Il commercio elettronico richiede una prospettiva davvero ampia, sia in termini geografici, sia in termini temporali. E’ in arrivo la Gdpr europea e bisogna esser pronti, avverte lo studio Orsingher Ortu Avvocati Associati.
Ecommerce, marketing e privacy condividono gran parte degli argomenti normativi che li regolano, e che in parte collidono. Le collisioni sono aumentate dal progresso tecnologico e dalla difficoltà di armonizzare le varie istanze nazionali con quelle delle unioni internazionali: l’Unione europea è un primo, grande obiettivo, ma ha un gradino successivo nell’Eea (European Economic Area) prima di andare a confrontarsi con altre macroaree, in primis gli Stati Uniti.
Commercio elettronico multi-nazionale
L’e-commerce rappresenta uno degli strumenti di vendita in maggiore espansione, con percentuali medie annue di crescita in Europa superiori al 10% su quantitativi piuttosto imponenti.
Le questioni relative al trattamento dei dati personali nell’ambito delle vendite on-line rappresentano un aspetto cruciale per gli operatori del settore, con una rilevanza spesso multi-giurisdizionale.
Avvocati specializzati, provenienti da Francia, Germania, Italia, Olanda e Regno Unito, hanno voluto affrontare congiuntamente la gran parte degli argomenti che girano intorno a questa materia. Profilazione degli utenti, cookies, trasferimento dei dati all’estero e aspetti di sicurezza dei dati personali sono stati al centro dell’incontro E-commerce & Privacy: una prospettiva multi-nazionale, organizzato nelle scorse settimane da Orsingher Ortu- Avvocati Associati.
Alla base di tutto c’è la Data Protection, attualmente regolata da una direttiva del 1995 (95/46/EC) successivamente emendata in alcuni punti (in particolare i cookie, nel 2009). La materia è avviata al rinnovamento armonioso previsto dalla Gdpr, la General Data Protection Regulation, che l’attuale Commissione europea vorrebbe approvare entro fine 2014 per mandarla a regime entro fine 2016.
Data security alla francese
Il Cnil, Commissione nazionale informatica e libertà, è l’autorità per la protezione dei dati in Francia. Il suo presidente, Isabelle Falque-Pierrotin, è stata eletta capo del WG29, il gruppo delle autorità Dp dell’Europa a 28 che si occupa dell’ex articolo 29. Spetta a lei il coordinamento relativo alla direttiva in arrivo.
In quest’ottica può aver senso dare un’occhiata da vicino al punto di vista francese dei rapporti tra e-commerce e privacy, tratteggiato da Delphine Touboul della Bersay & Associés di Parigi.
Un aspetto essenziale è lo studio del rischio: contesto, eventi temuti, minacce e rischi. La gestione delle security breach deve avere una scoperta molto veloce, con precisi ruoli e responsabilità, reporting adeguato, un piano di reazione per ogni tipo d’incidente e trattamento degli eventi in rapporto al loro impatto potenziale.
Non va trascurato l’aggiornamento dell’elenco di tutti i data breach. Nel caso di personal data breach c’è tra l’altro il doppio obbligo di avvisare sia i soggetti interessati, sia il Cnil.
User profiling all’inglese
La profilazione è la registrazione automatica, con relativa classificazione, di comportamenti dei consumatori attraverso dati e fatti. I profili possono essere commerciati e venduti. Le sorgenti di dati sono moltissime e in buona parte possono riguardare dati sensibili.
Per sua natura, la profilazione è discriminatoria e poco trasparente: in quest’ambito siamo infatti ormai passati alla raccolta di enormi quantità d’informazioni marketing.
E non si può pensare che i big data siano un gioco, semplicemente con regole diverse: i classici principi della data protection si applicano ancora.
Profilare in accordo con le data protection laws richiede svariati controlli. Innanzitutto bisogna considerare se ci sono dati personali, se parte di questi è sensibile e se i dati possono essere resi anonimi. Dal punto di vista strategico, poi, occorre controllare l’aderenza ai principi odierni e chiedersi, anticipando il futuro, se le risposte saranno ancora valide sotto la Gdpr.
Trasferimento di dati personali: la visione tedesca
Ma oggi quali dati sono personali in rete? Facendo alcuni esempi aggiornati e relativi al marketing, gli indirizzi Ip lo sono, i cookie dipende, l’identificatore dello smartphone probabilmente sì.
Nel trasferimento dei dati personali l’Europa non ha una legge, ma si rientra nei principi originari. Ciascun Paese ha la sua legge, da applicare a chi controlla i dati, ovvero a dove la società di controllo ha la sede. Anche per quelli di rilevanza per la European Economic Area (i 28 più Norvegia, Islanda e Liechtestein).
Il primo passo da considerare per il trasferimento è il permesso ad usare i dati secondo una specifica legge nazionale, riguardante ogni adempimento relativo.
Il secondo passo richiede il pari livello di protezione nelle macroaree principali: Eu/Eea, comparabili Eu/Eea, Us e safe harbors e tutti gli altri Stati.
Con il termine “comparabile Eu/Eea” s’intendono Svizzera, Austria, Canada, Jersey, Guernsey, Isola di Man, Andorra, Argentina ed Israele.
Per quanto riguarda i safe harbors, – sempre che dopo lo scandalo Nsa siano ancora considerati safe harbors – invece, sono richieste la self certification e l’aderenza ai principi Faqs & Annexes della Us Authority.
Il regno dei cookie: l’approccio olandese
Anche i cookie rientrano nella privacy, e si rivolgono a varie esigenze di profilazione: website analytics, big data e targeted advertising. L’argomento è stato regolato nell’art. 5 della direttiva e-Privacy. Molte nazioni l’hanno copiato nella normativa, lasciando la parte operativa ai normatori nazionali. Anche l’Olanda ha fatto alcune scelte che non sembrano trovare analogia negli ordinamenti delle altre nazioni.
Il risultato è che nella pratica le differenze sono numerosissime. Per fare un esempio, il consenso valido nella norma teorica prevede una precedente informazione e un consenso dell’utente, ma come e dove mettere questo consenso è diventata una scelta locale. Non a caso, in Germania sta nelle impostazioni del browser, in Uk e Olanda è implicato, altrove dev’essere espressamente richiesto.
E anche i gestori di telecom hanno contribuito, equiparando ai cookies anche Javascript, la memoria locale in Html 5, l’identificazione del dispositivo senza cookies (device fingerprinting), tick box, identificatori del telefonino (Udid).
Insomma, le aspettative sulla Gdpr sono davvero molte.
