dig.ital r.evolution - vol. II - 5 nuove lezioni per la qualificazione delle imprese italiane

Di Enzo Maria Tripodi

Il volume, dall'emblematica titolazione "dig.ital r.evolution", illustra - in 5 lezioni - alcuni dei temi più attuali riferiti al commercio elettronico e, precisamente:

1) la gestione dei siti web, con riferimento alla predisposizione dell'informativa sulla privacy (comprese le recenti indicazioni del Garante sulla gestione dei cookie);

2) le regole del social network in ambito pubblico (e privato), tenuto conto del quadro normativo potenzialmente applicabile e delle decisioni dei nostri giudici;

3) le condotte degli influencer, blogger (ed altre figure similari), con riferimento alle regola applicabili alla promozione commerciale su internet (in particolare: quella definita come "occulta");

4) le consegne dei prodotti acquistati on line, mediante un contratto - il Drop. Shipping - di cui si illustra il "funzionamento" giuridico ed operativo;

5) le principali questioni dell'uso dell'Intelligenza Artificiale (IA) nel commercio "tradizionale" e nel commercio elettronico.

Le lezioni indicate sono pensate (anche grazie ad un apparato di note bibliografiche ed illustrative) per fornire un supporto conoscitivo ed operativo agli imprenditori, ai loro consulenti e, infine, ai consumatori.

• Lingua: Italiano
• Editore: Youcanprint
• Data di uscita: 4 mag 2022
• ISBN: 9788831628532

Anteprima del libro

I.

Le informative dei siti web. Un breve prontuario (*)

SOMMARIO: 1. Premessa. Riduzione dell’ambito - 2. Sito, informativa e navigatori: un rapporto necessario - 3. Contenuti dell’informativa - 3.1. Generalità e premesse dell’informativa - 3.2. Titolare ed altri soggetti che coadiuvano l’attività del titolare - 3.3. Finalità e base giuridica del trattamento - 3.4. Luogo, modalità del trattamento e misure di sicurezza - 3.5. Profilazione - 3.6. Comunicazione e diffusione - 3.7. Destinatari o categorie di soggetti che potrebbero venire a conoscenza dei dati personali trattati - 3.8. Trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale - 3.9. Periodo di conservazione - 3.10. Tutela dei diritti e modalità del loro esercizio - 3.11. Indicazioni facoltative - 4. Dati di navigazione e cookie - 4.1. Dati di navigazione - 4.2. Cookie - 4.3. Contenuti dell’informativa relativa ai cookie - 5. Segue: le recenti indicazioni del garante sui cookie – 6. Informativa e acquisizione del consenso - 7. Modalità di redazione e presentazione delle informative – 8. Le sanzioni. Rinvio.

1. Premessa. Riduzione dell’ambito

Alcune premesse al tema oggetto di questo contributo appaiono necessarie.

Anzitutto – tranne poche limitate ipotesi – non si indugerà su una illustrazione articolata delle questioni tecnico-informatiche sottese gli argomenti di cui si tratterà (un esempio su tutti: cosa si intenda per sito web), dando per scontato che sia possibile agevolmente reperire tali indicazioni in molte pubblicazioni specializzate. Lo stesso dicasi per una disamina, men che sommaria, delle questioni giuridiche: ciò implicherebbe affrontare, qui, buona parte del Regolamento UE n. 679/2016 (di seguito indicato come GDPR)¹ e del D.Lgs. n. 196/2003 (Codice della privacy), come aggiornato².

Infine, vale la pena di fare presente che – ratione materiae – il tema è circoscritto alle sole informative connesse al trattamento dei dati personali e non a tutte le indicazioni che, per legge, devono essere rese disponibili nell’ambito dei siti web, siano essi di soggetti pubblici che di soggetti privati.

Le ragioni sono intuibili: le disposizioni in materia di disclosure (si pensi ai profili inerenti la trasparenza), di usabilità, etc., che connotano i siti web delle pubbliche amministrazioni (o, comunque, dei soggetti pubblici in genere), recano molteplici complicazioni e risvolti giuridici peculiari; lo stesso a dirsi per le numerose indicazioni che devono essere contenute nei siti web di soggetti che esercitano, per es., attività commerciali (come l’art. 7 del D.Lgs. n. 70/2003).

Nel prosieguo, tranne poche eccezioni, quanto si dirà vale per entrambi gli ambiti, posto che il GDPR, com’è noto, non pone differenziazioni in via di principio.

2. Sito, informativa e navigatori: un rapporto necessario

Su Internet, il sito (dato dalla sommatoria della home page e delle sue pagine interne, cioè, in altre parole, i contenuti allocati in uno spazio accessibile tramite un indirizzo IP) costituisce l’interfaccia di persone fisiche o giuridiche ed enti rispetto ai navigatori.

É, se vogliamo, la porta di accesso a detti contenuti e, nella sua dimensione di punto di contatto, implica necessariamente una relazione anche qualora l’interlocutore non abbia (coscientemente) alcuna intenzione di avviarla.

Questa relazione si concretizza mediante l’utilizzo di codici comunicativi condivisi realizzato attraverso un linguaggio scritto o figurato in grado di inviare e ricevere i segnali ed i contenuti di detta comunicazione (l’importanza della versione iconografica della comunicazione è ben rappresentata, come si dirà, nell’art. 12, par. 7, del GDPR)³.

Questo scambio di comunicazioni, che possono essere unidirezionali o bidirezionali, implica, per sua natura, la presenza di dati. Non necessariamente dati qualificabili come personali (quelli che, alquanto impropriamente, l’art. 4, n. 1), del GRPR, indica come identificativo online) ma sicuramente dei dati: non sono personali i dati che non consentono, quantomeno, l’identificabilità di una persona fisica, così come quelli che pertengono, per esempio, ad una intelligenza artificiale alla quale, almeno per il momento, non si riconosce (giuridicamente e socialmente) la natura di persona (di qualunque genere questa possa essere)⁴. Per i dati non personali (e misti) il riferimento è costituito dal Regolamento UE n. 1807/2018 (NPDR - Non-Personal Data Regulation).

Proprio perché ci troviamo in presenza di dati (normalmente personali), emerge l’esigenza che l’interessato, cioè il soggetto cui pertengono i dati, sia in grado di operare le sue scelte con la massima conoscenza di quanto intenda fare colui che effettua uno o più trattamenti di detti dati. Nel ‘meccanismo’ proprio del GDPR, infatti, da un lato vi è il diritto a trattare dati da parte del titolare e, dall’altra, il correlativo diritto a che ciò avvenga nel rispetto delle prescrizioni disciplinari e, soprattutto, tenuto conto delle misure tecniche ed organizzative idonee a garantire la sicurezza dei trattamenti medesimi⁵.

La rilevanza di una corretta informativa è stata sottolineata a seguito di una ricerca effettuata, nel 2017, dalla rete di cooperazione internazionale dei Garanti (GPEN - Global Privacy Enforcement Network) su 455 siti web ed applicazioni di vari settori: viaggi, sanità, banche, social media, giochi d’azzardo⁶.

Dall’analisi delle privacy policy è emerso che:

- solo il 35% delle informative sul trattamento dei dati personali menziona l’adozione di misure di sicurezza a protezione delle informazioni personali degli utenti;

- il 67% dei siti e delle applicazioni omette di specificare se ed in quale parte del mondo vengono trasferiti i dati;

- il 51% non chiarisce se e con chi questi dati vengano condivisi.

Le informative hanno, inoltre, fatto riscontrare le seguenti lacune:

- la genericità ed imprecisione delle formulazioni lessicali, con la presenza di riferimenti normativi obsoleti;

- per i soggetti che operano a livello internazionale non è indicata la normativa applicabile nei singoli Paesi;

- non è chiaramente indicato l’utilizzo che viene fatto dei dati personali;

- non viene indicato dove e come siano conservati i dati e, soprattutto, le misure di protezione (tecniche ed organizzative), adottate;

- manca la comunicazione dei diritti degli interessati (in specie: quello di accesso).

Si tratta, con tutta evidenza, di elementi di notevole criticità se si assume che la protezione dei dati personali debba essere adeguata.

3. Contenuti dell’informativa

3.1. Generalità e premesse dell’informativa

Il manifesto di quanto si intende fare nell’ambito del sito web – con riferimento ai dati personali – è rappresentato nell’informativa.

Si impiega il termine informativa, quale espressione breviloqua, invalsa nell’uso, riferita al complesso delle informazioni che il titolare è tenuto a fornire all’interessato (e questi ha diritto di ricevere), e che, nella maggior parte dei casi, sono contenute in un documento.

Il GDPR, tuttavia, non parla mai di informativa, ma di informazioni, posto che queste ultime possono essere fornite con modalità e tecniche diverse e non necessariamente in un contesto unitario (seppur – anche per profili non secondari di manutenzione delle medesime – la tendenziale unitarietà circa la collocazione è considerata una politica rispettosa del principio di trasparenza. Invertendo l’ordine dei fattori, diciamo che spetta al titolare provare le ragioni di una scelta a favore della disaggregazione, secondo il crisma dell’accountability)⁷.

Per semplicità, nella totalità dei siti web (siano essi pubblici che privati), vi è uno spazio dedicato alla privacy policy (unita o distinta – ed ecco un primo caso di possibile biforcazione dell’informativa – dalla cookies policy), nell’ambito della quale, per l’appunto, è rinvenibile l’informativa.

Le informazioni da rendere all’interessato (ossia, per quanto si è detto, i contenuti dell’informativa), sono indicati negli art. 13 e 14 del GDPR. Nell’ambito dell’informativa che attiene ad un sito web si rientrerà necessariamente nel primo articolo citato poiché l’interlocutore (interessato) è il navigatore che stabilisce una connessione con detto sito.

Le informative che il titolare rende all’interessato sono quella diretta, in occasione della raccolta dei dati personali direttamente presso l’interessato (art. 13), ovvero indiretta, qualora i dati siano stati acquisiti indirettamente, oppure siano provenienti da altro titolare del trattamento (art. 14). Ai soggetti cui si riferiscono i dati personali si trasmetterà l’informativa successiva (qualora a ciò non abbia provveduto il titolare che ha trasmesso i dati, ovvero l’interessato non sia già al corrente delle informazioni di cui ha diritto (e non sia necessario il consenso))⁸.

L’informativa, generalmente, si apre con una sorta di premessa - non necessaria ma utile – con la quale si enuncia che le informazioni sono fornite ai sensi dell’art. 13 del Regolamento (UE) 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, in favore degli interessati che interagiscono con le pagine e i servizi web, accessibili per via telematica a partire dall’indirizzo del sito indicato con la URL relativa alla home-page del sito medesimo.

Questa specificazione non è peregrina come potrebbe dirsi, poiché, di solito, si fanno presenti i seguenti aspetti:

a) la policy privacy cui si riferisce questa informativa riguarda il sito nel suo complesso;

b) possono esserci, nell’ambito del sito, altre e diverse informative, riferite, per esempio, a specifici servizi offerti. L’indicazione è opportuna sia con riferimento all’indicazione dei trattamenti che il titolare intende svolgere, quanto alle relative basi giuridiche che possono essere ben differenti;

c) la validità dell’informativa è limitata al solo sito cui si riferisce e non anche per altri siti web eventualmente consultabili dall'utente mediante collegamento ipertestuale.

Più avanti si vedrà che questa premessa è collegata ad una serie di limitazioni di responsabilità, ovvero di diritti che il titolare fa presente di vantare sin dalla presentazione dell’informativa (anche se non si tratta, per la verità, di questioni che attengono strettamente al trattamento di dati personali). È il caso, ad esempio, delle indicazioni normative che spesso si trovano nei siti delle Pubbliche amministrazioni in cui è chiaramente indicato che l’affidabilità delle indicazioni è del tutto relativa e che non vale ad esonerare l’interessato da una loro verifica⁹.

3.2. Titolare ed altri soggetti che coadiuvano l’attività del titolare

Nell’informativa deve essere espressamente indicato chi sia il titolare del trattamento, con tutti i necessari dati di contatto (indirizzo, recapiti telefonici, indirizzo di posta elettronica ordinaria e certificata, etc.).

Non è escluso – seppur raro – che un sito web sia condiviso tra due o più soggetti che, quindi, potrebbero rivestire il ruolo di contitolari del trattamento (cfr. l’art. 26 del GDPR)¹⁰. Altrettanto rara la presenza di un Rappresentante, secondo quanto previsto dall’art. 4, n. 17), e dall’art. 27 del GDPR.

Gli altri soggetti che è opportuno indicare sono i seguenti:

a) l’avvenuta designazione – ex art. 37 del GDPR – di un Responsabile della protezione dei dati (RPD, ovvero DPO"’ qualora ci si riferisca alla dizione anglosassone di Data Protection Officer);

b) l’esistenza di soggetti designati quali Responsabili (esterni) del trattamento, ai sensi dell’art. 28 del GDPR (in specie, quelli che gestiscono il sito).

Quando il Titolare è un ente pubblico non solo è necessario dichiarare questa qualità ma è anche corretto indicare la disciplina su cui si base la sua attività istituzionale. Ciò al fine di verificare l’indicazione della base giuridica nello svolgimento delle sue attività che non tutte, necessariamente, rientrano nella mission istituzionale.

3.3. Finalità e base giuridica del trattamento

La parte più rilevante dell’informativa è l’esplicita indicazione di quali siano i dati personali soggetti al trattamento (potrebbero per es. essere "particolari, o di minori)¹¹ e, soprattutto, per quale finalità.

Com’è noto il dettato normativo, in coerenza con il principio di accountability, non stabilisce quali debbano essere gli utilizzi dei dati, rimettendo al titolare ogni decisione (fatte salve le prescrizioni di legge), circa le modalità di utilizzo dei dati, le finalità del trattamento, la scelta della base giuridica, la tipologia di dati da trattare, la loro comunicazione a terzi, la possibilità di ricorrere a responsabili del trattamento, i tempi di conservazione (c.d. Data Retention).

Per quanto riguarda la base giuridica, occorre fare riferimento, per i dati di tipo ordinario, alle possibilità indicate dall’art. 6 del GDPR.

Con riferimento alle informative dei siti web – lasciando da parte, per il momento, il tema dei cookie - la base giuridica sarà:

a) per i soggetti privati: il legittimo interesse, ai sensi dell’art. 6, par. 1, lett. f), del GDPR che risulta fisiologico nell’ambito della navigazione web;

b) per i soggetti pubblici, invece, sarà l’esecuzione dei rispettivi compiti di interesse pubblico o comunque connessi all’esercizio di pubblici poteri, ai sensi dell’art. 6, par. 1, lett. e), del GDPR. Si ricorda che a parte l’uso dei cookie indispensabili alla navigazione web (e che non sono utilizzati per alcun tracciamento oltre dette finalità necessarie), per i quali la base giuridica – anche per i soggetti pubblici - è costituita dal legittimo interesse - il GDPR esclude esplicitamente che lo svolgimento delle finalità istituzionali (quali stabilite dalla legge) possa essere fondato sul legittimo interesse (cfr. l’art. 6, par. 1, lett. f), del GDPR)¹².

3.4. Luogo, modalità del trattamento e misure di sicurezza

È rilevante l’indicazione del luogo di trattamento tenuto conto dei limiti applicativi del GDPR. In particolare, trattandosi di un sito web il gestore del sito potrebbe essere un soggetto con sede in un paese fuori dell’Unione europea¹³. In questo caso – tranne eccezioni – la collaborazione del titolare con persone fisiche o società, richiede la nomina di queste quali Responsabili del trattamento ai sensi dell’art. 28 del GDPR. Non è obbligatoria l’indicazione del loro nominativo a condizione che l’interessato possa agevolmente ottenere questa informazione qualora la richieda.

Il trattamento avviene sia all’interno che all’esterno dell’organizzazione del titolare. Nel primo caso parliamo del personale incaricato; nel secondo, dei Responsabili del trattamento.

Quanto alle modalità del trattamento (che deve sempre essere autorizzato dal titolare sulla base di specifiche istruzioni), può avvenire con modalità cartacee che con strumenti informatici/telematici com’è normale parlandosi di trattamenti connessi ad un sito web.

In ogni caso il trattamento deve essere rispettoso dei principi generali indicati all’art. 5 del GDPR.

È necessario anche indicare espressamente che il titolare (e, conseguentemente, anche i responsabili esterni), ha adottato delle specifiche misure di sicurezza idonee per prevenire la perdita dei dati, usi illeciti, o non corretti, e accessi non autorizzati, nonché per ripristinare in caso di eventi dannosi, la funzionalità delle protezioni sui sistemi e sui dati trattati. Queste specifiche possono essere richieste dall’interessato (almeno come descrizione). Nel caso in cui il titolare operi per altri titolari nel ruolo di responsabile del trattamento, tali misure costituiscono condizione per l’affidamento dell’incarico ex art. 28, a meno che non abbia preventivamente ricevuto specifiche istruzioni da seguire (situazione, questa, più teorica che concreta).

3.5. Profilazione

L’informativa deve indicare se il titolare utilizza i dati personali per un processo decisionale automatizzato, ovvero effettua attività di profilazione, di cui all’art. 22 del GDPR, pur se queste non siano collegate a sistemi decisionali automatizzati. Si faccia attenzione che la profilazione e la decisione automatizzata corrispondono a fenomeni affatto diversi. Per profilazione, ai sensi dell’art. 4, n. 4), del GDPR, si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica¹⁴.

Il processo decisionale automatizzato (dal quale promana una decisione in parte o totalmente automatizzata) è quello strumento che consente di prendere decisioni impiegando mezzi tecnologici (es. macchinari o algoritmi) con o senza l'intervento umano¹⁵.

Se ricorrono queste attività, il titolare deve fornire le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato (art. 13, par. 2, lett. f), del GDPR).

Per i cookie di profilazione v., più avanti, ai parr. 4 e 5.

3.6. Comunicazione e diffusione

Se i dati raccolti (e trattati) vengono comunicati e/o diffusi va specificato per quale finalità e, soprattutto, chi sono i destinatari. L’utilizzo, nell’ambito del sito, di social networks costituisce la tipica fattispecie di diffusione (per la quale è necessaria l’acquisizione, per ognuno di questi, del consenso ex art. 6, par. 1, lett. a), del GDPR).

3.7. Destinatari o categorie di soggetti che potrebbero venire a conoscenza dei dati personali trattati

Nell’informativa possono essere esplicitati i soggetti che vengono a conoscenza dei dati (poiché sono coinvolti nel trattamento) che sono – come detto – tanto interni, quanto esterni all’organizzazione del titolare.

Possono anche essere indicati come categoria, come ad es., il personale dell’ufficio di contabilità. L’indicazione di destinatari sotto la forma riassuntiva legata ad una data categoria non solo deve poter essere motivata dal titolare ma deve consentire all’interessato di poter comprendere quali siano effettivamente questi soggetti, rispetto ai quali può – se ritiene – richiederne l’elencazione.

Una tipica ipotesi di indicazione per categoria è rappresentata dal diritto di conoscibilità dei dati personali da parte dell’autorità giudiziaria, amministrativa ovvero di qualsiasi altro soggetto pubblico a ciò legittimato nei casi e nelle forme previste dalla legge. Sarebbe, oltre che complicato, superfluo, indicare con esattezza quali siano queste autorità.

3.8. Trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale

Il titolare deve esplicitare tutte le informazioni se intende trasferire dati personali in un paese terzo (o ad una organizzazione internazionale) e, precisamente:

a) l’esistenza o meno di una decisione di adeguatezza da parte della Commissione europea (art. 45 del GDPR);

b) ovvero la presenza di norme vincolanti d’impresa (art. 47), o clausole tipo (art. 46, par. 2);

c) ovvero la presenza di deroghe (con le relative garanzie), di cui all’art. 49 del GDPR.

Sul sito International dimension of data protection ¹⁶, curato dalla Commissione europea, sono riportate, tra le altre:

- le regole sul trasferimento internazionale di dati personali;

- le decisioni di adeguatezza;

- le clausole contrattuali standard¹⁷;

- le Binding Corporate Rules (BCR);

- le clausole per i trasferimenti di dati nell’ambito di società multinazionali.

Al momento, sono considerate adeguate, ai sensi dell’art. 45 del GDPR, le discipline dei seguenti Stati: Andorra, Argentina, Australia¹⁸, Canada, Fær Øer Islands, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America.

Per quanto riguarda la situazione degli Stati Uniti, a seguito della caducazione dell’Accordo sul Privacy Shield ad opera della Corte di giustizia dell’Unione europea¹⁹, l’adeguatezza della disciplina statunitense è stata ritenuta limitatamente al trasferimento dei dati del codice di prenotazione – PNR-Passenger Name Record – da parte dei vettori aerei. Ciò ha comportato, soprattutto per le principali società americane che offrono servizi su Internet, di stabilire una sede nel territorio europeo, limitando la circolazione dei dati personali trattati all’ambito di questo territorio²⁰.

Quanto al Regno Unito, a seguito della sua uscita, dal 1° gennaio 2021, dall’Unione europea, il GDPR è rimasto comunque applicabile – fino al 30 giugno 2021 – in virtù dell’Accordo commerciale e di cooperazione del 30 dicembre 2020. Successivamente, la Commissione ha disciplinato l’adeguatezza con una specifica decisione²¹.

3.9. Periodo di conservazione

I dati personali non possono essere conservati per un periodo di tempo superiore al conseguimento delle specifiche finalità per le quali sono trattati, come richiesto dall’art. 5 del GDPR. La conservazione dipende, quindi, dalle finalità del singolo trattamento. Se non sia indicato vanno comunque definiti i criteri utilizzati per determinarlo, tenuto conto del principio di limitazione della conservazione.

Il periodo di conservazione dovrebbe essere formulato in maniera da consentire all’interessato di determinare, in merito alla sua situazione specifica illustrata chiaramente nell’informativa, quale sia il periodo di conservazione per specifici dati o per determinate finalitಲ.

Ai fini