Documentazione

Indice dei contenuti

Panoramica sui requisiti di legge

In un mondo in cui i prodotti e i servizi digitali sono sempre più indispensabili, la protezione dei dati è diventata una priorità assoluta. Come risultato, molti Paesi hanno introdotto normative privacy solide e vincolanti alle quali ogni attività è tenuta ad adeguarsi.

Il mancato rispetto di queste norme può comportare non solo gravi conseguenze di natura economica, ma anche danni significativi e di lungo termine alla reputazione e alla fiducia nei confronti dell’organizzazione. È pertanto essenziale assicurarsi che la propria attività rispetti gli obblighi di legge.

Disposizioni generali

Componenti principali

Secondo la stragrande maggioranza delle legislazioni, se si trattano dati personali si è tenuti a informare l’utente in merito alle attività di trattamento dei dati effettuate tramite una privacy policy chiara e completa, assicurandosi altresì di mettere in atto misure di sicurezza efficaci per proteggere i dati personali e implementando metodi per la raccolta e la revoca del consenso.

I requisiti possono variare in base alle attività di trattamento, alla normativa di riferimento, all’età dell’utente o al tipo di azienda. Vale quindi la pena sottolineare che, al di là dei principi generali illustrati qui di seguito, potrebbero esserci ulteriori obblighi da rispettare a seconda della specifica normativa applicabile. Consulta le sezioni che seguono per ulteriori informazioni su alcune situazioni specifiche.

Informazioni di base

In generale, gli utenti devono essere informati:

  • sull’identità e sulle informazioni di contatto del titolare del sito/app;
  • sulla data di entrata in vigore dell’informativa sulla privacy;
  • sulle procedure adottate per la notifica delle modifiche apportate alla privacy policy;
  • sui dati trattati;
  • sui terzi che hanno accesso ai loro dati (in particolare, chi sono le terze parti e quali dati raccolgono);
  • sui loro diritti in relazione ai dati che li riguardano.

Potresti essere inoltre responsabile di fornire informazioni aggiuntive agli utenti, a soggetti terzi e all’autorità di vigilanza a seconda della tua normativa di riferimento.

Consenso

Per consenso si intende la volontaria accettazione informata da parte di un utente a impegnarsi in un particolare evento o processo.

In linea di principio e a seconda della normativa applicabile, gli utenti devono essere in grado di negare, revocare o prestare il consenso. Il consenso può essere acquisito con qualunque metodo che richieda all’utente un’azione positiva, diretta e verificabile, come checkbox, campi di testo, pulsanti di scelta, invio di un’email di conferma etc.

Come si determina la propria legge di riferimento

Solitamente, le leggi di un particolare Paese si applicano se:

  • la base delle tue attività si trova lì; oppure
  • utilizzi servizi di elaborazione o server con sede in quell’area; oppure
  • il servizio è rivolto agli utenti di quella data area.

Ciò significa che una normativa locale può essere applicata a te o alla tua attività indipendentemente dal fatto che vi troviate o meno in quell’area. Per questo motivo, è sempre consigliabile approcciare le attività di trattamento dei dati personali tenendo presenti le più severe normative applicabili. Consulta l’articolo Normativa applicabile e lingua dei documenti per maggiori informazioni.


Requisiti specifici

Normativa statunitense

Negli Stati Uniti non esiste un unico quadro nazionale completo per la regolamentazione in materia di trattamento dei dati. Esistono tuttavia diverse leggi a livello statale, nonché linee guida di settore e leggi federali specifiche. Poiché l’attività online di un sito/app è raramente limitata a un solo Stato, è sempre meglio attenersi alle normative più severe.

In quest’ottica, lo Stato della California attua il quadro normativo più solido in materia di protezione dei dati. Il California Online Privacy Protection Act (CalOPPA), in vigore dal 2004, è stata la prima legge statale a introdurre l’obbligo di predisporre una privacy policy e si applica alle persone o alle aziende il cui sito/app tratta i dati personali di cittadini californiani.

In aggiunta alle informazioni generalmente richieste, cui si accennava prima, il CalOPPA richiede anche di:

  • inserire un riferimento chiaramente visibile alla privacy policy sulla homepage del proprio sito/app;
  • includere nella privacy policy una descrizione del processo con il quale gli utenti possono richiedere modifiche ai dati personali (se previsto);
  • includere nella privacy policy una dichiarazione su come vengono gestite le richieste “Do Not Track”;
  • notificare gli utenti interessati in caso di violazioni dei sistemi di sicurezza che hanno un impatto sui loro dati.

Per quanto riguarda il consenso, la legge degli Stati Uniti generalmente richiede di prevedere una chiara opzione attraverso cui gli utenti possano revocare il consenso (opt-out). Regole diverse si applicano, tuttavia, nei casi che riguardano il trattamento di “dati sensibili” (come informazioni sanitarie, informazioni creditizie, dati degli studenti, dati personali di minori di 13 anni). In questi casi, deve essere infatti prevista una chiara azione di “opt-in” verificabile, ad esempio la spunta di una checkbox, o un’altra analoga azione positiva di consenso.

Attenzioni particolari verso i minori

Se il tuo servizio raccoglie, utilizza o diffonde consapevolmente informazioni personali di bambini di età inferiore ai 13 anni, allora sei soggetto all’applicazione di speciali normative a tutela dei minori.

La legge sulla protezione della privacy online dei minori (ovvero il COPPA) è una legge federale statunitense attuata per proteggere al meglio i dati personali e i diritti dei minori di 13 anni. In base a questa legge, se si gestisce un sito web o un qualsiasi altro servizio online rivolto a bambini sotto i 13 anni, o si è effettivamente consapevoli del fatto che si stanno raccogliendo informazioni personali relative a bambini sotto i 13 anni, è necessario darne comunicazione ai genitori e ottenere il loro consenso verificabile prima di raccogliere, utilizzare o diffondere queste informazioni.

È necessario inoltre garantire la sicurezza dei dati raccolti. “Verificabile” in questo contesto implica la necessità di utilizzare un metodo per ottenere il consenso che non sia facilmente falsificabile da un bambino, a riprova che tale consenso sia stato verosimilmente fornito da un adulto (ad esempio, attraverso la verifica di un documento d’identità ufficiale).

Cosa si intende per “dati personali” dei minori? Per “dati personali” in questo contesto si intendono informazioni relative al bambino come:

  • nome o altri identificativi (come il numero di previdenza sociale);
  • informazioni sulla posizione, compresi indirizzo fisico, dati di geolocalizzazione o indirizzo IP;
  • informazioni di contatto come numeri di telefono o indirizzi email;
  • codici identificativi del dispositivo utilizzato;
  • file multimediali contenenti l’immagine o la voce del bambino, comprese foto, video o file audio.

Per ulteriori informazioni, consulta questo articolo oppure leggi di più sul COPPA (in inglese).

Normativa europea

GDPR

Il Regolamento europeo generale sulla protezione dei dati personali (GDPR) è stato concepito per centralizzare la protezione dei dati per gli utenti europei ed è pienamente applicabile dal 25 maggio 2018. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.

Quando si applica

Il GDPR si applica quando:

  • la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
  • l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
  • l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi o meno nell’Unione Europea.

Un fraintendimento comune è pensare che solo gli utenti dell’UE siano coperti dal GDPR. In realtà il GDPR si estende anche agli utenti al di fuori dell’UE se il responsabile del trattamento dei dati ha sede nell’UE. Pertanto, se sei un responsabile del trattamento nell’UE devi applicare gli standard GDPR a tutti i tuoi utenti.

Quando non si applica

Le condizioni di applicabilità del GDPR sono stabilite in due ambiti, materiale e territoriale. Per determinare se un’attività di trattamento dati è esente dalla sua applicabilità, dobbiamo considerare entrambi gli aspetti.

Ambito materiale
Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società. Fai attenzione, tuttavia, perché normalmente sono le “persone fisiche” che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).

Ci sono diversi altri scenari in cui i dati personali non rientrano nell’ambito di applicazione del GDPR, ad esempio quando vengono trattati da una persona fisica per un’attività puramente personale o domestica. Per saperne di più su consulta la guida dedicata.

Ambito territoriale
In aggiunta a quanto sopra, affinché un’attività di trattamento non sia soggetta al GDPR da un punto di vista territoriale, devono verificarsi tutte e 3 queste condizioni:

  • il titolare (o il responsabile) del trattamento non ha sede nell’UE. Tieni sempre presente che il titolare/responsabile del trattamento potrebbe anche essere una filiale UE di una società al di fuori dell’UE: in tal caso si applicherebbe pienamente il GDPR, anche se la filiale non avesse personalità giuridica;
  • il trattamento non riguarda l’offerta di beni o servizi (anche in forma gratuita) a interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui avviene all’interno dell’Unione;
  • il responsabile del trattamento non si trova in un luogo al di fuori dell’UE dove si applicano le leggi dell’UE a causa del diritto pubblico internazionale.
I nostri esperti in diretta

Assisti a demo dal vivo e ricevi risposta alle tue domande in tempo reale partecipando a uno dei nostri webinar gratuiti in italiano. Sono tutti pratici e progettati per aiutarti a comprendere e raggiungere la conformità per i tuoi siti e le tue applicazioni.

Iscriviti ora

Requisiti

In generale il GDPR stabilisce quanto segue:

Devi avere almeno una base giuridica per il trattamento dei dati degli utenti. Ai sensi del GDPR esistono 6 basi giuridiche.

Devi acquisire un consenso verificabile. Secondo il GDPR, il consenso è una delle basi giuridiche per il trattamento dei dati. Poiché il consenso deve essere “libero, specifico, informato e esplicito”, è necessario che la sua modalità di acquisizione sia inequivocabile e preveda una chiara azione di “opt-in”.

Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento. Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti.

Il registro dei consensi deve contenere almeno le seguenti informazioni:

  • l’identità dell’utente che ha prestato il consenso;
  • il momento in cui il consenso è stato conferito;
  • le informazioni che sono state fornite all’utente nel momento in cui ha acconsentito al trattamento;
  • i metodi utilizzati per ottenere il consenso (ad esempio tramite un modulo di iscrizione alla newsletter, durante un checkout etc.);
  • un’indicazione circa l’eventuale revoca del consenso.

Come anticipato, il consenso non è la sola base giuridica per effetto della quale un’organizzazione può trattare i dati degli utenti, ma è solo una delle basi giuridiche del trattamento. Ai sensi del GDPR, le organizzazioni possono dunque avvalersi anche di altre basi giuridiche del trattamento. Ciò premesso, è bene chiarire che per alcune attività di trattamento dei dati il consenso resta comunque la soluzione migliore, se non l’unica strada percorribile.

Diritti degli interessati
Nell’ambito del GDPR gli utenti beneficiano di alcuni diritti sui propri dati. In qualità di titolare del trattamento, oltre a dover onorare tali diritti, devi informare gli utenti della loro esistenza. Questi includono:

  • Il diritto ad essere informati
    In aggiunta agli obblighi di informazione menzionati in precedenza, il GDPR obbliga l’organizzazione a predisporre un’informativa sulla privacy concisa, comprensibile e facilmente accessibile da ogni pagina del sito/app.
  • Il diritto di accesso
    Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità di trattamento degli stessi.
  • Il diritto di rettifica
    Gli utenti hanno il diritto di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti.
  • Il diritto di opporsi
    Gli utenti hanno il diritto di opporsi a determinate attività di trattamento dei loro dati personali.
  • Il diritto alla portabilità dei dati
    A determinate condizioni, gli utenti hanno il diritto di ottenere (in un formato elettronico leggibile) e disporre dei propri dati personali per loro uso e consumo.
  • Il diritto alla cancellazione
    Quando i dati non sono più utili per le finalità per le quali sono stati raccolti o in caso di revoca del consenso, l’utente ha il diritto di chiederne la cancellazione nonché la cessazione di ogni altra forma di diffusione.
  • Il diritto a limitare il trattamento
    In alcune situazioni specifiche, gli utenti hanno il diritto di richiedere la limitazione del trattamento dei loro dati personali.
  • I diritti relativi ai processi decisionali automatizzati e alla profilazione
    Gli utenti hanno il diritto di non essere sottoposti a processi decisionali che si basano su un trattamento o una profilazione automatizzati e che producono un effetto legale, o un effetto altrettanto significativo.

Devi soddisfare i requisiti specifici imposti in caso di trasferimento dei dati al di fuori dello Spazio Economico Europeo. Il GDPR, infatti, consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni.

Devi soddisfare i principi della privacy by design e della privacy by default. Secondo il GDPR, il tema della protezione dei dati dovrebbe essere cioè preso in considerazione sin dall’inizio della progettazione e dello sviluppo dei processi e delle infrastrutture aziendali.

Devi notificare le violazioni dei dati personali (data breach). Ai sensi del GDPR, devi informare l’autorità di controllo competente entro 72 ore dal momento in cui vieni a conoscenza di una violazione dei dati personali. In molti casi sei tenuto a informare anche gli utenti interessati.

Devi nominare un DPO (a patto che si verifichino determinate condizioni). Potrebbe esserti richiesto di nominare un responsabile della protezione dei dati (RPD o DPO) che avrà il compito di supervisionare tutte le attività di trattamento e monitorare il rispetto della legge applicabile. Il trattamento sistematico e su larga scala dei dati degli utenti e quello che riguarda speciali categorie di dati (ad esempio i dati sensibili) sono tra i casi in cui si richiede la nomina di un DPO.

Devi predisporre e aggiornare un registro delle attività di trattamento. Come stabilito dall’articolo 30, il GDPR richiede che tu conservi e tenga aggiornato un registro “completo e esaustivo” delle attività di trattamento dei dati. Il registro è espressamente richiesto nei casi in cui le tue attività di trattamento non sono occasionali, possono comportare rischi per i diritti e le libertà altrui, includono il trattamento di “categorie speciali di dati” o quando la tua organizzazione ha più di 250 dipendenti, il che vale di fatto per quasi tutti i titolari e responsabili del trattamento.

Tuttavia, anche se le tue attività di trattamento non rientrano nelle situazioni appena esposte, i tuoi doveri di informare gli utenti ti impongono di conservare un registro di base contenente i dati che raccogli, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti. Consulta la nostra guida GDPR per saperne di più.

Devi effettuare dei processi di DPIA (a patto che si verifichino determinate condizioni). Nei casi in cui l’attività di trattamento dei dati è suscettibile di comportare un rischio elevato per gli utenti, il GDPR introduce la necessità di effettuare una valutazione d’impatto, o Data Protection Impact Assessment (DPIA).

Per ulteriori informazioni consulta la guida sul GDPR.

Dal momento che l’utilizzo di cookie comporta il trattamento dei dati degli utenti e l’utilizzo di tecnologie di tracciamento, si tratta di un’attività di primaria importanza in riferimento al tema della protezione dei dati personali. La Direttiva ePrivacy (o Cookie Law) è stata pensata proprio per affrontare tale questione.

Secondo la Cookie Law, le organizzazioni che si rivolgono ai cittadini dell’UE devono informare gli utenti sulle attività di raccolta dati effettuate e dare loro la possibilità di scegliere se acconsentire o meno. Ciò significa che se il tuo sito/app (o qualsiasi servizio di terza parte utilizzato dal tuo sito/app) utilizza i cookie, è necessario ottenere un consenso valido prima della loro installazione, tranne quando tali cookie rientrano nella categoria dei cookie esenti.

In pratica, dovrai mostrare un banner alla prima visita dell’utente, predisporre una cookie policy che contenga tutte le informazioni richieste, e dare agli utenti i mezzi o le informazioni per rifiutare il trattamento (o revocarne il consenso).

Prima di aver ottenuto il consenso informato e esplicito, non è possibile installare cookie, a eccezione dei cookie esenti.

Come accennato in precedenza, il “consenso” è una delle sei basi giuridiche ammesse dal GDPR e deve essere espresso e documentato in modi molto specifici per essere considerato valido.

Un dubbio che potresti avere è: devo trattare il consenso all’uso dei cookie allo stesso modo del consenso “regolare” per specifiche attività di trattamento dei dati, come l’invio di newsletter?

Se la risposta fosse “sì”, ciò significherebbe che andrebbero rispettati tutti i requisiti di validità del consenso anche quando si installano i cookie. Tuttavia, al momento la maggior parte dei commentatori concorda sul fatto che ciò non sarebbe fattibile e che non rientra nei piani del legislatore dell’UE.

Pertanto, i requisiti di consenso semplificato ai sensi della direttiva ePrivacy sono ancora ritenuti applicabili per l’installazione dei cookie, in gran parte a causa dell’articolo 95 del GDPR. Si tratta di una questione molto dibattuta, che verrà risolta solo quando sarà approvato il Regolamento ePrivacy, attualmente in fase di discussione.

Il cookie banner deve:

  • contenere una breve spiegazione delle finalità di installazione dei cookie utilizzati dal sito;
  • essere sufficientemente discontinuo nella navigazione del sito da essere ben evidente;
  • contenere un link ad una cookie policy che illustri in dettaglio le finalità, l’utilizzo e le attività delle terze parti correlate ai cookie;
  • esporre chiaramente quali azioni indicheranno il consenso.

La cookie policy deve:

  • descrivere in dettaglio le finalità di installazione dei cookie;
  • indicare tutti i soggetti terzi che installano o che potrebbero installare cookie tramite il sito, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso;
  • informare l’utente su come esercitare il diritto di negare/revocare il consenso.

Il blocco preventivo dei cookie permette di soddisfare il principio generale secondo cui, in ottemperanza a quanto previsto dalla legislazione sulla privacy, l’installazione dei cookie può avvenire solo dopo aver ottenuto il consenso. Ciò implica la necessità di bloccare i codici che installano i cookie prima di aver raccolto il consenso dell’utente.

Il consenso all’installazione dei cookie può essere fornito in diversi modi. A seconda delle autorità locali, le azioni di consenso possono includere il proseguimento della navigazione, il click sui link o lo scorrimento della pagina. In molti casi, fare click su “ok”, chiudere il cookie banner o continuare la navigazione può essere considerato un consenso mediante comportamento attivo – a condizione che gli utenti siano stati precedentemente e chiaramente informati della conseguente installazione dei cookie.

Il requisito del consenso viene meno in presenza di alcune tipologie di cookie che non sono soggette all’obbligo del blocco preventivo (anche se hai comunque l’obbligo di informare gli utenti sull’uso dei cookie, vedi riquadro sottostante).

Le categorie di cookie esenti sono:

  • cookie tecnici strettamente necessari per la fornitura del servizio (ad esempio cookie di preferenza, cookie di sessione, load balancing etc.)
  • cookie statistici gestiti direttamente da te (non da una terza parte), a condizione che i dati non vengano utilizzati per fare profilazione *
  • cookie statistici di terza parte (anonimi), come Google Analytics *

* Questa esenzione potrebbe non essere applicabile in tutti i Paesi in quanto dipende dalla specifica normativa locale.

Attenzione

L’esenzione dal requisito del consenso si applica con chiarezza solo ai cookie tecnici che non effettuano tracciamento e che sono strettamente necessari al funzionamento dei servizi richiesti dall’utente.

È il caso ad esempio di un sito e-commerce che consente agli utenti di tenere gli articoli nel carrello per tutta la durata della loro visita. In questo caso i cookie tecnici, necessari per la procedura di acquisto, sono richiesti dall’utente quando quest’ultimo aggiunge un articolo al carrello. È comunque importante notare che si tratta di cookie di sessione, e non di cookie di tracciamento.

Altri esempi di cookie tecnici sono i cookie di sessione utilizzati per rilevare violazioni alle procedure di autenticazione, cookie di load balancing e cookie per player multimediali, e – più in generale – cookie necessari per la fornitura di servizi richiesti dall’utente.

Questo significa che in questi casi non è obbligatorio mostrare un cookie banner?

Fermo restando che dovrai comunque informare l’utente sull’uso dei cookie tramite una cookie policy, il cookie banner non è strettamente necessario se la cookie policy è facilmente raggiungibile da ogni pagina del sito.

In futuro la Direttiva ePrivacy sarà abrogata dal Regolamento ePrivacy che, in quanto tale, opererà di concerto con il GDPR. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

Per ulteriori informazioni leggi la nostra guida alla Cookie Law.


Requisiti legali applicabili in situazioni particolari

E-commerce

Oltre agli obblighi di informazione e agli altri requisiti di cui sopra (nonché in base alla normativa di riferimento), se si gestisce un sito web o un’applicazione mobile di e-commerce, si è inoltre soggetti alle leggi sui diritti dei consumatori e alle altre regole di settore applicabili.

B2B

In generale, i soggetti coinvolti nelle transazioni commerciali tra imprese saranno soggetti a tutti i contratti e a tutte le linee guida applicabili a livello nazionale e di settore. Tuttavia, il commercio tra imprese richiede spesso il trattamento di dati personali (siano essi o meno di dipendenti): in tal caso, e se il trattamento rientra nel suo ambito di applicazione, il GDPR ha la precedenza.

B2C

Secondo le più comuni leggi sulla tutela dei consumatori, quando si vende è necessario fornire le seguenti informazioni (oltre a quelle normalmente richieste sulla privacy):

  • resi/rimborsi;
  • garanzia (ove applicabile);
  • sicurezza, incluse le condizioni di utilizzo (ove applicabile);
  • condizioni di consegna del prodotto/servizio;
  • identità del venditore (come l’indirizzo della sede legale e la ragione sociale);
  • diritti dei consumatori, come il diritto di recesso (ove applicabile);
  • contatti del venditore (ad esempio l’indirizzo e-mail).

Normativa statunitense

Negli Stati Uniti non esiste un’unica legge unica in materia di resi/rimborsi per gli acquisti effettuati online, in quanto nella maggior parte dei casi tale legge viene attuata a livello di singolo Stato; tuttavia, in base a diverse leggi statali, se ai consumatori non è stata comunicata alcuna informazione su rimborsi o restituzioni prima dell’acquisto, viene automaticamente applicato un diritto esteso di recesso/rimborso. Qualora l’articolo acquistato dovesse rivelarsi difettoso, una garanzia implicita può essere infatti applicata in luogo di una garanzia scritta. Quanto alle garanzie scritte, devono almeno rispettare gli standard di correttezza del settore.

Sebbene i requisiti di informazione sul commercio elettronico rimangano ampiamente applicabili negli Stati Uniti su base locale, in molti casi è prassi comune includere tali informazioni nel documento di Termini e Condizioni; le informazioni sui resi e sui rimborsi sono spesso incluse anche in aree dedicate del sito/app facilmente accessibili dalla pagina di descrizione del prodotto/servizio.

Normativa europea

Il diritto dei consumatori dell’UE si applica ai contratti o a altri rapporti giuridici tra consumatori (da un lato) e professionisti, imprese e società dall’altro (B2C). Non si applica ai rapporti B2B (esempio: un supermercato effettua un ordine al suo fornitore di frutta) o C2C (esempio: vendiamo la nostra bici su eBay).

Tra le altre cose, in base al diritto dei consumatori dell’UE, i consumatori hanno il diritto di recesso incondizionato (“periodo di riflessione”) di 14 giorni. Ciò significa che i consumatori possono annullare o recedere dal contratto a distanza (vendite effettuate online, per telefono, per corrispondenza) per qualsiasi o nessun motivo fino a un massimo di 14 giorni dalla ricezione del prodotto (qualora si tratti di merci). Vale la pena notare che 14 giorni è il minimo previsto dalla legge: alcuni paesi o alcuni fornitori possono prevedere un tempo più lungo.

Il diritto di recesso non si applica in tutte le situazioni. Tra le eccezioni più comuni ci sono:

  • biglietti per eventi/viaggi e prenotazione o noleggio di auto (più in generale qualsiasi contratto relativo a attività per il tempo libero, se prevede una data o una durata specifici);
  • oggetti multimediali sigillati (per esempio i CD), aperti dal destinatario;
  • contenuti digitali già scaricati dal consumatore;
  • merce prodotta su ordinazione o oggetti personalizzati (per esempio un abito su misura);
  • in alcune condizioni aggiuntive, qualsiasi contratto relativo alla fornitura di un servizio.

I consumatori che risiedono nel territorio UE sono inoltre tutelati da una garanzia legale di 2 anni sui beni acquistati senza dover sostenere alcun costo aggiuntivo. Anche qui, vale la pena sottolineare che la garanzia di 2 anni è il minimo: in alcuni paesi la durata potrebbe essere superiore.

Queste regole si applicano solitamente a tutte le società che vendono a cittadini europei, ma possono variare per i venditori internazionali a seconda del caso specifico. Si noti però che in alcuni casi recenti i tribunali statunitensi hanno scelto di difendere il diritto applicabile per effetto della normativa europea.

Che differenza c’è tra la restituzione di un prodotto in caso di recesso e la restituzione in caso di garanzia?

Diritto di recessoGaranzia legale
Valido per 14 giorni dal ricevimento del prodotto o dalla firma del contrattoValida per 24 mesi dal ricevimento del prodotto
Non è necessario avere alcun motivo per esercitare questo diritto – puoi semplicemente cambiare ideaPuoi restituire un prodotto in garanzia perché difettoso o comunque inadatto agli scopi per i quali è stato venduto e acquistato
Potresti dover sostenere i costi di restituzione del prodotto (ma deve essere specificato)Potresti non dover sostenere alcun costo (è “colpa del venditore” se il prodotto è difettoso)
Si applica con alcune eccezioni (alcune delle quali sono menzionate sopra)Si applica sempre ai prodotti, non si applica mai ai servizi

La normativa europea impone inoltre che i venditori informino i consumatori in merito alla piattaforma ODR tramite un link diretto. L’ODR, o “risoluzione delle dispute online”, è uno strumento che consente ai consumatori europei di presentare facilmente reclami (per quanto riguarda le vendite online) nei confronti di imprese stabilite nel territorio UE. Ciò significa che i requisiti ODR possono essere applicati anche alle imprese statunitensi che hanno una presenza fisica nell’Unione Europea.

Generalmente, siti web privati (o profili privati sui social network, blog, etc.) che hanno finalità puramente personali non sono soggetti a norme aggiuntive. Tuttavia, diversi atti comunitari e nazionali impongono agli operatori commerciali online di divulgare determinate informazioni.

Per essere considerato “commerciale”, non è necessario che tu “venda” qualcosa – un sito web personale può essere facilmente considerato commerciale se, per esempio, genera un notevole traffico e crea così entrate pubblicitarie rilevanti (è il caso degli “influencer”) – tuttavia, se “vendi” prodotti o servizi, aumentano gli obblighi di informare i tuoi utenti.

Se vendi direttamente ai consumatori (B2C), dovrai affrontare ulteriori obblighi che includono ma non si limitano a quelli sopra elencati, come collegarti alla piattaforma per la risoluzione delle dispute online dell’UE, elencare tempi di consegna precisi e fornire informazioni sui prezzi e sulle tasse applicabili, come indicato nella Direttiva 83/2011/UE.

Email e Newsletter

Un indirizzo e-mail è considerato un dato personale. Pertanto, quando si tratta di indirizzi e-mail, si applica la legge sulla privacy. Come già accennato, la maggior parte delle normative richiede di informare gli utenti sui loro diritti, sulle attività di trattamento dei dati e sulle finalità.

Generalmente queste leggi si applicano a qualsiasi servizio rivolto ai residenti di un certo Paese: in pratica possono applicarsi alla tua attività indipendentemente dal fatto che la stessa si basi o meno nel Paese di riferimento. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate in quanto, in tal caso, potrebbe non essere possibile conoscere il Paese di residenza dei destinatari. Per questo motivo, è sempre consigliabile affrontare le attività di trattamento dei dati nel rispetto delle più severe normative applicabili.

Normativa statunitense

Ai sensi del CAN-SPAM Act, non è necessario raccogliere il consenso prima di aggiungere utenti statunitensi alla propria mailing list o di inviare loro messaggi commerciali; tuttavia, è obbligatorio fornire agli utenti un chiaro meccanismo per revocare il consenso a ricevere ulteriori comunicazioni.

Normativa europea

Ai sensi del diritto comunitario (in particolare il GDPR) è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio. Secondo la normativa UE, l’acquisizione del consenso può essere intesa come un processo in due fasi che comprende informare l’utente e ottenere un consenso verificabile mediante un’azione positiva.

Per ulteriori informazioni, consulta la Guida sull’email marketing e l’invio di newsletter.

Minori

Normativa statunitense

Il Children’s Online Privacy Protection Act (COPPA) è una legge federale degli Stati Uniti che è stata introdotta per proteggere al meglio i dati personali e i diritti dei minori di 13 anni. Ai sensi del COPPA, gli operatori di siti web o servizi online che si rivolgono a utenti minori di 13 anni, o che sono effettivamente a conoscenza del fatto che stanno raccogliendo dati personali da parte di minori di 13 anni, devono informare i genitori e ottenere un loro consenso verificabile prima di raccogliere, utilizzare o diffondere tali dati personali, impegnandosi inoltre a proteggere le informazioni relative ai minori.

Un requisito centrale di questa legge è quello di predisporre una privacy policy conforme al COPPA. Per maggiori informazioni, consulta questo articolo dedicato al COPPA (in inglese).

Normativa europea

Ai sensi del GDPR, il consenso è una delle basi giuridiche per il trattamento dei dati dei minori. Se si utilizza questa base giuridica per l’elaborazione dei dati di bambini sotto i 13 anni, è necessario ottenere un consenso verificabile da parte di un genitore o tutore a meno che il servizio offerto non sia un servizio di prevenzione o consulenza.

Per ulteriori informazioni sui requisiti legali relativi ai minori leggi qui.


Altre considerazioni legali

Predisponi dei termini di servizio a tutela del tuo business

Sebbene non sempre richiesto dalla legge, un documento di Termini e Condizioni (noto anche come T&C, Termini di Servizio, Termini di Utilizzo o accordo di licenza con l’utente finale) è spesso necessario per motivi di praticità e sicurezza. Ti consente di regolare il rapporto contrattuale con i tuoi utenti ed è pertanto essenziale per definire le condizioni d’uso e per proteggersi da potenziali responsabilità.

Il documento di T&C è essenzialmente un accordo giuridicamente vincolante, e pertanto non solo è importante averne uno, ma è anche necessario assicurarsi che sia conforme ai requisiti di legge. In generale, è necessario applicare delle condizioni contrattuali standard.

Inoltre, ai sensi della maggior parte delle legislazioni, i contratti utilizzati dai commercianti devono essere equi. Ciò significa che il documento deve essere sempre aggiornato rispetto alle normative applicabili, preciso, visibile e comprensibile, in modo tale che gli utenti possano facilmente consultarlo e accettarlo.

L’azione di consenso deve essere eseguita in modo inequivocabile (ad esempio, facendo click su una checkbox con un collegamento visibile al documento prima di poter creare un account o utilizzare il servizio).

Mentre alcuni contenuti potrebbero variare in base alle specifiche caratteristiche della tua attività, i Termini e le Condizioni dovrebbero includere almeno quanto segue:

  • informazioni per identificare l’attività;
  • una descrizione del servizio offerto dal tuo sito/app;
  • informazioni su allocazione dei rischi, responsabilità e liberatorie;
  • garanzie (se applicabili);
  • diritto di recesso (se applicabile);
  • informazioni sulla sicurezza, incluse le condizioni di utilizzo (se applicabile);
  • condizioni di consegna del prodotto/servizio;
  • diritti d’uso (se applicabili);
  • condizioni d’uso o di acquisto (come requisiti di età, restrizioni legate alla località etc.);
  • politiche di rimborso/sostituzione/sospensione del servizio e relative informazioni;
  • informazioni sui metodi di pagamento;
  • tutte le altre condizioni applicabili.

Per ulteriori informazioni sui Termini e Condizioni, leggi qui.


Requisiti delle terze parti

Anche le applicazioni e i servizi di terza parte devono rispettare la legge. Come ogni organizzazione, anche loro sono esposti al rischio di danni reputazionali e sanzioni in caso di mancato rispetto delle normative. Per questa ragione, è possibile che siano le stesse terze parti a imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi.

In generale, è necessario che le organizzazioni che utilizzano i loro servizi predispongano una privacy policy conforme (e una cookie policy in caso di utilizzo di cookie) che riveli tutti i dettagli relativi alla relazione e ai servizi resi.

È possibile che siano le stesse terze parti a imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi

Un esempio è Google. Per utilizzare determinati servizi e strumenti (come AdSense, Google Analytics, Google Play Store), Google impone al titolare del sito/app di disporre di una privacy policy completa e aggiornata. Segue un estratto delle condizioni di utilizzo di Google Analytics:

“L’Utente dovrà pubblicare norme sulla privacy che avvisino dell’utilizzo di cookie al fine di raccogliere dati”, e “L’Utente non potrà eludere le funzioni a tutela della privacy (ad es. la disattivazione) che sono parte del Servizio.”

Un altro esempio è quello di Amazon:

Abbiamo esteso l’obbligo di divulgare il nostro rapporto di affiliazione in tutti i casi in cui si fa uso dei contenuti degli Associati.

Di tanto in tanto i requisiti delle terze parti cambiano in risposta a normative nazionali o internazionali. Per evitare l’interruzione del servizio, è spesso necessario che le policy rispondano ai requisiti più recenti.

Leggi di più sui requisiti di Google in questo articolo, qui invece trovi i requisiti di Amazon (in inglese).


Le conseguenze del mancato adeguamento

Seguono alcune possibili conseguenze per il mancato adeguamento alle normative.

Sanzioni

La non conformità con il CalOPPA o con il COPPA può portare i funzionari governativi a intentare causa o a chiedere un risarcimento civile ai danni della tua attività. In questo esempio, ai proprietari del sito web Imbee è stata comminata una multa di 130.000 dollari per aver permesso ai minori di 13 anni di registrarsi senza il consenso dei genitori. Sanzioni simili possono essere comminate in base a altre leggi statali e federali.

L’inosservanza dei requisiti del GDPR può comportare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due valori sia il maggiore).

Provvedimenti disciplinari

Esistono ulteriori provvedimenti sanzionatori che possono essere adottati nei confronti delle organizzazioni che violano le norme. Tali provvedimenti comprendono (ma non si limitano a) richiami ufficiali (per violazioni avvenute la prima volta) e verifiche periodiche sulla protezione dei dati. Il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento.

Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare ulteriore uso dei dati oggetto del reclamo. Ciò significa che se l’uso improprio riguarda, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.

L’inosservanza del diritto dei consumatori o della concorrenza (atti di concorrenza sleale) può anche comportare sanzioni pecuniarie da parte delle autorità competenti (per lo più nazionali).

Responsabilità civile per danni

È un principio generale del diritto civile: qualsiasi danno ingiusto provocato a qualcun altro – a maggior ragione se violando una legge – va risarcito. Sia il GDPR che il CalOPPA conferiscono ai singoli utenti il diritto di chiedere il risarcimento per danni derivanti da una violazione dei loro diritti. Lo stesso ragionamento si applica a qualsiasi altro atto o legge applicabile, come le disposizioni dell’UE in materia di tutela dei consumatori.

Ricorda che la responsabilità per danni si applica in tutti i rapporti: anche un partner commerciale può avere diritto a un risarcimento se hai violato una disposizione di legge. Ad esempio, la vendita di merci contraffatte attraverso una piattaforma partner come Amazon potrebbe portare l’azienda e gli acquirenti a intraprendere un’azione legale contro di te.

Interruzioni del servizio e penali contrattuali

Alcuni servizi di terza parte possono rendere la conformità con normative specifiche una parte integrante dei loro termini di utilizzo; la violazione di tali termini può portare in questi casi alla cessazione del servizio o, potenzialmente, a divieti permanenti.

Ecco un esempio tratto dai Termini e Condizioni di Amazon Web Services per quanto riguarda il consenso:

Per qualsiasi Dato di Terza Parte fornito ad AWS, l’Utente dichiara e garantisce di aver ricevuto tutti i consensi necessari per (a) condividere tali Dati di Terza Parte con AWS e i suoi Affiliati e per (b) utilizzare tali Dati di Terza Parte per contattare i relativi soggetti al fine di commercializzare i nostri beni e servizi e il Programma.

Diritto penale

Infine, ma forse l’aspetto più importante: in determinate condizioni potrebbero esserci anche delle conseguenze penali. Se, ad esempio, si violano intenzionalmente o si ignorano le disposizioni in materia di protezione dei dati a fini commerciali (ad esempio, si vendono i dati personali delle persone senza informarle) si possono avere gravi conseguenze. Tuttavia, il diritto penale è in gran parte una questione nazionale: condizioni e conseguenze vanno verificate caso per caso.


Come può aiutarti iubenda

Noi di iubenda crediamo nell’importanza di un approccio onnicomprensivo alla compliance con la normativa sulla protezione dei dati personali. Monitoriamo le principali normative internazionali e sviluppiamo soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo, puoi adempiere agli obblighi di legge (indipendentemente dalla posizione dei tuoi utenti), ridurre il rischio di controversie e proteggere i tuoi clienti, consolidando fiducia e credibilità.

Monitoriamo le principali normative internazionali e sviluppiamo soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili

Segue un elenco di quanto necessario per adeguarsi.

Dotati di una privacy policy per informare gli utenti sul trattamento dei loro dati personali

Come anticipato, gli utenti devono essere informati su come vengono utilizzati i loro dati personali. Per questo motivo, le privacy policy sono richieste per legge quasi ovunque nel mondo. Questo documento legale deve indicare il modo in cui il tuo sito web o la tua app raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, le finalità del trattamento e i diritti degli utenti a tale riguardo.

Il nostro Generatore di Privacy Policy è alla portata di tutti, disponibile in diverse lingue, progettato da un team di avvocati, personalizzabile e aggiornato automaticamente (in quanto è controllato a distanza dai nostri legali). Ti permette facilmente di creare una privacy policy stupenda, precisa e perfettamente integrata con il tuo sito web o con la tua app. Basta aggiungere con un semplice click una qualsiasi delle tante clausole pre-configurate disponibili o scrivere facilmente le proprie clausole personalizzate.

Hai inoltre la possibilità di includere una cookie policy (necessaria se il tuo sito web o la tua app utilizzano cookie). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.

Scopri di più su come generare una privacy policy.

Adeguati con la Cookie Law Europea

Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi a utenti europei, devi rispettare la Cookie Law.

Per adeguarsi con la Cookie Law, ci sono 4 aspetti fondamentali da considerare:

  1. dotarsi di una cookie policy, che puoi attivare con l’opzione dedicata disponibile nel Generatore di Privacy Policy descritto in precedenza;
  2. mostrare un cookie banner, che puoi predisporre utilizzando la iubenda Cookie Solution;
  3. facilitare la raccolta del consenso fornendo agli utenti le opportune informazioni su come prestare, negare o revocare tale consenso;
  4. bloccare i codici che installano cookie soggetti all’obbligo del consenso preventivo.

La nostra Cookie Solution è conforme alle disposizioni della legge europea sul trattamento mediante cookie. Consente di informare facilmente gli utenti e di ottenerne il consenso, compresa la possibilità di bloccare qualsiasi codice che installa cookie prima di aver raccolto il consenso dell’utente (così come richiesto in molti Paesi UE). È facile da usare, veloce e non richiede investimenti onerosi.

Per ulteriori informazioni, consulta la guida introduttiva sulla iubenda Cookie Solution.

Proteggi il tuo business con dei Termini e Condizioni adeguati

Sebbene non richiesto dalla legge, questo documento (noto anche come Termini di Servizio o Termini di Utilizzo) è strettamente necessario se si effettua una qualsiasi forma di commercio, in quanto disciplina il rapporto contrattuale tra il fornitore del servizio e l’utente. È pertanto essenziale che questo contratto sia preciso e aggiornato rispetto a tutti i regolamenti applicabili. Deve includere le condizioni generali per l’utilizzo del servizio, con particolare attenzione alle clausole di “limitazione della responsabilità” e alle liberatorie.

Gestisci la compliance privacy interna

Adeguarsi al GDPR nella pratica rappresenta una vera e propria sfida. Ciò è particolarmente vero per la gestione della compliance privacy interna. Per essere conformi, è necessario tenere traccia e descrivere:

  • i dati che raccogli;
  • le finalità del trattamento;
  • le basi giuridiche del trattamento;
  • le politiche di data retention per ogni attività di trattamento;
  • le parti coinvolte (all’interno e all’esterno della tua organizzazione);
  • le misure di sicurezza;
  • i trasferimenti di dati extra UE, se presenti;
  • altri dettagli a livello aziendale, inclusi quelli relativi ai dati dei dipendenti.

La nostra soluzione di Internal Privacy Management ti aiuta a registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della tua organizzazione, così da soddisfare tutti i requisiti e da adempiere agli obblighi di legge.

L’Internal Privacy Management consente di creare un registro del trattamento definendo le attività di elaborazione effettuate scegliendo da oltre 600 opzioni pre-configurate, descrivendo le proprie aree di trattamento (ovvero, le aree all’interno delle quali le attività di trattamento dei dati sono tra loro omogenee), individuando responsabili ed altri soggetti e documentando le basi giuridiche e le altre informazioni richieste dal GDPR.

Importante: anche se le tue attività di trattamento non rientrano nelle situazioni sopra elencate, i tuoi obblighi di informare gli utenti (articoli 13 e 14) ti impongono di tenere un registro di base contenente i dati da te raccolti, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti.

In più, anche se il GDPR è la ragione principale per cui impegnarsi nella gestione della propria compliance aziendale interna, il nostro strumento non è fatto solo per il GDPR. Può essere infatti utilizzato per la gestione della compliance interna in generale, anche da aziende extra UE che non lavorano con utenti o clienti europei.

Scopri le funzionalità dell’Internal Privacy Management o leggi la nostra guida introduttiva.

Al fine di adeguarsi alle normative sulla privacy, in particolare al GDPR, le organizzazioni devono archiviare una prova del consenso così da poter dimostrare che il consenso è stato validamente raccolto. Tali prove devono includere:

  • quando il consenso è stato prestato;
  • chi ha prestato il consenso;
  • quali preferenze sono state espresse dall’interessato al momento della raccolta del consenso;
  • quali documenti o note legali sono state presentate all’interessato al momento della raccolta del consenso;
  • il modulo di consenso che è stato presentato all’interessato al momento della raccolta del consenso.

La nostra Consent Solution semplifica questo processo permettendoti di registrare e di gestire facilmente le prove del consenso per ogni tuo utente. La Consent Solution ti aiuta a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.

Per utilizzarla, attiva semplicemente la Consent Solution ed ottieni la tua chiave API. Procedi quindi alla configurazione via HTTP API o tramite widget JS. Potrai subito recuperare i consensi salvati e tenerli aggiornati.

Scopri le funzionalità della Consent Solution o leggi la guida introduttiva.

Importante: di tanto in tanto i requisiti di legge cambiano o vengono aggiornati. È pertanto necessario assicurarsi che i propri documenti rispondano ai requisiti più recenti. Per questo motivo, iubenda utilizza una funzione di incorporazione e non il semplice copia e incolla. In questo modo, puoi essere certo che i tuoi documenti siano sempre aggiornati grazie alle revisioni continue effettuate da remoto dal nostro team legale.

Leggi anche