AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.

Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.

L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.

Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.

È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.

La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.

Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.

A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.

La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.

È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.

Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.

È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.

Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.

Considerazioni conclusive

L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.

Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.

È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.

L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.

Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.

L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.

Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.

________________________________

Foto di Bruno Kelzer grazie a Unsplash

Le pratiche commerciali scorrette nei provvedimenti dell’AGCM

Una pratica commerciale “scorretta” viola i principi fondamentali previsti dal Codice del Consumo e quelli in materia di comunicazioni commerciali.

Ciò potrebbe avvenire (più o meno consapevolmente) per massimizzare i ricavi di un negozio online; o potrebbe accadere semplicemente per mancanza di chiarezza delle informazioni presentate su un sito; potrebbe infine essere idonea a fuorviare, condizionandolo, il comportamento del consumatore.

È una tematica posta spesso all’attenzione dell’Autorità Garante della Concorrenza e del Mercato (“AGCM”): è allora utile tenere sempre in particolare considerazione gli orientamenti e le posizioni prevalenti, mostrate dall’esperienza e dalle decisioni contenziose, non solo per evitare verifiche ed eventuali provvedimenti ma anche, e soprattutto, per offrire ai consumatori un acquisto trasparente e rispettoso dei loro diritti.

In generale, una pratica commerciale è scorretta quando, in contrasto con il principio della diligenza professionale, è falsa o è idonea a falsare in misura apprezzabile il comportamento economico del consumatore che raggiunge, o al quale è comunque rivolta (art. 20 D. Lgs. 206/2005).

La disciplina si applica alle pratiche commerciali scorrette poste in essere sia prima, che durante e dopo un’operazione commerciale relativa a un prodotto.

La legge suddivide le pratiche commerciali in due categorie: quelle ingannevoli e quelle aggressive.

Quali sono le pratiche commerciali “ingannevoli”? (art. 21 Codice del Consumo)

Alcune azioni considerate ingannevoli dall’AGCM sono, ad esempio:

  • quelle che assimilano gli effetti di un prodotto alimentare a quelli attribuibili alle funzioni di un farmaco, avvalendosi di etichette non autorizzate dalla Commissione europea;
  • la diffusione di informazioni non veritiere in merito alla capacità di memoria di prodotti software;
  • la creazione di indebita confusione tra cosmetici e trattamenti di medicina estetica mediante testi e immagini evocative.

Anche certe omissioni sono state sanzionate come “pratiche ingannevoli” dall’AGCM:

  • l’assenza di indicazioni puntuali sul tasso annuo effettivo globale (“TAEG”), in quanto non veniva consentito al consumatore di effettuare un’adeguata valutazione sulla convenienza effettiva di un’offerta finanziaria;
  • l’assenza, nei siti online che offrono servizi di comparazione dei prezzi e di prenotazione voli, di informazioni chiare, trasparenti e immediate sul reale costo del prodotto desiderato e su tutto ciò che è utile per orientare la scelta.

Esiste, poi, un elenco di pratiche elencate dall’art. 23 del Codice del Consumo, che sono considerate sempre ingannevoli, senza che si debba accertare la mancata diligenza e l’attitudine a falsare il comportamento economico del Consumatore, sulle quali si è pronunciato, oltre all’AGCM, anche il Consiglio di Stato (Cons. Stato 14 aprile 2020 n. 2414).

Quali sono le pratiche commerciali “aggressive”? (art. 24 Codice del Consumo)

Una pratica commerciale aggressiva è una condotta invasiva che comporta pressioni, coercizione, molestie o indebito condizionamento e influisce in concreto sulla libertà di scelta del consumatore.

Essa può avere luogo sia nel corso del rapporto contrattuale, sia nella fase di costituzione del vincolo negoziale.

Le pratiche commerciali aggressive non sono necessariamente connotate dal ricorso alla violenza fisica o verbale, ma sono accomunate dal fatto che il consumatore si trova in situazioni di stress che diventano determinanti per la sua decisione.

Ad esempio, il provvedimento dell’AGCM 20303/09 ha sanzionato

  • una procedura onerosa e farraginosa per il rimborso del credito residuo dell’utenza telefonica da parte di una società che agiva condizionando il comportamento del consumatore che intendeva cambiare gestore;
  • la prassi di un noleggio auto di bloccare temporaneamente una certa somma di denaro sulla carta di credito del cliente a garanzia dei danni che l’auto avrebbe potuto subire, inducendo il cliente, per sottrarsi al blocco di denaro sulla propria carta di credito, all’acquisto di prodotti assicurativi accessori.

Cosa può succedere in caso di violazione dei divieti?

Ai sensi dell’art. 27 comma 2 del Codice del Consumo, modificato dall’art. 37 comma 1 lett. a) n. 2 della legge n. 238/2021, in vigore dal 1 febbraio 2022, ogni soggetto od organizzazione che ne ha interesse può fare istanza all’AGCM in caso di pratiche commerciali scorrette affinché l’Autorità ne inibisca la continuazione e ne elimini gli effetti.

L’AGCM può agire anche d’ufficio in forza di poteri investigativi, esecutivi e di richiesta di informazioni, e può ottenere dal professionista responsabile l’assunzione di impegni, imporne l’applicazione e la pubblicazione.

In casi di urgenza l’AGCM può disporre, con provvedimento motivato, la sospensione provvisoria delle pratiche commerciali scorrette.

Il professionista che ha attuato una pratica commerciale scorretta può assumere l’impegno di porre fine all’infrazione utilizzando un apposito modello disposto dall’AGCM.

Quando l’AGCM ritiene la pratica commerciale contraria alle norme del Codice del Consumo, ne vieta la diffusione se l’attività non è ancora stata portata a conoscenza del pubblico, o ne proibisce la continuazione, se la pratica è già iniziata.

Per ogni inottemperanza è prevista l’applicazione di sanzioni amministrative pecuniarie, da pagare entro 30 giorni dalla notifica del provvedimento dell’AGCM.

Contro le decisioni dell’AGCM è possibile ricorrere presso il TAR del Lazio per ottenerne l’annullamento, mentre il ricorso in appello si propone davanti al Consiglio di Stato.

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash

Privacy e tutela del consumatore – Considerazioni a margine dei “Digital Service” e “Digital Markets” Acts

La protezione dei dati personali e la tutela del consumatore sono, oggi più che mai, tematiche connesse tra di loro: animate entrambe da una comune intenzione difensiva rispetto alle asimmetrie e alle distorsioni, si confrontano con un contesto sociale ed economico profondamente mutato dalle nuove tecnologie.

La disciplina della privacy, in particolare, si è fatta carico di rispondere alle esigenze di tutela del contraente debole che la digitalizzazione delle nostre vite ha lasciato emergere e che la pandemia ha esacerbato: in questo senso, è riconosciuta oggi come uno strumento particolarmente adeguato a questa funzione, come elemento trasversale alla data economy in quanto i dati personali sono, sostanzialmente, ovunque.

La situazione e gli interventi delle Autorità

Le Autorità Garanti di numerosi Paesi si confrontano di frequente con fenomeni invasivi, quali ad esempio telemarketing e furto di identità.

Il primo è spesso stato inquadrato in un più ampio sistema aziendale di violazione sistematica della privacy dei consumatori, fatto anche di assenza di informative adeguate, la cessione senza controllo dei dati personali e il contatto reiterato e invasivo al privato.

Il secondo fenomeno, che ha avuto come sfondo la progressiva liberalizzazione del mercato dell’energia e del gas, riguarda più o meno sofisticate forme di falsificazione di contratti di somministrazione, mediante l’utilizzo di dati personali dei clienti (in particolare, copia di documenti di identità) a loro insaputa.

Nonostante in diverse pronunce le autorità hanno preso posizione su questi temi in modo risoluto, la sensazione diffusa è quella del permanere di numerosi interrogativi e “vuoti” di tutela, i quali richiedono interventi più organici e trasversali all’esito di un ripensamento profondo delle normative applicabili.

L’azione della Commissione Europea

In quest’ottica le proposte della Commissione europea sul “Digital Service Act” e sul “Digital Markets Act” si muovono nella direzione dell’adeguamento delle tutele del consumatore a una realtà molto particolare come quella digitale: ciò, in primo luogo, attraverso il riconoscimento all’utente una gamma di strumenti di intervento volti a promuoverne, anche in forma proattiva, la tutela ad ampio spettro; in secondo luogo, attraverso il rafforzamento degli obblighi e, di conseguenza, la responsabilizzazione delle piattaforme digitali.

Sul piano della prevenzione, emerge inevitabilmente la necessità di una garanzia della libertà cognitiva del consumatore, intesa come il diritto di non subire il potere pervasivo di condizionamento derivante dal c.d. “microtargeting“.

Con tale espressione si intende il meccanismo volto a potenziare la capacità persuasiva della pubblicità, adattando il messaggio ai dati desunti dalla profilazione mediante algoritmo; esso è quindi teso a influenzare e orientare le scelte di consumo degli utenti, proponendo loro i prodotti o i servizi ritenuti suscettibili di gradimento secondo le stime predittive degli algoritmi digitali.

I meccanismi di tutela previsti dalle proposte di legge

La massima tutela è considerata risiedere, oggi come in passato, nel presidio dell’autodeterminazione di ciascuna persona fisica: quindi nel consenso specifico, inequivoco e informato. In una parola, nel “consenso consapevole“.

Anche per questo le Autorità insistono da tempo sull’educazione digitale quale necessario presupposto di scelte libere e consapevoli, tanto difficili quanto indispensabili al tempo della c.d. “zero-price economy“, in cui servizi – apparentemente gratuiti – sono pagati al caro prezzo dei dati personali e, di conseguenza, della libertà degli utenti ristretta da algoritmi presuntivi basati sulle scelte di consumo desiderate dagli OTT e/o dalle aziende.

Sul piano dei rimedi, un impulso importante al rafforzamento delle garanzie dei consumatori può venire dalle tutele collettive, ammesse anche nel settore privacy dal GDPR e dall’ammissibilità di azioni rappresentative avanzate da associazioni per la tutela degli interessi dei consumatori.

Le forme di tutela previste dalle nuove normative mirano, in definitiva, a supportare l’avvio della protezione collettiva del singolo, come persona e come consumatore, sulla scia di quanto fatto con il GDPR, volendo così rappresentare un efficace deterrente contro violazioni massive di dati personali.

____________________________________________

Photo by Ryoji Iwata on Unsplash

Le novità introdotte dal D.Lgs. 170/2021 al Codice del Consumo

Dal 1° gennaio 2022 sono entrati in vigore nuovi rilevanti aggiornamenti del Codice del Consumo (D.Lgs. 206/2005), introdotti dal D.Lgs. 170/2021, in attuazione della Direttiva UE 2019/771. Gli articoli novellati sono quelli dal 128 al 135-septies del Codice del Consumo, che si applicheranno ai contratti di vendita, sia online che offline, conclusi successivamente alla data di entrata in vigore delle modifiche, tra un consumatore e un venditore (c.d. “B2C”) relativi a beni mobili materiali.

Riportiamo di seguito le novità più interessanti e di impatto per i termini e condizioni di vendita, in particolare come presenti sui siti di eCommerce.

Beni

Le seguenti categorie di beni si aggiungono a quelle già previste dal Codice del Consumo:

  • qualsiasi bene mobile materiale, anche da assemblare;
  • l’acqua, il gas e l’energia elettrica quando sono confezionati per la vendita in un volume delimitato o in quantità determinata;
  • gli animali vivi;
  • beni digitali;
  • qualsiasi bene mobile materiale che incorpora, o è interconnesso con, un contenuto digitale o un servizio digitale in modo tale che la mancanza di detto contenuto digitale o servizio digitale impedirebbe lo svolgimento delle funzioni proprie del bene (“beni con elementi digitali”).

Requisiti

Sono ora previsti specifici requisiti soggettivi e oggettivi dei Beni, razionalizzati rispetto al passato.

Per essere conforme al contratto di vendita, il bene deve possedere i seguenti requisiti soggettivi:

  • la corrispondenza alla descrizione, al tipo, alla quantità e qualità contrattuali; inoltre, la funzionalità, la compatibilità, l’interoperabilità e le altre caratteristiche previste dal contratto di vendita;
  • l’idoneità ad ogni utilizzo particolare voluto dal consumatore, che sia stato da questi portato a conoscenza del venditore al più tardi al momento della conclusione del contratto di vendita e che il venditore abbia accettato;
  • la completezza, ossia deve essere fornito assieme a tutti gli accessori, alle istruzioni, anche inerenti all’installazione, previsti dal contratto di vendita;
  • l’aggiornamento come previsto dal contratto di vendita.

Oltre a rispettare i requisiti soggettivi di conformità, sussistono ulteriori requisiti oggettivi del bene, previsti qualora siano pertinenti:

  • essere idoneo agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto di altre disposizioni dell’ordinamento nazionale e del diritto dell’Unione europea, delle norme tecniche o, in mancanza, dei codici di condotta dell’industria applicabili allo specifico settore;
  • ove pertinente, possedere la qualità e corrispondere alla descrizione di un campione o modello che il venditore ha messo a disposizione del consumatore prima della conclusione del contratto;
  • ove pertinente, essere consegnato assieme agli accessori, compresi imballaggio, istruzioni per l’installazione o altre istruzioni, che il consumatore può ragionevolmente aspettarsi di ricevere;
  • essere della quantità e possedere le qualità e altre caratteristiche, anche in termini di durabilità, funzionalità, compatibilità e sicurezza, ordinariamente presenti in un bene del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, tenuto conto della natura del bene e delle dichiarazioni pubbliche fatte dal o per conto del venditore, o da altre persone nell’ambito dei precedenti passaggi della catena di transazioni commerciali, compreso il  produttore, in particolare nella pubblicità o nell’etichetta.

Difetti di conformità

In generale, non vi è difetto di conformità se, al momento della conclusione del contratto di vendita, il consumatore era stato specificamente informato del fatto che una caratteristica particolare del bene si discostava dai requisiti oggettivi di conformità previsti da tali norme e il consumatore ha espressamente e separatamente accettato tale scostamento al momento della conclusione del contratto di vendita.

Responsabilità del venditore

Le caratteristiche previste sono:

  • il venditore è responsabile per qualsiasi vizio di conformità del bene esistente al momento della consegna e che si manifesta entro due anni. Ciò vale anche con riferimento ai beni con elementi digitali, con una possibile estensione della responsabilità nel caso in cui il contratto preveda la fornitura continuativa del contenuto digitale per più di due anni;
  • l’azione diretta a far valere i difetti non dolosamente occultati dal venditore si prescrive in 26 mesi dalla consegna, in caso di beni usati le parti possono convenire un termine prescrizionale non inferiore a 1 anno;
  • è stato eliminato l’obbligo del consumatore di denunciare i vizi entro due mesi dalla scoperta.

___________________________________________________________________________

Photo by Tim Mossholder courtesy of the Author and of Unsplash