(Articolo pubblicato su Assideo)
In questo periodo di “lockdown” molte aziende, anche piccole, stanno allestendo in maniera veloce metodi di vendita a distanza dei propri prodotti, magari utilizzando facebook o anche approfittando dell’occasione per impostare un vero e proprio sito e-commerce.
Gli aspetti legali, non sempre tenuti in debita considerazione dal venditore, rischiano però di esporre a serie problematiche sia in tema di responsabilità contrattuale che di sanzioni amministrative.
L’aspetto contrattuale
Occorre innanzitutto fare riferimento alla normativa sul commercio elettronico (D.Lgs. 70/2003) nonché al più ben noto Codice del Consumo (D.Lgs. 206/2005).
Quanto alla prima, essa ha introdotto – tra le varie cose – l’obbligo di inserire sul sito web le informazioni inerenti il venditore.
La ratio è quella di dare al consumatore “on line” la possibilità di avere in maniera semplice e veloce tutte le informazioni per risalire al venditore e per poter esercitare i diritti relativi al contratto di vendita.
In particolare, i possessori di un sito e-commerce devono pubblicare e mantenere aggiornati, in modo chiaro e facilmente accessibile all’utente, le seguenti informazioni:
•dati o ragione sociale del proprietario,
•domicilio o la sede legale,
•contatti,
•numero di iscrizione al REA o al registro delle imprese, nonché partita IVA,
•estremi di concessioni, licenze od autorizzazioni e dell’Autorità di vigilanza.
Sempre a tutela del consumatore, il proprietario del sito di e-commerce ha l’obbligo di mettere a disposizione dell’utente, oltre alla propria e-mail, anche altri strumenti di contatto, qualora l’utente finale sia impossibilitato all’accesso in rete (si pensi ad esempio al semplice numero di telefono).
Il titolare del sito internet deve obbligatoriamente pubblicare la propria partita iva in home page (art. 35 D.P.R 633/1972), e qualora il sito di e-commerce sia di proprietà di una società di capitali (“S.R.L.” oppure “S.P.A.”) sottostare ad ulteriori obblighi.
Sul punto si veda l’art. 2250 comma 7 Cod. Civ. che obbliga la pubblicazione di sede legale, iscrizione al registro imprese, numero di Rea, capitale sociale versato, eventuale stato di messa in liquidazione o ed eventuale esistenza di un socio unico.
Un argomento particolarmente spinoso riguarda poi la predisposizione del contratto di vendita, ovvero le condizioni che si intendono proporre al cliente/consumatore, ricordandosi sempre che un buon testo contrattuale, redatto a norma di legge, può evitare inutili contenziosi.
La predisposizione delle “condizioni di vendita” è fondamentale in quanto devono necessariamente essere chiare e comprensibili, oltre a tener conto della tipologia di acquirenti potenziali, della localizzazione delle vendite, delle caratteristiche dei prodotti, etc..
E’ necessario inoltre, ai sensi del Codice del Consumo, fornire al cliente/utente molte informazioni tra cui: le caratteristiche principali dei beni o servizi, la veridicità e correttezza delle specifiche, l’identità del venditore e i relativi riferimenti, nonché il prezzo, le modalità di pagamento, consegna ed esecuzione, le condizioni e di recesso, etc.
Nella predisposizione delle “condizioni generali” si dovrà tenere conto di altri aspetti prettamente legali: le responsabilità nelle varie fasi di vendita, la normativa sulle clausole vessatorie, la garanzia sui beni, il diritto di recesso (che si ricorda dover essere almeno di 14 giorni) e gli strumenti di soluzione delle controversie. Si raccomanda, però di valutare anche aspetti commerciali importanti, come la gestione dei resi e gli eventuali servizi “omnichannel” o servizi accessori per il consumatore.
Il trattamento dei dati
Altro aspetto fondamentale, sia sotto un profilo di business che sotto quello legale, è il corretto trattamento dei dati e l’applicazione del Regolamento Europeo sulla Privacy 679/2016, conosciuto anche come GDPR.
La vendita on-line, infatti, può comportare il trattamento di un importante quantitativo di dati nonchè informazioni sugli acquirenti; dati che varieranno a seconda delle scelte di business del venditore.
Vediamo in sintesi gli adempimenti principali da considerare ed applicare.
Indice
1.Mappare “quali” dati si trattano e “perché”
La semplice modalità di gestione dell’ordine può incidere sulla tipologia di dati che necessitano un trattamento da parte del titolare dell’e-commerce.
Si pensi alle piattaforme sulle quali per poter procedere ad acquistare beni è necessaria una registrazione (user e password); o ancora a quei casi di acquisto on-line possibile senza alcuna registrazione ma solo fornendo i dati anagrafici; o ancora tutte le casistiche che prevedono registrazione ma attraverso credenziali social (es. Facebook) etc.
Ma non solo.
Anche altri trattamenti vanno verificati; ad esempio nel caso di attività di profilazione, oppure di re-marketing, o nel caso di invio di newsletter o nei servizi di chat con l’acquirente.
In altre parole: vanno analizzati quali trattamenti dati si intendono fare nella piattaforma e- commerce e tali informazioni andranno inserite nel Registro dei trattamenti ex art. 30 GDPR.
2.Informativa privacy e base giuridica
A seconda della tipologia di dati oggetto di trattamento (e dalla modalità stessa di trattamento) deriverà il contenuto dell’informativa sul trattamento da inserire nella piattaforma (articolo 13 del GDPR), nonché l’analisi delle basi giuridiche per il trattamento dati (per la mera vendita, il contratto appare essere la “base giuridica” più idonea).
3.Analisi fornitori e rapporti contrattuali.
Quindi chi tratterà il dato? Non è detto che sia sempre ed esclusivamente il proprietario della piattaforma.
Si tratta di uno degli aspetti più delicati unitamente alle responsabilità da esso derivante.
Si pensi ad un soggetto terzo fondamentale quale il “service provider”; ma spesso sono altresì presenti intermediari che si occupano della vendita e della gestione del magazzino, oppure agenzie di comunicazione per l’aggiornamento del sito o piattaforme di Fornitori IT per la gestione dell’e-commerce.
Facilmente tutti questi soggetti terzi (più propriamente fornitori), salvo differenti situazioni, si qualificano come “responsabili esterni” ai sensi dell’articolo 28 GDPR, il cui rapporto va necessariamente descritto in un contratto.
4.Misure di sicurezza e analisi dei rischi.
Oltre a mappare QUALI DATI vengono trattati e da CHI, fondamentale è capire il COME.
Si consiglia di fare comunque una “valutazione di impatto privacy” ai sensi dell’articolo (art. 35 GDPR) per analizzare il rischio del trattamento dei dati e l’impatto delle misure di sicurezza decise. In questo modo è rispettato il principio dell’accountability.
Alcuni aspetti pratici
La Direttiva 2000/31/CE stabilisce che si possa avviare un e-commerce senza autorizzazioni preventive. Si ricorda tuttavia che tale possibilità deve raccordarsi con la normativa amministrativa di diritto interno la quale prevede specifici obblighi in sede di avvio. Ci si riferisce agli obblighi formali di presentazione di una SCIA (Segnalazione Certificata di Inizio Attività) presso lo sportello SUAP (Sportello Unico per le Attività Produttive) del proprio Comune.
Inoltre occorre inoltre comunicare all’ Agenzia delle Entrate l’indirizzo del sito di E-Commerce, i dati del Provider, numeri di contatto telefonici ed e-mail e qualora si venda anche ad utenti esteri è necessaria l’iscrizione al VIES.
Da non dimenticare, infine, che il sito e-commerce resta un sito internet che contiene pubblicità e “claim” di vendita dei prodotti, ma anche immagini o testi anche di “terzi”. Pertanto, ricordarsi sempre il rispetto della normativa sulla pubblicità ingannevole e pratiche commerciali scorrette e di accertarsi dell’usabilità sotto il profilo del Copyright dell’uso dei testi descrittivi e delle immagini dei prodotti.