Type a keyword and hit enter to start searching. Press Esc to cancel.

Ci sono tanti modi diversi per vendere e offrire i propri prodotti online. Si è iniziato da siti “tradizionali”, come i portali di e-commerce, per poi passare ai marketplace, che riuniscono più venditori di beni online. Oggi, tuttavia, tutte le imprese si trovano prima o poi a doversi orientare all’interno della “platform economy”, che ha introdotto la grande novità della vendita non solo di beni, ma anche di servizi online.

Nel presente contributo ci si soffermerà principalmente sulla tutela dei diritti dei c.d. business users (o “utenti commerciali”) nei confronti delle piattaforme, che deriva principalmente dal Regolamento UE 1150/2019 (c.d. Regolamento “P2B”), in vigore dal luglio 2020, e che sarà ulteriormente rafforzata con la prossima adozione del Digital Services Act. Questi Regolamenti si applicheranno a tutte le piattaforme che offrano i propri servizi nel mercato unico europeo, a prescindere da dove abbiano la propria sede legale.

Se si analizzano le condizioni di contratto offerte ai venditori dalle principali piattaforme, risulta evidente come queste non si siano ancora adeguate nemmeno alle previsioni del Regolamento del 2019. Tuttavia, risulta comunque importante consapevolizzare gli “utenti commerciali” dei deficit di tutela attualmente presenti e, al contempo, delle prospettive di miglioramento delineate dalle più recenti proposte normative a livello europeo.

1. Informazioni sulle “restrizioni” all’accesso ai servizi e sulla content moderation

In primo luogo, il Regolamento 1150/2019, all’art. 4, prevede la definizione di regole chiare per la limitazione, la sospensione e la cessazione dei servizi offerti dagli intermediari. In queste ipotesi, il fornitore di servizi è tenuto innanzitutto a comunicare le motivazioni della propria decisione e deve contestualmente offrire all’utente commerciale la possibilità di chiarire i fatti e le circostanze nell’ambito di un processo interno di gestione dei reclami.

Alcune condotte che possono rientrare in queste fattispecie sono quelle di eliminazione di offerte dei prodotti create dall’utente commerciale o di rimozione di contenuti, che possono avvenire per scelta della piattaforma o in seguito ad una segnalazione di un soggetto terzo.

Ecco che allora risulta fondamentale che le piattaforme si conformino al nuovo Regolamento, prevedendo, nel caso di reclami da parte di soggetti terzi, la richiesta di motivazioni, la comunicazione delle stesse all’utente interessato e la previsione di un meccanismo con cui l’utente possa replicare e difendersi.

Nel caso, invece, di contenuti rimossi direttamente dalla piattaforma, sfruttando tecnologie automatizzate, è fondamentale il rispetto della trasparenza e della chiarezza nel comunicare all’utente commerciale le regole e le condizioni ragionevoli che possono determinare una rimozione. Le piattaforme sono poi tenute ad utilizzare le migliori tecnologie disponibili per evitare decisioni discriminatorie.

2. Informazioni sui criteri di posizionamento

In secondo luogo, ai sensi degli artt. 5 e 7 del Regolamento, agli intermediari online è richiesta la massima trasparenza nell’indicare, all’interno dei termini e delle condizioni di servizio, i principali parametri che determinano il posizionamento e l’importanza relativa dei parametri principali rispetto ad altri parametri.

Dovrebbe essere specificato, in particolare, quando il versamento di un corrispettivo permetta di influire sul posizionamento.  Parimenti, gli intermediari online devono indicare qualunque trattamento differenziato che riservino ai prodotti o ai servizi offerti ai consumatori da loro stessi o da utenti commerciali controllai, da un lato, e ad altri utenti commerciali, dall’altro. In ogni caso, tuttavia, i fornitori di servizi di intermediazione online non sono tenuti a rivelare algoritmi o informazioni che potrebbero tradursi nella possibilità di trarre in inganno i consumatori o di arrecare loro danno attraverso la manipolazione dei risultati di ricerca.

L’inadeguatezza dell’Organismo di Vigilanza nell’espletamento delle funzioni ad esso assegnate, sia sotto il profilo della propria composizione sia in ordine all’effettività dell’attività di vigilanza e controllo espletata, è un tema molto dibattuto, di recente, nei tribunali italiani. Tra i casi più conosciuti rientra quello della Banca Popolare di Vicenza.

Come già evidenziato in un nostro precedente articolo,  non è sufficiente dotarsi di un modello di organizzazione e gestione se questo poi è inefficace ed inidoneo a tutelare l’ente dai rischi della commissione di illeciti.

L’autonomia e l’indipendenza dell’Organismo di Vigilanza

Affinché il Modello 231 possa svolgere le sue funzioni è assolutamente necessario, per l’ente, dotarsi di un Organismo di Vigilanza che rispetti i requisiti di autonomia e indipendenza nell’espletamento delle funzioni e dei poteri allo stesso assegnati dall’art. 6, co. 1, lett. b) del D. lgs. 231/2001.

In altri termini, il Modello 231 che non abbia previsto un Organismo di Vigilanza dotato di autonomi ed effettivi poteri di controllo è inidoneo a fungere, per l’ente, da esimente per la responsabilità da reato.

Il D. lgs. 231/2001, però, non fornisce indicazioni precise e puntuali in ordine alla composizione dell’Organismo, ad eventuali incompatibilità dei suoi componenti con altre cariche rivestite all’interno dell’ente né in ordine ai rapporti e alla distanza che l’Organismo di Vigilanza deve avere rispetto all’organo dirigente dell’ente stesso.

organismo di vigilanza banca popolare di vicenza

Il  vuoto normativo, come spesso accade, è stato colmato dalla giurisprudenza, ormai granitica sul punto, la quale ritiene che affinché possa dirsi che l’Organismo di Vigilanza operi in piena autonomia e indipendenza è necessario che: (i) venga esclusa ogni forma di coincidenza o commistione tra organo controllante e organo controllato; (ii) sia esclusa qualsiasi forma di ingerenza dell’organo di vertice nei confronti dell’Organismo; (iii) non siano assegnati ai componenti dell’Organismo compiti operativi all’interno dell’ente in aree a rischio di commissione di reati.

Le nuove Linee Guida di Confindustria

Un altro importante punto di riferimento per gli addetti ai lavori, sono le “Linee Guida di Confindustria per la costruzione dei Modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001 n. 231”, da ultimo aggiornate nella versione dello scorso 21 giugno.

Sin dalla loro prima pubblicazione, infatti, tali Linee Guida hanno fornito importanti indicazioni operative per la formazione del modello di organizzazione e gestione e per il suo funzionamento.

La sentenza del Tribunale di Milano su MPS

La sentenza del Tribunale di Milano sulla nota vicenda dei “derivati MPS” (Tribunale di Milano, sezione II, 7 aprile 2021) pone l’attenzione su molteplici questioni rilevanti ai fini della responsabilità amministrativa degli enti prevista dal d.lgs. 231/2001.

Invero, il Tribunale di Milano, nel richiamare i principi di ordine generale in tema 231, si sofferma in particolare sulla responsabilità dell’Organismo di Vigilanza, il quale avrebbe assistito “inerte agli accadimenti, limitandosi a insignificanti prese d’atto, che un più accorto esercizio delle funzioni di controllo avrebbe scongiurato”.  

Elementi essenziali di un Modello 231

La sentenza tuttavia tratta anche due temi di assoluto rilievo per l’imprenditore, ovvero l’inadeguatezza del Modello 231 e la mancata effettività dello stesso.

Dalla narrazione dei fatti processuali, emerge in modo chiaro come la struttura del Modello 231 di MPS fosse manchevole. Infatti, la società incaricata di valutare il Modello 231 adottato, con particolare riferimento agli illeciti di ostacolo all’Autorità di Vigilanza, aveva rilevato “plurime criticità e manchevolezze” e aveva quindi suggerito:

“1) l’integrazione del modello, mediante illustrazione delle modalità di possibile perpetrazione dei

reati nonché indicazione dei presidi di controllo in essere per ogni attività c.d. sensibile;

2) l’aggiornamento del codice etico, da rendere parte integrante del compliance program;

3) la predisposizione di protocolli di parte speciale atti a prevenire la commissione dei reati

presupposto, che chiarissero per ogni unità organizzativa gli illeciti teoricamente perpetrabili, i

presidi di controllo in essere, i principi di comportamento da tenere e i riferimenti alla

normativa interna aziendale di disciplina della materia.”

In seguito a questo, MPS aveva deciso, previo parere favorevole dell’Organismo di Vigilanza, di dare corso ad un profondo lavoro di aggiornamento del Modello 231.

È tuttavia interessante evidenziare come il Tribunale di Milano abbia ritenuto che, prima dell’aggiornamento del Modello 231, la banca fosse sostanzialmente “sprovvista di accorgimenti organizzativi concretamente idonei a prevenire il rischio criminoso”. In altri termini, l’assenza di presidi di controllo, la mancanza di protocolli di parte speciale e l’assenza di flussi informativi verso l’Organismo di Vigilanza renderebbero un Modello 231 inefficace.

L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.

I consigli dell’EDPB

Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.

1^ Step: mappare i flussi di dati.

Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.

2^ Step: individuare lo strumento normativo su cui si basa il trasferimento

Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.

Con la Circolare 4 settembre 2020 n. 13, i Ministeri del Lavoro e della Salute hanno fornito una serie d’indicazioni e di chiarimenti sulla sorveglianza sanitaria dei lavoratori fragili e sulle visite mediche obbligatorie.

Nello specifico, la circolare ha cercato di chiarire il concetto di fragilità evidenziando che la “fragilità” va individuata nelle condizioni di salute del lavoratore rispetto alle patologie preesistenti che potrebbero determinare, in caso di infezione, un esito più grave o infausto. Pertanto, il solo parametro dell’età non è elemento sufficiente per definire uno stato di fragilità.

La circolare in oggetto, inoltre, fornisce alcune indicazioni operative, prevedendo che ai lavoratori debba essere assicurata la possibilità di richiedere al proprio datore di lavoro l’attivazione di adeguate misure di sorveglianza, in ragione dell’esposizione al rischio Covid-19, in presenza di patologie con scarso compenso clinico (a titolo esemplificativo si citano malattie cardiovascolari, respiratorie, metaboliche). In particolare, le richieste di visita dovranno essere corredate da documentazione medica relativa alla patologia diagnosticata, con modalità che garantiscano la riservatezza, a supporto della valutazione del medico competente.

Inoltre, la sorveglianza sanitaria dovrà essere garantita anche laddove il datore di lavoro non è tenuto alla nomina del medico competente. In tale ipotesi, ferma la possibilità di nomina del medico competente, ai fini della massima tutela dei lavoratori fragili, su richiesta dei lavoratori o delle lavoratrici, il datore di lavoro può inviare gli stessi ad effettuare la visita all’INAIL, alle ASL o ai dipartimenti di medicina legale e di medicina del lavoro delle Università. Ai fini della valutazione della condizione di fragilità, il datore di lavoro dovrà fornire al medico incaricato di emettere il giudizio una dettagliata descrizione della mansione svolta dal lavoratore o dalla lavoratrice e della postazione/ambiente di lavoro dove presta l’attività, nonché le informazioni relative all’integrazione del documento di valutazione del rischio, in particolare con riferimento alle misure di prevenzione e protezione adottate per mitigare il rischio da Covid-19, in attuazione del Protocollo condiviso del 24 aprile 2020.

Sei un imprenditore o un aspirante tale? Stai progettando ed implementando qualcosa di estremamente innovativo e sei parecchio preoccupato che qualcuno rubi, copi, riproduca la tua idea? Più che comprensibile.

Sappi che, fortunatamente, hai a disposizione diversi strumenti per tutelare te e il tuo know-how.

NDA

Se a preoccuparti è la condivisione della tua idea con possibili futuri collaboratori, puoi sottoporre alle persone interessate un NDA (letteralmente Non-Disclosure Agreement), ovverosia un accordo di riservatezza. Si tratta di un atto con cui una parte garantisce all’altra di non diffondere, rivelare o riprodurre in qualsivoglia modo determinate informazioni confidenziali, di cui sia venuta a conoscenza sulla base della predetta collaborazione. Tale accordo risulta particolarmente utile qualora nel medesimo sia prevista anche una clausola penale per il caso di inadempimento. Tale clausola, infatti, obbliga il soggetto “rivelante” a corrispondere all’altra parte una somma di denaro qualora violi gli obblighi di riservatezza dell’NDA.

Marchi e brevetti

La proprietà industriale può essere protetta, inter alia, anche attraverso appositi diritti o titoli, definiti tecnicamente “diritti di proprietà industriale”. Si tratta, in altri termini, di privative a vantaggio del loro titolare e a scapito di terzi concorrenti. Per esempio, le medesime possono conferire al titolare dei diritti negativi, come ad esempio il diritto di privare altri dell’uso e della commercializzazione di un’invenzione o di un disegno.

Tali diritti si possono acquistare mediante:

  1. brevettazione
  2. registrazione

Sono oggetto di brevettazione: le invenzioni, i modelli di utilità e le nuove varietà vegetali; mentre sono oggetto di registrazione: i marchi, i disegni, i modelli e le tipografie dei prodotti a semiconduttori.

Hai mai sentito parlare di dropshipping? Si tratta di un particolare modello di business che ti consente, con alcuni piccoli accorgimenti, di fare buoni profitti, con pochissime spese.

Come funziona?

Il dropshipping è un metodo di vendita applicabile all’e-commerce, grazie al quale è possibile vendere un prodotto online senza averlo materialmente in magazzino. Anzi, senza avere il magazzino!

Nessun magazzino… com’è possibile?

Questa immagine ha l'attributo alt vuoto; il nome del file è ecommerce-dropshipping.jpg

Ebbene sì, il venditore non acquista la merce dal fornitore, ma si limita a proporla al pubblico per il tramite del proprio e-commerce. Non appena il venditore riceve l’ordine del cliente, lo trasmette al fornitore, il quale si occupa dell’imballaggio e della spedizione del prodotto direttamente all’acquirente. Semplice, no? Naturalmente, tutto questo è reso possibile da apposito accordo commerciale, regolante i rapporti tra venditore e fornire in un’ottica di mutuo vantaggio.

Caratteristiche dell’accordo commerciale

Questa immagine ha l'attributo alt vuoto; il nome del file è 20160404-procout-corpo4.jpg

Se prima di questo articolo non avevi mai sentito nominare il dropshipping, è perché si tratta di un modello di vendita di recente invenzione. Per tale ragione, il contratto di dropshipping non presenta alcuna normativa codicistica di riferimento, salvo le regole generali sui contratti, di cui al nostro codice civile. Va però messo in luce come si tratti pur sempre di una modalità di commercio elettronico, la quale non può che essere regolamentata dal D.Lgs. 70/2003, rubricato “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico“. Tale normativa impone al venditore una serie composita di obblighi, già descritti in questo nostro precedente articolo. Ad ogni buon conto, come in tutti rapporti commerciali, è essenziale definire precipuamente quali sono i diritti e i doveri delle parti del contratto, ossia, nel caso di specie, del merchant e del fornitore.

Obblighi del fornitore

L’accordo commerciale deve necessariamente prevedere che il fornitore si impegni a:

  1. Garantire la disponibilità in magazzino dei beni pubblicizzati nell’e-commerce dal merchant, avvisandolo prontamente qualora un prodotto risulti esaurito;
  2. Curare la logistica del magazzino, ovverosia il flusso delle merci in entrata e in uscita;
  3. Curare l’imballaggio dei beni ordinati ed acquistati dal cliente finale, tramite il sito del merchant. Le caratteristiche del packaging devono essere descritte nel contratto o in un suo allegato tecnico;
  4. Garantire che la merce in magazzino soddisfi pienamente i requisiti di sicurezza previsti dalle normative vigenti e siano conformi alle stesse;
  5. Spedire la merce ordinata, nei termini e con le modalità indicate nel contratto, direttamente all’acquirente finale.

Obblighi del venditore

Parimenti, l’accordo commerciale deve stabilire che il merchant si impegni a:

  1. Promuovere nel proprio e-commerce i prodotti del fornitore;
  2. Curare la gestione degli ordini. Si specifica, tuttavia, che dovrebbe essere il fornitore ad inviare ai clienti una notifica via e-mail non appena l’ordine va in consegna;
  3. Curare il flusso dei pagamenti, ed in particolare, corrispondere al fornitore le somme pattuite nel contratto.

Quindi, chi paga chi?

All’interno dell’accordo commerciale è necessario che sia descritto il flusso dei pagamenti, con chiara indicazione delle modalità con cui il merchant corrisponde al fornitore le somme stabilite. Si specifica infatti che il cliente paga il prezzo del prodotto acquistato direttamente al venditore, tramite l’e-commerce. Quest’ultimo trattiene sulla somma incassata una percentuale per i servizi dal medesimo svolti, e trasmette l’importo rimanente al fornitore, a titolo di corrispettivo per le attività effettuate.

È opportuno che nel contratto sia previsto che il merchant corrisponda mensilmente le somme dovute al fornitore. In questo modo, qualora il cliente finale eserciti il diritto di recesso e sia necessario restituire le somme dallo stesso versate, il venditore, non avendo ancora pagato il fornitore, non si troverà a dover sborsare di tasca propria le somme in questione.

Chi è responsabile nei confronti del cliente finale?

La responsabilità per eventuali vizi, non conformità, o danni causati dai prodotti acquistati dal cliente è una tematica davvero spinosa. È essenziale che nel contratto sia inserita apposita clausola si manleva, con cui il fornitore si impegna a tenere indenne il venditore da qualsivoglia danno cagionato a persone e/o cose derivante dai prodotti dallo stesso forniti.

Consigli pratici

Se sei arrivato fino a qui, dovrebbe esserti chiaro che il dropshipping è davvero un business innovativo e ricco di potenzialità economicamente allettanti. Tuttavia, avrai anche capito che, per tutelare la tua posizione, è essenziale che i rapporti con il fornitore da te scelto siano disciplinati da apposito contratto scritto. Per la redazione dello stesso, ti consigliamo di rivolgerti sempre ad un esperto del settore: saprà come proteggere al meglio i tuoi interessi, scongiurando il rischio di fraintendimenti con il fornitore, che nel peggiore dei casi si traducono in annose controversie giudiziali.

In caso di dubbi o perplessità, non avere remore a contattare lo Studio Legale Soccol.

A distanza di poco più di un mese dalla sentenza della Corte di Giustizia Europa sul c.d. caso Schrems II, la quale ha abolito il Privacy Shield, nonostante molto sia stato dagli “addetti ai lavori” detto e scritto, poche paiono ancora le certezze.

Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, il medesimo ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.

Questa immagine ha l'attributo alt vuoto; il nome del file è LfDI_Logo_Web-1024x325.jpg

Le premesse delle Linee Guida

In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.

I suggerimenti delle Linee Guida

L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:

  1. Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
  2. Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
  3. Presenza delle eccezioni di cui all’articolo 49 del GDPR, a cui si rimanda.

Check-list consigliata dal Garante

Questa immagine ha l'attributo alt vuoto; il nome del file è Checklist.png

Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:

  1. Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
  2. Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
  3. Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
  4. Analizzare l’ordinamento giuridico del succitato paese terzo;
  5. Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
  6. Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.

Modifiche alle SCC

L’Ente, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:

  1. l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
  2. l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
  3. l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
  4. una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.

Consigli finali

Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.

Questa immagine ha l'attributo alt vuoto; il nome del file è consulting-3031678_1920-1024x682.jpg

Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.

Per sciogliere eventuali dubbi e/o perplessità, esitate a contattare lo Studio Legale Soccol.

In questi giorni si è sentito molto parlare della sentenza della Corte di giustizia dell’Unione Europea (CGUE) nella causa C-311/18 (c.d. caso Schrems II), la quale ha sollevato alcune criticità sia per chi, come noi, si occupa di privacy, sia per tutte le aziende che si avvalgono di fornitori di software o di altri servizi che sono localizzati negli Stati Uniti.

Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.

Il caso

Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.

La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.

I motivi della sentenza.

Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.

Le Clausola Contrattuali Standard

Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.

Impatto sulle attività imprenditoriali

Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarà necessario trovare altre basi giuridiche che legittimino il trasferimento.

A tale proposito, il GDPR ne indica diverse:

• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;

• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);

le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;

• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;

• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.

In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:

basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure

motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure

un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).

Le soluzioni

Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.

In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.

Adempimenti necessari

Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.

Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.

Negli ultimi anni il settore agroalimentare ha assunto sempre più rilevanza non solo per i consumatori, ma anche per il Legislatore che, già a partire dal 2015, aveva elaborato un disegno di legge di riforma dei reati agroalimentari, poi andato scemando.

L’esigenza di intervenire in tale settore è determinata dal fatto che l’attuale mercato degli alimenti appare inevitabilmente dominato dalle multinazionali del settore, soggette alla globalizzazione e a continue aggregazioni societarie che comportano un aumento di investimenti nel settore, rendendolo il principale referente criminologico.

Appare dunque evidente che, anche in tale ambito, possono configurarsi attività imprenditoriali scorrette unicamente volte ad aumentare i profitti dell’ente, violando prescrizioni che regolamentano la produzione, conservazione e vendita dei prodotti alimentari.

Pertanto, risulta necessario prevedere la responsabilità anche delle persone giuridiche (enti, società…) per i cd. reati agro-alimentari che tuttavia, sebbene configurino condotte criminose di rilevante portata, ad oggi non rientrano nel novero dei reati presupposto per la responsabilità amministrativa degli enti, di cui al Dlgs. 231/01.

Il nuovo disegno di legge

Alla luce di quanto sopra, lo scorso 25 Febbraio 2020, il Consiglio dei Ministri ha approvato il Ddl n. 283 rubricato “Nuove norme in materia di reati agroalimentari”, che è stato presentato alla Camera in data 6 Marzo 2020 ed è stato assegnato alla Commissione Giustizia per l’esame in sede referente il 23 Aprile 2020.

La riforma introduce una riorganizzazione sistematica della categoria dei reati in materia alimentare, contemplando anche nuove fattispecie delittuose e incidendo sulla responsabilità amministrativa dell’ente.

Le nuove fattispecie di reato

Il Ddl interviene in modo organico sia sulla legge di riferimento, L. 283/1962, sia sul codice penale, anche mediante la contemplazione di nuove fattispecie delittuose tra cui il “reato di agropirateria” (art. 517 quater 1 c.p.) e di “disastro sanitario” (art. 445 bis. c.p.).

Nello specifico, il reato di agropirateria è volto a reprimere tutti quei comportamenti criminosi e dannosi che compromettono il prodotto alimentare ab origine, come ad esempio le condizioni degli animali, l’uso di prodotti chimici ecc.

Con riguardo, invece, al delitto di disastro sanitario esso si staglia come ipotesi aggravata e autonoma di singoli mini- disastri pregiudizievoli per la salute, dai quali sia derivata: a) la lesione grave o la morte di 3 o più persone; b) il pericolo grave e diffuso di analoghi eventi ai danni di altre persone.

La responsabilità da illecito alimentare nel modello 231

Il summenzionato Ddl prevede l’introduzione dei reati agro-alimentari nel catalogo dei reati presupposto. In particolare, dalle Linee Guida del disegno di legge si desume che l’intervento del legislatore è finalizzato non solo ad allargare il novero dei reati presupposto, ma altresì ad incentivare l’applicazione concreta delle norme in tema di responsabilità degli enti, nonché a favorire l’adozione e l’efficace attuazione di più puntuali modelli di organizzazione e di gestione da parte delle imprese anche di minore dimensioni.

In particolare, è prevista la scomposizione dell’art. 25 bis del D.Lgs. 231/01 in tre nuovi e distinti capi:

  • Art. 25 bis. 1: che rimane dedicato ai “Delitti contro l’industria e il commercio;
  • Art. 25 bis 2 rubricato “Delle frodi in commercio di prodotti alimentari”, punito con la sanzione pecuniaria tra le 100 e le 800 quote, oltre che con l’applicazione di sanzioni interdittive temporanee limitatamente ai soli casi di condanna per il reato di agropirateria;
  • Art. 25 bis 3 rubricato “Dei delitti contro la salute pubblica” punito con la sanzione pecuniaria ricompresa tra le 300 e 1000 quote, oltre che l’applicazione di sanzioni interdittive temporanee nei casi di condanna per tutte le fattispecie ivi menzionate secondo una durata definita sulla base della gravità dell’illecito commesso.

Altresì, con riferimento agli artt. 25 bis.2 e 25 bis.3 è prevista la possibilità di ricorrere all’applicazione nei confronti dell’ente della più grave misura dell’interdizione definitiva dall’esercizio dell’attività “nel caso in cui lo scopo unico o prevalente dell’ente sia il consentire o l’agevolare la commissione dei reati sopra indicati”.

Infine, il Ddl prevede l’introduzione dell’art. 6 bis, speciale rispetto all’art. 6 del D.Lgs. 231/01.

Tale disposizione detta una particolare disciplina da applicare solo alle imprese alimentari, prevedendo standard personalizzati per la creazione e l’implementazione di un Modello 231 integrato e, in particolare, per l’assolvimento di tre classi di obblighi eterogenei:

  1. Obblighi a tutela dell’interesse dei consumatori (art. 6bis lett. a) e b) D.Lgs. 231/01)
  2. Obblighi a protezione della genuinità e sicurezza degli alimenti sin dalla fase originaria di produzione (art. 6 bis lett. c), d) ed e) del D.Lgs. 231/01)
  3. Obblighi in merito agli standard di monitoraggio e controllo (art. 6 bis. lett. f) e g) D.LGS. 231/01)

Come muoversi nel frattempo?

Ad oggi, non ci è dato sapere quando la legge entrerà in vigore. Tuttavia, nonostante l’incertezza, un aspetto è chiaro: il settore agro-alimentare, al pari di altri, per il suo florido dinamismo può essere terreno fertile per la commissione di diversi reati. Non si può escludere a priori la responsabilità della società per gli stessi, soprattutto se la medesima non si è dotata di un adeguato Modello 231.

Non aspettate la riforma per implementare all’interno delle vostre Società un Modello 231: prevenire è meglio che…. pagare!

Chi non sente, praticamente tutti i giorni o quasi, notizie riguardanti il settore alimentare? Frodi alimentari, prodotti pericolosi o dannosi, responsabilità da prodotto difettoso, cibi biologici, OGM, indicazione di origine, etichettatura … le problematiche dell’industria alimentare sollecitano l’interesse di molti, anche dei non addetti ai lavori, e il consumatore si dimostra sempre più sensibile ed attento a ciò che compra, e mangia.

Come se non bastasse, il diritto alimentare è ricco di disposizioni nazionali (Leggi, Decreti Legislativi, Leggi Regionali, Decreti Ministeriali, Linee Guida…), europee (Regolamenti, Direttive, Pareri…) ed internazionali (Trattati, Accordi…), che nel loro rapido e continuo intrecciarsi finiscono per creare un tessuto normativo davvero fitto e complesso nel quale l’imprenditore rischia di annaspare.

Niente paura. Hai un’impresa alimentare, produci e vendi mangimi, ti occupi di vitivinicolo? Vuoi farlo senza incappare in sanzioni e procedimenti? Vuoi valorizzare i tuoi prodotti? Da oggi ci siamo noi a sostenerti!

Se dunque sei un imprenditore del settore alimentare o vitivinicolo, se ne conosci le difficoltà e vuoi evitare gli imprevisti, lavorando in sicurezza per puntare al meglio, segui gli aggiornamenti che troverai in questo sito, iscriviti alla nostra newsletter e scarica gratuitamente le risorse consigliate.

Per saperne di più, clicca qui per conoscere nel dettaglio i nostri servizi e valutare un’assistenza personalizzata.