Il set di norme applicabili alla vendita di beni e servizi via internet include le regole poste a tutela dei consumatori nei contratti a distanza. Di seguito evidenziamo i principali adempimenti richiesti dalla normativa per gli e-commerce, che lascia in ogni caso impregiudicata sia l’applicazione delle regole generali di matrice civilistica sui contratti che le regole previste da altre normative settoriali quali ad es. il D.lgs, n.59/2010 (di attuazione della direttiva 2006/123 relativa ai servizi nel mercato interno) ed il D.lgs. n.70/2003 (di attuazione della direttiva 2000/31 sul commercio elettronico).
Indice degli argomenti
Il framework normativo
La principale fonte in materia è rappresentata dal Codice del Consumo (artt. 45-67) in cui sono confluite le disposizioni del D.lgs. n.21/2014 in tema di diritti dei consumatori nei contratti con il quale è stata recepita la Direttiva 2011/83/EU avente lo scopo di uniformare le regole in materia a livello europeo ed aumentare la fiducia dei consumatori rispetto agli acquisti effettuati on line anche da imprese di altri Stati membri.
La finalità sottesa agli specifici adempimenti, richiesti dalle norme in questione al professionista che offre beni/servizi via internet, è quella di far sì che il consumatore possa addivenire ad una scelta consapevole e ponderata in merito all’acquisto on line. Ciò è ancor più necessario, tenuto conto del contesto in cui tale tipologia di acquisto si svolge, caratterizzato dalla mancanza della presenza fisica simultanea del professionista e del consumatore sia prima che durante la conclusione del contratto di vendita.
Cyber security ed e-commerce: rischi e soluzioni per proteggere la propria piattaforma
Gli obblighi per chi vende online
Il professionista che offre beni e servizi online è tenuto innanzitutto all’adempimento di specifici obblighi di informativa precontrattuale circa gli elementi essenziali dell’offerta, quali:
- le caratteristiche dei prodotti/servizi oggetto di offerta;
- l’identità del professionista nonché il suo indirizzo ed i suoi recapiti (es. indirizzo email; telefono, fax) attraverso i quali il consumatore può agevolmente contattarlo o ai quali il consumatore può indirizzare eventuali reclami;
- il prezzo totale dei beni/servizi oggetto di offerta, comprensivo delle imposte. Se la natura dei beni o servizi comporta l’impossibilità di calcolare ragionevolmente il prezzo in anticipo, vanno indicate le modalità di calcolo del prezzo; occorre inoltre fornire informazioni su tutte le eventuali spese aggiuntive di spedizione, consegna o postali e ogni altro costo; qualora tali spese non possano ragionevolmente essere calcolate in anticipo, è necessario indicare che tali spese potranno essere addebitate al consumatore. Se sono previsti costi a carico del consumatore per l’utilizzo del mezzo di comunicazione a distanza per la conclusione del contratto e tali costi sono diversi dalla tariffa base, anche questi andranno indicati;
- le modalità di pagamento, consegna ed esecuzione, la data entro la quale il professionista si impegna a consegnare i beni o a prestare i servizi e, se del caso, il trattamento dei reclami da parte del professionista;
- in caso di sussistenza di un diritto di recesso, vanno indicate le condizioni, i termini e le procedure per esercitare tale diritto, nonché il modulo tipo di recesso come previsto dal Codice del Consumo;
- se applicabile, l’informazione che il consumatore dovrà sostenere il costo della restituzione dei beni in caso di recesso. Quando il professionista non può ragionevolmente calcolare in anticipo il costo della restituzione dei beni, ad esempio perché non è lui a occuparsi della restituzione, dovrebbe fornire una dichiarazione in cui precisa che tale costo può essere addebitato;
- se non è previsto un diritto di recesso ai sensi della normativa di riferimento che prevede delle esclusioni al riconoscimento ai consumatori di tale diritto, l’informazione che il consumatore non beneficerà di tale diritto o, se del caso, le circostanze in cui il consumatore perde il diritto di recesso;
- un promemoria sull’esistenza della garanzia legale di conformità per i beni;
- se applicabili, l’esistenza e le condizioni dell’assistenza postvendita al consumatore, dei servizi postvendita e delle garanzie commerciali;
- l’eventuale esistenza di codici di condotta pertinenti e le modalità per ottenerne copia;
- la durata del contratto, se applicabile, o, se il contratto è a tempo indeterminato o è un contratto a rinnovo automatico, le condizioni per recedere dal contratto;
- se applicabile, la durata minima degli obblighi del consumatore a norma del contratto;
- se applicabili, l’esistenza e le condizioni di depositi o altre garanzie finanziarie che il consumatore è tenuto a pagare o fornire su richiesta del professionista;
- se applicabile, le funzionalità del contenuto digitale, comprese le misure di protezione tecnica e le indicazioni circa qualsiasi interoperabilità pertinente del contenuto digitale con l’hardware e il software di cui il professionista sia a conoscenza;
- se applicabile, la possibilità di servirsi di un meccanismo extra-giudiziale di reclamo e ricorso cui il professionista è soggetto e le condizioni per avervi accesso.
Agli obblighi di informativa pre-contrattuale sopra richiamati, la normativa in materia di diritti dei consumatori nei contratti a distanza stabilisce altresì degli specifici vincoli di forma attraverso cui le informazioni in questione vanno veicolate ai consumatori.
Cosa dice il Codice del Consumo
In particolare, il Codice del Consumo stabilisce che le informazioni precontrattuali vanno messe a disposizione in modo appropriato al mezzo di comunicazione a distanza impiegato in un linguaggio semplice e comprensibile. Questa previsione implica per il professionista l’obbligo di fornire le informazioni richieste in maniera che le stesse risultino di agevole ed immediata comprensione da parte del consumatore, questo sia con riguardo al tenore del linguaggio adoperato, che non dovrà risultare inutilmente complesso e, per quanto possibile, dovrà essere privo di tecnicismi nonché caratterizzato da effettiva visibilità delle informazioni in questione anche in termini di posizionamento all’interno del mezzo di comunicazione adoperato.
In particolare le seguenti informazioni devono essere fornite in maniera chiara ed evidente direttamente prima dell’inoltro dell’ordine da parte del consumatore (nella stessa pagina web da cui il consumatore effettua l’ordine):
- caratteristiche principali dei beni o servizi
- prezzo totale
- durata del contratto
- durata minima degli obblighi del consumatore
Il professionista deve garantire che, al momento di inoltrare l’ordine, il consumatore riconosca espressamente che l’ordine implica l’obbligo di pagare. Per questo nel caso in cui l’inoltro dell’ordine implichi di azionare un pulsante per completare l’acquisto, tal pulsante deve indicare la dicitura “ordine con obbligo di pagare” oppure una formulazione corrispondente ed inequivocabile. Se il professionista non adempie a questo obbligo, il consumatore non è vincolato dal contratto o dall’ordine.
Perché serve trasparenza
Questa disposizione trova la propria finalità nell’esigenza di garantire che il consumatore sia in grado di leggere e comprendere nella loro interezza i principali elementi del contratto prima di inoltrare l’ordine ed in particolare di garantire la consapevolezza del consumatore stesso in merito al fatto che l’ordine comporta l’obbligo di un pagamento.
Infine, specifici requisiti di trasparenza sono richiesti con riferimento alle eventuali restrizioni relative alla consegna e ai mezzi di pagamento accettati. Tali informazioni andranno infatti indicate in modo chiaro e leggibile, al più tardi all’inizio del processo di ordinazione.
E-commerce e diritto di recesso
Particolare attenzione merita la disciplina del diritto di recesso. Il diritto di ripensamento del consumatore, infatti, in caso di vendita a distanza è oggetto di ampia tutela, in considerazione della maggiore difficoltà del consumatore – rispetto alla vendita tradizionale all’interno dei locali commerciali – a valutare la convenienza dell’affare nella fase antecedente all’acquisto. La normativa in esame riconosce al consumatore un periodo minimo di 14 giorni per recedere dai contratti a distanza senza dover fornire alcuna motivazione e senza dover sostenere costi diversi da quelli per la restituzione dei beni al professionista, a meno che il professionista non abbia concordato di sostenere tali costi o abbia omesso di informare il consumatore che tale costo è a carico del consumatore stesso.
Se il consumatore recede dal contratto, Il professionista deve rimborsare tutti i pagamenti ricevuti, incluse le eventuali spese di consegna, senza indebito ritardo e comunque entro quattordici giorni dal giorno in cui è informato della decisione del consumatore di recedere. È bene rammentare che il Codice del Consumo prevede un elenco tassativo di casi per i quali in considerazione della natura dei beni e servizi interessati, il diritto di recesso è considerato non esercitabile. Tra questi rientrano a titolo esemplificativo, i casi di fornitura di beni confezionati su misura o chiaramente personalizzati; la fornitura di beni che rischiano di deteriorarsi o scadere rapidamente; la fornitura di beni sigillati che sono stati aperti dopo la consegna e non si prestano ad essere restituiti per motivi igienici o connessi alla protezione della salute.
La normativa di riferimento riconosce ulteriori diritti ai consumatori nel caso di vendita distanza che riguardano principalmente la consegna dei beni, il passaggio del rischio nel caso di spedizione dei beni, le comunicazioni telefoniche, le tariffe per l’utilizzo di sistemi di pagamento e i pagamenti supplementari. Con riferimento, in particolare, al regime dei pagamenti supplementari, il Codice del Consumo stabilisce che per qualsiasi pagamento supplementare, che si aggiunga alla remunerazione concordata per l’obbligo contrattuale principale del professionista, quest’ultimo deve chiedere il consenso espresso del consumatore prima che questi sia vincolato dal contratto.
Alla luce di tale disposizione, non sono considerati sufficienti, ai fini dell’espressione del consenso, sistemi basati su un regime di opt-out che richiedano, in altre parole, le deselezioni di caselle precompilate da parte del consumatore per rifiutare il servizio aggiuntivo proposto.
E-commerce, cosa succede se si violano le regole
In via generale, l’inadempimento delle disposizioni stabilite dal Codice del Consumo in materia di diritti dei consumatori nelle vendite a distanza espone il professionista al rischio di sanzioni, all’applicazione di misure inibitorie volte alla sospensione/cessazione del comportamento considerato contrario alla normativa, ad azioni da parte dei consumatori volte al risarcimento dei danni eventualmente sofferti a seguito della violazione oltre che ad un rischio di natura reputazionale, di per sé intangibile. La normativa di riferimento riconosce all’Autorità Garante della Concorrenza e del Mercato il potere di enforcement in materia di diritti dei consumatori nei contratti. Come per la disciplina sulle Pratiche commerciali scorrette, l’AGCM agisce d’ufficio o su istanza di ogni soggetto o organizzazione che ne abbia interesse, accerta le violazioni, ne inibisce la continuazione e ne elimina gli effetti e sanziona le violazioni.
In caso di accertamento della violazione, l’Autorità può disporre l’applicazione di una sanzione amministrativa pecuniaria da 5.000 a 5.000.000 euro, tenuto conto della gravità e della durata della violazione. Accanto alla tutela amministrativa, Il Codice del consumo fa salva in ogni caso la giurisdizione del giudice ordinario. La competenza territoriale inderogabile è del giudice del luogo di residenza o di domicilio del consumatore.
Le disposizioni della Direttiva 2019/2161/EU
A fronte dell’entrata in vigore il 7 gennaio 2020 della direttiva europea 2019/2161, che modifica una serie di normative in materia di protezione dei consumatori tra cui la direttiva 2011/83/UE, è attesa la revisione delle regole qui esaminate. La nuova direttiva mira ad una migliore applicazione e modernizzazione delle norme dell’UE in materia tenendo conto della necessità di adeguamento delle regole attuali all’evoluzione degli strumenti digitali.
Dalla direttiva 2019/2161/UE discendono, tra l’altro, in capo ai professionisti nuovi vincoli di trasparenza nei confronti dei consumatori tramite l’ampliamento e il rafforzamento degli obblighi informativi già previsti. Inoltre, allo scopo di uniformare tra gli stati membri il regime sanzionatorio applicabile in caso di violazioni della normativa a tutela dei consumatori, la direttiva stabilisce che le violazioni aventi rilevanza transfrontaliera che interessano una serie di consumatori dell’UE possono comportare l’imposizione da parte dell’Autorità nazionale competente di sanzioni per un importo massimo complessivo di almeno il 4% del fatturato annuo del professionista nello Stato membro o negli Stati membri interessati.
Gli Stati Membri avranno due anni di tempo per recepire le nuove norme: le misure nazionali di attuazione dovranno essere adottate entro il 28 novembre 2021 e dovranno entrare in vigore entro il 28 maggio 2022.
Tutela dei consumatori e privacy
Una delle questioni nodali legate al commercio elettronico è quella relativa alla protezione dei dati personali che gli utenti comunicano (in maniera più o meno consapevole) ai siti visitati durante l’acquisto di beni e servizi online. Nel momento in cui il consumatore accede a internet lascia una traccia indelebile: oltre ai dati anagrafici e bancari necessari alla conclusione del contratto telematico, spesso si trascurano le ulteriori informazioni comunicate relative a gusti personali, hobbies e capacità di spesa.
A tal riguardo il legislatore europeo, da sempre particolarmente attento alle questioni relative alla privacy e al rispetto dei diritti fondamentali tanto nella dimensione offline quanto online, ha adottato il Regolamento (UE) 2016/679 (meglio noto con l’acronimo di derivazione anglosassone GDPR), recepito in Italia con il D.lgs, 101/2018, al fine di «creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno» (Considerando 7).
Il Regolamento in questione, ai sensi dell’art. 2, si applica a livello materiale «al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi», lasciando impregiudicata l’applicazione della Direttiva 2000/31/CE sul commercio elettronico, con esplicito riferimento alle norme relative alla responsabilità dei prestatori intermediari di servizi (artt. 12-15).
L’ambito di applicazione
L’ambito di applicazione territoriale, ai sensi del successivo art. 3, fa riferimento al trattamento di dati personali delle persone fisiche si trovano nell’Unione europea, effettuato da un titolare o responsabile del trattamento con stabilimento nell’Unione oppure anche in Paese extra-UE, quando le attività di trattamento riguardano:
«a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione».
E-commerce e liceità del trattamento
Tra i principi capisaldi della disciplina, nell’ambito dell’e-commerce riveste particolare importanza e spiccata valenza pratica quello di liceità del trattamento. Nell’ambito delle vendite online, il trattamento è lecito solo se il consumatore ha fornito il proprio consenso libero, specifico, informato e inequivocabile. A tal proposito, gli artt. 13 e 14 sanciscono in capo al titolare del trattamento l’obbligo di informativa, elencando nel dettaglio le informazioni da fornire all’interessato come, a mero titolo esemplificativo, le finalità, la durata, le modalità di conservazione dei dati trattati, ma anche i dati di contatto e l’identità dell’interessato, nonché l’indicazione del corpus di diritti vantati dall’interessato.
Sebbene il Regolamento taccia sulla forma (scritta o orale) del consenso, ai fini dell’assolvimento dell’onere probatorio in un eventuale contenzioso, il titolare del trattamento deve poter dimostrare che l’interessato abbia prestato il proprio consenso. Pertanto, è intuibile che per il titolare del trattamento, su cui grava l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali, dovrebbe essere preferibile ottenere un consenso in forma scritta, anche mediante documento telematico (v. Corte di giustizia dell’Unione europea, sentenza dell’11 novembre 2020, C-61/19, Orange România SA c. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal).
I diritti
Fase antecedente alla prestazione del consenso da parte dell’interessato è quella relativa alla visione e accettazione della privacy policy del venditore, nella maggior parte dei casi consultabile sul sito web dedicato alla propria attività professionale. Particolare attenzione deve esser prestata al catalogo di diritti dell’interessato previsto dagli artt. 15 e ss. del GDPR. In estrema sintesi, il Regolamento fa riferimento, oltre che al diritto all’informazione:
- Diritto di rettifica (art. 16): l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano, senza indebito ritardo. In considerazione della finalità del trattamento, l’interessato ha il diritto al completamento di dati personali incompleti, anche mediante dichiarazione complementare;
- Diritto alla cancellazione (art. 17): l’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza indebito ritardo
- Diritto alla limitazione del trattamento (art. 18): l’interessato ha diritto alla limitazione del trattamento qualora, ad esempio, lo stesso interessati contesti l’esattezza dei dati personali o il trattamento sia illecito;
- Diritto di opposizione (art. 21): l’interessato ha diritto ad opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. Ai sensi del par. 2, «Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto».
- Diritto di proporre reclamo a un’autorità di controllo (art. 77), nel dettaglio il Garante per la protezione dei dati personali.
Vendite online e profilazione degli utenti
Quando il consumatore acquista online spesso è chiamato a effettuare la registrazione utente con apposita creazione di un account personale; in questo modo tutto quanto verrà inserito nel “carrello virtuale” verrà registrato e memorizzato. Ai sensi dell’art. 4 n. 4 del GDPR per “profilazione” si fa riferimento a «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».
Nel momento in cui il consumatore aggiunge articoli al “carrello virtuale” e procede all’acquisto si realizza una “profilazione” dei suoi gusti, dei suoi hobbies, ma anche della sua capacità di spesa in un dato periodo; tali informazioni si riverberano sull’attività di marketing del venditore. Ai sensi dell’art 22, par. 2, lett c) ai fini della profilazione occorre il «consenso esplicito dell’interessato». Trattasi dunque, di un consenso successivo e ulteriore, rispetto al consenso generale per l’attività di trattamento dati svolta dal titolare.
Nell’ambito della profilazione, particolare rilevanza assumono i cd. “cookie di profilazione”, ossia strumenti volti a creare veri e propri profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate nell’ambito della navigazione in Rete. Come indicato dal Garante per la protezione dei dati personali nel provvedimento n. 229 dell’8 maggio 2014, per cookie si intendono «stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l´utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando».
Cookie e consenso
Il tema dei cookie e degli altri strumenti di tracciamento è disciplinato in primis dalla Direttiva 2002/58/CE, che in Italia è stata trasposta con l’art. 122 del Codice Privacy (Dlgs. 196/2003), tuttora in vigore anche dopo l’ampia riforma apportata dal D.lgs. 101/2018. Tale disposizione prevede in sintesi che l’“archiviazione” delle “informazioni” nel terminale di un utente (leggasi: installazione dei cookie e degli altri strumenti di tracciamento nel dispositivo dell’utente ovvero nel software di navigazione, i.e. il browser) è ammessa solo qualora l’utente abbia “espresso il proprio consenso dopo essere stato informato con modalità semplificate”.
Cookie: cosa sono, a cosa servono e quali regole privacy seguire
Tale consenso, come affermato dalla Corte di giustizia dell’Unione europea nella sentenza del 1 ottobre 2019, C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c. Planet49 GmbH, non è validamente espresso quando l’autorizzazione risulta da una casella di spunta preselezionata, e ciò indipendentemente dal fatto che le informazioni di cui trattasi costituiscano o meno dati a carattere personale. Nella stessa pronuncia la Corte ha ribadito come il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano nell’informazione chiara e completa che il fornitore di servizi deve comunicare all’utente di un sito Internet, a prescindere dall’attività professionale posta in essere.
Il diritto al risarcimento a seguito di un danno, materiale o immateriale che sia, causato da una violazione del GDPR spetta a «chiunque» (art. 82) e il peso dell’obbligazione risarcitoria è espressamente riconosciuto in capo al titolare del trattamento: quest’ultimo sarà esonerato dalla responsabilità soltanto nel caso in cui dimostri che l’evento dannoso non gli è in alcun modo imputabile.
Al momento di infliggere una sanzione pecuniaria, il Garante per la protezione dei dati personali dovrà considerare appositi criteri indicati nella norma per stabilire il tipo di sanzione da applicare e l’eventuale importo. In via generale, tali criteri fanno riferimento, alla natura, alla gravità e alla durata della violazione, al numero di interessati lesi dal danno, al carattere doloso o colposo della violazione, alle misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati, alle categorie di dati personali interessate dalla violazione.