AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.

Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.

L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.

Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.

È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.

La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.

Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.

A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.

La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.

È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.

Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.

È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.

Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.

Considerazioni conclusive

L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.

Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.

È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.

L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.

Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.

L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.

Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.

________________________________

Foto di Bruno Kelzer grazie a Unsplash

News #2/2023: Corte di Giustizia, EDPB, giurisprudenza italiana e AGCM, quante decisioni.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
  • la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
  • novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
  • dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
  • importante sanzione #AGCM a Yoox.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE VINCOLANTE EDPB SU META –  Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagram Facebook.  Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 –  circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.

I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR  di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.

… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.

TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.

PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.

PROTOCOLLO DI INTESA PER LA CYBERSECURITY –  Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.

OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.

CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa. 

INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.

ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.

USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.

TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online. 

TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.

USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.

REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.

REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.

SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.

WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo. 

GIAPPONE –  il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.

INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.

SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo. 

GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).

BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Matt Duncan grazie a Unsplash.

Sanzione privacy a WhatsApp Ireland confermata, nonostante i ricorsi su più fronti

Foto di Liam Charmer su Unsplash

WhatsApp Ireland Ltd. (“WhatsApp”) contro l’European Data Protection Board (“EDPB”) e la Corte di Giustizia dell’Unione europea (“CGUE”): una “questione irlandese” che non ha nulla a che vedere con il regionalismo britannico e le sue lotte, ma che si inserisce nelle dinamiche dei trasferimenti internazionali di dati, delle procedure che l’EDPB adotta per garantire la corretta e coerente applicazione del GDPR all’interno dell’Unione europea e che vede coinvolta, questa volta, anche la Corte di Giustizia UE.

WhatsApp vs. EDPB

Nell’ambito dei trasferimenti internazionali di dati, esiste un’autorità definita “Capofila”, che è l’Autorità Garante dello Stato in cui è stabilito il Titolare o il Responsabile del trattamento di dati per trasferimenti tra altri Paesi, alla quale questi ultimi trasferiscono la competenza sul trattamento transfrontaliero in questione.

Se un’Autorità Capofila emana una decisione che diventa oggetto di obiezioni da parte delle altre Autorità Garanti, definite “Interessate”, e se queste obiezioni, pertinenti e motivate, vengono contestate dall’Autorità Capofila, l’EDPB interviene con un procedimento di risoluzione delle controversie ai sensi dell’art. 65 del GDPR.

È proprio con questo meccanismo che l’EDPB ha adottato, il 28 luglio 2021, una decisione vincolante a seguito di alcune indagini, basate su denunce relative alle attività di trattamento della piattaforma WhatsApp. La decisione riguarda, in particolare, la liceità e la trasparenza del trattamento per la pubblicità comportamentale e la liceità del trattamento ai fini del miglioramento dei servizi della piattaforma.

La decisione vincolante dell’EDPB arrivava in seguito a una sanzione dell’Autorità Garante irlandese, aumentandone notevolmente l’ammontare irrogato nei confronti di WhatsApp per violazione, da parte della piattaforma, della normativa del GDPR.

Numerose Autorità Garanti interessate avevano sollevato, infatti, obiezioni alla proposta di decisione dell’Autorità Garante irlandese, la quale, a fronte delle violazioni di WhatsApp, avrebbe comminato una sanzione non proporzionata, ritenuta “troppo leggera” e così inefficace.

A fronte di un atteggiamento tradizionalmente ritenuto tollerante e comprensivo, che ha spesso caratterizzato l’Autorità Garante irlandese nei confronti di società con sede principale negli Stati Uniti e che ha spinto le stesse società a stabilire la loro sede europea in Irlanda, questa volta il Garante irlandese è stato costretto – a causa della decisione vincolante dell’EDPB – a infliggere una sanzione ben superiore alla piattaforma, pari a 225 milioni di euro.

WhatsApp vs. CGUE

A seguito della sanzione ricevuta, WhatsApp ha adito la CGUE impugnando la decisione davanti alla CGUE, la quale, nella causa T-709/21 sulla domanda di annullamento della decisione vincolante del EDPB ha, invece, respinto il ricorso proposto da WhatsApp in quanto irricevibile perché non diretto contro un atto impugnabile ai sensi dell’art. 263 del TFUE.

La CGUE osserva che, affinché un atto possa essere impugnato, esso deve produrre effetti giuridici vincolanti e deve essere in grado di incidere sugli interessi del richiedente, determinando un netto mutamento della sua posizione giuridica. Questo requisito si somma, inoltre, alla necessità che il ricorrente sia direttamente e individualmente interessato da tale atto per essere legittimato ad agire.

Per quanto riguarda il requisito degli effetti giuridici sul richiedente, la CGUE ha ritenuto che la decisione impugnata non modifichi di per sé la posizione giuridica della piattaforma WhatsApp, in quanto, a differenza della decisione finale dell’autorità di controllo irlandese, la decisione impugnata non è direttamente esecutiva nei confronti della WhatsApp e costituisce un atto preparatorio di un procedimento che deve concludersi con l’adozione di una decisione definitiva di un’autorità nazionale di vigilanza nei confronti di tale impresa.

Per quanto riguarda il requisito del diretto e immediato interesse di WhatsApp, la CGUE ha rilevato che la decisione impugnata lascia un certo margine di discrezionalità all’Autorità Garante irlandese per quanto riguarda il contenuto della decisione finale, che riguarda anche altri aspetti, in particolare l’importo dell’ammenda amministrativa, non configurandosi un interesse conforme ai requisiti per l’interesse ad agire della piattaforma nel provvedimento dell’Autorità Garante.

Conclusione della vicenda

La CGUE si è espressa su una serie di elementi che, valutati nella loro complessità, avrebbero messo profondamente in crisi il ruolo dell’EDPB e il meccanismo di composizione delle controversie di cui all’art. 65 del GDPR, se la CGUE avesse accolto il ricorso.

La questione resta ancora aperta, però, dato che secondo la stessa CGUE, la validità della decisione impugnata potrà essere contestata dinanzi a un giudice nazionale, che potrebbe presentare una domanda di pronuncia pregiudiziale di nuovo sottoposta all’autorità della Corte europea.

Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash

L’Organismo di Vigilanza come supervisore del whistleblowing

La questione che si propone nell’articolo è se l’Organismo di Vigilanza possa essere la figura più adeguata a ricevere e gestire le segnalazioni relative a illeciti commessi dai soggetti di cui all’art. 5 co. 1 del Decreto 231, o a violazioni del Modello di organizzazione e gestione di una società (“whistleblowing”).

La questione è aperta e dibattuta, anche e soprattutto a causa della lunga vicenda relativa al recepimento nell’ordinamento italiano della Direttiva UE 2019/1937 (“Direttiva whistleblowing”), che impone agli Stati membri dell’Unione europea di conformarsi entro il 17 dicembre 2021 – termine che l’Italia non ha ancora rispettato, nonostante la prossima scadenza del 10 dicembre 2022 della legge di delegazione europea (Legge n. 127 del 4 agosto 2022).

L’assenza di poteri gestori dell’Organismo di Vigilanza

L’Organismo di Vigilanza, per il ruolo che svolge e le caratteristiche che gli sono attribuite dalla legge, è autonomo, indipendente e ha l’onere di vigilare sul funzionamento, sul rispetto e sull’aggiornamento del Modello di organizzazione e gestione della società.

Dal punto di vista della struttura della società, la dottrina ha nel tempo riportato che l’Organismo di Vigilanza non costituisce un organo della società, e non ha una funzione di garanzia degli interessi collettivi, o di terzi soggetti; esso è piuttosto un suo “ufficio”, la cui presenza costituisce una modalità organizzativa interna.

Il Decreto 231, inoltre, non attribuisce all’Organismo di Vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti, né poteri disciplinari e sanzionatori diretti, che richiederebbero un’autorità e una signoria sui comportamenti altrui all’interno e all’esterno della società.

La presenza in azienda di membri dell’Organismo di Vigilanza non risulta funzionale ad una gestione dell’ente e non consente ai componenti di intromettersi nelle scelte dell’imprenditore circa le modalità di conduzione dell’impresa.

Anche il Garante Privacy ha segnalato, nel suo parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231 del 12 maggio 2020, che l’Organismo di Vigilanza, pur avendo funzioni di controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, e non ha obbligo di denuncia all’autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell’esercizio delle sue funzioni.

Per la giurisprudenza di legittimità (Cass. Pen. Sez. VI n. 23401 del 11/11/2021) l’Organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero l’autonomia, ma ad esso spettano compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul loro rispetto nell’ambito del modello organizzativo di cui la società si è dotata.

Il whistleblowing non deve essere gestito, ma controllato dall’Organismo di Vigilanza

Il comma 2-bis dell’art. 6 del Decreto 231 prevede che i Modelli di Organizzazione e Gestione devono prevedere uno o più canali che consentano ai soggetti in posizioni apicali e a coloro che sono sottoposti alla loro direzione e controllo di presentare, a tutela dell’integrità della società, segnalazioni circostanziate di condotte illecite o di violazioni del Modello di organizzazione e gestione.

Il Decreto 231 non reca alcuna indicazione circa i destinatari delle segnalazioni, né individua i gestori dei canali previsti dal Decreto stesso.

Non spetta quindi ex lege all’Organismo di Vigilanza la gestione delle segnalazioni in questione, ed è anche rimessa alla discrezionalità della Società la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni, che avrà il compito di istruirle e adottare ogni provvedimento conseguente.

Il fatto che l’Organismo di Vigilanza non debba necessariamente essere il gestore del whistleblowing, però, non significa che esso possa rimanere estraneo alle segnalazioni e al loro seguito: l’Organismo di Vigilanza deve comunque vigilare sulle segnalazioni, in quanto parte necessaria del Modello di organizzazione e gestione.

_______________________________________________

Immagine di copertina di John Peters grazie a Unsplash

L’ADEGUATEZZA DELLA GOVERNANCE AI RISCHI DI SOSTENIBILITÀ

Questo articolo descrive il legame fra gli aspetti legati alla governance degli indicatori di sostenibilità – Environmental, Social and corporate Governance (“ESG”) – e il Codice della Crisi d’Impresa e dell’Insolvenza (“CCII”), aggiornato dal D. Lgs. n. 83 del 17 giugno 2022.

I due aspetti saranno analizzati prima singolarmente e poi in rapporto tra di loro.

Sostenibilità

Con l’acronimo ESG sono descritti alcuni elementi di valutazione, utilizzati soprattutto nel settore finanziario, utili al fine di giudicare la sostenibilità degli investimenti.

Fanno riferimento all’impatto ambientale (“Environmental”) parametri come le emissioni di anidride carbonica, l’efficienza nell’utilizzare risorse naturali, l’attenzione al cambiamento climatico, alla sicurezza alimentare, e molto altro.

Nell’aspetto sociale (“Social”) rientrano il rispetto dei diritti umani e delle condizioni di lavoro, oltre all’attenzione alle politiche di diversità in ogni loro declinazione.

La terza lettera della sigla contiene in sé due parole, probabile preludio di una doppia complessità: “corporate Governance”. In questa espressione rientrano, ad esempio, la presenza di consiglieri indipendenti, una struttura di gestione solida, la qualità delle relazioni con il personale, il rispetto degli obblighi fiscali.

Rischio di impresa

Il CCII mette al centro del sistema aziendale di prevenzione della crisi l’adeguatezza, da un lato, degli assetti societari e, dall’altro, delle misure di rilevazione tempestiva della crisi.

Il CCII ha recentemente modificato l’art. 2086 del codice civile italiano, nella parte sulla gestione dell’impresa, e ha introdotto nella disposizione un secondo comma che pone in capo all’imprenditore, che operi in forma collettiva o societaria, il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alla dimensione dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale.

Con assetto organizzativo si intende un impianto incentrato sulla concreta allocazione e sull’effettiva attuabilità del potere decisionale in azienda; con assetto amministrativo si intendono le procedure per garantire che le attività aziendali, in tutte le loro fasi, siano svolte in modo corretto e ordinato; l’assetto contabile rileva i fatti economici di gestione dell’azienda.

La relazione fra Governance e rischio di credito

Un’impresa dotata di assetti che possano essere considerati “adeguati” dovrebbe essere in grado di rilevare i fattori di rischio aziendali, e di valutare l’impatto di singoli eventi sull’equilibrio economico e finanziario.

Su questo equilibrio possono influire grandemente i rischi di sostenibilità, che il Regolamento (UE) n. 1088/2019 – “SFDR”, cioè Sustainable Finance Disclosure Regulation – definisce come eventi o condizioni di tipo ambientale, sociale o di governance che, se si verificassero, provocherebbero un significativo impatto negativo, effettivo o potenziale, sul valore dell’investimento eseguito da diversi attori finanziari nelle società.

Un rischio di sostenibilità non gestito può compromettere il merito creditizio di un’azienda, avere una ricaduta sulla gestione della leva finanziaria, influire sui rapporti con le banche e impattare, in mancanza di presidi di governance adeguati, l’equilibrio economico e finanziario.

Il binomio prevenzione dei rischi di sostenibilità e governance torna in esame anche nell’ambito degli obblighi di reporting dettati dalla normativa 231, dato che il Modello 231 è associato anche alla gestione di questi temi, e impone il monitoraggio dei rischi e delle condotte aziendali che possono avere impatti sui fattori ambientali, sociali e di governance, compresi i profili di corruzione attiva e passiva.

___________________________________________

Immagine di copertina di Andrew Wise grazie a Unsplash

L’effetto Bruxelles come chiave di lettura dei Regolamenti europei sui dati

Quando si parla di “effetto Bruxelles”, ci si riferisce alla capacità dell’Unione europea di influenzare e regolamentare i mercati globali in modo unilaterale.

In questo senso, si può parlare di “extraterritorialità” delle norme europee, che plasmano il contesto normativo internazionale senza la necessità di ricorrere a imposizioni o a strumenti di cooperazione ulteriori.

Questa dinamica consente all’Unione europea di esercitare indirettamente un’influenza profonda sul comportamento delle aziende, e di trasformare, in questo modo, i mercati globali.

Quali sono i modi e gli strumenti con cui l’Unione europea realizza l’effetto Bruxelles?

Capacità regolativa locale

La capacità dell’Unione europea di trasferire nel mondo le sue preferenze normative non dipende esclusivamente dalla dimensione del proprio mercato, che giustificherebbe, in astratto, la capacità dell’Unione europea di “calare dall’alto” normative dirette agli Stati membri.

La dimensione del mercato non dà conto, di per sé, della capacità dell’Unione europea di trasferire ad altri le sue preferenze normative, proprio come non tutti gli Stati con un mercato grande diventano fonti di standard univoci.

Invece, bisogna considerare che nuove normative vedono la luce raramente su impulso centrale dell’Unione europea, e in genere hanno origine in iniziative regolatorie intraprese dai singoli Stati membri.

Gli Stati europei sono importanti centri di sviluppo locale di norme che potrebbero dar forma a regolamenti Europei, e in seguito avere ricadute applicative in tutto il mondo attraverso l’effetto Bruxelles.

Si colloca, piuttosto, in una seconda fase, la capacità della giurisdizione europea di promulgare e far rispettare le regole, che contribuisce a garantire la loro extraterritorialità.

Poteri sanzionatori

La capacità regolativa dell’Unione europea è spesso connessa a un’altra condizione: la propensione a promulgare norme stringenti, alle quali siano associate sanzioni certe.

L’Unione europea, in questa ottica, ha delegato l’applicazione di molte normative europee, tra le quali il GDPR, agli Stati membri, mantenendo comunque in capo alla Commissione il potere di perseguire le violazioni dei singoli Stati che non implementano o non applicano integralmente le leggi dell’Unione europea.

In questo modo, anche la Commissione può garantire che gli Stati membri siano motivati ad adempiere al loro mandato, e quindi contribuire fattivamente alla capacità regolativa dell’Unione europea.

Adeguamento spontaneo delle aziende

Le aziende e, in particolare, le multinazionali, tendono a preferire l’uniformità normativa, e finiscono spesso per estendere volontariamente le regole europee a tutte le proprie attività nel mondo, evitando il costo di doversi adeguare a molteplici sistemi di regolazione diversi.

L’effetto Bruxelles ha influito su molte attività regolatorie, tra le quali quella del mercato digitale: le normative europee determinano, ad esempio in che modo le Big Tech raccolgono, gestiscono, conservano e monetizzano i dati personali.

Facebook, Google e Microsoft hanno scelto di adottare un’unica privacy policy globale – che rispecchia molto da vicino la normativa di matrice europea.

Allo stesso modo, il Codice di condotta europeo contro l’illecito incitamento all’odio online influenza il tipo di linguaggio che le aziende del web permettono sulle rispettive piattaforme: invece di far riferimento al Primo Emendamento statunitense in materia di libertà di espressione, aziende come Facebook, Twitter o YouTube si ispirano alla definizione europea di “linguaggio dell’odio” per decidere quale contenuto rimuovere dalle proprie piattaforme.

Una chiave di lettura per i nuovi regolamenti europei in materia di dati personali

Con la pubblicazione del Digital Services Act nella Gazzetta Ufficiale dell’Unione europea, insieme a quella del recente Digital Markets Act, viene arricchito ulteriormente il quadro normativo per creare uno spazio digitale in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi, oltre ad essere garantite condizioni di parità per promuovere l’innovazione, la crescita e la competitività, nel mercato unico europeo e a livello mondiale.

Si vuole ambire, con lo spirito e il metodo descritto, sia a regolamentare soggetti extra europei sulla base del criterio dell’offerta di servizi a destinatari e utenti ubicati nel territorio dell’Unione, sia a innalzare uno standard per analoghe iniziative estere.

Si tratta di ambizioni elevate, che coinvolgono la costruzione di un regime composito, che andrà a intersecarsi con altrettanto complesse discipline e che terrà probabilmente molto impegnate le Corti, nazionali e non, per chiarire la sua applicazione.

________________________________________________

Immagine di copertina di Paolo Margari grazie a Unsplash

TWITTER & MUSK: una lunga storia (d’amore?)

La vicenda più controversa, discussa ed avvincente del 2022, capace di tenere tutto il mondo col fiato sospeso? Senza dubbio “Twitter – Musk”.

Elon Musk, imprenditore sudafricano patron di Tesla e SpaceX, è un “twitteriano” della prima ora: la sua adesione risale al 2009, solo tre anni dopo il lancio del social, e da allora non ha mai smesso di usarlo, fino a diventarne CEO lo scorso ottobre, al motto di “Let that sink in”.

Innovativo ed eccentrico – certamente uno dei personaggi più controversi della nostra epoca – Musk ha da ormai quasi 15 anni eletto Twitter come il suo canale “ufficiale” per comunicare con il mondo, non solo da imprenditore ma anche come privato cittadino.

Alcuni dei suoi tweet sono ormai passati alla storia (non sempre per essersi rivelati idee geniali).

È il caso di quello in cui affermava che le azioni di Tesla valessero troppo. Poche ore dopo, il valore delle azioni era crollato drasticamente.

O quello in cui inneggiava al bombardamento di Marte (già nel 2015 aveva affermato in una intervista che l’unico modo per rendere il pianeta rosso abitabile fosse bombardarlo con armi termonucleari).

Famose anche i suoi tweet di dissenso nei confronti delle misure anti Covid-19 attuate negli USA, in particolar modo in California – culminate poi nello spostamento della sede di Tesla in Texas.

CRONISTORIA

Dallo scorso 27 ottobre Elon Musk è il nuovo CEO di Twitter.

Ma partiamo dall’inizio..

GENNAIO: a fronte del suo decennale amore per il social dell’uccellino, all’inizio dell’anno Musk comincia una vera e propria “corsa alle azioni” della società.

MARZO: lo “shopping sfrenato” lo porta a detenere oltre il 9% delle azioni di Twitter, rendendolo di fatto il maggiore azionista individuale della società. È a questo punto che il caso diventa pubblico e scoppia a livello mediatico.

APRILE: a fronte di una tale evidenza, viene offerto a Musk un posto d’onore in seno al Consiglio di Amministrazione della società. L’offerta viene tuttavia rifiutata.

A rendere pubblica la rinuncia – che pare essere pervenuta ai vertici nello stesso giorno in cui la nuova composizione del CdA avrebbe dovuto riunirsi – è Parag Agrawal, l’allora CEO.

Solo qualche giorno dopo “il gran rifiuto” viene rivelata la notizia secondo la quale Musk si sarebbe offerto di acquistare la società per la stratosferica cifra di 44 miliardi di dollari.

È a questo punto che il CdA fa la sua mossa, adottando all’unanimità una soluzione per contrastare l’acquisizione, la cd. poison pill – (letteralmente, pillola avvelenata) nota strategia delle società quotate spesso usata per contrastare l’acquisto di una intera società da parte di un singolo azionista. In buona sostanza, attraverso un aumento di capitale vengono create in maniera artificiale nuove azioni da offrire a prezzo di saldo agli altri stakeholders. In tal modo si raggiunge il duplice risultato di (i) far salire il valore delle singole azioni e (ii) far scendere la percentuale di azioni possedute dal potenziale compratore.

Nonostante la predisposizione del piano “letale”, viene comunque raggiunto un accordo: Musk comprerà Twitter per la cifra pattuita. A tal fine, oltre 8 miliardi di dollari di azioni Tesla vengono vendute per finanziare l’acquisto.

MAGGIO:l’accordo subisce una battuta di arresto. Il patron di Tesla nutre forti preoccupazioni in merito all’effettivo numero di utenti fake presenti sulla piattaforma, e chiede pertanto maggiori (e comprovate) rassicurazioni a riguardo.

LUGLIO: come conseguenza del silenzio di Twitter, il piano di acquisizione rischia di saltare. Il papà di Tesla e Space X (ma anche di X Æ A-12) afferma pubblicamente le sue intenzioni di abbandonare l’offerta.

Il dietrofront genera una durissima reazione da parte della società, che decide di fare causa al magnare sudafricano.

Un giudice del Delaware viene investito della controversia. La data di inizio del processo viene fissata al 17 ottobre.

AGOSTO: in seguito alle dichiarazioni di Pieter Zatko (ex capo della sicurezza di Twitter) circa la sistematica noncuranza della società al problema dei bot e degli account falsi – e, più in generale, della sicurezza informativa – Musk decide di inserirlo nella lista delle persone da far salire al banco dei testimoni. Ci si prepara al processo.

OTTOBRE: dopo i fatti dell’estate, vengono nuovamente (ed incredibilmente) stravolte le carte in tavola. Musk si offre di mantener fede alla sua proposta iniziale (e cioè l’acquisto del social per 44 miliardi di dollari) e Twitter si dichiara pronto ad accettare.

Per decisione dell’autorità giudiziaria il processo viene quindi rinviato a novembre. Viene così concessa ad entrambe le parti una nuova deadline per raggiungere una soluzione condivisa: il 28 ottobre è il termine ultimo per trovare un accordo.

A due giorni dalla scadenza del termine viene pubblicato un video nel quale è possibile vedere Musk entrare nel quartier generale di Twitter portando con sé un lavello da cucina (il “let that SINK (lavello) in” di cui alla foto sopra). Gli osservatori interpretano il gesto come un bizzarro, ma positivo, presagio. In perfetto stile Elon Musk.

Nel pomeriggio del 27 ottobre, solo qualche ora prima del gong, arriva la notizia: l’acquisto è stato completato.

The bird is freed”, “l’uccellino è stato liberato”. Questo il primo tweet di Musk nelle vesti di nuovo CEO.

UNA NUOVA ERA

Dopo aver epurato il vertice di Twitter dai suoi dirigenti – tra gli altri, proprio (e ovviamente) il CEO Parag Agrawal, oltre al responsabile legale con cui aveva anche avuto degli screzi in precedenza – tocca ai dipendenti: con una semplice e-mail viene comunicato a 3.500 lavoratori della compagnia (il 50% del totale!) che non c’è più spazio per loro in società.

Una class action è attualmente radicata presso il Tribunale di San Francisco per violazione del periodo di preavviso di 60 giorni previsto dalla normativa californiana in materia di licenziamento.

Il maxi-licenziamento, che precede solo di qualche giorno quello ancor più disastroso di Facebook (si parla a riguardo del più grande licenziamento della storia delle big tech, circa 11.000 persone) ha chiaramente toccato la sensibilità di tutti gli osservatori.

Ma non finisce qui!

Ad aggravare la situazione arriva una lettera aperta dell’Alto Commissario dell’ONU, Volker Türk, in cui viene invocato il rispetto dei diritti umani.

Il timore concreto è che le nette posizioni del nuovo CEO in materia di (massima ed estrema) libertà di espressione possano avallare pericolose e gravissime pratiche, come quella dell’hate speech.

È evidente che la nuova era di Twitter non sia partita nel migliore dei modi. Come andrà a finire?

I dati (personali) dei defunti: quale privacy?

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Pubblicità

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)