DPO Data-Protection Officer

L’importanza di avere un DPO

Nonostante il Regolamento Generale sulla Protezione dei Dati 2016/679, conosciuto come GDPR, sia entrato a regime da alcuni anni, ancora oggi, quando si parla di DPO c’è un po’ di confusione.

Cerchiamo di chiarire tutti gli aspetti relativi a questa figura mettendo in luce la sua importanza.

Chi è il DPO?

L’acronimo DPO sta per Data Protection Officer – Responsabile della protezione dei dati – ed è una figura introdotta dall’ormai conosciuta GDPR il 4 maggio 2016.

Il Data Protection Officer è un professionista che deve avere un ruolo aziendale, può essere un soggetto interno o esterno all’azienda, con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare, organizzare e, soprattutto, proteggere la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Chi nomina il Data Protection Officer?

Il Regolamento generale sulla protezione dei dati si applica a tutti gli stati membri UE e disciplina l’istituzione della figura del DPO nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari e dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona“.

Quali sono gli incarichi del DPO?

Nell’art. 39 del Regolamento europeo sulla protezione dei dati personali si elencano i principali compiti del Responsabile della protezione dei dati:

  • Il DPO è incaricato almeno dei seguenti compiti:
    • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
    • sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
    • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
    • cooperare con l’autorità di controllo;
    • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
  • Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Quali sono le multe per chi non designa il DPO?

Il GDPR ha previsto delle pesanti conseguenze sanzionatorie per coloro che, pur essendo tenuti a designare tale figura, non ottemperano a tale obbligo.

Ai sensi dell’articolo 83, comma 4, del Regolamento, infatti, l’omessa nomina del responsabile della protezione dati sarà punita con sanzioni amministrative pecuniarie fino a euro 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Manutenzione di un sito internet - attrezzi giocattolo

Importanza della manutenzione di un sito internet

Erroneamente si crede che basti realizzare un sito internet dal “bell’aspetto” per avere successo sul web. La realtà delle cose è diversa.

L’importanza e il successo di un sito web si notano soprattutto nella capacità di rimanere costantemente aggiornati e di proporre contenuti nuovi e stimolanti sia per gli utenti unici che si approcciano ad esso per la prima volta, sia per gli utenti abituali, che vogliono comunque essere catturati da qualcosa di nuovo.

La manutenzione di un sito web è una delle carte vincenti per far risultare il sito sempre in cima alle classifiche di ricerca e per consentire di implementare molto velocemente il flusso quotidiano di accessi unici. Fare manutenzione permette, inoltre, di rimanere aggiornati sulle varie novità in fatto di CMS, nonché di essere tra i primi ad intercettare e riproporre le novità del settore per quanto riguarda layout, editing, animazioni e sistema di linkbuilding, che sono gli accorgimenti che rendono il vostro sito diverso da tutti gli altri, e quindi più appetibile per gli utenti del web.

Fare manutenzione al sito web è fondamentale!

Dopo tutta la fatica, il tempo e le risorse investite nella realizzazione di un portale, dopo essersi creati una reputazione su internet, dopo essere riusciti a indicizzare il proprio sito nel migliore dei modi sarebbe veramente spiacevole se durante la ricerca su Google questo venisse segnalato come “sito compromesso”. Un messaggio del genere allontana gli utenti, anche in modo definitivo, dal sito.

Per evitare che questo accada è sempre buona cosa fare una adeguata manutenzione al sito.

Chi deve fare la manutenzione al portale

Molti credono che la manutenzione del proprio sito internet sia responsabilità del provider. È una ideaa totalmente errata che genera confusione provocando anche errori di valutazione dei rischi non indifferenti.

I provider quotidianamente subiscono le conseguenze delle vulnerabilità di sicurezza che si trovano nei CMS. Un portale “bucato” vuol dire per un provider avere, se non ha attuato tutta una serie di strategie difensive, diversi grattacapi. Problemi molto più importanti, anche a livello economico, che non immaginiamo. Non è compito del provider mantenere aggiornato il CMS o gestire il portale.

Non smetteremo mai di ribadire che un aspetto importante per la sicurezza è abituarsi a fare manutenzione al portale.

Avere dei seri professionisti che se ne occupano o uno strumento che rileva i problemi dando la possibilità di poter intervenire tempestivamente abbassa di gran lunga (se non addirittura annulla), la possibilità di essere classificati come sito compromesso. Avendo la certezza, nel frattempo, che il nostro portale continui a funzionare correttamente.

Alcuni vantaggi che si possono avere se dispone di questo strumento sono:

  • ridurre l’abuso di risorse sui server condivisi facendo risparmiare tempo e, soprattutto, denaro oltre a contribuire a mantenere più pulito internet;
  • sapere in modo mirato dove intervenire per risolvere il problema con pochi sforzi e senza alcuna interruzione;
  • rimuovere in modo agevole i malware;
  • aumentare la sicurezza del sito e la protezione dei dati.

Secondo uno studio almeno il 5% dei siti internet presenti oggi in rete è compromesso. I maleintenzionati in genere vogliono approfittare delle risorse del server per attività di SPAM, attacchi DDoS, ecc. Attenzione, senza una adeguata manutenzione il sito viene esposto anche a rischi molto più gravi: perdita di dati, furto di dati o peggio ancora. Ogni violazione della sicurezza costa almeno una o più ore di lavoro per risolvere il problema. La violazione della sicurezza costa cara.

Un portale su due è vulnerabile

Secondo W3Techs una alta percentuale di portali è realizzata usando CMS come WordPress, Joomla o Drupal. L’80% circa di questi portali ha una versione non aggiornata del CMS. Ciò vuol dire lasciare ampia libertà di azione ai maleintenzionati i quali, sfruttando le vulnerabilità di sicurezza di CMS non aggiornati, possono eseguire le loro azioni in modo molto agevole.

Secondo una ricerca condotta da StopBadware e Commtouch, il 28% delle persone a cui il sito web è stato compromesso prende in considerazione l’idea di cambiare fornitore, dando la colpa a quest’ultimo se il portale viene compromesso.

Molto spesso chi ha subito una violazione al proprio sito non è in grado di risolvere il problema o non considera l’importanza di avere un ciclo di manutenzione adeguato.

L’importanza di aggiornare il tuo CMS

Più volte abbiamo nominato il CMS, ma cos’è? Quest’acronimo sta per Content Management System, ovvero sistema di gestione dei contenuti, ed è praticamente una sorta di contenitore all’interno del quale il vostro sito web si potrà sviluppare. Questo è uno strumento software, vale a dire un programma, che ha bisogno di essere installato su un server web per poter funzionare.

Un CMS facilita la gestione dei contenuti sul web, traducendoli nel linguaggio di programmazione adatto al contesto nel quale si vuole inserire il vostro sito web, e permettendo così al web master di lavorare serenamente con la sua e la vostra creatività senza per forza dover essere un ingegnere informatico esperto di linguaggi e codici di programmazione.

Questi CMS potrebbero sembrare importanti soltanto in una prima fare, ovvero quella di programmazione del sito, perché appunto facilitano la traduzione dei contenuti in stringhe di codici spendibili sul web dal punto di vista della trasmissione dati, invece bisogna tenere presente che mantenere aggiornati costantemente i CMS è vitale per la sopravvivenza del vostro sito.
Essi, infatti, sono responsabili anche della vita dei plugin, dei piccoli programmi non autonomi che ampliano in alcune direzioni le potenzialità del programma principale che li contiene.

Questi significa che se i plugin non sono stati aggiornati perché il CMS che li contiene non è stato aggiornato a propria volta, presto smetteranno di funzionare, e molti contenuti del vostro sito potrebbero non essere più visibili o risultarne danneggiati. Infine, l’aggiornamento dei CMS aumenta notevolmente i livelli di sicurezza, e rende molto difficili le intrusioni da parte di virus o di hacker.

I problemi legali della mancata manutenzione

Dal 25 Maggio 2018 è entrato in vigore il nuovo GDPR, che oltre a regolare le responsabilità del Provider Internet, identifica in maniera inequivocabile anche le responsabilità del proprietario del sito.

Cosa prevede la GDPR:

  • monitoraggio costante delle vulnerabilità del sito e immediata risoluzione sono previsti nel GDPR (GDPR – art. 32, comma 1, par. d);
  • aggiornamento giornaliero dei sistemi operativi, per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate (GDPR – art. 5, comma 1, par. f).

Questo approccio, molto più severo, al trattamento dei dati personali si estende a tutti i siti che operano sul territorio dell’Unione Europea o che interagiscono con i cittadini dell’Unione Europea. I rischi di incorrere in sanzioni sono elevati, Infatti chi non rispetta la normativa rischia sanzioni fino a venti milioni di euro o al 4% del fatturato annuale dell’azienda.

È preferibile fare un piccolo investimento economico sulla adeguata manutenzione del portale piuttosto di dover pagare multe salate.

I costi per la manutenzione di un portale

I costi di manutenzione e gestione di un sito web sono per lo più determinati dalle esigenze del cliente e dal tempo lavorativo effettivamente impiegato per realizzare le richieste che vengono fatte.

Bisogna considerare che per effettuare la manutenzione di un sito web in direzione di una maggiore protezione bisogna sostenere delle spese tecniche, realizzative ma anche strategiche, nonché dei costi di lancio del contenuto sul web.

Anche saper inserire i dati all’interno di un portale in modo adeguato è importante. Un corretto inserimento delle informazioni nel portale è un passo in più verso la via del successo.

File di log - Log file

I file di log e la loro importanza

Quando si naviga su internet o si lavora al PC numerosi processi lavorano in background per consentire le operazioni richiesta. Tutte le operazioni svolte, eventuali errori e molto altro vengono registrati. Chi ha a che fare con i sistemi informatici per lavoro – non stiamo parlando di semplici utenti – conosce bene l’importanza dei log. Ma cosa sono e perchè sono così importanti?

Definizione dei file di log

Un log è la registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico (software, storage, server/client o qualsiasi altro dispositivo informatizzato).

Le procedure di logging sono quelle azioni in cui un sistema operativo o un’applicazione registra gli eventi e li memorizza per eventuali riutilizzi successivi. L’elenco di queste registrazioni sono chiamate file di log. Al loro interno troviamo messaggi relativi al sistema, compreso il kernel, ai servizi, alle applicazioni in funzione e anche a cosa ha fatto l’utente.

I record conservano tutte le informazioni sul normale funzionamento della macchina e, cosa molto importate, le registrazioni di errori e problemi. Ogni riga inizia sempre con le indicazioni cronologiche (data e ora del momento in cui viene effettuata la registrazione), il nome del computer su cui gira il programma che ha generato il log e, molte volte, anche il nome del programma stesso.

A seconda del sistema di logging, cambia la tipologia di informazioni. Un file di log, dunque, è sequenziale e sempre aperto alla scrittura. Una volta chiuso, viene conservato con una periodicità regolare, diventando così disponibile a supporto delle attività di monitoraggio (logging). Va detto che esistono differenti tipologie di file di log, dal controllo del sistema alla sicurezza e così via.

Ne risulta che i file di log possono rivelarsi molto utili a supporto della diagnostica, accelerando la risoluzione dei problemi legati all’uso dei sistemi.

I log per la sicurezza

La gestione dei log, come detto sopra, permette di monitorare una serie di attività tra cui gli accessi al sistema effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine e così via), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware. I log, in sintesi, sono un asset importanti per far fronte efficacemente alle necessità di data protection e continuità di servizio.

Forse non si sa ma a livello internazionale esistono delle normative per la sicurezza informatica. Tutte le normative sulla sicurezza informatica prevedono la creazione di precise policy di logging. Risulta pertanto di facile intuizione comprendere il motivo per cui i log rappresentino un punto importante per far fronte efficacemente alle necessità di sicurezza e compliance aziendale.

Log Management

Con le nuove tecnologie, con l’aumento degli accessi alla rete internet e al costante scambio di informazioni, anche sensibili, è cresciuto il bisogno di garantire sicurezza, protezione dei dati e continuità di servizio. Il Log Management rappresenta un efficace strumento per far fronte a queste necessità in maniera semplice ed efficace.

Attraverso un buon sistema di Log Management, le aziende possono soddisfare le disposizioni normative, contare su uno strumento ottimale di monitoraggio e controllo, sfruttare i benefici della Business Intelligence e garantire alti standard di sicurezza.

Il 20% di ogni cambiamento sta nel conoscere come, il restante 80% sta nel conoscere perché.

Anthony Robbins

Log file e GDPR

Con l’entrata in vigore della GDPR (General Data Protection Regulation) il 25 maggio 2018 ci sono state importanti modifiche al modo di rapportarsi con i log file.
Se prima erano una necessità per gli amministratori di sistema ora sono uno strumento necessario e a cui le aziende, che seguono una corretta politica informatica, non possono rinunciare.

Il regolamento europeo chiede che resti traccia delle operazioni effettuate sui dati affinché, in casi di controllo, sia possibile dimostrare che si sono compiute tutte le azioni di tutela.

Nello specifico, per il Garante della Privacy i file di log devono essere completi (includendo chi compie azioni ma anche solo chi accede ai dati in consultazione), inalterabili e verificabili (cioè abilitare il controllo del corretto utilizzo dei dati).

L’errore nel sottovalutare i file di log

Nonostante tutti i benefici che una corretta gestione dei log può portare questi sono ancora troppo spesso sottovalutati. Alcune aziende quando devono ricorrere a una soluzione di Log Management lo fanno quando ormai il danno è fatto.

Un controllo sui down di sistema, su eventuali attacchi alla rete, su problemi hardware/software, ma anche il dover fornire in modo rapido ed efficace precise informazioni ai dirigenti aziendali o perfino agli organi di pubblica sicurezza può essere effettuato in modo semplice e veloce. Soprattutto si possono prevedere, e porvi rimedio, eventuali problemi futuri.
Analisi file log - Log file analysis

I vantaggi del Log Management

Come si evince da quanto detto sopra le soluzioni di Log Management sono in grado di fornire snapshot – istantanee- sullo stato degli host e dei servizi, dando evidenza di eventuali comportamenti insoliti che potrebbero rivelarsi indizi di pericolo.

Avere a disposizione una copia remota dei log file permette di analizzare eventuali problemi relativi a un dato sistema, anche se quest’ultimo non dovesse risultare accessibile e di evitare la perdita dei dati (sia nel caso di un guasto hardware che software).

Un corretto utilizzo dei file di log può portare benefici anche dal punto di vista del marketing. I dati, come è noto, rappresentano un valore prezioso per il business e il Log Management può fornire importanti informazioni relative, per esempio, alle abitudini e alle tempistiche di accesso ai relativi portali web, alle pagine più visitate e al tipo di comunicazioni che entrano ed escono dall’azienda.

In conclusione

È importante per le aziente dotarsi di sistemi adeguati di registrazione dei log file sia per essere a norma con il GDPR sia per tenere sotto controllo tutti i sistemi aziendali e gli utenti in maniera efficace.

Un mondo questo da tenere fortemente in considerazione. Secondo uno studio dell’agenzia Market&Market il mercato dei servizi di log management dovrebbe aumentare da 707 milioni di dollari nel 2017 a 1.248,9 milioni di dollari entro il 2022, con un tasso di crescita annuo composto (CAGR) del 12,1%. L’anno base per lo studio è stato il 2016 e il mercato è calcolato dal 2017 al 2022.

Numeri che aiutano ancor di più a capire l’importanza.

Obblighi informativi - Contratti e documentazione

Obblighi informativi per l’ecommerce. Quali sono?

Nel nostro precedente articolo – Conosci la normativa per aprire un e-commerce? – abbiamo analizzato da un punto strettamente legale/amministrativo i passi da compiere per l’apertura di un negozio on-line.

Ora, in questo articolo vedremo da vicino quali devono essere i contenuti informativi che devono essere presenti nell’e-commerce. Attenzione, non parleremo di cosa vendere e/o come vendere ma analizzeremo le informazioni che, per legge, dobbiamo fornire agli utenti… parleremo degli obblighi informativi. È un argomento molto importante che i “meno professionisti” facilmente ignorano con tutte le conseguenze del caso.

I vari tipi di e-commerce

Prima di procedere nel descrivere gli obblighi informativi dobbiamo fare una distinzione tra due tipologie di negozi on-line. Bisogna distinguere tra e-commerce B2B e B2C. Alcune informazioni sono comuni ad entrambi i tipi di e-commerce, altre sono previste solo per il B2C.

E-commerce B2C – Business to Customer

Con il termine Business to Consumer, abbreviato in B2C, si indicano le relazioni che un’impresa commerciale detiene con i suoi clienti per le attività di vendita e/o di assistenza. Questa sigla è utilizzata soprattutto quando l’interazione tra impresa e cliente avviene tramite internet, ovvero nel caso del commercio elettronico.

E-commerce B2B – Business to Business

Il termine Business to Business, indicato con B2B, in italiano commercio interaziendale, viene utilizzato per descrivere le transazioni commerciali elettroniche tra imprese.

Per comodità di lettura, quando parleremo dei vari tipi di shop on-line utilizzeremo gli acronimi sopra indicati.

Come devono essere fornite le informazioni per il consumatore/azienda?

Come sempre, o meglio come dovrebbe essere, le informazioni devono essere fornite in modo chiaro, semplice e comprensibile… soprattutto gli obblighi informativi. Da non sottovalutare la questione degli aggiornamenti delle informazioni. Per non avere problemi è sempre meglio tenere gli obblighi informativi i più aggiornati possibile.

B2B e B2C: quali gli obblighi informativi da fornire

Sul portale devono essere accessibili in modo semplice e veloce le seguenti informazioni:

  • il nome, la denominazione o la ragione sociale;
  • il domicilio o la sede legale;
  • i contatti (i contatti non devono obbligatoriamente corrispondere a un numero di telefono. Si può infatti predisporre un form di richiesta di informazioni cui rispondere via mail);
  • il numero di iscrizione al repertorio delle attività economiche, REA, o al registro delle imprese;
  • se l’attività sia soggetta a concessione, licenza od autorizzazione: gli elementi che le individuano, nonché gli estremi della competente autorità di vigilanza;
  • la partita IVA o altro codice identificativo;
  • i prezzi e le tariffe dei diversi servizi forniti, indicati in modo chiaro ed inequivocabile ed evidenziando se comprendono le imposte, i costi di consegna ed altri elementi aggiuntivi da specificare
  • l’indicazione delle attività consentite all’utente e gli estremi del contratto qualora un’attività sia soggetta ad autorizzazione o l’oggetto della prestazione sia fornito sulla base di un contratto di licenza d’uso

Se l’e-commerce è esercitato da una società di capitali

le informazioni da fornire sono:

  • la sede della società;
  • l’ufficio imprese presso il quale è iscritta la società ed il numero di iscrizione;
  • il capitale sociale quale effettivamente versato e quale risultante dall’ultimo bilancio;
  • che la società è in liquidazione qualora lo sia
  • il fatto che la società ha un unico socio

Le informazioni da fornire prima che l’utente inoltri l’ordine

Lo shop on-line deve fornire questi elementi in modo chiaro e, ovviamente, comprensibile:

  • le varie fasi tecniche da seguire per la conclusione del contratto;
  • il modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso;
  • i mezzi tecnici messi a disposizione del destinatario per individuare e correggere gli errori di inserimento dei dati prima di inoltrare l’ordine al prestatore;
  • gli eventuali codici di condotta cui aderisce e come accedervi per via telematica;
  • le lingue a disposizione per concludere il contratto oltre all’italiano;
  • l’indicazione degli strumenti di composizione delle controversie.

Le informazioni da fornire dopo che il cliente ha inviato l’ordine

Il venditore deve inviare la conferma di aver ricevuto l’ordine. Questa conferma deve contenere un riepilogo delle condizioni generali applicabili al contratto, le informazioni relative alle caratteristiche essenziali del bene o del servizio e l’indicazione dettagliata del prezzo, dei mezzi di pagamento, del recesso, dei costi di consegna e delle tasse applicabili.

Ulteriori obblighi per il B2C

In caso di e-commerce B2C, ci sono ulteriori obblighi da osservare, oltre a quelli indicati sopra:

Direttamente prima che il cliente inoltri l’ordine

Il venditore deve comunicare all’utente queste informazioni:

  • le caratteristiche principali del bene o del servizio;
  • il prezzo compreso di imposte e le spese di spedizione;
  • la durata del contratto o, se a rinnovo automatico, le condizioni per recedere dal contratto;
  • la durata minima degli obblighi del consumatore a norma del contratto, se applicabile.

Il pulsante per inviare l’ordine

Il pulsante su cui cliccare per inviare l’ordine deve riportare in modo facilmente leggibile e in modo inequivocabile che l’inoltro dell’ordine implica l’obbligo di pagare il venditore. In caso contrario, il consumatore non è vincolato dal contratto o dall’ordine.

Il link alla piattaforma ODR

Sul sito deve essere presente il link alla piattaforma ODR creata dall’Unione Europea. Anche in questo caso il link deve essere facilmente raggiungibile ed accessibile.

ODR sta per Online Dispute Resolution (ossia, risoluzione online delle controversie).
La piattaforma è un sito gestito dall’Unione Europea. Attraverso questo sito il consumatore che ha acquistato online un bene od un servizio e che per qualche è insoddisfatto dell’acquisto può presentare un reclamo.
In seguito al reclamo si avvia una procedura che ha lo scopo di trovare una soluzione amichevole alla controversia tra consumatore e venditore.
Per il venditore non è obbligatorio aderire a questa procedura.

Quando si perfeziona il contratto di vendita tra e-commerce cliente

È importante stabilire il momento in cui nasce il contratto tra il venditore ed il cliente. È un momento importante perché da qui sorgono a carico del venditore alcuni obblighi.
Come stabilire nelle condizioni generali di vendita il momento in cui nasce il contratto?

Cerchiamo di spiegarlo tramite alcuni esempi:

Esempio 1
Il contratto è perfezionato nel momento in cui ricevi la richiesta dell’ordine inviata dal cliente.
Possibili rischi:

  • il prodotto non è disponibile in magazzino e non si riesce ad evadere l’ordine. Il venditore è comunque vincolato nei confronti del cliente;
  • nello shop on-line è riportato un prezzo errato – ad esempio, inferiore a quello reale – di un prodotto. Il venditore è vincolato al prezzo che appare sul sito;
  • non si stabilisce che il prodotto può essere comprato solo inviando l’ordine tramite il sito. Il venditore corre il rischio di essere vincolato ad ordini fatti da clienti anche soltanto via mail.

Esempio 2
Il contratto è perfezionato nel momento in cui si invia al cliente la mail di conferma dell’ordine.
In questo modo, se si riceve un ordine relativo ad un prodotto non disponibile, si può avvisare il cliente chiedendogli se conferma comunque l’ordine o se preferisce revocarlo.

Il contratto di vendita: le clausole vessatorie

Le clausole cosiddette vessatorie, sono clausole contrattuali che risultano gravose per il cliente e lo mettono in una situazione di particolare svantaggio rispetto al venditore.
La legge elenca le clausole che possono essere vessatorie e fa una distinzione tra B2B e B2C.

Devi fare attenzione a queste clausole perché:

  • la legge dice che queste clausole sono valide solo in presenza di determinate condizioni: se non ci sono queste condizioni le clausole non hanno alcun effetto verso il cliente;
  • in caso di e-commerce B2C le associazioni dei iconsumatori e le camere di commercio possono chiedere al giudice di inibire l’uso di queste clausole ed il giudice può anche ordinare la pubblicazione del suo provvedimento sui giornali
  • in caso di e-commerce B2C anche l’Antitrust può dichiarare vessatorie le clausole e ordinare al venditore di pubblicare il suo provvedimento sul sito internet.

Le clausole vessatorie nel B2C

Sono quelle clausole che determinano a carico del consumatore un significativo squilibrio dei diritti e degli obblighi che derivano dal contratto. Sono elencate nell’art. 33 del codice del consumo.
Questo elenco non è esaustivo: il consumatore può agire per fare accertare la vessatorie anche di clausole non contenute in questo elenco, purché comportino uno squilibrio significativo tra le parti del contratto.

Sono le clausole che hanno per oggetto, o per effetto, di:

  • Escludere o limitare
    • la responsabilità del venditore in caso di morte o danno alla persona del consumatore, risultante da un fatto o da un’omissione del venditore;
    • le azioni o i diritti del consumatore nei confronti del venditore o di un’altra parte in caso di inadempimento totale o parziale o di adempimento inesatto da parte del venditore;
    • l’opportunità da parte del consumatore della compensazione di un debito nei confronti del venditore con un credito vantato nei confronti di quest’ultimo;
    • l’opponibilità dell’eccezione d’inadempimento da parte del consumatore.
  • Prevedere
    • un impegno definitivo del consumatore mentre l’esecuzione della prestazione del venditore è subordinata ad una condizione il cui adempimento dipende unicamente dalla sua volontà;
    • l’estensione dell’adesione del consumatore a clausole che non ha avuto la possibilità di conoscere prima della conclusione del contratto;
    • l’alienazione di un diritto o l’assunzione di un obbligo come subordinati ad una condizione sospensiva dipendente dalla mera volontà del venditore a fronte di un’obbligazione immediatamente efficace del consumatore. È fatto salvo l’art. 1355 del codice civile.
  • Consentire al venditore di
    • trattenere una somma di denaro versata dal consumatore se quest’ultimo non conclude il contratto o recede da esso, senza prevedere il diritto del consumatore di esigere dal venditore il doppio della somma corrisposta se è quest’ultimo a non concludere il contratto oppure a recedere;
    • recedere da contratti a tempo indeterminato senza un ragionevole preavviso, tranne nel caso di giusta causa;
    • modificare unilateralmente le clausole del contratto, ovvero le caratteristiche del prodotto o del servizio da fornire, senza un giustificato motivo indicato nel contratto stesso;
    • aumentare il prezzo del bene o del servizio senza che il consumatore possa recedere se il prezzo finale è eccessivamente elevato rispetto a quello originariamente convenuto;
    • sostituire a sé un terzo nei rapporti derivanti dal contratto, anche nel caso di preventivo consenso del consumatore, qualora risulti diminuita la tutela dei diritti di quest’ultimo.
  • Stabilire
    • un termine eccessivamente anticipato rispetto alla scadenza del contratto per comunicare la disdetta al fine di evitare la tacita proroga o rinnovazione;
    • che il prezzo dei beni o dei servizi sia determinato al momento della consegna o della prestazione;
    • come sede del foro competente sulle controversie località diversa da quella di residenza o domicilio elettivo del consumatore.
  • Imporre al consumatore in caso di inadempimento o di ritardo nell’adempimento, il pagamento di una somma di denaro a titolo di risarcimento, clausola penale o altro titolo equivalente d’importo manifestamente eccessivo.
  • Sancire a carico del consumatore decadenze, limitazioni della facoltà di opporre eccezioni, deroghe alla competenza dell’autorità giudiziaria, limitazioni all’adduzione di prove, inversioni o modificazioni dell’onere della prova, restrizioni alla libertà contrattuale nei rapporti con i terzi.
  • Limitare la responsabilità del venditore rispetto alle obbligazioni derivanti dai contratti stipulati in suo nome dai mandatari o subordinare l’adempimento di tali obbligazioni al rispetto di particolari formalità.
  • Riconoscere al solo venditore e non anche al consumatore la facoltà di recedere dal contratto, nonché consentire al venditore di trattenere anche solo in parte la somma versata dal consumatore a titolo di corrispettivo per prestazioni non ancora adempiute, quando sia il venditore a recedere dal contratto.
  • Riservare al solo venditore il potere di accertare la conformità del bene venduto o del servizio prestato a quello previsto nel contratto o conferirgli il diritto esclusivo d’interpretare una clausola qualsiasi del contratto.

Le clausole vessatorie nel B2B

Queste sono le clausole che stabiliscono a favore del venditore:

  • limitazioni di responsabilità;
  • facoltà di recedere dal contratto o di sospenderne l’esecuzione.

Mentre a carico del cliente definiscono:

  • decadenze;
  • limitazioni alla facoltà di opporre eccezioni restrizioni alla libertà contrattuale nei rapporti coiterzi;
  • tacita proroga o rinnovazione del contratto;
  • clausole compromissorie o deroghe alla competenza dell’autorità giudiziaria.

Quando sono valide le clausole vessatorie inserite nelle condizioni di generali di vendita?

Le clausole vessatorie, per poter avere effetto nei confronti del cliente, devono essere “specificatamente approvate per iscritto”. Ciò per richiamare l’attenzione del cliente sul significato di una determinata e specifica clausola a lui sfavorevole. Nei contratti cartacei il cliente sottoscrive le clausole vessatorie in maniera specifica e separata dal resto del contratto.

E per un portale web? Escludendo, per motivi di praticità, la firma digitale, al momento non esiste una soluzione sicura al 100% dal punto di vista legale. L’unica possibilità per cautelarsi è quella di fare approvare separatamente le clausole vessatorie con un secondo click (ossia, prevedere una seconda checkbox da spuntare) rispetto a quello con cui si approvano le condizioni generali di vendita.

Questa soluzione però non è ancora del tutto condivisa dai giudici italiani.

Il diritto di recesso

È il diritto del cliente di sciogliere il contratto senza la necessità di avere il consenso del venditore.

Il cliente può recedere:

  • entro 14 giorni a partire dal giorno in cui entra in possesso del bene;
  • entro 14 giorni + 1 anno se il venditore non informa il cliente sul suo diritto di recesso. Se però entro i 12 mesi il venditore informa il cliente sul diritto di recesso, allora il cliente può recedere entro 14 giorni dal giorno successivo a quello in cui ha ricevuto le informazioni.

Come funziona il diritto di recesso?

1. Il cliente comunica al venditore la sua decisione di recedere dal contratto.
Può comunicarlo ad esempio con una mail, tramite un form presente sul sito o usando il modello prestampato allegato al codice consumo. Il cliente non deve fornire alcuna motivazione al venditore e non deve sostenere costi diversi da quelli di spedizione del reso. Il prodotto può essere stato usato dal cliente.

2. Il venditore deve rimborsare la somma.
Il rimborso deve essere fatto senza ritardo e comunque entro 14 giorni dal giorno in cui il venditore è stato informato della decisione del cliente di recedere, mediante lo stesso mezzo di pagamento usato dal cliente, senza addebitare al cliente alcuna spesa per il rimborso. Il venditore può trattenere il rimborso fino a che non abbia ricevuto indietro i beni o il cliente non abbia dimostrato di aver spedito la merce e sempre salvo che il venditore si offra di ritirare esso stesso i beni.

Il rimborso comprende anche le spese di consegna sostenute dal cliente al momento dell’acquisto. Il venditore non deve rimborsare eventuali costi supplementari: ad esempio se il cliente ha scelto un metodo di consegna diverso da quello meno costoso offerto dal venditore.

3. Il cliente deve restituire i beni entro 14 giorni da quello in cui ha comunicato al venditore di voler recedere. Le spese per la restituzione del prodotto sono a carico del cliente a meno che il venditore non abbia deciso di sostenerle o non abbia informato il cliente che le spese sono a carico del cliente.

Quando è escluso il diritto di recesso

Il diritto di recesso è escluso rispetto a:

  • la fornitura di beni:
    • confezionati su misura o chiaramente personalizzati;
    • che rischiano di deteriorarsi o scadere rapidamente;
    • sigillati che non si prestano ad essere restituiti per motivi igienici o connessi alla protezione della salute e sono stati aperti dopo la consegna;
    • che, dopo la consegna, risultano, per loro natura, inscindibilmente mescolati con altri beni.
  • la fornitura di:
    • bevande alcoliche, il cui prezzo sia stato concordato al momento della conclusione del contratto di vendita, la cui consegna possa avvenire solo dopo trenta giorni e il cui valore effettivo dipenda da fluttuazioni sul mercato che non possono essere controllate dal venditore;
    • registrazioni audio o video sigillate o di software informatici sigillati che sono stati aperti dopo la consegna;
    • giornali, periodici e riviste ad eccezione dei contratti di abbonamento per la fornitura di tali pubblicazioni;
    • contenuto digitale mediante un supporto non materiale se l’esecuzione è iniziata con l’accordo espresso del cliente e con la sua accettazione del fatto che in tal caso avrebbe perso il diritto di recesso;
    • alloggi per fini non residenziali;
    • beni o servizi il cui prezzo è legato a fluttuazioni nel mercato finanziario che il venditore non è in grado di controllare e che possono verificarsi durante il periodo di recesso.
  • il trasporto di beni
  • i servizi di:
    • noleggio di autovetture;
    • catering o i servizi riguardanti le attività del tempo libero qualora il contratto preveda una data o un periodo di esecuzione specifici
  • i contratti:
    • in cui il cliente ha specificamente richiesto una visita da parte del venditore per effettuare lavori urgenti di riparazione o manutenzione. Se, in occasione di tale visita, il venditore fornisce servizi oltre a quelli specificamente richiesti dal cliente o beni diversi dai pezzi di ricambio necessari per effettuare la manutenzione o le riparazioni, il diritto di recesso si applica a tali servizi o beni supplementari;
    • conclusi in occasione di un’asta pubblica;
    • di servizi dopo la completa prestazione del servizio se l’esecuzione è iniziata con l’accordo espresso del cliente e con l’accettazione della perdita del diritto di recesso a seguito della piena esecuzione del contratto da parte del venditore.

Carrello e-commerce

La garanzia di conformità

La garanzia è uno strumento previsto dalla legge a tutela del cliente in caso di acquisto di un prodotto che sia difettoso, malfunzionante o che non sia conforme all’uso dichiarato dal venditore o all’uso per il quale quel bene è generalmente destinato.

Il ruolo del venditore

Il venditore ha l’obbligo di consegnare beni che siano conformi al contratto di vendita. Il cliente può far valere i propri diritti contattando direttamente il venditore del bene, anche se quest’ultimo sia un soggetto diverso dal produttore.

Quando scade la garanzia

La garanzia legale di conformità opera se il difetto del prodotto si manifesta entro 2 anni dalla consegna del bene e se il cliente, entro 2 mesi dalla scoperta del difetto, lo denuncia al venditore.

I diritti del cliente

Il cliente ha diritto ad ottenere senza spese:

  • la riparazione o sostituzione del prodotto oppure
  • la riduzione del prezzo oppure
  • la risoluzione del contratto.

La consegna del prodotto

La consegna deve avvenire entro 30 giorni dalla data in cui il contratto è concluso, a meno che nel contratto sia indicato un termine diverso.

Cosa accade se non viene rispettato il termine di consegna?

In caso di mancata consegna nel termine previsto, il cliente invita il venditore a consegnare il bene entro un termine supplementare che sia appropriato alle circostanze. In caso di mancata consegna nel termine supplementare il cliente può sciogliere il contratto e ottenere il risarcimento del danno.

Il cliente non deve richiedere il termine supplementare se:

  • il rispetto del termine originario previsto per la consegna era essenziale, considerate le circostanze in cui è stato concluso il contratto;
  • il cliente, prima di concludere il contratto, aveva informato il venditore che la consegna entro una determinata data era per lui essenziale.

Controversie

In caso di controversie tra il venditore ed il cliente che sia qualificabile come “consumatore”, la competenza territoriale inderogabile è del giudice del luogo di residenza o di domicilio del consumatore, se questo luogo è in Italia. Eventuali clausole difformi sono da ritenere inefficaci.

La privacy

L’argomento, davvero molto ampio, richiederebbe una trattazione a parte. Certamente due sono le cose a che non devono mancare all’interno del sito internet, vediamo quali sono anche se verranno trattati in modo molto veloce e semplicistico.
Sul sito non deve di certo mancarare l’informativa estesa ed il banner, ben visibile, relativo ai cookies.

Se si ha la necessita, e diciamo che c’è, di fare marketing online (invio newsletter, retargeting ecc.) va rispettato quanto previsto dal GDPR e dai provvedimenti del Garante della Privacy.

Da quanto scritto, un po’ lungo lo so, è evidente come sia importante nella realizzazione di un e-commerce non solo il “tecnicismo” ma anche la conoscenza delle leggi che solo un vero professionista può dare. GLi obblighi informativi possono evitare problemi sia al venditore che al cliente, conoscerli quindi diventa indispensabile.

Devi realizzare il tuo negozio on-line? Contattaci per una consulenza gratuita.

E-commerce - Negozio online

Conosci la normativa per aprire un e-commerce?

In quest’ultimo periodo si è sentito tanto parlare di e-commerce. Questo “particolare” sito internet ha consentito di mandare un po’ avanti l’economia di piccole e grosse aziende nel periodo di lockdown.

Purtroppo, come spesso accade, sull’apertura – gestione – mantenimento per questo shop on-line tra tante informazioni utili sono circolate anche notizie poco veritiere. Abbiamo perciò deciso, nel nostro stile, di creare una piccola guida sulla normativa da seguire per l’apertuna di un negozio on-line.

Serve un’autorizzazione per aprire un e-commerce?

No, allo stato attuale non serve alcuna autorizzazione specifica. Come sempre però ci sono delle eccezioni per la vendita di alcune categorie di beni. Infatti per vendere on-line prodotti alimentari, bevande alcoliche, farmaci è necessario, a priori, una specifica autorizzazione.

Vuoi aprire un e-commerce? Quali sono i passi da seguire?

Se parti da zero, ovvero non hai un negozio fisico o altro…

procurati prima di iniziare l’iter:

  • un indirizzo PEC (Posta Elettronica Certificata);
  • la firma digitale. La firma digitale ha lo stesso valore legale della firma autografa e servirà per i vari adempimenti presso la Camera di Commercio.
  • le credenziali per Telemaco, strumento telematico per inviare al Registro delle imprese la pratica di Comunicazione Unica.

Se decidi di affidarti ad un professionista, quale ad esempio un commercialista, penserà lui a procurare quanto detto sopra.

Invia la Comunicazione Unica al Registro delle Imprese della Camera di Commercio a cui fai riferimento.
Una volta inviata la pratica, il registro delle imprese spedisce automaticamente all’indirizzo PEC dell’impresa la ricevuta di protocollo e di comunicazione unica, valida per l’avvio dell’impresa.

La Camera di Commercio inoltra automaticamente la comunicazione all’Agenzia delle Entrate, all’INPS e all’INAIL.

Ma cos’è la Comunicazione Unica?

Con la Comunicazione Unica è possibile in un unico contesto:

  • richiedere il codice fiscale e la partita iva;
  • aprire la posizione assicurativa presso l’INAIL;
  • chiedere l’iscrizione:
    • all’INPS dei dipendenti o dei lavoratori autonomi;
    • al registro delle imprese tenuto dalle Camere di Commercio;
    • al VIES (VAT Information Exchange System) se vuoi vendere anche all’estero;
    • presentare l’eventuale SCIA (Segnalazione Certificata di Inizio Attività) per il SUAP (Sportello Unico delle Attività Produttive). Precisiamo: volendo puoi presentare la SCIA direttamente al SUAP e non tramite la Comunicazione Unica

Se possiedi già un negozio fisico allora devi…

aggiungere alla partita iva il codice di attività relativo al commercio online (codice Ateco), come attività secondaria, tramite l’Agenzia delle Entrate.
Non dimenticare di comunicare alla Camera di Commercio lo svolgimento della ulteriore attività di vendita al dettaglio per corrispondenza. Devi presentare la SCIA (Segnalazione Certificata di Inizio Attività) al SUAP (Sportello Unico delle Attività Produttive).

Anche in questo caso viene in aiuto la Comunicazione Unica che ti consente di inviare il tutto al Registro delle Imprese della Camera di Commercio.

Per aprire un e-commerce dobbiamo conoscere la SCIA (Segnalazione Certificata di Inizio Attività)

Che cosa è?

È un atto con il quale tu, titolare del negozio on-line, segnali alla pubblica amministrazione l’avvio della tua attività commerciale e ti assumi la responsabilità di dichiarare che l’attività risponde ai requisiti previsti dalla legge.

Cosa contiene?

Come contenuto del documento vanno indicate, tra le altre cose, di possedere alcuni requisiti morali e professionali.
Tra le cose da dichiarare va indicato di non essere stato dichiarato fallito o non aver riportato condanne per alcuni tipi di reato; il settore merceologico (alimentare o non alimentare); l’indirizzo del sito web.

A chi va presentata la SCIA?

La SCIA va presentata al SUAP (Sportello Unico Attività Produttive) del Comune di residenza, se il titolare dell’e-commerce è una persona fisica o in cui l’esercente ha sede legale, se il titolare dell’e- commerce è una persona giuridica.

Come va presentata?

La SCIA può essere presentata al SUAP tramite la Camera di Commercio territorialmente competente, come allegato alla Comunicazione Unica.
Per accedere al SUAP del tuo Comune vai www.impresainungiorno.gov.it

Ho inviato la Scia e ora cosa devo fare?

Complimenti, ora il SUAP ti rilascia una ricevuta che ti consente di iniziare immediatamente l’attività di e-commerce.

Ci sono controlli? CERTO!

Alla presentazione della SCIA la Pubblica Amministrazione inizia l’iter per verificare se quanto dichiarato sia conforme alla legge. Nel caso in cui fosse accertata la mancanza di qualche requisito, la Pubblica Amministrazione, entro 60 giorni dal ricevimento della segnalazione, può:

  • vietare che l’attività di e-commerce prosegua;
  • invitarti a conformarti alla legge, se ciò sia possibile: in questo caso la PA indica le misure necessarie che devi adottare entro un termine non inferiore a 30 giorni e ti invita a sospendere nel frattempo l’attività. Se non adotti queste misure nel termine indicato, l’attività di e-commerce è vietata.

Aprire un e-commerce non è soltato crearlo dal punto di vista tecnico, è necessario conoscere bene la normativa al fine di evitare problemi. Farsi affiancare da un buon professionista è la soluzione ideale per non avere problemi in corso d’opera. In un prossimo articolo continueremo a parlare di e-commerce e degli obblighi informativi che devono essere presenti.

Se hai qualche dubbio o vuoi aprire il tuo shop on-line siamo a disposizione per indicarti la strada migliore per la sua realizzazione.