500 likes | 650 Vues
PRIVACY E TUTELA DEL CONSUMATORE APA Associazione Professionisti d’Affari WORKSHOP E - COMMERCE: PROFILI LEGALI E FISCALI Milano, 7 ottobre 2010 Oreste Pollicino Università commerciale “Luigi Bocconi” oreste.pollicino@unibocconi.it.
E N D
PRIVACY E TUTELA DEL CONSUMATORE APA Associazione Professionisti d’Affari WORKSHOP E - COMMERCE: PROFILI LEGALI E FISCALI Milano, 7 ottobre 2010 Oreste Pollicino Università commerciale “Luigi Bocconi” oreste.pollicino@unibocconi.it
Il commercio elettronico rappresenta meglio di ogni altra vicenda l'evoluzione dall'atomo al bit che si è consumata grazie alla rivoluzione digitale. De-materializzazione e de-statualizzazione. Annullamento delle distanze. Nuove opportunità, nuovi pericoli
Internet, quale nuova sede di formazione di relazioni giuridiche, alimenta quindi forme di aggressione innovative verso valori e beni giuridici che godono di protezione nell'ordinamento. La maggior parte delle aggressioni generate dalla rete colpisce la riservatezza degli utenti, potenziali consumatori-acquirenti nelle dinamiche del commercio elettronico. Nuove opportunità, nuovi pericoli
Nel campo dell'e-commerce B2C l'esigenza di protezione della privacy coinvolge principalmente l'utilizzo dei dati per finalità commerciali connesse all'attività dei prestatori che operano in rete. Proprio in questo contesto, si apprezzano i possibili rischi sia per il corretto trattamento dei dati sia per il diritto di non subire intromissioni indesiderate nella propria sfera privata. Gli operatori soggiacciono al rispetto dei principi fissati nel Codice della privacy: liceità e correttezza, finalità, necessità, esattezza, pertinenza e non eccedenza. La tutela della privacy nell'e-commerce
Le forme di aggressione più pericolose alla riservatezza si concretizzano laddove l'utente non è in grado di esercitare un controllo sulla circolazione dei suoi dati: -cookies (a monte)e data log (in costanza): pericolo di prelievo dei dati personali finalizzato alla profilazione degli utenti (cd. “raccolta invisibile”). -spamming (a valle): pericolo di intromissione nella sfera privata tramite comunicazioni commerciali indesiderate e non sollecitate attraverso tecniche di comunicazione a distanza. La tutela della privacy nell'e-commerce
L'acquisizione di dati personali può avvenire secondo due modalità: -raccolta visibile: attuata per effetto della conclusione di contratti di commercio elettronico, è lecita se compiuta nel rispetto dei presidi previsti dal Codice della privacy sul trattamento dei dati personali (informativa e consenso, nelle forme richieste dalla legge); -raccolta invisibile: prelievo, ad insaputa dell'utente e a prescindere da preesistenti relazioni commerciali, di dati relativi ad abitudini o preferenze di consumo in base alla navigazione in rete (data log e cookies). La profilazione
La profilazione Definizione cookies Breve testo alfanumerico che viene archiviato, e successivamente recuperato da un fornitore di rete nell’apparecchiatura terminale dell’interessato. I soggetti coinvolti nella fase a monte del perfezionamento della compravendita on line. a)Inserzionista b)Editore c)Fornitore della rete pubblicitaria d)Utente- consumatore potenziale
È lecito l'utilizzo di cookies? a) Garante protezione dati personali, 13 gennaio 2004 Ribadisce l'illiceità della profilazione dei consumatori quando non sia accompagnata da adeguate garanzie tali da soddisfare i presidi posti dal legislatore a tutela della privacy. L'informativa, in particolare, deve: -apparire online prima che all'utente sia richiesta la registrazione dei dati personali; -definire esaustivamente gli aspetti del servizio offerto dall'operatore; -indicare all'utente i diritti riconosciuti dal Codice della privacy. La profilazione e la pubblicità comportamentale (a monte)
La profilazione e la pubblicità comportamentale (a monte) b) Gruppo art. 29 sulla tutela dei dati personali 22-6-2010 I) I fornitori di reti pubblicitarie vincolati all’art. 5 par. 3 della direttiva 2002/58 Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Principio del consenso informato anche quando si tratta di informazioni che non possono essere qualificate tecnicamente “dati personali” .
La profilazione e la pubblicità comportamentale (a monte) I) Fornitori di reti pubblicitarie In caso di raccolta di “dati personali”: fornitori di pubblicità sono sicuramente responsabili del trattamento. Punto fondamentale perché determina l’insorgere di ulteriori obblighi derivanti dall’applicazione della direttiva 95/46.
La profilazione e la pubblicità comportamentale (a monte) II) Editori Affittano spazi sui propri siti web affinchè le reti pubblicitarie vi inseriscano messaggi pubblicitari Corresponsabile del trattamento? Dipende dal tipo di collaborazione con i providers e dalla predisposizione tecnica del sito. In genere corresponsabili nella parte iniziale del trattamento dei dati, allorchè avviene il trasferimento dell’indirizzo IP ai fornitori di reti pubblicitarie quando gli utenti potenziali consumatori visitano il sito.
La profilazione e la pubblicità comportamentale (a monte) II) Gli editori Necessaria una consapevolezza da parte degli editori che, sottoscrivendo un contratto con i fornitori di reti pubblicitarie, secondo il quale i dati personali dei visitatori sono messi a disposizione dei fornitori di reti pubblicitarie, essi assumono parte della responsabilità nei confronti dei potenziali visitatori.
La profilazione e la pubblicità comportamentale (a monte) • III) Gli inserzionisti • Quando un interessato, potenziale consumatore, clicca su un messaggio pubblicitario e visita il sito web dell’inserzionista, quest’ultimo può rintracciare la campagna pubblicitaria che ha indotto la persona a cliccare sulla pubblicità. • Se l’inserzionista ricava le informazioni di targeting e combina queste informazioni con il comportamento di navigazione dell’interessato all’interno del sito o con i dati forniti all’atto della registrazione, egli diventa responsabile del trattamento indipendente.
La profilazione e la pubblicità comportamentale (a monte) Modalità di assunzione del consenso Art. 5, par. 3 direttiva 2002/58 parla di previo consenso informato. Deve avvenire prima del collocamento del cookie nell’apparecchiatura dell’utente. Deve essere anticipato da una serie di informazioni preventive circa l’invio e le finalità del cookie: “opting in” o “opting out”? Molto chiaro il parere del gruppo dell’art. 29 del 22-6-2010.
La profilazione e la pubblicità comportamentale (a monte) I) Quale significato dare all’inattività dell’interessato? *Sulla base della disciplina comunitaria non si può ritenere che l’interessato abbia espresso il proprio consenso semplicemente perché utilizza un browser che di default consente la raccolta ed il trattamento dei dati. *“La responsabilità in relazione al trattamento dei cookies non può ridursi alla responsabilità dell’utente che prende o non prende precise precauzioni a livello dei parametri del browser”.
La profilazione e la pubblicità comportamentale (a monte) II) Inammissibile il consenso “in massa” *Il consenso a ricevere cookies presunto attraverso le impostazioni del browser, oltre a non essere informato, implica che l’utente accetti qualsiasi trattamento futuro, anche senza conoscere le finalità e l’uso dei cookies. *Il consenso in massa a qualsiasi trattamento futuro senza conoscere le circostanze del trattamento non può essere considerato un consenso valido.
La profilazione e la pubblicità comportamentale (a monte) L’opzione “opt-out” non è in grado di trasmettere il consenso * Gli utenti generalmente non dispongono di conoscenze di base circa la raccolta di dati, il funzionamento della tecnologia e le modalità per esprimere il dissenso. * Il consenso implica la partecipazione attiva dell’interessato prima della raccolta e del trattamento dei dati mentre invece il meccanismo di “opt-out” fa riferimento a una mancata reazione dell’interessato dopo l’inizio del trattamento.
La profilazione e la pubblicità comportamentale (a monte) • Richiesto “opt-in” preliminare • Per permettere al potenziale acquirente di esprimersi chiaramente ex ante, prima che avvenga il trattamento dei dati personali da parte di terzi, è necessario un consenso esplicito per tutte le operazioni di trattamento basate sul consenso. • Problema pratico di eseguibilità dell’obbligo. • Lettura di compromesso: • *3 condizioni
La profilazione e la pubblicità comportamentale (a monte) • Questione affrontata differente e più ridotta rispetto a quella dell’irresponsabilità del provider fatta propria dalla direttiva del commercio elettronico. • Due notazioni minime su quest’ultimo punto. • Art. 2 b d.lvo 70/2003. • Considerando 42 direttiva 2000/31.
La profilazione e la pubblicità comportamentale (a monte) La normativa in questione concepisce il provider come un soggetto terzo che non ha alcun controllo sui contenuti in quanto non ha possibilità di incidere concretamente sulle loro modalità di diffusione, ma può al massimo prestare uno spazio poi gestito autonomamente dal fornitore di contenuti. Si può dire che Google video (e ora YouTube) con i suoi sistemi sofisticati di filtri e indicizzazioni, non abbia alcun controllo sui dati dell’utente? È probabile che la direttiva che prevede l’esonero di responsabilità, avesse in mente quegli internet service provider che fornivano il servizio di connessione in cambio di una contropartita economica, e non chi, come Google, fa dei guadagni non chiedendo un quid per il servizio di connessione, che è gratuito, ma lucrando sulla pubblicità che ospita la piattaforma.
Altro strumento che consente di controllare la navigazione degli utenti è costituito dai data log. Tali registri, gestiti dagli internet providers, si limitano a tracciare il percorso dell'utente durante la navigazione (registrando, per esempio, il tempo e la durata dell'accesso) per consentire l'accertamento di eventuali responsabilità per illeciti commessi online. La materia è governata da codici di autoregolamentazione promossi fra gli operatori del settore. Dopo aver identificato l'utente (al fine di eventuali comunicazioni all'autorità giudiziaria), i providers dovrebbero garantirne l'anonimato in rete. La profilazione (nel momento)
L'utilizzo dei data log espone comunque l'utente al rischio di profilazione da parte del provider. Allo scopo di evitare i pericoli connessi, i providers devono: -informare gli utenti dell'esistenza del registro, dei dati in esso raccolti, delle finalità, delle modalità e della durata del trattamento; -ottenere il consenso dell'interessato, nelle forme prescritte; -notificare al Garante il trattamento in via preventiva, e richiedere l'autorizzazione per i trattamenti non coperti da autorizzazioni generali; -adottare le idonee misure di sicurezza per assicurare la protezione dei dati. La profilazione (nel momento)
In Spagna, l’utilizzo di qualsiasi strumento in grado di tracciare la navigazione in rete è legittimo ove preceduto dall’informativa da parte del fornitore circa le finalità perseguite e a condizione sia concesso al consumatore il diritto di opporsi senza costo in ogni momento. Nel Regno Unito, il prestatore è tenuto ad informare l’utente delle informazioni raccolte tramite il sito, consentendogli di rifiutarne l’utilizzo. In Belgio, se il contatto si instaura con un utente identificato o identificabile, questi deve essere informato circa le finalità, il funzionamento e le garanzie a tutela della privacy del sistema, di modo da potersi determinare e rifiutare il download di cookies. Consenso richiesto anche dalla Svezia, dal Portogallo, dalla Francia. La profilazione in Europa
In Germania, è consentito profilare a condizione che non sia possibile risalire all’identità dell’utente. L’utilizzo di uno pseudonimo è quindi necessario, nonostante gli utenti possano opporsi anche a questa modalità di profilazione anonima (opt-out). I profili che invece contengono elementi sulla personalità dell’utente, i quali non possono essere anonimizzati, sono leciti a condizione che il consumatore abbia espresso il proprio consenso. La profilazione in Europa
Nessuna specifica regolamentazione inerente alla profilazione degli utenti è prevista dalle leggi federali degli Stati Uniti. In Brasile, vale una previsione generale che limita la registrazione di dati sulla navigazione ai soli casi in cui vi sia un ordine giudiziario o sia perseguito un obiettivo fissato da altra legge. La profilazione al di là dell’Altlantico
Pericolo inverso al prelievo di dati personali: invio di comunicazioni commerciali non sollecitate con intromissione indesiderata nella sfera privata. La confusa soluzione normativa italiana pone il dubbio se il problema dello spamming attenga più alla protezione della riservatezza del cybernauta o alla tutela del consumatore da messaggi promozionali non richiesti e dannosi alla navigazione. Lo spamming
L'art. 58 del Codice del consumo, in continuità con l’art. 10 del d. lgs. 185/1999 sui contratti a distanza, include la casella di posta elettronica nel novero delle tecniche di comunicazione a distanza con le quali è fatto divieto diffondere messaggi pubblicitari senza il preventivo consenso dell'interessato (opt-in). Il c. 2 dell'art. 58 stabilisce l'opposto principio per le tecniche diverse di quelle menzionate al c.1: in tal caso le comunicazioni commerciali sono ammesse finchè l'interessato non manifesti volontà contraria (opt-out). Lo spamming
La direttiva 2000/31 sui servizi della società dell'informazione, recepita in Italia con il d. lgs. 70/2003, prevede un sistema intermedio fra opt-in e opt-out. L'art. 7, nel lasciare libertà agli Stati membri di vietare o meno comunicazioni non sollecitate, richiedeva in ogni caso che, ove ammesse, il loro carattere commerciale fosse chiaramente e inequivocabilmente riconoscibile, ed imponeva altresì ai prestatori di consultare appositi registri dove erano indicate le persone fisiche che non intendevano ricevere spam (embrionale tentativo di tutelare il consumatore conciliando esigenze di marketing e protezione della privacy). Lo spamming
Gli artt. 8 e 9 del d. lgs. 70/2003 regolano la comunicazione commerciale in attuazione della direttiva 2000/31. L’art. 8 richiede che i messaggi identifichino chiaramente: -che si tratti di comunicazione commerciale; -il mittente; -la natura di offerta promozionale, con relative condizioni di acceso. L'art. 9 del d. lgs. 70/2003, richiamando le previsioni del d.lgs. 185/1999 (poi trasfuso nel Codice del consumo), rafforza l’esigenza di un’informativa sulla natura commerciale dei messaggi pubblicitari trasmessi via e-mail e sul diritto del consumatore di opporsi all’invio di future comunicazioni. Lo spamming
Volendo ristabilire il primato della legislazione ad hoc in materia di privacy, occorre tenere a riferimento l'art. 130 del Codice della privacy, così come novellato in attuazione della direttiva 2002/58. Nessuna comunicazione elettronica a contenuto commerciale è ammessa senza un esplicito e preventivo consenso dell'interessato (opt-in). Il sistema dell'opt-out è ammesso soltanto in relazione a comunicazioni inerenti a prodotti analoghi ad altri per i quali si sia già verificata un'operazione con lo stesso prestatore. Lo spamming
Altri sistemi giuridici in Europa (Belgio, Francia, Germania, Inghilterra, Spagna) seguono uno schema simile all’ordinamento italiano, basato sull’impianto della Direttiva 2002/58: -le comunicazioni commerciali sono di norma legittime dietro consenso del destinatario (opt-in); -sono altresì legittime tra le medesime parti fra cui sia già intercorsa una relazione negoziale, in relazione a prodotti/servizi simili a quelli commercializzati nella precedente transazione, e sempre che il consumatore conservi il diritto di opporsi sia al momento della raccolta dei suoi dati, sia al momento dei successivi inoltri di messaggi pubblicitari (opt-out). Lo spamming in Europa
Il Portogallo ha implementato un sistema fondato sul criterio dell’opt-out, così come suggerito dalla Direttiva e-commerce: in capo al Direttorato Generale per i Consumatori è radicata la competenza a mantenere ed aggiornare un elenco nazionale dei soggetti che si sono opposti all’invio di comunicazioni commerciali. Ai fornitori di servizi che inoltrano comunicazioni commerciali via internet è fatto obbligo di consultare tale elenco per evitare la diffusione di messaggi indesiderati in violazione della legge. Lo spamming in Europa
La Finlandia e la Norvegia fondano la protezione dei consumatori dalle comunicazioni non sollecitate su un duplice binario normativo. La legge sulla protezione dei dati personali consente la raccolta e la conservazione di dati personali per finalità, tra l’altro, di direct marketing o vendite a distanza, a meno che l’interessato (consumatore o operatore professionale) si opponga. La legge sulla protezione della privacy nelle comunicazioni elettroniche vieta di inviare comunicazioni commerciali via e-mail a consumatori che non abbiano prestato il proprio consenso. Lo spamming in Europa
Negli Stati Uniti vige dal 2003 il CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing Act), che identifica il proprio campo d’applicazione in tutte le e-mail finalizzate alla promozione di un bene o servizio, anche mediante il semplice rinvio ad un sito internet. Sono tuttavia escluse, al pari di quanto previsto dagli ordinamenti europei, le comunicazioni inoltrate da un prestatore a richiesta del consumatore e quelle riferibili agli ordini effettuati. Lo spamming negli Stati Uniti
Segnatamente, la legge esige dal prestatore le seguenti premure: -ogni e-mail deve indicare chiaramente il mittente e il destinatario; -l’oggetto dell’e-mail non deve essere ingannevole; -il consumatore deve potersi opporre in qualsiasi momento all’invio di successive comunicazioni; -le e-mail a contenuto pubblicitario devono identificarsi come tali e includere indicazione dell’indirizzo fisico del mittente. In caso di inadempimento, si applicano sanzioni pecuniarie. Alcune leggi statali, tuttavia, prevedono più severe misure di contrasto per certe tipologie di spamming connotate da peculiare aggressività. Lo spamming negli Stati Uniti
Nei lavori preparatori che hanno preceduto l’emanazione di quest’atto, si era discusso della possibilità di istituire un registro, il “Do Not E-mail Registry”, già proficuamente implementato per contrastare le comunicazioni non sollecitate nel campo delle televendite. Simile registro avrebbe costituito l’omologo statunitense del modello delineato dalla direttiva e-commerce in Europa, orientando il sistema verso una soluzione intermedia più vicina ad un opt-out. Temendo che questo approccio potesse agevolare, anziché dissuadere, la pratica dello spamming, la Federal Trade Commission ha abbandonato il progetto. Lo spamming negli Stati Uniti
Interessante la soluzione brasiliana In questo modo, mentre non si richiede il preventivo consenso dell’interessato, nessuna comunicazione commerciale può essere indirizzata al consumatore prima che questi abbia ricevuto notifica a abbia potuto opportunamente determinarsi (eventualmente, opponendosi). Il dibattito interessa, piuttosto, la definizione di strumenti repressivi. Lo spamming in Brasile
La maggior parte dei contratti conclusi online presenta caratteristiche tali da rendere potenzialmente sfavorevole il ricorso all’e-commerce da parte dei consumatori. Quasi sempre si tratta di contratti per adesione. Inoltre, si tratta sempre di contratti a distanza, dove non solo le parti non si conoscono e ignorano la reciproca affidabilità, ma nemmeno sono nella condizione di apprezzare le caratteristiche dei beni o servizi negoziati. La tutela del consumatore
In Italia, in particolar modo, si discute sull’idoneità del cd. “point and click” ad integrare la specifica sottoscrizione per iscritto richiesta dall’art. 1341 c. 2 c.c. per l’accettazione delle clausole onerose. Strumenti a protezione del consumatore sono, da un lato, gli obblighi informativi che gravano sul prestatore, dall’altro, il diritto di recesso conferito al consumatore senza alcuno specifico presupposto giustificativo. Nessuna particolare previsione governa l’utilizzo dei mezzi di pagamento elettronici. La tutela del consumatore
Altri Stati membri hanno adottato previsioni simili in attuazione della Direttiva e-commerce, conferendo al consumatore il diritto di recedere ad nutum e imponendo al prestatore l’assolvimento di plurimi obblighi informativi. Misure di protezione sono dedicate anche all’utilizzo di strumenti di pagamento: *La Spagna consente al titolare di una carta di credito di ottenere l’annullamento di tutti gli addebiti che derivano dall’utilizzo della carta in sua assenza, come accade nell’e-commerce. Tale diritto è limitato alle ipotesi di mala fede dell’utilizzatore. Così anche la Finlandia. La tutela del consumatore in Europa
Il Belgio ha stabilito un procedimento che prevede la tempestiva notifica del titolare della carta all’istituto di credito in caso di perdita, furto, o di accertamento di transazioni non autorizzate. In Norvegia, dove opera un identico meccanismo, la responsabilità del titolare della carta può essere mitigata allorché l’istituto di credito emittente abbia omesso di adempiere ai necessari standard di sicurezza. La tutela del consumatore in Europa
Negli Stati Uniti, si distinguono tre differenti modalità di conclusione di un contratto online: Contratti click-wrap Contratti browse-wrap Contratti shrink-wrap La tutela del consumatore negli Stati Uniti
I contratti click-wrap si concludono quando l’acquirente, visitando il sito web del prestatore, manifesta la propria volontà negoziale attraverso la pressione di un bottone recante la dicitura “Accetto” posto in calce ad un’apposita pagina che riepiloga i termini e le condizioni del contratto. I contratti conclusi in tal modo sono ritenuti efficaci dalle corti americane, dal momento che il consumatore ha la possibilità di manifestare consapevolmente la propria volontà negoziale dopo aver chiaramente visualizzato i termini e le condizioni contrattuali. Click-wrap contracts
I contratti browse-wrap si concludono quando l’utente scelga di acquistare un prodotto o servizio offerto sul sito del prestatore, a condizioni e termini che possono essere visualizzati visitando un apposito link e senza premere alcun bottone che indichi l’accettazione di quelle condizioni. Nessun consenso viene esplicitamente manifestato dall’utente rispetto al regolamento contrattuale definito dal prestatore; si parla, al più, di un comportamento concludente. L’efficacia di questi contratti viene misurata su diversi fattori: -l’accessibilità del link (la sua maggiore o minore visibilità) nel sito; -la frequenza nell’utilizzo del sito a parte dell’acquirente; -la circostanza che l’acquirente sia un consumatore o un operatore professionale. Browse-wrap contracts
I contratti shrink-wrap sono caratterizzati dall’invio di un modulo recante la sintesi del regolamento contrattuale insieme al prodotto acquistato online. Tale modalità è ritenuta idonea a conferire efficacia al contratto poiché consente all’acquirente di conoscere chiaramente i termini e le condizioni contrattuali. Il contratto si considera perfezionato qualora l’acquirente non restituisca la merce o non si opponga alle condizioni contrattuali entro un tempo determinato. Shrink-wrap contracts
L’e-commerce riposa su scelte regolamentari che esprimono con chiarezza l’intento di proteggere i “contraenti deboli” delle transazioni, cioè coloro che vi fanno ricorso a scopo non professionale. Si rivelano diversi i profili che variamente espongono a pericolo il consumatore. A questi pericoli l’ordinamento reagisce con un approccio frammentario, fondato su strumenti di per sé efficaci (recesso, informativa, consenso dell’interessato al trattamento di dati personali..) ma slegati da un inquadramento globale che garantirebbe maggiore organicità alla disciplina. Molti pericoli, giuste tutele ?
Si tratta di un settore dove il volume del contenzioso è marginale, ma le insidie per il consumatore non mancano. Gli strumenti normativi apprestati, in Europa, a beneficio dei consumatori sono stati ispirati dall’intento di favorire l’integrazione economica in un settore che ha raggiunto il 2% del commercio dell’Unione Europea. Per verificare la tenuta di alcuni di questi strumenti, nell’ottica di proseguire il progetto di liberalizzazione senza tralasciare l’esigenza di un’adeguata protezione dei consumatori, la Commissione europea ha avviato una consultazione pubblica propedeutica alla revisione della direttiva 31/2000. Molti pericoli, giuste tutele ?