La normativa di legge in materia di siti web
A cura di: Avv. Romolo Fondi – https://www.studiolegalefondi.it/
L’avvento dell’era digitale ha reso sempre più necessario per qualsiasi operatore dotarsi di un proprio sito internet all’interno del quale, oltre ad “esporre” e vendere le proprie merci ed i propri servizi, realizzare forme sempre più evolute e mirate di marketing funzionale allo sviluppo della propria attività; in questo breve articolo andremo ad esaminare gli ambiti più delicati relativi alla normativa di settore, dando alcune indicazioni utili per la verifica del principale veicolo digitale proprio business.
- Informazioni principali che deve contenere la prima pagina del sito:
- Dati identificativi
- Le Società di capitali (S.p.A./S.a.p.a./S.r.l.s.) ai sensi dell’art. 2250 del Codice Civile devono fornire obbligatoriamente i seguenti dati aziendali:
- Ragione sociale
- Indirizzo, sede legale
- Codice fiscale e/o partita IVA
- Ufficio di iscrizione del Registro delle Imprese
- REA
- Capitale a bilancio
- Eventuale liquidazione
- Eventuale stato di società con socio unico
- Eventuale assoggettamento ad attività di direzione e di coordinamento indicando la società che esercita il controllo.
- Le Società di persone (S.n.c. / S.a.s. / Ditta individuale) hanno solo l’obbligo di indicare il numero di partita IVA almeno nella Home Page del proprio sito Internet; altri dati possono essere aggiunti, anche se non obbligatori, per dare maggior trasparenza, come ad esempio l’indirizzo PEC, la cui indicazione è consigliata, in quanto il principio ispiratore della materia è quello di predisporre sempre una comunicazione efficace con il consumatore (sentenza C-298/07 del 2008 Corte di Giustizia Europea).
N.B. La mancata pubblicazione della partita iva in home page può essere multata con una sanzione che va da un minimo di 258 euro e fino ad un massimo di 2065 euro.
B. Privacy Policy
Il 25 Maggio 2018 è entrato in vigore il nuovo regolamento europeo in materia di protezione dei dati personali (GDPR), il quale chiarisce come devono essere trattati i dati personali delle persone con l’obiettivo di rafforzarne il controllo e la protezione.
Il principio ispiratore della riforma in materia è quello della accountability, ovvero della responsabilizzazione di ogni titolare del trattamento dei dati personali, il quale dovrà effettuare a seconda della propria realtà d’impresa le valutazioni opportune, approntando gli strumenti ritenuti idonei a prevenire un utilizzo non conforme dei dati personali raccolti.
Il GDPR pertanto non indica il contenuto minimo delle misure da utilizzare, ad eccezione di alcuni contenuti che devono essere presenti nell’informativa e relativi ai c.d. dati personali.
Per dati personali si intendono le informazioni che identificano o rendono identificabile una persona fisica, ovvero quei dati che possono fornire indicazioni sulle sue caratteristiche, abitudini, stile di vita, etc., ed esempio il nome, le foto, l’indirizzo di posta elettronica e l’indirizzo IP.
- Informativa su privacy sito web
Qualora all’interno del sito web sia prevista l’elaborazione di dati personali, è necessario informare il visitatore sulle modalità e sulle finalità del trattamento; in questa ipotesi sarà necessario creare una privacy policy chiara e completa e introdurre i metodi per la raccolta e la revoca del consenso.
L’informativa dovrà contenere le seguenti informazioni:
- identità del Titolare del sito.
- data di creazione dell’informativa;
- notifica delle modifiche alla privacy policy;
- quali dati stai trattando e per quale finalità;
- servizi terzi che hanno accesso ai dati personali degli utenti (chi sono e la tipologia dei dati raccolti);
- modalità dei diritti in relazione ai dati letti (diritto di essere informati, di accesso, di rettifica, di opposizione, di portabilità, di cancellazione, di limitare il trattamento, relativo ai processi decisionali automatizzati e alla profilazione).
- Consenso al trattamento dei dati personali.
La modalità di acquisizione del consenso deve essere inequivocabile e prevedere una chiara azione di opt-in. Il titolare del sito web deve essere in grado di provare tale consenso per tutta la durata del trattamento dei dati acquisiti. Inoltre la modalità di esecrazione del diritto alla revoca del consenso deve essere intellegibile e semplice allo stesso modo in cui lo è il suo conferimento.
- Moduli di contatto e invio Newsletter
Qualora all’interno del sito siano istallati moduli di contatto, essi dovranno includere un link alla privacy policy e una casella di accettazione obbligatoria della privacy, che dovrà essere autorizzata dall’utente prima dell’invio dei dati richiesti.
Se una volta acquisiti i dati di contatto, gli stessi volessero essere utilizzati per effettuare attività di invio di materiale di marketing, sarà necessario preventivamente ottenere, tramite un’ulteriore casella di spunta, l’esplicito consenso all’invio delle Newsletter. In questa seconda ipotesi, all’interno della specifica informativa contenuta nella sezione privacy policy e in aggiunta agli altri dati presenti, dovrà essere indicato il servizio di Newsletter e il servizio che raccoglie gli indirizzi email degli utenti che abbiano prestato il consenso.
Nel caso di utenti già iscritti al servizio di Newsletter, gli stessi dovranno semplicemente essere informati della variazione dell’informativa che dovrà essere integrata, fermo restando che il consenso e il trattamento dei dati dovrà essere conforme alla normativa in vigore.
N.B.: il GDPR parla di minimizzazione del trattamento dei dati, secondo cui i dati personali devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, co. 1, lett. c, GDPR). Per questo motivo se l’unica finalità è quella di inviare le Newsletter ai Clienti, l’unico dato personale da richiedere sarà l’indirizzo di posta elettronica dell’interessato che potrà essere utilizzato solo per tale scopo.
C. Cookie policy
La direttiva comunitaria 2009/136/CE impone al proprietario del sito di informare l’utente sull’uso dei cookie utilizzati e in determinati casi di ottenere il consenso preventivo al loro utilizzo. In seguito ti propongo un’immagine riassuntiva delle azioni da compiere in base alla tipologia di cookie presenti
Dal 2 giugno 2015 è in vigore anche in Italia l’obbligo di informare esplicitamente gli utenti nel caso in cui un sito utilizzi i cookie, ossia (riassumendo al massimo) i file dove i siti web memorizzano delle informazioni a lungo termine sulla navigazione da parte di un utente.
In base alle indicazioni fornite dal Garante della Privacy, ogni sito che utilizza i cookie deve avere un banner con cui si informa il visitatore della presenza di strumenti di memorizzazione dei suoi dati di navigazione (a meno che si tratti di cookie esclusivamente tecnici, per cui è sufficiente la pubblicazione di un’informativa in una pagina del sito).
Nonostante l’obbligo sia in vigore ormai da tre anni, non tutti i siti internet si sono adeguati a questa normativa.
D. Strumenti di terze parti e sicurezza del sito
Se si utilizzano servizi e strumenti di terze parti, Google Analytics, Facebook Analitycs, etc, il titolare del sito web sarà tenuto a verificare le condizioni di utilizzo e rendere conforme la Privacy e la Cookie policy.
Inoltre, per aumentare la sicurezza dei dati presenti nella tua attività online e la fiducia dei visitatori, si consiglia di adottare un certificato di qualità e sicurezza SSL. I certificati SSL, riconoscibili dal
lucchetto verde e dalla dicitura https nella barra di navigazione , convalidano l’identità del tuo sito web e proteggono le informazioni che i visitatori inviano o ricevono dallo stesso, precisando come a partire dal mese di Luglio 2018 Google Chrome contrassegnerà i siti che non installano certificati SSL attendibili come non sicuri, riconoscibili dal lucchetto rosso e dalla dicitura https annullata nel
la barra di navigazione.
Si ricorda infatti come la sicurezza di un sito web, oltre ad accrescere la fiducia dell’utente e la reputazione dell’azienda, aiuta a mettere a riparo i dati acquisiti da possibili furti o manomissioni ad opera di terzi, nel qual caso sarà necessario effettuare una immediata notifica al Garante della privacy oltre che approntare immediatamente le opportune misure per eliminare la dispersione dei dati.
E. E-commerce
La vendita online di beni e servizi attraverso una piattaforma web, coinvolge varie discipline, di cui alcune di derivazione comunitaria, altre previste dalla legislazione nazionale; in particolare vengono coinvolti una serie di ambiti normativi inerenti:
- Il trattamento e la protezione dei dati personali;
- la tutela dei consumatori
- Il diritto di recesso
- L’uso dei cookie
- Le informazioni obbligatorie da fornire ai consumatori.
Procedendo con ordine, prima di avviare una attività di vendita online, è necessario anzitutto che l’impresa sia in regola da punto di vista burocratico, ovvero che abbia proceduto all’apertura di una Partita IVA e la costituzione del soggetto giuridico che andrà ad esercitare l’attività (Società di capitali, Società di persone, ditta individuale, etc) ed abbia provveduto a:
- iscriversi alla Camera di Commercio;
- presentare la SCIA (Segnalazione Certificata di Inizio Attività) nel Comune dove si intende avviare l’attività
- comunicare all’Agenzia delle Entrate l’indirizzo del sito, i dati del proprio ISP (Internet Service Provider), l’indirizzo di posta elettronica, il telefono e il fax.
Una volta costituito il soggetto titolare dei servizi online, è necessario per procedere alla vendita fornire all’utente finale le informazioni previste dall’art. 7 del D.Lgs. 70/2003, ovvero tutti i dati identificativi meglio descritti sopra ovvero:
- il nome, la denominazione o la ragione sociale;
- il domicilio o la sede legale;
- gli estremi che permettono di contattare il prestatore in maniera rapida ed efficace (quindi telefono ed e-mail);
- il numero di iscrizione al REA o al registro delle imprese
- il numero di Partita IVA o un altro numero di identificazione che viene considerato equivalente nello Stato membro
Nel caso in cui l’attività sia soggetta a concessione, licenza o autorizzazione (come ad esempio succede per le farmacie), è necessario indicare anche gli estremi dell’autorità di vigilanza competente.
Se poi l’eCommerce appartiene a un professionista che svolge un’attività regolamentata, è necessario indicare anche:
- l’ordine professionale (o l’istituzione analoga) presso cui il prestatore è iscritto e il suo numero di iscrizione;
- il titolo professionale del prestatore e lo Stato membro dell’Unione Europea in cui è stato rilasciato;
- il riferimento alle norme professionali e agli eventuali codici di condotta vigenti nello Stato membro di stabilimento e le modalità di consultazione dei medesimi.
Il Codice del consumo, contenuto nel D.Lgs. 206/2005 con le sue successive integrazioni, prevede poi che per ogni prodotto / servizio vengano indicati:
- una descrizione esaustiva del prodotto o del servizio offerto
- il prezzo, comprensivo di imposte ed eventualmente dello sconto applicato
- la possibilità di correggere eventuali errori fatti in fase di ordine
Al termine dell’acquisto, poi, il venditore è tenuto a inviare una conferma con:
- caratteristiche del bene
- prezzo
- modalità di pagamento
- condizioni del contratto
- diritto di recesso
Dal momento che si tratta di una vendita a distanza che prevede anche una consegna del bene, è necessario riservare una parte anche alle spedizioni, che devono essere richiamate sia tra le informazioni generali che all’interno della pagina dell’ordine, con particolare riferimento alle modalità di spedizione, ai costi, costi e ai tempi di consegna ( in caso di utilizzo di vettore o corriere, si farà riferimento ai tempi di consegna da questi ultimi indicati)
Quanto ai metodi di pagamento, nella homepage del sito possono essere semplicemente richiamati (per esempio con delle icone) ma nelle condizioni di vendita devono essere dettagliati ciascuno nel suo specifico.
Un ulteriore aspetto da non trascurare è quello che riguarda l’indicazione del diritto di recesso: questo di norma può essere esercitato entro 14 giorni senza la necessità di indicare delle motivazioni o di sostenere dei costi extra per il reso, ma se non viene chiaramente indicato nel sito il diritto di recesso per il consumatore viene dilatato fino al limite dei 12 mesi.
Inoltre i titolari di eCommerce sono tenuti ad informare gli utenti del fatto che hanno la possibilità di utilizzare lo strumento per la risoluzione online delle controversie (noto anche come ODR) gestito dalla Commissione Europea.
In conclusione, all’interno di ciascun sito web è necessario indicare una serie di informazioni in maniera chiara ed esaustiva allo scopo di evitare di incorrere in violazioni di legge e sanzioni che possono arrivare a secondo della gravità sino a 20 milioni di euro o, per imprese, sino al al 4% del fatturato totale mondiale annuo dell’esercizio precedente, così da accrescere la propria reputation aziendale ed il proprio business, e prevenire eventuali contenziosi che possano insorgere con consumatori e clienti.