Menu

09/09/2019

E-commerce: quali sono i rischi per le aziende?

L’E-commerce: un settore in grande crescita, ma attenzione a rischi e sanzioni.

Il commercio elettronico è un’attività in continua crescita sia in Italia che nel resto del mondo. Parliamo di un volume di affari superiore ai 40 miliardi di euro che fornisce una serie di vantaggi alle imprese in vari aspetti: costi, sviluppo clientela, apertura di nuovi mercati, ecc.

Lo sviluppo di questo settore tuttavia non va di pari passo alla sufficiente conoscenza da parte delle imprese rispetto alle normative vigenti ed i rischi legali che l’attività di e-commerce va incontro.

Questi rischi hanno riscontro dai sempre più numerosi provvedimenti dell’Autorità garante per la concorrenza e il mercato (AGCM) a seguito delle segnalazioni di utenti e associazione di consumatori rispetto a violazioni normative.

Solo quest’anno per esempio, l’AGCM ha sanzionato imprese operanti nel mercato elettronico per un valore di oltre 2,5 milioni di euro.

 

Quali sono i principali obblighi delle aziende e le conseguenze in caso di violazione?

 

  • Obblighi informativi

A regolare gli obblighi informativi a tutela dei consumatori all’interno di attività di e-commerce è il D.lgs. n. 70/2003 e il Codice del Consumo (D.lgs. n. 206/2005) che prevede l’obbligo di identificare l’azienda venditrice, i servizi e i prodotti offerta sulla piattaforma e-commerce, oltre al prezzo, modalità di pagamento, diritti del consumatore, la conclusione del contratto, ecc.

Nei suddetti D.lgs. inoltre, ci sono indicazioni sugli obblighi informativi specifici che riguardano settori come i beni alimentari.

Tali informazioni, l’azienda operante nel mercato elettronico deve inserirle nel proprio sito web e-commerce in maniera chiara e accessibile per far sì che il consumatore possa verificare la conformità dei beni venduti e la convenienza della transazione.

Oltre alle informazioni prevendita, esistono ulteriori obblighi come quelli informativi successivi all’ordine: informazioni sulla conferma dell’ordine di acquisto e il suo stato effettivo, comunicando tempestivamente un’eventuale impossibilità di evasione.

L’inosservanza di tali obblighi informativi porta l’azienda di fronte a sanzioni fino a € 20.000, oltre a rendere gli ordini non vincolanti con il consumatore che potrebbe non essere tenuto al pagamento del prezzo di acquisto.

Esempio: non inserire sul proprio e-commerce il modulo per il recesso del consumatore o il link alla piattaforma di risoluzione stragiudiziale delle controversie (ODR), porta a sanzioni da parte dell’AGCM.

 

  • Pratiche commerciali scorrette.

In particolare, sono scorrette le pratiche commerciali consistenti in:

  1. a) azioni o omissioni ingannevoli, cioè non rispondenti al vero o tali da indurre in errore il consumatore;
  2. b) azioni o omissioni aggressive, cioè tali da a limitare la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, a indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso.

I casi più frequentemente sanzionati AGCM:

  • mancata consegna dei prodotti acquistati on line tramite del sito;
  • mancato rimborso o ritardato rimborso del prezzo versato dal consumatore a fronte dell’annullamento dell’ordine o dell’esercizio del diritto di recesso;
  • opporre ostacoli al diritto di recesso e di;
  • imporre spese per l’utilizzo di un determinato mezzo di pagamento;
  • fornire ai consumatori informazioni non veritiere circa la garanzia legale di conformità dei beni venduti.

Per una pratica commerciale scorretta le sanzioni possono arrivare fino a 5 mln. di Euro, tenuto conto della gravità e della durata della violazione.

 

  • Privacy

Infine, l’impresa operante con e-commerce deve naturalmente conformarsi alla nuova normativa sulla privacy, introdotta dal Regolamento UE n. 2016/679 (GDPR).

L’entrata in vigore del GDPR ha determinato un radicale cambiamento nell’approccio nella regolamentazione della materia, introducendo principi prima estranei al nostro “vecchio” Codice Privacy; tra questi, un ruolo preminente spetta al c.d. principio di “responsabilizzazione” (“accountability“), del titolare e del responsabile del trattamento dei dati.

Questo principio mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: titolare e responsabile del trattamento devono non solo agire secondo le migliori prassi, ma anche dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione delle decisioni ed azioni intraprese.

 

I più rilevanti, ma non sufficienti, adempimenti di privacy sono:

Presenza di una privacy policy con tutte le informazioni necessarie affinché i visitatori del sito possano decidere in modo consapevole se prestare il consenso al trattamento dei loro dati personali o meno.

 

La privacy policy in particolare dovrà contenere:

  • quali dati personali vengono raccolti dal sito;
  • perché tali dati vengono raccolti e trattati;
  • da chi tali dati vengono raccolti e trattati;
  • con quali modalità i dati vengono ottenuti;
  • come e per quanto tempo i dati vengono conservati;
  • l’informazione rispetto a se i dati saranno ceduti a soggetti terzi ed eventualmente a quali condizioni.

Dovrà essere prevista una Cookies policy, inserendo ad esempio un banner con la funzione opt-in che informi circa i Cookies utilizzati, in modo da permettere agli utenti di fornire un consenso esplicito.

Il sito web deve avere un proprio database separato che faciliti la richiesta di cancellazione dei dati personali, oltre a un sistema di verifica dei dati degli utenti, che renda possibile la notifica immediata nel caso in cui vengano violati i dati personali.

I dati personali raccolti devono essere protetti da qualsiasi rischio di furto, smarrimento o divulgazione.

 

Per garantire la sicurezza dei dati, il GDPR prevede una serie di misure, quali in particolare:

  • utilizzare codice cifrato per i dati personali;
  • utilizzare sistemi che permettano di garantire la riservatezza, l’integrità, la disponibilità e l’annullamento dei sistemi e dei servizi di trattamento;
  • dotarsi di metodi che permettano di ripristinare la disponibilità dei dati personali e l’accesso ad essi, in tempi appropriati in caso di incidenti fisici o tecnici;
  • adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e operative per assicurare la sicurezza nel trattamento dei dati.

Il mancato adeguamento agli obblighi imposti dal GDPR può comportare sanzioni molto pesanti per le imprese, essendo previste multe fino a 20 milioni di Euro o fino al 4% del fatturato.

Se nel primo anno dall’entrata in vigore del GDPR, il Garante Privacy ha mostrato molta tolleranza e indulgenza nei confronti delle imprese, ad oggi sono state avviate ispezioni dall’Autorità ed è presumibile che le sanzioni comincino ad arrivare.

Chiaramente il tutto non si esaurisce a quanto illustrato in questo articolo ed è necessario che ogni azienda vegna seguita al meglio er evitare spiacevoli sorprese.

Torna alla pagina News