Hai un e-commerce o vuoi aprirne uno? Per vendere online, oltre a rispettare gli adempimenti amministrativi e fiscali, devi accertarti che il tuo sito sia adeguato alle normative sulla protezione dei dati personali e, nel caso di e-commerce B2C, che rispetti gli obblighi informativi che regolano il rapporto con il consumatore.
Per garantire la trasparenza dei servizi offerti, un e-commerce deve pubblicare le seguenti informazioni:
- ragione sociale, nome o denominazione,
- partita IVA,
- numero di iscrizione al REA (Repertorio Economico Amministrativo) o al registro delle imprese,
- sede legale o domicilio,
- capitale sociale (per le società),
- contatti.
Oltre a queste informazioni, comunemente indicate a piè di pagina, sul tuo e-commerce devono essere presenti questi documenti (in genere linkati anch’essi a footer, così da risultare facilmente accessibili):
- i termini e condizioni, per definire le condizioni d’uso del tuo servizio,
- una privacy policy, per spiegare come tratti i dati personali degli utenti,
- una cookie policy, per descrivere le tipologie di cookie - ad esempio tecnici, statistici e/o di profilazione - in uso.
Vediamoli più nel dettaglio per fare chiarezza sulla normativa ecommerce.
Termini e condizioni
Noti anche come “Termini di servizio” o “Termini d’uso”, definiscono le condizioni di utilizzo di un sito, app o servizio in maniera giuridicamente vincolante. I termini e condizioni si rivelano spesso essere essenziali per proteggerci da potenziali responsabilità e/o abusi nell'uso del nostro sito/applicazione, soprattutto nel commercio elettronico.
In particolare, nel caso di un e-commerce B2C, la disciplina sulla tutela del consumatore ci impone di comunicare ai consumatori, nei termini e condizioni del sito web, informazioni quali:
- caratteristiche principali del servizio,
- informazioni che identifichino il tuo e-commerce e relativi contatti,
- modalità e condizioni di pagamento, spedizione e consegna,
- garanzie e servizi successivi alla vendita (se applicabili),
- informativa sui diritti del consumatore, in particolare il diritto di recesso (se applicabile) e relativa modalità di esercizio,
- politiche di rimborso, sostituzione o sospensione del servizio,
- indicazioni sugli strumenti di risoluzione delle controversie,
A quanto sopra, possono aggiungersi norme che regolano le limitazioni di responsabilità per il gestore del sito/applicazione, o altre disposizioni che regolano le condizioni cui gli utenti devono attenersi nell’uso del sito/applicazione (per evitare abusi). In questo modo potrai chiarire nero su bianco quali sono i diritti e i doveri dei tuoi consumatori, proteggendoti dal rischio di sanzioni e controversie legali.
Sarà poi tua cura assicurarti che l’utente abbia letto e accettato i termini e condizioni prima di aver effettuato l’acquisto.
Inoltre, trattandosi di un accordo giuridicamente vincolante, è indispensabile che tale documento sia in linea con tutte le normative applicabili, estremamente preciso e, soprattutto, perfettamente aderente al tuo business nello specifico. Ecco perché non dovresti copiare i termini e condizioni da un altro sito, o usare un modello generico trovato in rete.
Privacy policy
L’entrata in vigore del Regolamento generale sulla protezione dei dati ( GDPR) ha portato grandi cambiamenti nell'approccio delle aziende rispetto ai processi di trattamento dei dati personali e un livello di trasparenza completamente nuovo.
Pur non trattandosi di una novità introdotta dal GDPR, quello di predisporre un’adeguata privacy policy è un obbligo riproposto con forza da questa normativa europea. Per essere valida, tra le varie cose la tua privacy policy deve:
- riportare la data effettiva del documento,
- descrivere i dati personali raccolti, le modalità e le finalità del trattamento (ad esempio marketing, fini statistici etc.),
- elencare i terzi fornitori con cui condividi queste informazioni (i vari widget e integrazioni che usi nel tuo sito, ad esempio i pulsanti social o i servizi di statistica),
- indicare qual è la base giuridica del trattamento (consenso, contratto, legittimo interesse, obbligo di legge, interessi vitali o interesse pubblico),
- informare gli utenti sui diritti relativi ai propri dati (come il diritto di accesso, rettifica, cancellazione, o il diritto ad opporsi al trattamento dei propri dati personali).
Ovviamente dovrai indicare anche l’identità del titolare del trattamento (in pratica chi stabilisce «perché» e «come» devono essere trattati i dati personali raccolti, di solito lo stesso titolare del sito/applicazione), quindi ragione sociale, sede legale e email di contatto. Tutte informazioni che, come abbiamo visto, dovrebbero comunque essere già presenti sul tuo sito.
Infine, dovrai assicurarti che tale informativa sia facilmente accessibile e comprensibile per i tuoi utenti, aggiornata e priva di ambiguità.
Cookie policy
Se, com’è molto probabile, il tuo sito web fa uso di cookie, devi adeguarti anche alla Direttiva ePrivacy (altresì nota come “Cookie Law“). In quanto gestore del sito hai l’obbligo di raccogliere il consenso di un utente prima che avvenga l’installazione dei cookie sul dispositivo di quest’ultimo. Per prestare il suo consenso, l’utente dev’essere informato sulle attività di raccolta dei dati e scegliere se acconsentire o meno all’installazione dei cookie.
Dovrai quindi predisporre una cookie policy, all’interno della quale indicherai quali cookie utilizzi (ad esempio tecnici, statistici, di profilazione etc.) e con quali finalità, ed elencherai le categorie e le finalità dei cookie di terze parti che vengono installati.
Quando la cookie policy non basta: cookie banner e consenso preventivo
È molto probabile che vorrai tracciare i tuoi utenti per verificare l’andamento delle tue campagne pubblicitarie o per avere delle statistiche sulle visite del tuo sito. In questo caso non basteranno i cookie tecnici (esenti dal consenso dell’utente e dal requisito del cookie banner), ma dovrai ricorrere a cookie statistici, a fini pubblicitari o di profilazione, indispensabili appunto per profilare l’utente in base al suo comportamento.
In queste circostanze la Cookie Law ti obbliga a mostrare sul sito un’informativa di primo livello, il cosiddetto “cookie banner”, che informi l’utente della presenza di tali cookie alla prima visita. Devi inoltre bloccare preventivamente tutti i codici che installano o che potrebbero installare cookie soggetti all'obbligo di consenso preventivo (come ad esempio i cookie di profilazione), e rilasciarli solo dopo che gli utenti hanno prestato il proprio consenso.
Dai un’occhiata a questa infografica per una rapida panoramica degli adempimenti richiesti dalla Cookie Law.
Vuoi approfondire? Guarda il webinar "E-commerce e legge: istruzioni per l'uso" con Alessandro Vercellotti, l'Avvocato del digitale:
E-commerce: la regolamentazione sul consenso per le campagne di marketing
Il consenso non si limita alla sola installazione dei cookie: hai bisogno del consenso degli utenti anche tutte le volte in cui non puoi trattare i loro dati facendo leva su una differente base giuridica del trattamento. Se devi adempiere ai tuoi obblighi contrattuali (ad esempio spedire la merce agli acquirenti), potrai trattare i dati per tale scopo e, se non hai altre finalità, non avrai bisogno di raccogliere il consenso dei tuoi utenti. Se però vuoi effettuare anche marketing diretto e profilazione, ti serviranno due checkbox per le rispettive finalità del trattamento.
Nello specifico, il consenso dev’essere:
- libero, ovvero non preimpostato (le checkbox pre-selezionate sono proibite), e non deve risultare obbligatorio per poter acquistare il prodotto o servizio proposto,
- specifico per ciascuna finalità perseguita e per ciascun trattamento effettuato,
- informato, cioè accompagnato da un’idonea informativa sulla finalità del trattamento,
- revocabile in qualsiasi momento.
Ciò significa che i tuoi form di registrazione e checkout devono:
- acquisire il consenso tramite chiare azioni di opt-in (ad esempio la spunta di una checkbox),
- indicare chiaramente le tue finalità,
- prevedere un link alla privacy policy.
Devi dare ai tuoi utenti la possibilità di prestare un consenso separato per ogni tipo di operazione prevista: ad esempio un consenso per l’invio di newsletter e un secondo consenso per l’invio di mail commerciali
Dovrai inoltre offrire all'utente la possibilità di revocare il consenso. Tale requisito può essere facilmente soddisfatto ad esempio inserendo un link di cancellazione in ogni newsletter inviata all'indirizzo di posta elettronica del contatto, e/o dando agli utenti la possibilità di gestire le proprie preferenze dal loro account.
Infine, secondo il GDPR devi poter dimostrare il consenso in modo inequivocabile. Per raccogliere una prova valida del consenso, devi essere in grado di recuperare alcune informazioni, tra cui:
- da chi e quando è stato prestato il consenso
- quali preferenze sono state espresse
- le informative legali o privacy in vigore quando è stato raccolto il consenso
- quale form è stato compilato al momento del conferimento del consenso
- l’eventuale revoca del consenso
Per altri esempi e informazioni su GDPR, consenso e email marketing, leggi GDPR e email marketing: come adeguare newsletter e form di iscrizione.
Normativa e-commerce: adempimenti organizzativi
Infine, per completare l’adeguamento della tua organizzazione al GDPR dovrai:
- nominare i soggetti autorizzati al trattamento dei dati e i responsabili del trattamento (quest’ultimi in genere sono soggetti esterni, ad esempio l’agenzia incaricata della realizzazione del sito che ha quindi accesso al database degli utenti)
- mappare con cura il tuo organigramma privacy aziendale
- documentare in maniera aggiornata le attività di trattamento all'interno della tua organizzazione
- valutare la necessità di nominare un DPO (Data Protection Officer, responsabile della protezione dei dati personali)
- condurre delle valutazioni d'impatto in caso di trattamenti che presentino un rischio elevato per gli utenti (DPIA)
- definire le procedure da adottare in caso di data breach o qualora l’utente eserciti i propri diritti
Rischi del mancato adeguamento alla normativa per la vendita online
In un panorama così attento al trattamento dei dati e alla trasparenza, risulta fondamentale adeguare il proprio e-commerce alle normative, pena il rischio di sanzioni salatissime. In caso di violazioni alla normativa sui dati personali tali sanzioni possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato globale annuo (a seconda di quale dei due sia maggiore).
Stando al rapporto dell’Osservatorio di Federprivacy, nel 2019 in Europa sono state inflitte sanzioni per un totale di 410 milioni di euro, con Regno Unito e Italia tra i paesi più attivi. Quest’ultimo è il paese con il maggior numero di provvedimenti, oltre 30, per un totale di circa 4 milioni di euro.
NOTA: Questo articolo può contenere delle semplificazioni e non è in alcun modo da intendersi come una consulenza legale, né instaura alcun tipo di relazione avvocato-cliente. Rivolgiti a un professionista per informazioni specifiche relative alla tua situazione.
Hai ancora dubbi sull'argomento "E-commerce e leggi"?
Se hai un’attività commerciale che vende online assicurati di rispettare la regolamentazione italiana e le direttive europee.