Articoli

News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?

LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
  • AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
  • Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
  • fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • So Happy It Hurts – Bryan Adams (2022).
Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.

AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.

SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.

META VS ANTITRUST (a causa di SIAE) –  L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.

RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti –  gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”

MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.

GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.

NUOVO RANSOMWARE CONTRO GRANDI AZIENDE  – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.

ICO vs TIK TOK  – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.

PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti. 

USA (PENNSYLVANIA)  Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.

SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.

ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.

GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.

GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria. 

ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Shubham Dhage grazie a Unsplash.

“NEW DEAL” E FEEDBACK SULLE DIRETTIVE A TUTELA DEI CONSUMATORI

La Commissione europea e le autorità di protezione dei consumatori di 23 Stati membri hanno pubblicato i risultati di una ricerca condotta su vari siti di commercio al dettaglio, per verificare la regolarità delle loro pratiche rispetto alla tutela dei consumatori.

Qui il link alla Press Release.

I dati mostrano che quasi il 40% dei siti web dei negozi si affidano a pratiche manipolative, volte a indurre i consumatori a compiere scelte che in realtà non interessano, né sono nel loro interesse: tra queste, ad esempio, ci sono

  • falsi countdown che mettono fretta durante la scelta e l’acquisto dei prodotti;
  • informazioni nascoste;
  • interfacce ingannevoli per indurre i consumatori all’acquisto
  • e molte altre condotte che fanno leva su debolezze delle varie categorie.

Le autorità nazionali ora procederanno con le adeguate procedure e prenderanno le mosse attraverso azioni appropriate.

Questa occasione appare utile per segnalare che la Commissione europea sta raccogliendo feedback, mediante una consultazione pubblica aperta fino al 20 febbraio 2023, sulle principali direttive legate alla protezione dei consumatori, per determinare se esse assicurino un buon livello di protezione nell’ambiente online.

Per incoraggiare a sostenere l’iniziativa legislativa dell’Unione europea e la sua efficace applicazione, ecco un breve quadro delle principali direttive europee a tutela dei consumatori.

Direttiva sulle pratiche commerciali sleali

La “Unfair Commercial Practices Directive” (“UCPD”) venne adottata per la prima volta nel 2005 (Direttiva (CE) 2005/29) e modificata in seguito dalla Direttiva (UE) 2019/2161, che fu anche corredata dal 17 dicembre 2021 di una guida esplicativa, relativa alle principali questioni attinenti alla tutela dei consumatori.

Tra gli argomenti principali di questa normativa risultavano (i) le interazioni con altre normative dell’UE, (ii) le rivendicazioni ambientali e obsolescenza programmata, (iii) la commercializzazione di beni di “doppia qualità”; (iv) gli obblighi delle piattaforme e dei mercati online; (v) la trasparenza dei risultati di ricerca; (vi) le recensioni e i consensi dei consumatori; (vii) l’influencer marketing.

L’obiettivo della Direttiva sulle pratiche commerciali sleali è principalmente quello di accrescere la fiducia dei consumatori e di rendere più facile il commercio transfrontaliero per le aziende, in particolare per le piccole e medie imprese.

Si tratta di una normativa europea generale che regola le pratiche commerciali sleali che si verificano prima, durante e dopo una transazione tra imprese e consumatori. Essa, in particolare, consente alle autorità nazionali di controllo di arginare un’ampia gamma di pratiche commerciali sleali, tra le quali le informazioni non veritiere fornite ai consumatori o le tecniche di marketing aggressive per influenzare le loro scelte.

Direttiva sulle clausole vessatorie

La “Unfair Contract Terms Directive” (93/13/CEE) ha come obiettivo quello di proteggere i consumatori dalle clausole contrattuali standard, precompilate in modo sproporzionato e abusivo e imposte dai professionisti.

Essa si applica a tutti i tipi di contratti sull’acquisto di beni e servizi, ad esempio acquisti online od offline di beni di consumo, abbonamenti in palestra o contratti su servizi finanziari, come i prestiti.

Anche la normativa del 1993 è stata modificata dalla Direttiva (UE) 2019/2161, relativa a una migliore applicazione e modernizzazione delle norme dell’Unione in materia di protezione dei consumatori, nell’ambito del “New Deal” per i consumatori.

Il principio fondamentale che sta alla base di questa normativa non è proibire le clausole contrattuali standard, che anzi facilitano le transazioni commerciali e possono essere utili per stabilire i diritti e gli obblighi delle parti ai sensi di un determinato contratto; essa piuttosto mira a tutelare i consumatori, prevedendo che queste clausole contrattuali (i) siano redatte in un linguaggio semplice e comprensibile, (ii) vedano le ambiguità eventualmente presenti interpretate sempre a favore dei consumatori, (iii) laddove si tratti di clausole abusive, siano rese nulle e non vincolanti per i consumatori.

La Direttiva sui diritti dei consumatori

La “Consumers Rights Directive” fornisce ai consumatori gli stessi diritti in tutta l’Unione europea, allineando e armonizzando le norme nazionali in materia di tutela dei consumatori, ad esempio sulle informazioni che i consumatori devono ricevere prima di acquistare beni, servizi o contenuti digitali e sul loro diritto di annullare gli acquisti online, ovunque effettuino acquisti nell’Unione.

Gli Stati membri non possono discostarsi dalla direttiva, a meno che la direttiva stessa non preveda una specifica possibilità di derogare alle sue norme.

La normativa contiene le informazioni fondamentali che devono essere fornite dai professionisti prima della conclusione di contratti con i consumatori, prevede norme sulla consegna e sul trasferimento dei rischi applicabili ai contratti di vendita di beni e alcune norme applicabili ai contratti stipulati con i consumatori.

________________________________

Foto di Veronika Koroleva su Unsplash

AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.

Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.

L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.

Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.

È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.

La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.

Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.

A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.

La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.

È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.

Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.

È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.

Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.

Considerazioni conclusive

L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.

Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.

È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.

L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.

Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.

L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.

Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.

________________________________

Foto di Bruno Kelzer grazie a Unsplash

La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Pubblicità

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Le novità introdotte dal D.Lgs. 170/2021 al Codice del Consumo

Dal 1° gennaio 2022 sono entrati in vigore nuovi rilevanti aggiornamenti del Codice del Consumo (D.Lgs. 206/2005), introdotti dal D.Lgs. 170/2021, in attuazione della Direttiva UE 2019/771. Gli articoli novellati sono quelli dal 128 al 135-septies del Codice del Consumo, che si applicheranno ai contratti di vendita, sia online che offline, conclusi successivamente alla data di entrata in vigore delle modifiche, tra un consumatore e un venditore (c.d. “B2C”) relativi a beni mobili materiali.

Riportiamo di seguito le novità più interessanti e di impatto per i termini e condizioni di vendita, in particolare come presenti sui siti di eCommerce.

Beni

Le seguenti categorie di beni si aggiungono a quelle già previste dal Codice del Consumo:

  • qualsiasi bene mobile materiale, anche da assemblare;
  • l’acqua, il gas e l’energia elettrica quando sono confezionati per la vendita in un volume delimitato o in quantità determinata;
  • gli animali vivi;
  • beni digitali;
  • qualsiasi bene mobile materiale che incorpora, o è interconnesso con, un contenuto digitale o un servizio digitale in modo tale che la mancanza di detto contenuto digitale o servizio digitale impedirebbe lo svolgimento delle funzioni proprie del bene (“beni con elementi digitali”).

Requisiti

Sono ora previsti specifici requisiti soggettivi e oggettivi dei Beni, razionalizzati rispetto al passato.

Per essere conforme al contratto di vendita, il bene deve possedere i seguenti requisiti soggettivi:

  • la corrispondenza alla descrizione, al tipo, alla quantità e qualità contrattuali; inoltre, la funzionalità, la compatibilità, l’interoperabilità e le altre caratteristiche previste dal contratto di vendita;
  • l’idoneità ad ogni utilizzo particolare voluto dal consumatore, che sia stato da questi portato a conoscenza del venditore al più tardi al momento della conclusione del contratto di vendita e che il venditore abbia accettato;
  • la completezza, ossia deve essere fornito assieme a tutti gli accessori, alle istruzioni, anche inerenti all’installazione, previsti dal contratto di vendita;
  • l’aggiornamento come previsto dal contratto di vendita.

Oltre a rispettare i requisiti soggettivi di conformità, sussistono ulteriori requisiti oggettivi del bene, previsti qualora siano pertinenti:

  • essere idoneo agli scopi per i quali si impiegano di norma beni dello stesso tipo, tenendo eventualmente conto di altre disposizioni dell’ordinamento nazionale e del diritto dell’Unione europea, delle norme tecniche o, in mancanza, dei codici di condotta dell’industria applicabili allo specifico settore;
  • ove pertinente, possedere la qualità e corrispondere alla descrizione di un campione o modello che il venditore ha messo a disposizione del consumatore prima della conclusione del contratto;
  • ove pertinente, essere consegnato assieme agli accessori, compresi imballaggio, istruzioni per l’installazione o altre istruzioni, che il consumatore può ragionevolmente aspettarsi di ricevere;
  • essere della quantità e possedere le qualità e altre caratteristiche, anche in termini di durabilità, funzionalità, compatibilità e sicurezza, ordinariamente presenti in un bene del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, tenuto conto della natura del bene e delle dichiarazioni pubbliche fatte dal o per conto del venditore, o da altre persone nell’ambito dei precedenti passaggi della catena di transazioni commerciali, compreso il  produttore, in particolare nella pubblicità o nell’etichetta.

Difetti di conformità

In generale, non vi è difetto di conformità se, al momento della conclusione del contratto di vendita, il consumatore era stato specificamente informato del fatto che una caratteristica particolare del bene si discostava dai requisiti oggettivi di conformità previsti da tali norme e il consumatore ha espressamente e separatamente accettato tale scostamento al momento della conclusione del contratto di vendita.

Responsabilità del venditore

Le caratteristiche previste sono:

  • il venditore è responsabile per qualsiasi vizio di conformità del bene esistente al momento della consegna e che si manifesta entro due anni. Ciò vale anche con riferimento ai beni con elementi digitali, con una possibile estensione della responsabilità nel caso in cui il contratto preveda la fornitura continuativa del contenuto digitale per più di due anni;
  • l’azione diretta a far valere i difetti non dolosamente occultati dal venditore si prescrive in 26 mesi dalla consegna, in caso di beni usati le parti possono convenire un termine prescrizionale non inferiore a 1 anno;
  • è stato eliminato l’obbligo del consumatore di denunciare i vizi entro due mesi dalla scoperta.

___________________________________________________________________________

Photo by Tim Mossholder courtesy of the Author and of Unsplash