Type a keyword and hit enter to start searching. Press Esc to cancel.
© Consulenza Legislazione Alimentare. 2016. Tuttti i diritti riservati.

Categoria: Contratti

Ci sono tanti modi diversi per vendere e offrire i propri prodotti online. Si è iniziato da siti “tradizionali”, come i portali di e-commerce, per poi passare ai marketplace, che riuniscono più venditori di beni online. Oggi, tuttavia, tutte le imprese si trovano prima o poi a doversi orientare all’interno della “platform economy”, che ha introdotto la grande novità della vendita non solo di beni, ma anche di servizi online.

Nel presente contributo ci si soffermerà principalmente sulla tutela dei diritti dei c.d. business users (o “utenti commerciali”) nei confronti delle piattaforme, che deriva principalmente dal Regolamento UE 1150/2019 (c.d. Regolamento “P2B”), in vigore dal luglio 2020, e che sarà ulteriormente rafforzata con la prossima adozione del Digital Services Act. Questi Regolamenti si applicheranno a tutte le piattaforme che offrano i propri servizi nel mercato unico europeo, a prescindere da dove abbiano la propria sede legale.

Se si analizzano le condizioni di contratto offerte ai venditori dalle principali piattaforme, risulta evidente come queste non si siano ancora adeguate nemmeno alle previsioni del Regolamento del 2019. Tuttavia, risulta comunque importante consapevolizzare gli “utenti commerciali” dei deficit di tutela attualmente presenti e, al contempo, delle prospettive di miglioramento delineate dalle più recenti proposte normative a livello europeo.

1. Informazioni sulle “restrizioni” all’accesso ai servizi e sulla content moderation

In primo luogo, il Regolamento 1150/2019, all’art. 4, prevede la definizione di regole chiare per la limitazione, la sospensione e la cessazione dei servizi offerti dagli intermediari. In queste ipotesi, il fornitore di servizi è tenuto innanzitutto a comunicare le motivazioni della propria decisione e deve contestualmente offrire all’utente commerciale la possibilità di chiarire i fatti e le circostanze nell’ambito di un processo interno di gestione dei reclami.

Alcune condotte che possono rientrare in queste fattispecie sono quelle di eliminazione di offerte dei prodotti create dall’utente commerciale o di rimozione di contenuti, che possono avvenire per scelta della piattaforma o in seguito ad una segnalazione di un soggetto terzo.

Ecco che allora risulta fondamentale che le piattaforme si conformino al nuovo Regolamento, prevedendo, nel caso di reclami da parte di soggetti terzi, la richiesta di motivazioni, la comunicazione delle stesse all’utente interessato e la previsione di un meccanismo con cui l’utente possa replicare e difendersi.

Nel caso, invece, di contenuti rimossi direttamente dalla piattaforma, sfruttando tecnologie automatizzate, è fondamentale il rispetto della trasparenza e della chiarezza nel comunicare all’utente commerciale le regole e le condizioni ragionevoli che possono determinare una rimozione. Le piattaforme sono poi tenute ad utilizzare le migliori tecnologie disponibili per evitare decisioni discriminatorie.

2. Informazioni sui criteri di posizionamento

In secondo luogo, ai sensi degli artt. 5 e 7 del Regolamento, agli intermediari online è richiesta la massima trasparenza nell’indicare, all’interno dei termini e delle condizioni di servizio, i principali parametri che determinano il posizionamento e l’importanza relativa dei parametri principali rispetto ad altri parametri.

Dovrebbe essere specificato, in particolare, quando il versamento di un corrispettivo permetta di influire sul posizionamento.  Parimenti, gli intermediari online devono indicare qualunque trattamento differenziato che riservino ai prodotti o ai servizi offerti ai consumatori da loro stessi o da utenti commerciali controllai, da un lato, e ad altri utenti commerciali, dall’altro. In ogni caso, tuttavia, i fornitori di servizi di intermediazione online non sono tenuti a rivelare algoritmi o informazioni che potrebbero tradursi nella possibilità di trarre in inganno i consumatori o di arrecare loro danno attraverso la manipolazione dei risultati di ricerca.

Continua a leggere →

Sei un imprenditore o un aspirante tale? Stai progettando ed implementando qualcosa di estremamente innovativo e sei parecchio preoccupato che qualcuno rubi, copi, riproduca la tua idea? Più che comprensibile.

Sappi che, fortunatamente, hai a disposizione diversi strumenti per tutelare te e il tuo know-how.

NDA

Se a preoccuparti è la condivisione della tua idea con possibili futuri collaboratori, puoi sottoporre alle persone interessate un NDA (letteralmente Non-Disclosure Agreement), ovverosia un accordo di riservatezza. Si tratta di un atto con cui una parte garantisce all’altra di non diffondere, rivelare o riprodurre in qualsivoglia modo determinate informazioni confidenziali, di cui sia venuta a conoscenza sulla base della predetta collaborazione. Tale accordo risulta particolarmente utile qualora nel medesimo sia prevista anche una clausola penale per il caso di inadempimento. Tale clausola, infatti, obbliga il soggetto “rivelante” a corrispondere all’altra parte una somma di denaro qualora violi gli obblighi di riservatezza dell’NDA.

Marchi e brevetti

La proprietà industriale può essere protetta, inter alia, anche attraverso appositi diritti o titoli, definiti tecnicamente “diritti di proprietà industriale”. Si tratta, in altri termini, di privative a vantaggio del loro titolare e a scapito di terzi concorrenti. Per esempio, le medesime possono conferire al titolare dei diritti negativi, come ad esempio il diritto di privare altri dell’uso e della commercializzazione di un’invenzione o di un disegno.

Tali diritti si possono acquistare mediante:

  1. brevettazione
  2. registrazione

Sono oggetto di brevettazione: le invenzioni, i modelli di utilità e le nuove varietà vegetali; mentre sono oggetto di registrazione: i marchi, i disegni, i modelli e le tipografie dei prodotti a semiconduttori.

Continua a leggere →

Hai mai sentito parlare di dropshipping? Si tratta di un particolare modello di business che ti consente, con alcuni piccoli accorgimenti, di fare buoni profitti, con pochissime spese.

Come funziona?

Il dropshipping è un metodo di vendita applicabile all’e-commerce, grazie al quale è possibile vendere un prodotto online senza averlo materialmente in magazzino. Anzi, senza avere il magazzino!

Nessun magazzino… com’è possibile?

Questa immagine ha l'attributo alt vuoto; il nome del file è ecommerce-dropshipping.jpg

Ebbene sì, il venditore non acquista la merce dal fornitore, ma si limita a proporla al pubblico per il tramite del proprio e-commerce. Non appena il venditore riceve l’ordine del cliente, lo trasmette al fornitore, il quale si occupa dell’imballaggio e della spedizione del prodotto direttamente all’acquirente. Semplice, no? Naturalmente, tutto questo è reso possibile da apposito accordo commerciale, regolante i rapporti tra venditore e fornire in un’ottica di mutuo vantaggio.

Caratteristiche dell’accordo commerciale

Questa immagine ha l'attributo alt vuoto; il nome del file è 20160404-procout-corpo4.jpg

Se prima di questo articolo non avevi mai sentito nominare il dropshipping, è perché si tratta di un modello di vendita di recente invenzione. Per tale ragione, il contratto di dropshipping non presenta alcuna normativa codicistica di riferimento, salvo le regole generali sui contratti, di cui al nostro codice civile. Va però messo in luce come si tratti pur sempre di una modalità di commercio elettronico, la quale non può che essere regolamentata dal D.Lgs. 70/2003, rubricato “attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico“. Tale normativa impone al venditore una serie composita di obblighi, già descritti in questo nostro precedente articolo. Ad ogni buon conto, come in tutti rapporti commerciali, è essenziale definire precipuamente quali sono i diritti e i doveri delle parti del contratto, ossia, nel caso di specie, del merchant e del fornitore.

Obblighi del fornitore

L’accordo commerciale deve necessariamente prevedere che il fornitore si impegni a:

  1. Garantire la disponibilità in magazzino dei beni pubblicizzati nell’e-commerce dal merchant, avvisandolo prontamente qualora un prodotto risulti esaurito;
  2. Curare la logistica del magazzino, ovverosia il flusso delle merci in entrata e in uscita;
  3. Curare l’imballaggio dei beni ordinati ed acquistati dal cliente finale, tramite il sito del merchant. Le caratteristiche del packaging devono essere descritte nel contratto o in un suo allegato tecnico;
  4. Garantire che la merce in magazzino soddisfi pienamente i requisiti di sicurezza previsti dalle normative vigenti e siano conformi alle stesse;
  5. Spedire la merce ordinata, nei termini e con le modalità indicate nel contratto, direttamente all’acquirente finale.

Obblighi del venditore

Parimenti, l’accordo commerciale deve stabilire che il merchant si impegni a:

  1. Promuovere nel proprio e-commerce i prodotti del fornitore;
  2. Curare la gestione degli ordini. Si specifica, tuttavia, che dovrebbe essere il fornitore ad inviare ai clienti una notifica via e-mail non appena l’ordine va in consegna;
  3. Curare il flusso dei pagamenti, ed in particolare, corrispondere al fornitore le somme pattuite nel contratto.

Quindi, chi paga chi?

All’interno dell’accordo commerciale è necessario che sia descritto il flusso dei pagamenti, con chiara indicazione delle modalità con cui il merchant corrisponde al fornitore le somme stabilite. Si specifica infatti che il cliente paga il prezzo del prodotto acquistato direttamente al venditore, tramite l’e-commerce. Quest’ultimo trattiene sulla somma incassata una percentuale per i servizi dal medesimo svolti, e trasmette l’importo rimanente al fornitore, a titolo di corrispettivo per le attività effettuate.

È opportuno che nel contratto sia previsto che il merchant corrisponda mensilmente le somme dovute al fornitore. In questo modo, qualora il cliente finale eserciti il diritto di recesso e sia necessario restituire le somme dallo stesso versate, il venditore, non avendo ancora pagato il fornitore, non si troverà a dover sborsare di tasca propria le somme in questione.

Chi è responsabile nei confronti del cliente finale?

La responsabilità per eventuali vizi, non conformità, o danni causati dai prodotti acquistati dal cliente è una tematica davvero spinosa. È essenziale che nel contratto sia inserita apposita clausola si manleva, con cui il fornitore si impegna a tenere indenne il venditore da qualsivoglia danno cagionato a persone e/o cose derivante dai prodotti dallo stesso forniti.

Consigli pratici

Se sei arrivato fino a qui, dovrebbe esserti chiaro che il dropshipping è davvero un business innovativo e ricco di potenzialità economicamente allettanti. Tuttavia, avrai anche capito che, per tutelare la tua posizione, è essenziale che i rapporti con il fornitore da te scelto siano disciplinati da apposito contratto scritto. Per la redazione dello stesso, ti consigliamo di rivolgerti sempre ad un esperto del settore: saprà come proteggere al meglio i tuoi interessi, scongiurando il rischio di fraintendimenti con il fornitore, che nel peggiore dei casi si traducono in annose controversie giudiziali.

In caso di dubbi o perplessità, non avere remore a contattare lo Studio Legale Soccol.

Continua a leggere →

A distanza di poco più di un mese dalla sentenza della Corte di Giustizia Europa sul c.d. caso Schrems II, la quale ha abolito il Privacy Shield, nonostante molto sia stato dagli “addetti ai lavori” detto e scritto, poche paiono ancora le certezze.

Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, il medesimo ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.

Questa immagine ha l'attributo alt vuoto; il nome del file è LfDI_Logo_Web-1024x325.jpg

Le premesse delle Linee Guida

In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.

I suggerimenti delle Linee Guida

L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:

  1. Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
  2. Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
  3. Presenza delle eccezioni di cui all’articolo 49 del GDPR, a cui si rimanda.

Check-list consigliata dal Garante

Questa immagine ha l'attributo alt vuoto; il nome del file è Checklist.png

Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:

  1. Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
  2. Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
  3. Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
  4. Analizzare l’ordinamento giuridico del succitato paese terzo;
  5. Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
  6. Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.

Modifiche alle SCC

L’Ente, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:

  1. l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
  2. l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
  3. l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
  4. una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.

Consigli finali

Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.

Questa immagine ha l'attributo alt vuoto; il nome del file è consulting-3031678_1920-1024x682.jpg

Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.

Per sciogliere eventuali dubbi e/o perplessità, esitate a contattare lo Studio Legale Soccol.

Continua a leggere →

In questi giorni si è sentito molto parlare della sentenza della Corte di giustizia dell’Unione Europea (CGUE) nella causa C-311/18 (c.d. caso Schrems II), la quale ha sollevato alcune criticità sia per chi, come noi, si occupa di privacy, sia per tutte le aziende che si avvalgono di fornitori di software o di altri servizi che sono localizzati negli Stati Uniti.

Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.

Il caso

Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.

La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.

I motivi della sentenza.

Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.

Le Clausola Contrattuali Standard

Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.

Impatto sulle attività imprenditoriali

Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarà necessario trovare altre basi giuridiche che legittimino il trasferimento.

A tale proposito, il GDPR ne indica diverse:

• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;

• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);

le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;

• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;

• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.

In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:

basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure

motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure

un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).

Le soluzioni

Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.

In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.

Adempimenti necessari

Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.

Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.

Continua a leggere →

Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.

Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.

Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.

Il family tracking

Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.

Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.

Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.

Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?

Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.

Localizzazione dei server e trasferimento dei dati

Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.

Diritti degli utenti interessati

Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.

App per minori

Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).

È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.

Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.

Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli.  O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.

I dati raccolti tramite queste app possono essere venduti a soggetti terzi?

Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.

Profilazione e marketing

Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.

Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.

Continua a leggere →

Il commercio elettronico è un canale di vendita sempre più utilizzato dalle imprese italiane, di ogni settore. Pare, infatti, che le diffidenze iniziali siano pian piano state superate, e i dati lo confermano: nel 2015, il ruolo di protagonista nella distribuzione di beni e servizi on line è del turismo (46%), seguito da informatica/elettronica, assicurazioni, editoria, e prodotti alimentari. La distribuzione totale per un totale di 16,6 miliardi di euro, segna un + 16% rispetto all’anno 2014.

ecommerce evidemnzaOltre a richiedere strumenti contrattuali specifici, particolari attenzioni alla tutela della privacy, e un’adeguata preparazione della stessa impresa venditrice, la realtà del commercio elettronico esige particolari sistemi di controllo, ad esempio per contrastare le contraffazioni. Infatti, le tempistiche con cui avvengono gli scambi commerciali mediante il web non permette agli organi di controllo di fronteggiare eventuali illeciti in maniera rapida ed efficiente. Pertanto, il Ministero delle politiche agricole ha stipulato specifici accordi con i principali portali web (eBay e Alibaba Group) per contrastare casi di usurpazione ed evocazione (italian sounding) a tutela soprattutto dei prodotti DOP e IGP (sempre per il 2015, si parla di 561 casi).

Ad esempio, alcune operazioni hanno riguardato:

WINE KIT
Contrasto all’irregolare commercializzazione su siti web irlandesi e svedesi di wine kit evocanti le denominazioni Barolo, Brunello di Montalcino, Chianti, Piemonte, Vino Nobile di Montepulciano e Amarone della Valpolicella.

PROSECCO
Nel Regno Unito e in Irlanda è stata contrastata l’irregolare commercializzazione in pub e ristoranti del “Prosecco alla spina” con il diretto intervento delle Autorità di controllo competenti locali. Su siti web della Germania, Austria, Danimarca, Paesi Bassi e Irlanda era offerto ai consumatori il Prosecco rosé o il Prosecco in lattina. In Croazia, Lussemburgo, Slovenia e Polonia generici vini spumanti e frizzanti erano commercializzati illecitamente come “Prosecco”.

OLIO DOP
Contrasto alla commercializzazione sul sito www.belazu.com e in numerosi esercizi commerciali nel Regno Unito di olio extra vergine di oliva chiamato “Ligurian Taggiasca” prodotto dalla società “Belazu the fresh olive ltd”, per evocazione dell’olio italiano “Riviera Ligure DOP”. Ancora, interventi sul sito britannico http://www.vallebona.co.uk/, che vendeva oli extra vergine di oliva denominati “Ligurian Extra Virgin Olive oil” e “Lemon Sardinian EVO” con il marchio Vallebona”, evocanti le denominazioni di origine protette “Riviera Ligure DOP” e “Sardegna DOP”.

ecommerce1Qualche giorno fa vi è stato un importante incontro tra l’ICQRF e Alibaba Group al fine di implementare ed allargare gli accordi sulla reciproca collaborazione per il contrasto alle frodi nella vendita on line dei prodotti alimentari e vinicoli, soprattutto per rafforzare la protezione dei prodotti agroalimentari italiani di qualità certificata.

l’Italia dunque si distingue, anche in tema di controlli e tutela del consumatore nel settore delle vendite on line, dagli altri Paesi, in quanto gli accordi in tal senso conclusi nel 2015 tra il Ministero delle Politiche Agricole e Alibaba Group sono, ad oggi, gli unici al mondo.

Continua a leggere →