OBBLIGHI DI LEGGE
privacy, cookie e informazioni societarie
” Quanto esposto in questa pagina contiene delle semplificazioni ed è soggetto a revisione periodica in base alle informazioni disponibili.
GIUGNO 2015: LEGGE EUROPEA “COOKIE LAW”
La cookie law è una normativa europea che in Italia entra in vigore il 2 giugno 2015. Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il legislatore ha stabilito che, quando si accede ad una pagina di un sito web, deve comparire un banner ben visibile, che contenga:
1) informazioni sull’uso dei cookie di profilazione per inviare messaggi pubblicitari mirati;
2) informazioni sull’uso di cookie installati da terze parti;
3) un link a una informativa ampia, con indicazioni sull’uso dei cookie inviati dal sito, dove sia possibile negare il consenso alla loro installazione;
4) l’indicazione che proseguendo nella navigazione si presta il consenso all’uso dei cookie.
Analizzando la legge: http://www.garanteprivacy.it/…/docweb/3118884 e valutando le contraddizioni e le difficoltà tecniche/operative (è tecnicamente impossibile sapere se un cookie di terze parti sia utilizzato per profilazione) portano alle seguenti conclusioni:
1) notifica breve con blocco, si può proseguire solo dopo esplicito consenso
nel caso si utilizzino cookie che memorizzano dati per finalità di profilazione e marketing.
2) notifica breve senza blocco, nel caso si utilizzino cookie “tecnici” e di terze parti che servono a raccogliere dati a scopo tecnico e di fruizione di un sito (come ad esempio i dati di Google Analytics). Questa scelta è data dalla lettura della legge al punto 2. Soggetti coinvolti: editori e “terze parti”. La notifica breve deve avere il link ad una pagina di informativa estesa che deve contenere:
– indicazioni sui cookie usati
– possibilità di scelta sull’autorizzazione dei cookie
– occorre anonimizzare i servizi di statistica visitatori di terze parti (es. Google Analytics).
3) nessuna notifica
quando i cookie sono funzionali all’uso del sito e non raccolgono nessuna informazione.
SULL’USO DI GOOGLE ANALYTICS
Google Analytics può essere equiparato a:
1) COOKIE DI PROFILAZIONE
– obbligo di banner, di informativaestesa e di notifica al Grante
– se lo si integra senza attenzione
2) COOKIE DI TERZE PARTI
– obbligo di banner e di informativa estesa
– se lo si integra implementando“ga(‘set’, ‘anonymizeIp’, true);”
3) COOKIE TECNICO
– solo informativa estesa
– se lo si integra implementando“ga(‘set’, ‘anonymizeIp’, true);” e in Amministrazione Account Analytics (Impostazioni di Condivisione) si rimuovono i servizi di condivisione dati
documento tratto da http://www.garanteprivacy.it/cookie in data 11 giugno 2015
In data 5 giugno 2015, il documento presente su http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 riporta, al punto 4, la scritta: “Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.”
In data 3 giugno 2014 veniva pubblicata sulla Gazzetta Ufficiale la Normativa, di cui si può leggere su: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884. In tale documento si legge (punto 2):”Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”. In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti. I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.”
ALTRI OBBLIGHI DI LEGGE
1) PARTITA IVA
sulla HOME PAGE di ogni sito deve essere presente la Partita Iva dell’azienda proprietaria.
2) Obbligo di pubblicazione di INFORMAZIONI LEGALI
Ogni sito deve riportare i dati identificativi dell’azienda proprietaria.
Informazioni da pubblicare per Società di capitali:
– ragione sociale e sede legale
– l’ufficio del registro delle imprese ove è iscritta e il numero di iscrizione
– codice fiscale, partita iva e numero R.E.A.
– indirizzo di posta elettronica certificata
– eventuale stato di liquidazione della società a seguito dello scioglimento
– il capitale effettivamente versato e quale risulta esistente dall’ultimo bilancio
– lo stato di società con unico socio (per le s.p.a e le s.r.l. “unipersonali”)
Informazioni da pubblicare per Ditte Individuali:
– ragione sociale e sede legale
– codice fiscale e partita iva
– l’ufficio del registro delle imprese ove è iscritta e il numero di iscrizione
– indirizzo di posta elettronica certificata
La legge riguarda qualsiasi spazio su cui un’azienda ottiene visibilità online, anche sui social network.
3) Informativa sulla PRIVACY
È obbligatoria quando il sito web:
– raccoglie dati personali (es. email, nome, informazioni tecniche di connessione);
– i dati sono raccolti per fini statistici o commerciali;
– i dati sono trasferiti ad un soggetto terzo (es. Google, Facebook, YouTube, ecc).
La legge italiana prevede che sia esplicitamente dichiarato:
– quali dati sono raccolti;
– come sono utilizzati;
– chi è il responsabile aziendale delle norme sulla privacy;
– nominativo delle persone, enti o società a cui possono essere forniti i dati;
– in caso di fornitura di dati sensibili, l’utente deve acconsentire selezionando una casella.
Per legge occorre anche:
– custodire in modo protetto le banche dati
– poter dimostrare da dove provengono i dati e quando/come hai ottenuto il consenso.
chiunque acquisisca o utilizzi dati per
MARKETING,
PERSONALIZZAZIONE,
FIDELIZZAZIONE,
deve confrontarsi con la Legge sulla Privacy
NOTE PER E-COMMERCE
Maggiorazioni
È vietato applicare maggiorazioni sulle tariffe applicate nel caso in cui l’acquirente scelga di pagare attraverso carte di credito, o forme di pagamento elettroniche.
Informativa
Il commerciante è tenuto a fornire informazioni il più chiare e complete possibili: caratteristiche del prodotto o servizio, prezzo totale, identità e indirizzo del venditore, modalità di pagamento, termini del diritto di recesso.
Recesso
Da quando l’acquirente riceve la merce, su hanno 14 giorni di tempo per ripensarci. Dalla data di comunicazione della volontà di restituire la merce, l’acquirente ha altri 14 giorni a disposizione per rispedire i prodotti acquistati. In questi 14 giorni il venditore deve provvedere a rimborsare la somma versata dall’acquirente, comprensiva dei costi di spedizione. Se i rivenditori intendono addebitare al cliente i costi della restituzione sono obbligati a specificarlo in anticipo. Se il venditore non adempie all’obbligo d’informativa al consumatore sul diritto di recesso al momento della vendita, il limite del diritto di recesso viene prolungato di 12 mesi e il bene può essere restituito anche se danneggiato, senza alcuna responsabilità nemmeno sul minor valore.
E’ CONTRO LA LEGGE SPEDIRE NEWSLETTER PROMOZIONALI SENZA UN CHIARO ED ESPLICITO CONSENSO. DA UNA COMUNICAZIONE DEL GARANTE, LUGLIO 2016.
“No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall’indirizzo di posta elettronica di una società che opera nell’e-commerce… La comunicazione, giunta all’utente dopo l’acquisto on line di alcuni prodotti sul sito della società, era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall’Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.
Dalle verifiche effettuate dall’Autorità sul sito dell’azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all’acquisto di un prodotto senza aver prima fornito un generico consenso al “trattamento dei dati personali”. Inoltre, dai riscontri è risultato che anche l’informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.
Il Garante ha quindi vietato alla società l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l’integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l’adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell’acquisto tramite sito web…”