.gpdp.it.
La notificazione va effettuata una tantum prima che inizi
il trattamento dei dati, indipendentemente dalla durata,
dal tipo e dal numero delle operazioni di trattamento, sia
che si effettui un solo trattamento, sia che si curino più
attività di trattamento con finalità correlate tra loro.
A differenza di quanto previsto dalla vecchia legge
675/96, l'obbligo di notificazione è previsto solo per
trattamenti di specifiche categorie di dati e di finalità che
presentano un impatto privacy di particolare rilevanza.
Di regola i trattamenti normalmente connessi a
un'attività di commercio elettronico non rientrano in
quelli per cui è obbligatorio effettuare la notificazione.
Risulta necessario notificare il trattamento di:
• dati trattati con l'ausilio di strumenti elettronici volti
a definire il profilo o la personalità dell'interessato, o
ad analizzare abitudini o scelte di consumo, ovvero a
monitorare l'utilizzo di servizi di comunicazione


elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
• dati sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie.

Le sanzioni
A norma dell'articolo 163 d.lgs 196/03 chiunque,
essendovi tenuto, non provvede tempestivamente alla
notificazione, ovvero indica in essa notizie incomplete,
viene punito con la sanzione amministrativa del
pagamento di una somma da ventimila a centoventimila
euro.
L'articolo 164-bis prevede che:
• se la violazione di cui all'art. 163 è di minore gravità,
avuto altresì riguardo alla natura anche economica o
sociale dell'attività svolta, i limiti minimi e massimi
stabiliti dal medesimo articolo sono applicati in
misura pari a due quinti;
• in caso, invece, di una violazione di maggiore gravità
e, in particolare, di maggiore rilevanza del pregiudizio
per uno o più interessati, ovvero quando la violazione
coinvolge numerosi interessati, i limiti minimo e
massimo delle sanzioni sono applicati in misura pari
al doppio;
• le sanzioni possono, infine, essere aumentate fino al


quadruplo quando possono risultare inefficaci in
ragione delle condizioni economiche del
contravventore.

La sicurezza informatica
Una delle principali problematiche connesse al
commercio elettronico è quella relativa alla tutela della
privacy delle parti coinvolte nella compravendita
soprattutto per quanto attiene ai pagamenti on-line,
nonché della sicurezza dei dati personali richiesti al fine
di eseguire le varie operazioni negoziali e, più in
generale, dei dati che viaggiano sulla rete.
Secondo lo standard internazionale di valutazione della
sicurezza informatica ITSEC per sicurezza della
tecnologia informatica» (IT) si intende la somma di
questi tre requisiti:
• confidenzialità: vale a dire protezione dalla
divulgazione non autorizzata di informazioni;
• integrità: cioè tutela da modifiche delle informazioni
non autorizzate;
• disponibilità: consistente nella prevenzione da
ipotesi di inaccessibilità non autorizzata ai dati o alle
risorse informatiche.
La sicurezza è un obiettivo che si può raggiungere grazie
a un'attività composita e permanente. Soprattutto in
ambito informatico, non esiste una sicurezza assoluta,


ma solamente una tendenza ottimale verso la
minimizzazione del rischio in considerazione della tutela
dei diritti. Essa richiede interventi di tipo organizzativo,
fisico e logico sottoposti ad un continuo processo di
aggiornamento e verifica alla luce delle novità introdotte
dall'evoluzione tecnologica.
Per tale motivo l'art. 31 d.lgs. 196/03 stabilisce che i dati
personali oggetto di trattamento devono essere custoditi
e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
Risulta opportuno che chi esercita un'attività di
commercio elettronico tenga conto di tali prescrizioni,
onde evitare di dover risarcire il danno causato dalla
mancata adozione delle cautele indicate nell'art. 31.
Si pensi, ad esempio all'utilizzo di protocolli crittografici
quali il Transport Layer Security (TLS) e il suo
predecessore Secure Sockets Layer (SSL): essi
permettono una comunicazione sicura dal sorgente al
destinatario (end-to-end) sulla rete Internet, garantendo
autenticazione, integrità dei dati e cifratura operando al
di sopra del livello di trasporto. Si tratta, in altre parole, di
protocolli in grado di garantire un canale di


comunicazione sicuro tra il browser dell'acquirente ed il
sito di e-commerce, in modo tale da prevenire la
manomissione la falsificazione e l'intercettazione dei
dati relativi alla navigazione e alla transazione
economica.

Le misure minime di sicurezza
Nel quadro dei più generali obblighi di sicurezza di cui
all'art. 31, i titolari del trattamento sono comunque tenuti
ad adottare le misure volte ad assicurare un livello
minimo di protezione dei dati personali. Si tratta, in
questo caso, di una serie di adempimenti individuati in
maniera puntuale e analitica
L'art. 34 d.lgs. 196/03, infatti, stabilisce che il
trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
• autenticazione informatica;
• adozione di procedure di gestione delle credenziali di
autenticazione;
• utilizzazione di un sistema di autorizzazione;
• aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;


• protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
• adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
• adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Tali misure minime devono essere obbligatoriamente
rispettate anche da chi gestisce un sito di e-commerce.

La figura dell'Amministratore di Sistema
Molto spesso il titolare del sito di e-commerce non è il
soggetto che materialmente realizza e amministra il sito
stesso.
Con la definizione di "amministratore di sistema" si
individuano generalmente, in ambito informatico, figure
professionali finalizzate alla gestione e alla
manutenzione di un impianto di elaborazione o di sue
componenti. Ai fini della normativa privacy vengono,
però, considerate tali anche altre figure equiparabili dal
punto di vista dei rischi relativi alla protezione dei dati,
quali gli amministratori di basi di dati, gli amministratori
di reti e di apparati di sicurezza e gli amministratori di
sistemi software complessi.


Gli amministratori di sistema sono, in molti casi,
concretamente "responsabili" di specifiche fasi
lavorative che possono comportare elevate criticità
rispetto alla protezione dei dati; attività tecniche quali il
salvataggio dei dati, la gestione dei database e la
manutenzione hardware comportano infatti, in molti
casi, un'attività che deve essere considerata a tutti gli
effetti alla stregua di un trattamento di dati personali.
La figura dell'Amministratore di Sistema, non prevista
espressamente dal Codice Privacy, è stata introdotta dal
Provvedimento Generale del 27 novembre 2008, recante
“Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di
amministratore di sistema”.
Tale provvedimento dispone che, salva esclusione
dall'ambito applicativo espressamente previste, il
Titolare del trattamento debba adottare una serie di
misure.

Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema
deve avvenire previa valutazione delle caratteristiche di
esperienza, capacità e affidabilità del soggetto
designato, il quale deve fornire idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla
sicurezza. Anche quando le funzioni di amministratore di


sistema o assimilate sono attribuite solo nel quadro di
una designazione quale incaricato del trattamento ai
sensi dell'art. 30 del Codice, il titolare e il responsabile
devono attenersi comunque a criteri di valutazione
equipollenti a quelli richiesti per la designazione dei
responsabili ai sensi dell'art. 29.

Designazioni individuali
La designazione quale amministratore di sistema deve
essere individuale e recare l'elencazione analitica degli
ambiti di operatività consentiti in base al profilo di
autorizzazione assegnato.

Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche
amministratori di sistema, con l'elenco delle funzioni loro
attribuite, devono essere riportati in un documento
interno da mantenere aggiornato e disponibile in caso di
accertamenti da parte del Garante.

Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati
in outsourcing il titolare o il responsabile esterno devono
conservare direttamente e specificamente, per ogni
eventuale evenienza, gli estremi identificativi delle
persone fisiche preposte quali amministratori di
sistema.


Verifica delle attività
L'operato degli amministratori di sistema deve essere
oggetto, con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento o dei
responsabili, in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di sicurezza
riguardanti i trattamenti dei dati personali previste dalle
norme vigenti.

Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione
degli accessi logici (autenticazione informatica) ai
sistemi di elaborazione e agli archivi elettronici da parte
degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza,
inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo per cui sono
richieste. Le registrazioni devono comprendere i
riferimenti temporali e la descrizione dell'evento che le
ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi

Le sanzioni
Secondo il combinato disposto degli artt. 169 e 161
d.lgs. 196/03 chiunque, essendovi tenuto, omette di
adottare le misure minime di sicurezza è punito con
l'arresto sino a due anni. Viene altresì prevista la
sanzione amministrativa del pagamento di una somma


da diecimila a centoventimila euro.
All'autore del reato, all'atto dell'accertamento o, nei casi
complessi, anche con successivo atto del Garante, è
impartita una prescrizione fissando un termine per la
regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di
particolare complessità o per l'oggettiva difficoltà
dell'adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine,
se risulta l'adempimento alla prescrizione, l'autore del
reato è ammesso dal Garante a pagare una somma pari
al quarto del massimo della sanzione stabilita per la
violazione amministrativa. L'adempimento e il
pagamento estinguono il reato.

Le comunicazioni commerciali tramite e-mail
L'art. 130 del Codice Privacy stabilisce che (fermo
restando quanto stabilito dagli articoli 8 e 21 del decreto
legislativo 9 aprile 2003, n. 70), l'utilizzo della posta
elettronica, effettuato per le finalità di invio di materiale
pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale è
consentito con il consenso del contraente o utente
Questa regola si applica anche alle comunicazioni
elettroniche, effettuate per le finalità ivi indicate,
mediante telefax, messaggi del tipo Mms (Multimedia
Messaging Service) o Sms (Short Message Service) o di
altro tipo.


Opt-in e Opt-out
Nel nostro ordinamento vige il sistema dell'opt-in: di
regola per poter inviare una mail promozionale è
necessario avere preventivamente ottenuto lo specifico
consenso da parte dell'interessato; a questo sistema si
contrappone il c.d. opt-out che consente all'interessato
di opporsi a un trattamento di dati personali già in corso.
La differenza tra queste due "filosofie" risiede appunto
nel genere di controllo riconosciuto: l'opt-in sottopone la
liceità della trasmissione del messaggio in rete al
preventivo consenso espresso del destinatario, l'opt-out,
invece, conferisce al destinatario un controllo
successivo, nel senso che all'atto della prima
comunicazione gli viene data facoltà di esprimere la
propria volontà di non ricevere in futuro ulteriori
comunicazioni di questo tipo.

Le mail dei propri clienti
Il Codice Privacy, però, ha previsto una deroga
particolare al regime dell'opt-in: se il titolare del
trattamento utilizza, a fini di vendita diretta di propri
prodotti o servizi, le coordinate di posta elettronica
fornite dall'interessato nel contesto della vendita di un
prodotto o di un servizio, può non richiedere il consenso
dell'interessato, sempre che si tratti di servizi analoghi a
quelli oggetto della vendita e l'interessato,
adeguatamente informato, non rifiuti tale uso,
inizialmente o in occasione di successive


comunicazioni.
L'interessato, al momento della raccolta e in occasione
dell'invio di ogni comunicazione effettuata per le finalità
di cui al presente comma, deve essere informato della
possibilità di opporsi in ogni momento al trattamento, in
maniera agevole e gratuitamente.
Per esemplificare:
• il Titolare che intende avvalersi di questa deroga
deve avere acquisito l'indirizzo e-mail del proprio
cliente nel corso di una precedente transazione
commerciale e nel rispetto dei principi a tutela dei
dati personali;
• l'interessato deve essere stato previamente
informato circa l'ulteriore utilizzo dell'e-mail a fini
promozionali o di direct marketing in modo chiaro e
specifico;
• all'atto della raccolta originaria e anche
successivamente, il Titolare deve consentire al
cliente di potersi opporre a tale ulteriore utilizzo a fini
promozionali della propria e-mail.

Comunicazioni vietate
É vietato in ogni caso l'invio di comunicazioni a scopo
promozionale, effettuato camuffando o celando l'identità
del mittente o in violazione dell'articolo 8 del decreto
legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo
recapito presso il quale l'interessato possa esercitare i


E-Commerce e siti web a norma di legge

E-Commerce e siti web a norma di legge

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à E-Commerce e siti web a norma di legge

Similaire à E-Commerce e siti web a norma di legge (20)

E-Commerce e siti web a norma di legge