Rödl & Partner Verso il successo E-Com@Rödl E-commerce, Media e IT Law Edizione: giugno 2014 · www.roedl.de | www.roedl.com/it Sommario: > La nuova disciplina sull’utilizzo dei cookie: indicazioni pratiche per il mondo e-commerce e digitale (di Carlo Impalà) > Mobile payment o privacy? Il dilemma e la soluzione del Garante (di Elena Urbani e Paolo Peroni) > Verso una PA digitale: la rivoluzione dei pagamenti elettronici (di Elena Urbani) > Quali regole per l'economia digitale (di Claudio Finanze e Pamela Ciarcià) > Vecchie e nuove questioni in tema di responsabilità degli Internet Service Provider (di Silvia Cocozza) > L’e-procurement “si fa largo” (di Tiziana Fiorella) > La nuova disciplina sull’utilizzo dei cookie: indicazioni pratiche per il mondo e-commerce e digitale di Carlo Impalà, Rödl & Partner Milano Al termine di una consultazione pubblica durata quasi due anni, l’8 maggio 2014, il Garante Privacy ha emesso il tanto atteso provvedimento1 volto ad innovare la disciplina riguardante l’uso dei cookie, ovvero di quei piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva. Cfr. Doc. web n. 3118884, Registro dei provvedimenti n. 359 del 22 novembre 2012, pubblicato sulla Gazzetta ufficiale in data 4 giugno 2014. 1 La nuova disciplina individua modalità semplificate per rendere agli utenti l’informativa online sull’uso dei cookie e per acquisire il consenso eventualmente richiesto dalla legge. Si tratta di un Provvedimento che comporterà sicuramente un notevole impatto, anche economico, sull’intero settore della società dei servizi dell'informazione (soprattutto per la miriade di imprese che operano nel mondo dell’e-commerce e del digitale). Di seguito, quindi, se ne riassumono gli aspetti più salienti, preceduti da una breve qualificazione dei cookie sotto il profilo tecnico e regolatorio2. Per le finalità di regolamentazione sottese al Provvedimento del Garante, i cookie vengono distinti in due macro-categorie: cookie “tecnici” e cookie “di profilazione”. Cookie tecnici Sono i cookie utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”3. Possono essere suddivisi in: cookie di navigazione o di sessione: che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o di autenticarsi per accedere ad aree riservate); 2 La disciplina sull’utilizzo dei cookie tiene conto anche delle peculiarità dell’elemento soggettivo, ovvero del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che viene qualificato dal Provvedimento come “editore”) o di un sito diverso che installa cookie per il tramite dell’editore stesso (qualificato come “terze parti”). 3 Cfr. articolo 122, comma 1, del d.lgs. n. 196/2003 (“Codice sulla protezione dei dati personali”). 1 E-com@Rödl cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che consentono all’utente di navigare in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso. Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, ma resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee. Cookie di profilazione Sono, invece, quelli finalizzati a creare profili relativi all’utente ed utilizzati comunemente al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente stesso nell’ambito della navigazione in rete. Per tale loro caratteristica, i cookie di profilazione risultano particolarmente invasivi della sfera personale dell’utente; di conseguenza, la normativa, sia a livello europeo che nazionale, prevede che l’utente debba essere adeguatamente informato sul loro utilizzo e debba esprimere il proprio valido consenso all’utilizzo. Si ricorda, inoltre, che l’utilizzo di cookie di profilazione rientra tra i trattamenti soggetti all’obbligo di notificazione preventiva al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice. Informativa breve ed acquisizione del consenso online Il Provvedimento del Garante ritiene che una soluzione efficace per rendere agli utenti l’informativa on line sull’uso dei cookie sia quella di impostare la stessa su due livelli di approfondimento successivi attraverso l’utilizzo di un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito). un’informativa “estesa”, alla quale si può accedere attraverso un link, presente e cliccabile dall’utente sul banner stesso. La richiesta di consenso all’uso dei cookie dovrà essere inserita proprio nel banner contenente l’informativa breve. Gli utenti che desidereranno informazioni più dettagliate informazioni sulla tipologia e l’uso dei cookie dovranno poi poter accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche. Il banner contenente l’informativa breve e la richiesta di consenso Più specificatamente, il banner dovrà quindi contenere le seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell'ambito della navigazione in rete; b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada); c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare; d) l’indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie; e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie. Per facilitare la predisposizione del banner, il Garante ne ha fornito anche il seguente esempio: Il banner dovrà essere di dimensioni tali da costituire una percettibile discontinuità, seppur minima, dell’esperienza di navigazione. Ciò significa che il superamento della presenza del banner deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso). Nel momento in cui l’utente accederà ad un sito web, dovrà essergli presentata una prima informativa “breve”, contenuta appunto nel banner, integrata da 2 E-com@Rödl In conformità con i principi generali, sarà necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico. La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio, tramite accesso all’informativa estesa, che dovrà essere linkabile da ogni pagina del sito. L’informativa estesa L’informativa estesa dovrà contenere tutti gli elementi previsti dall’art. 13 del Codice e descrivere in maniera analitica le caratteristiche e le finalità dei cookie installati dal sito, consentendo all’utente di selezionare e/o deselezionare i singoli cookie. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari. Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari). Periodo transitorio per l’adeguamento e regime sanzionatorio Come già anticipato, il Garante, consapevole dell’impatto - anche economico - che la nuova disciplina sui cookie avrà sull’intero comparto degli operatori attivi nelle varie forme di business online e, quindi, anche del tempo necessario alla realizzazione delle misure necessarie di attuazione del Provvedimento - ha previsto un periodo transitorio di un anno decorrente dalla pubblicazione del Provvedimento in G.U. per consentire ai destinatari di adeguarsi alla nuova disciplina. Le imprese e gli altri operatori interessati hanno tempo sino a giugno 2015 per potersi avvalere delle modalità semplificate indicate dal Provvedimento. Dal mese di luglio, in caso di mancato rispetto della disciplina sui Edizione: Giugno 2014 cookie, potranno essere comminate le seguenti sanzioni: sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro per il caso di omessa informativa o di informativa inidonea, ossia che la medesima non presenti gli elementi indicati nel Provvedimento, oltre che nelle previsioni di cui all'art. 13 del Codice; pagamento di una somma da diecimila a centoventimila euro per il caso di installazione di cookie sui terminali degli utenti in assenza del preventivo consenso; pagamento di una somma da ventimila a centoventimila euro per omessa notificazione al Garante nei casi di utilizzo di cookie di proliferazione. Riflessioni conclusive Oltre al recepimento della direttiva 2011/83 sui diritti dei consumatori4, volto a rivoluzionare i rapporti tra imprese e consumatori nell’ambito degli acquisti online, anche il Provvedimento del Garante privacy conferma la sempre maggiore attenzione che il Legislatore e le Istituzioni - sia europee che nazionali - stanno ponendo sui diritti e la tutela della sfera privata degli utenti che utilizzano il web come strumento sempre più preponderante per realizzare i propri acquisti. Ciò rappresenta, tuttavia, solo un lato (seppur meritevole) della medaglia. Altrettanto evidente è, infatti, il rilievo che l’implementazione delle normative di settore potrebbe comportare ripercussioni notevoli, anche economiche, soprattutto su tutte quelle aziende che - puntando all’e-commerce, alle comunicazioni elettroniche e al digitale come strumento strategico per lo sviluppo del proprio business - pur volendo rispettare regole, si trovano molto spesso a dover competere con concorrenti meno “virtuosi”. Si spera, pertanto, che il richiamo al rispetto delle nuove norme non si risolva nell’ennesima richiesta di impegno rivolta solo ad una parte degli operatori del web; è necessario, infatti, che all’adeguamento volontario da parte delle imprese, si corrisponda anche un maggiore impegno da parte delle Istituzioni competenti a vigilare 4 Recepita in via definitiva, lo scorso 6 febbraio dall’ex “Governo Letta” con il D.lgs. 21/2014. Per verificare le principali misure introdotte sui diritti dei consumatori e gli acquisti online si veda anche http://economia.panorama.it/soldi/acquisti-online-cosa-cambia e http://www.roedl.com/fileadmin/user_upload/Roedl_Italia/Memos/Inf ormativa_E-com_Roedl_short_version_24.3.2014.pdf. 3 E-com@Rödl affinché l’applicazione delle norme risulti la più effettiva e capillare possibile. Ciò potrebbe forse contribuire a che il rispetto delle regole non venga più avvertito da una parte delle imprese, a torto o a ragione, come un potenziale rischio di perdita di competitività sul mercato. Contatto per ulteriori informazioni essere richiesti dati anagrafici, dati relativi alla numerazione telefonica, alla tipologia del servizio richiesto, all’indirizzo di posta elettronica o all’indirizzo IP. E i profili di rischio correlati sono evidenti. Per tale ragione, il Garante per la Protezione dei Dati Personali ha recentemente adottato un provvedimento6, con la finalità di rendere le operazioni di mobile payment il più possibile “sicure”. Che cos’è il Mobile payment? Con il termine mobile payment ci si riferisce a tutti quei servizi che consentono di gestire gli acquisti ed i relativi pagamenti di beni sia digitali che fisici tramite un terminale mobile. Carlo Impalà Avvocato Tel.: + 39 02.6328841 E-Mail: [email protected] > Mobile payment o privacy? Il dilemma e la soluzione del Garante di Elena Urbani e Paolo Peroni, Rödl & Partner Milano La crescita vertiginosa della mobile economy – lanciata verso il traguardo del 2% del PIL del nostro Paese5 - ha riportato al centro del dibattito sul mondo digitale il tema della protezione dei dati personali dei tantissimi consumatori che utilizzano smartphone, tablet e pc per l’acquisto di beni e servizi. In questo contesto, l’argomento privacy rappresenta un nodo indubbiamente cruciale, anche e soprattutto in relazione ai servizi di mobile payment, il cui avvento è quasi certamente destinato a rivoluzionare le abitudini di milioni di consumatori. I pagamenti elettronici, non vi è dubbio, offrono innumerevoli benefici: riduzione dei costi per gli operatori; aumento della trasparenza e tracciabilità dei pagamenti; riduzione dei prezzi per gli utenti finali. E’ tuttavia innegabile che l’accesso a servizi di pagamento tramite dispositivi mobili comporta anche la circolazione e il trattamento di un numero enorme di dati e informazioni riferibili agli utenti. Basti pensare, ad esempio, che per poter accedere a servizi di mobile payment possono 5 Il riferimento è al titolo di una ricerca dell’osservatorio Mobile & App Economy del Politecnico di Milano pubblicato nell’aprile del 2014. Il legislatore europeo si è avvicinato alla tematica dei servizi di pagamenti dapprima con la Direttiva 2007/64/CE (c.d. “Payment Service Directive “o PSD”), poi con la Direttiva 2009/110/EC, (c.d. “Electronic Money Directive o EMD”) ed infine con il Libro Verde della Commissione europea intitolato “Verso un mercato europeo integrato dei pagamenti” dell’11 gennaio 2012. Tali provvedimenti potrebbero essere presto superati da una disciplina legislativa organica, avente scopo di delineare un quadro unico di linee guida in materia di pagamenti elettronici. Questo, per lo meno, è il proposito manifestato nella proposta di direttiva del Parlamento Europeo e del Consiglio del 24 luglio 20137. In attesa di vedere come si svilupperà l’iter normativo propugnato a livello europeo, pare utile delineare il quadro normativo attualmente vigente in Italia. I servizi di mobile payment sono classificabili in due principali categorie: il mobile remote payment, riferibile alle operazioni di pagamento di un bene o servizio tra esercente e cliente attivate da quest’ultimo a distanza attraverso il telefono cellulare e il mobile proximity payment, riferibile alle operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia “NFC” (“Near Field Communication” che fornisce connettività direzionale a corto raggio) ed un apposito lettore POS (“Point of Sale”) collocato presso il punto di vendita dell’esercente da cui si acquista il bene. Il mondo del mobile payment vede coinvolti una pluralità di attori in ruoli diversi nel processo di erogazione del servizio. L’ “operatore” è il soggetto fornitore di reti e servizi di comunicazione elettronica accessibili al 6 Provvedimento n. 258 del 22 maggio 2014, doc. web. N. 3161560, pubblicato nella Gazzetta Ufficiale n. 137 del 16 giugno 2014 7 European Commission - IP/13/730 “Servizi di pagamento: regole nuove a beneficio di consumatori e dettaglianti” 4 E-com@Rödl pubblico di prodotti e servizi digitali fruibili dall’utente tramite smartphone, tablet e PC attraverso un’apposita piattaforma tecnologica. L’ “aggregatore” o “hub tecnologico” è il soggetto cui è affidata la realizzazione di una serie di attività legate all’operatività della piattaforma tecnica. All’aggregatore spetta, ad esempio, la creazione dell’interfaccia di customer relationship management destinata ai call center di ciascun operatore, la gestione del processo di acquisto del bene digitale o della relativa disattivazione del servizio, la redazione di dettagliati report sui clienti che hanno effettuato degli acquisti. Infine, il “merchant” è colui che fornisce il contenuto digitale al cliente tramite web o dispositivi mobili e generalmente vende all’utente diversi servizi e prodotti come quelli editoriali, contenuti multimediali in modalità streaming, giochi, community e servizi in abbonamento, broadcasting (serie tv e film). Le regole privacy per l’operatore Nell’offrire servizi di acquisto e pagamento attraverso sistemi di remote mobile payment, l’Operatore è tenuto a rendere un’informativa chiara e completa di tutti gli elementi di cui all’articolo 13 del Codice della Privacy. Per quanto indicato dal Garante, all’informativa dovrà essere data idonea evidenza attraverso una formula basata sull’approccio “layered”, ovvero “a strati”. In considerazione delle dimensioni ridotte degli schermi dei telefoni mobili / smartphone / tablet generalmente utilizzati per la fruizione del servizio, l’utente, al momento dell’iscrizione o adesione ai servizi di mobile remote payment, dovrà trovare all’interno dell’apposita sezione web una prima informativa sintetica, contenente gli elementi essenziali del trattamento; successivamente, tramite un link, potrà accedere ad una seconda informativa più dettagliata, che dovrà indicare elementi ulteriori rispetto a quelli delineati dall’art. 13 del D.lgs. 196/2003, c.d. “Codice Privacy”. Nell’ottica della massima protezione dell’utente, l’informativa dovrà (i) specificare se i dati sono trattati per scopi ulteriori, ovvero per finalità di marketing, quali invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale; (ii) informare gli utenti sugli aspetti relativi alla profilazione, anche nell’ambito di eventuali programmi di fidelizzazione e di comunicazione dei soggetti terzi; (iii) indicare i soggetti designati responsabili ai sensi dell’art. 29 del Codice Privacy con specifico riferimento all’hub tecnologico che potrà agire anche in veste di responsabile esterno del tratta- Edizione: Giugno 2014 mento; (iv) specificare l’eventuale rapporto di cotitolarità tra l’operatore ed il merchant. Il consenso dell’utente al trattamento dei dati personali Il consenso relativo al trattamento dei dati personali dell’utente che fruisce del servizio di mobile payment non è di per sé necessario, poiché rientra in un obbligo contrattuale, e quindi nell’esclusione prevista dall’art. 24 del Codice Privacy. Il consenso, al contrario, dovrà essere assolutamente richiesto in alcuni casi specifici e, in particolare, qualora l’operatore (i) utilizzi i dati forniti dall’utente per finalità di marketing diretto; (ii) utilizzi di dati personali per finalità di profilazione anche nell’ambito di eventuali programmi di fidelizzazione; (iii) comunichi i dati a soggetti terzi. Il consenso potrà essere prestato tramite un flag da inserire in una specifica casella presente in un’apposita sezione della pagina web dell’operatore. Le misure di sicurezza a tutela dell’utente Non mancano poi specifiche prescrizioni in tema di misure di sicurezza, che consistono in cautele ulteriori rispetto a quelle disciplinate dall’articolo 31 e seguenti del Codice Privacy e dall’Allegato B dello stesso: l’Operatore deve prevedere una forma di mascheramento dei dati, ad esempio mediante meccanismo crittografico (c.d. hash), le cui chiavi di decifrazione siano nella esclusiva disponibilità degli addetti alle operazioni di customer care. Questi ultimi, infatti, possono accedere a tali dati per finalità di assistenza alla clientela e nominati quali “incaricati al trattamento dei dati personali” e dovranno, quindi, esser sottoposti alla procedura della c.d “strong authentication” che consiste in un processo di autenticazione basato su token ed account nominale. Nel caso in cui, tra i servizi digitali offerti all’utente, vi siano contenuti destinati ad un pubblico adulto, dovranno essere adottate apposite misure di sicurezza che garantiscano all’utente la possibilità di disattivare il servizio. In tale contesto, il provvedimento del Garante prescrive che i dati relativi al mobile payment non possono esser conservati per più di sei mesi, decorsi i quali l’Operatore dovrà provvedere alla cancellazione dei dati dai propri sistemi. Le regole per l’Aggregatore Secondo il Garante, l’aggregatore o hub tecnologico può essere designato, sia dall’operatore sia dal mer5 E-com@Rödl chant, quale responsabile esterno del trattamento dei dati personali. Differente, invece, il caso in cui l’hub tecnologico rende direttamente disponibili i prodotti e i servizi normalmente offerti dal merchant mediante attività di organizzazione ed offerta del contenuto digitale al cliente. In tal caso, infatti, l’Aggregatore opera come titolare autonomo del trattamento dei dati personali e dovrà osservare le medesime regole relative all’informativa e al consenso dettate per l’operatore, sopra evidenziate. Particolari misure di sicurezza dovranno, inoltre, essere adottate dall’hub in relazione alla cifratura dei dati personali, soprattutto qualora questi ultimi circolino tra i database dei diversi hub tecnologici che operano in tempi diversi. Tra queste, si segnala la necessità che l’hub attivi la predetta procedura di strong authetication degli addetti che hanno accesso alla piattaforma, il tracciamento delle operazioni di accesso tramite un’unica chiave di interrogazione del sistema. Anche per l’Aggregatore, il tempo massimo di conservazione dei dati previsto è di sei mesi. affermarsi in un quadro di disposizioni in grado di garantire la massima sicurezza e protezione nel trattamento dei dati degli utenti. Contatti per ulteriori informazioni Paolo Peroni Avvocato Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] Le regole per il Merchant Elena Urbani Le ultime prescrizioni dettate dal Garante non si differenziano di molto da quelle attinenti all’operatore e all’hub, salve alcune particolarità. Tra queste, il Garante ha previsto che l’informativa del Merchant faccia espressa menzione del dato relativo al numero di telefonia mobile dell’utente, all’eventuale indirizzo di posta elettronica e del dato riferibile all’indirizzo IP. In tale contesto, l’indirizzo di posta elettronica deve essere utilizzato dal Merchant solo per finalità limitate ad una gestione del servizio più efficace e l’eventuale indirizzo IP deve essere immediatamente cancellato dai sistemi del Merchant. Prime riflessioni Dalla lettura del provvedimento del Garante del 16 giugno 2014, emerge un quadro di regole sulla privacy preciso e dettagliato, almeno apparentemente idoneo ad assicurare un’adeguata protezione dei dati personali degli utenti coinvolti in operazioni di mobile payment. Il tempo e la diffusione dei servizi di pagamento mobile consentiranno di valutare l’effettiva completezza della normativa approntata dal Garante. Di certo, se il mobile payment costituisce un settore ad alto rischio per la riservatezza dei suoi fruitori, esso rappresenta un mercato dal fortissimo potenziale. L’auspicio è che il mondo del mobile payment possa Dottoressa Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] > Verso una PA digitale: la rivoluzione dei pagamenti elettronici di Elena Urbani, Rödl & Partner Milano La fatturazione elettronica dei pagamenti si inserisce nell’ambito del processo di ammodernamento, di semplificazione e di digitalizzazione dei servizi della Pubblica Amministrazione, nonché nel quadro delle linee di azione dell’Unione Europea (“i 2010”8) volte ad incoraggiare gli Stati membri a dotarsi di un adeguato quadro normativo, organizzativo e tecnologico per gestire in forma elettronica l'intero ciclo degli acquisti. In tale ottica, già la Legge finanziaria n. 244/2007 aveva introdotto l’obbligo per i fornitori di emettere la fattura- 8 i2010 è il quadro strategico della Commissione europea che definisce gli orientamenti strategici di massima per la società dell’informazione e i media. Questa politica integrata mira, in particolare, ad incoraggiare la conoscenza e l’innovazione per sostenere la crescita, nonché la creazione di posti di lavoro più numerosi e di migliore qualità (COM (2005) 229). 6 E-com@Rödl Edizione: Giugno 2014 zione in formato elettronico nei rapporti con le Amministrazioni Pubbliche. delle previsioni del Codice dell’Amministrazione Digitale12. Tuttavia, tale obbligo è divenuto operativo soltanto lo scorso 6 giugno 2014 con il D.M. del 3 aprile 2013, n. 55 e limitatamente alla fatturazione nei confronti di alcuni enti pubblici, tra cui i Ministeri, le agenzie fiscali e gli enti nazionali di previdenza. Per l’estensione dell’obbligo a tutti gli enti pubblici si dovrà attendere il 31 marzo 2015. Le novità in materia di fatturazione elettronica introdotte dal del D.M. n. 55/2013 rappresentano senz’altro un passo importante nel processo di digitalizzazione e di modernizzazione della PA, processo che tuttavia, non solo non può dirsi ancora concluso, ma anzi deve ritenersi solo alle battute di inizio. Il D.M. n. 55/2013 ha previsto inoltre un periodo transitorio di tre mesi dalla data di decorrenza dell’obbligo, decorsi i quali, scatterà definitivamente per le PA il divieto di accettare fatture in forma cartacea dalle imprese fornitrici, nonché di procedere a pagamenti, anche parziali, prima dell’invio da parte dei fornitori delle fatture elettroniche. Come si verifica il processo di emissione delle fatture elettroniche? La fatturazione elettronica dei pagamenti avviene tramite il c.d. “Sistema di interscambio” (c.d. “SdI”), una piattaforma informatica gestita da Sogei per conto del Ministero dell’Economia e delle Finanze, in grado di ricevere le fatture sotto forma di file, effettuare controlli ed inoltrare i documenti fiscali alle Amministrazioni destinatarie. Le PA ammesse al sistema di fatturazione elettronica sono tenute ad inserire l’anagrafica dei propri uffici nell’indice delle Pubbliche Amministrazioni, c.d. “IPA”9, attraverso la quale viene assegnato a ciascun ufficio un codice univoco reso pubblico tramite il sito www.indicepa.gov.it. La mancanza dell’indicazione di tale codice nella fattura comporta il rifiuto della stessa da parte del Sistema di Interscambio. I provvedimenti in arrivo Siamo ancora infatti in attesa della pubblicazione di altri due provvedimenti importanti, che segneranno il cammino verso la completa digitalizzazione del sistema fiscale, anche pubblico: (i) il Decreto del Ministero dell’Economia e delle Finanze per la conservazione elettronica dei documenti fiscali e (ii) la Legge di conversione del D.L. n. 66/2014 (c.d.“Decreto Renzi”) con cui è stato introdotto l’obbligo per le fatture elettroniche emesse verso le PA di riportare il Codice Identificativo di Gara (c.d. “CIG”) ed il Codice Unico di Progetto (c.d. “CUP”), in linea con le disposizioni di cui alla Legge n. 136/2010 in tema di tracciabilità dei flussi finanziari13. Un cammino, insomma, ancora lungo e tortuoso per le nostre pubbliche amministrazioni passate alle cronache degli ultimi anni come esempio di arretratezza ed avversione al cambiamento, soprattutto digitale; cammino che, intanto, spiana la strada agli obiettivi di semplificazione e razionalizzazione del settore pubblico invocati dai cittadini, dalle imprese e, dagli operatori anche pubblici e che lascia ben sperare per il futuro del nostro Paese. Contatto per ulteriori informazioni Da segnalare, infine, l’obbligo per le imprese fornitrici di procedere alla c.d. “conservazione sostitutiva10” delle fatture elettroniche e di nominare altresì un “Responsabile della Conservazione Digitale11”, nel rispetto 9 Il DM n. 55/2013 specifica le regole per l’identificazione univoca degli uffici centrali e periferici delle amministrazioni destinatarie di fatture elettroniche. 10 La conservazione sostitutiva è una procedura informatica, regolata dal D.lgs. n. 82/2005, c.d. “Codice dell’Amministrazione Digitale” e dal DPCM 13 gennaio 2004, in grado di garantire nel tempo la validità legale di un documento informatico. La conservazione sostitutiva di documenti informatici avviene attraverso la memorizzazione in supporti idonei (anche non ottici) e si esaurisce con l’apposizione del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del processo. 11 Il Responsabile della Conservazione Digitale è il responsabile della corretta applicazione della legge e della procedura di conservazione sostitutiva dei documenti; in particolare, si fa carico dell’apposizione della marca temporale e della sottoscrizione elettronica del documen- Elena Urbani Dottoressa Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] to informatico memorizzato, assumendo la responsabilità del processo e dei singoli atti. 12 Cfr. art. 44, Codice dell’Amministrazione Digitale. 13 Cfr. art. 25, D.L. 66/2014. 7 E-com@Rödl > Quali regole per l’economia digitale? di Pamela Ciarcià e Claudio Finanze, Rödl & Partner Milano Il fenomeno dell’economia digitale, prima sottostimato, definito inizialmente anche dagli addetti ai lavori come “penauts” (trascurabile), oggi ha assunto connotati di rivoluzionaria importanza paragonabile all’avvento della corrente elettrica. La domanda di molti è come può un sistema di regole che hanno disciplinato la vecchia economia e che sono nate almeno un cinquantennio fa, disciplinare oggi questo fenomeno dirompente e spesso totalmente dematerializzato? È sotto gli occhi di tutti, in primis delle autorità fiscali dei singoli paesi, che le grandi multinazionali di internet generano milioni di profitti che a ben vedere sembrano essere prodotti sulla rete stessa, non trovando nessuna collocazione spaziale, se non in qualche paradiso fiscale. È consuetudine che le multinazionali di internet utilizzino pratiche aggressive di ottimizzazione fiscale che gli consentano di eludere le tasse nei paesi dove forniscono i loro servizi per poi dirottare i profitti in paesi a tassazione ridotta. Ad esempio, Lussemburgo ed Irlanda sono le mete preferite da Google&Co. a fini dei redditi, non è necessario creare una sovrastruttura fiscale con un regime di tassazione separata. Le regole internazionali possono essere adattate all’economia digitale; a fini IVA, il principio di tassazione a destinazione è quello raccomandato, cercando di sviluppare il mini One Stop Shop, che dovrebbe essere il metodo di tassazione preferibile (il soggetto extra UE si iscrive in un Paese Comunitario, l’IVA viene versata in ogni singolo paese del cliente, ma l’interfaccia dell’Amministrazione Finanziaria è unica); eliminare l’esenzione IVA per le piccole consegne dai paesi extraeuropei, utilizzando il mini One Stop Shop; gli Stati Membri UE devono assumere una posizione comune per ciò che concerne il G20/ OECD Base Erosion e Profit Shifting (BEPS) in modo da assicurare un unico outcome per l’intera UE; le priorità per disciplinare il BEPS sono: - Contrastare la concorrenza fiscale dannosa; - Revisione dei principi di Transfer pricing (sviluppando nuovi standard come il profit split methods); - Revisione dei concetti di stabile organizzazione; - riformare radicalmente il sistema di imposizione fiscale ai fini dei redditi in ottica di lungo periodo, applicando il principio di tassazione a destinazione anche per le imposte dirette. Semplificazione, Stabilità e Neutralità Lo scorso 28 maggio, il Gruppo Europeo di Esperti di tassazione dell’economia digitale ha pubblicato il proprio report con cui cerca di dare le linee guida da applicare; linee guida che devono basarsi su 3 assunti fondamentali: Semplificazione, Stabilità e Neutralità. L’economia digitale è una grandissima opportunità di innovazione, investimento, creazione sia di nuovo business che di lavoro e come tale non può essere soffocata da regole vessatorie. Non solo, gli addetti ai lavori vedono nella tecnologia anche un mezzo per contrastare l’evasione fiscale ed abbassare i costi amministrativi. Ovviamente non possono realizzarsi di fatto delle discriminazioni per le aziende tradizionali e quelle digitali, entrambe vanno tassate in modo equo, ma ciò deve avvenire senza ledere la naturale propensione all’innovazione. Principio cardine è evitare regimi fiscali punitivi, garantendo invece un equo trattamento per prodotti e servizi. Alla luce di ciò, la maggiori conclusioni riportate nel report del Gruppo sono: Il punto di vista Italiano La Commissione Finanze della Camera, in accordo con quella di Bilancio, ha lanciato un’indagine conoscitiva proprio su queste tematiche. L’indagine parlamentare riguarderà più specificatamente le azioni da intraprendere per cercare di contrastare il fenomeno dell’erosione della base imponibile. C’era stato un osteggiato tentativo di contrasto con la Web Tax, che poi è stata abrogata. Attualmente la discussione è rimandata al summit che si terrà a luglio a Venezia. Attendiamo fiduciosi i futuri sviluppi. 8 E-com@Rödl Edizione: Giugno 2014 Contatti per ulteriori informazioni blocco dell’accesso a siti internet che consentano la violazione di diritti d’autore altrui. Unica misura di contemperamento è che tali provvedimenti, oltre ad essere quantomeno in grado di prevenire e disincentivare violazioni del diritto d’autore, ove individuati nello specifico dal giudice nazionale, non devono essere ritenuti dall’ISP interessato particolarmente onerosi e/o comunque restrittivi della propria libertà di impresa. Pamela Ciarcià Dottore Commercialista Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] Il caso UPC Telekabel Claudio Finanze Dottore Commercialista Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] > Vecchie e nuove questioni in tema di responsabilità degli Internet Service Provider di Silvia Cocozza, Rödl & Partner Milano La Corte di Giustizia UE torna ad occuparsi delle misure che possono essere richieste ad un Internet Service Provider (di seguito, “ISP”) nel caso in cui quest’ultimo consenta ai propri abbonati l’accesso ad un sito internet che viola i diritti d’autore altrui. La Corte, che due anni prima aveva escluso che un giudice nazionale potesse imporre l’adozione di sistemi di filtraggio atti a controllare le informazioni trasmesse, senza limiti di tempo e a spese esclusive dell’ISP, a titolo preventivo14, legittima ora ingiunzioni generali di Il riferimento è alle note sentenze C-70/10 del 24 novembre 2011 e C-360/10 del 16 febbraio 2012. Nel primo caso, la Corte di Giustizia dell’Unione Europea ha vietato qualsiasi ingiunzione, da parte di un giudice nazionale, diretta ad imporre ad un fornitore di accesso ad Internet di predisporre un sistema di filtraggio per prevenire gli scaricamenti illegali di file che si applichi indiscriminatamente a tutta la sua clientela, a titolo preventivo, a sue spese esclusive e senza limiti di tempo. Nel secondo caso, la stessa Corte ha stabilito che il gestore di una rete sociale in linea non può essere costretto a predisporre un 14 Partiamo dal principio. La corte austriaca aveva ingiunto all’UPC Telekabel Wien GmbH (di seguito, “UPC Telekabel”), un ISP austriaco, di impedire ai propri abbonati l’accesso ad un sito internet dal quale era possibile scaricare o vedere, tra gli altri, film protetti da alcuni diritti connessi al diritto d’autore detenuti dalle case cinematografiche Wega e Constantin Verleih. L’ordinanza di ingiunzione veniva parzialmente modificata ritenendo il secondo giudice che all’UPC Telekabel potesse essere richiesto, nella forma di un obbligo di conseguire un risultato, soltanto di vietare ai suoi abbonati l’accesso al sito contestato, lasciando però libero il fornitore circa la scelta delle misure da adottare. Proponeva ricorso per Cassazione l’UPC Telekabel sostenendo di non potere essere considerato un intermediario ai sensi dell’art. 8 par. 3 della Direttiva 2001/29 non sussistendo alcun rapporto commerciale/contrattuale tra questi e il gestore del sito internet contestato e che alcune delle misure richieste fossero oltre che facilmente aggirabili anche eccessivamente onerose. Otteneva così che la questione venisse risolta con rinvio pregiudiziale alla Corte di Giustizia UE la quale rendeva una pronuncia particolarmente significativa. La posizione della Corte di Giustizia UE Nel rispondere alla prima delle questioni sollevate, la Corte, sostanzialmente recependo se stessa, ha confermato l’effetto preventivo delle misure a tutela dei titolari dei diritti d’autore e connessi chiarendo che “un’ISP che consente ai propri abbonati l’accesso a un sito internet che mette a disposizione contenuti protetti da diritti d’autore o connessi altrui (senza l’autorizzazione dei rispettivi titolari) è un intermediario ai sensi dell’articolo 8, paragrafo 3, della Direttiva 29/2001” e ciò a prescindere dalla dimostrazione che vi sia un rapporto particolare tra il soggetto che commette la violazione e l’intermediario e che gli abbonanti consultino effettivamente i materiali contestati. sistema di filtraggio generale riguardante tutti i suoi utenti per prevenire l’utilizzo illecito di opere musicali e audiovisive. 9 E-com@Rödl La Corte non manca, però, di ribadire il proprio atteggiamento di favore nei confronti degli ISP, in considerazione dell’incontestata pericolosità dell’imposizione in capo a questi ultimi di obblighi di controllo fortemente onerosi e lesivi di altre libertà fondamentali dell’Unione: “i diritti fondamentali riconosciuti dal diritto dell’Unione - afferma la Corte - devono essere interpretati nel senso che non ostano a che sia vietato, con un’ingiunzione pronunciata da un giudice, a un fornitore di accesso ad internet di concedere ai suoi abbonati l’accesso ad un sito Internet che metta in rete materiali protetti senza il consenso dei titolari dei diritti, qualora tale ingiunzione non specifichi quali misure tale fornitore d’accesso deve adottare e quest’ultimo possa evitare sanzioni per la violazione di tale ingiunzione dimostrando di aver adottato tutte le misure ragionevoli, a condizione tuttavia che, da un lato, le misure adottate non privino inutilmente gli utenti di Internet della possibilità di accedere in modo lecito alle informazioni disponibili e, dall’altro, che tali misure abbiano l’effetto di impedire o, almeno , di rendere difficilmente realizzabili le consultazioni non autorizzate dei materiali protetti e di scoraggiare seriamente gli utenti di internet che ricorrono ai servizi del destinatario di questa stessa ingiunzione dal consultare tali materiali messi a loro disposizione in violazione del diritto di proprietà intellettuale, circostanza che spetta alle autorità e ai giudici nazionali verificare”. Secondo la Corte, un’ingiunzione come quella imposta a UPC Telebakel non pregiudica il diritto di quest’ultimo alla libertà di impresa in quanto lascia a quest’ultimo l’onere di determinare le misure concrete da adottare per raggiungere il risultato perseguito nonché la possibilità di sottrarsi alla propria responsabilità qualora dimostri di aver adottato tutte le misure ragionevoli. Chi fa da sé, fa per tre dunque. proprio perché lesiva del diritto alla privacy degli internauti15. Quanto sembra essere sfuggito alla Corte. E cioè che lasciare in capo all’ISP non soltanto la scelta delle misure (anche preventive) da adottare per la tutela dei diritti d’autore e connessi sul web, ma altresì l’onere di individuare quelle misure effettivamente in grado di bilanciare tra loro interessi e diritti fondamentali e contrapposti, rischia di riannodare gli stessi fili che la Corte ha cercato di sciogliere. Al futuro l’ardua risposta. Contatto per ulteriori informazioni Silvia Cocozza Dottoressa Tel.: + 39 02.6328841 E-Mail: [email protected] > L’e-procurement “si fa largo” di Tiziana Fiorella, Rödl & Partner Milano Anche l’amministrazione pubblica si aggiorna ed estende l’ambito di applicazione dell’appalto per l’acquisto di beni e servizi tramite strumenti elettronici, ovvero quello che è più comunemente conosciuto come e-procurement16. Il tema irrisolto Ma what if nel caso in cui al fine di “non privare inutilmente gli utenti di internet della possibilità di accedere in modo lecito alle informazioni disponibili”, l’ISP dovesse ritenere opportuno, ad esempio, bloccare l’accesso esclusivamente a quei contenuti che costituiscono violazione di diritti altrui? Decisione, si badi, tecnicamente possibile, ma attuabile soltanto attraverso l’adozione da parte degli ISP di sistemi di filtraggio come tali implicanti l’ispezione del traffico dei singoli utenti: pratica, questa, che oltre ad essere contraria al diritto dell’Unione (che esclude la sussistenza in capo agli ISP di un generale obbligo di controllo e sorveglianza), è stata dichiarata illecita dalla stessa Corte E’ solo del 23 giugno u.s., la pubblicazione della legge di conversione17 del Decreto Legge n. 66/2014, rubricato “Misure urgenti per la competitività e la giustizia sociale”, con la quale il Senato ha previsto, tra altro, la possibilità di utilizzare strumenti elettronici - gestiti da Ciò è possibile, infatti, esclusivamente con riferimento a siti internet che utilizzano la tecnologia cd. Deep Packed Inspection, la quale soltanto consente agli amministratori di rete e ai provider di identificare e distinguere un certo tipo di pacchetti di dati da un altro in circolazione all’interno del network. 16 In particolare, con il termine “e-procurement” ci si riferisce al Sistema informatico predisposto dal MEF, tramite Consip, costituito da soluzioni e strumenti elettronici e telematici che consentono l’effettuazione delle procedure telematiche di approvvigionamento previste dagli Strumenti di Acquisto, nel rispetto della normativa vigente in materia di approvvigionamenti della Pubblica Amministrazione, e l’utilizzo di altri servizi telematici dedicati agli Utenti. 17 Legge n. 89/2014. 15 10 E-com@Rödl Edizione: Giugno 2014 Consip S.p.A. o da altri soggetti aggregatori di riferimento - di acquisto per l’acquisizione di beni e servizi. Tuttavia segnaliamo che la norma non introduce una nuova procedura in materia di e-procurement, già prevista infatti dalla vecchia formulazione dell’art. 33 comma 3 bis del D.lgs. 163/2006 c.d. Codice dei Contratti Pubblici, ma la disposizione assume rilievo, laddove estende tale facoltà a tutti i Comuni non capoluogo di Provincia. La disposizione si inserisce in un impianto normativo che vuole condurre (i) ad una riduzione dei costi per le procedure di aggiudicazione, in particolare attraverso il potenziamento dei soggetti aggregatori, ovvero le vecchie “centrali di committenza”, nonché (ii) ad una accelerazione del processo di riforma, in senso di semplificazione e modernizzazione, della PA, attualmente al centro delle priorità del nostro legislatore - si pensi ad esempio c.d. “Decreto PA” - Decreto legge n. 90/2014 – pubblicato in Gazzetta Ufficiale n. 144 del 24 giugno 2014. Contatti per ulteriori informazioni Tiziana Fiorella Avvocato Tel.: +39 (02) 6 32 88 41 E-Mail: [email protected] 11 E-com@Rödl Il nostro studio vanta un team di professionisti specializzati nelle aree IT, telecomunicazioni, media, proprietà intellettuale e diritto commerciale in grado di coniugare le competenze tecnico-legali e fiscali con una conoscenza approfondita dei settori dell’e-commerce, della comunicazione, delle tecnologie e regolamentazione dei nuovi media. audit sui siti internet e compliance al D.lgs. 231/2001 nella gestione di siti internet istituzionali e di social networks; Alcuni dei servizi offerti da Rödl&Partner in materia di E-commerce, Media e IT law: assistenza legale e fiscale nella creazione e gestione di piattaforme di gioco online; assistenza legale e fiscale per la creazione e gestione di portali e-commerce; redazione di contratti commerciali, condizioni generali, contratti di merchandising, per siti business-to-business e business-to-consumer; assistenza legale e fiscale per la tutela del diritto d’autore e della proprietà intellettuale online; assistenza legale in relazione a pratiche commerciali scorrette; assistenza nell’ambito di manifestazioni a premio; assistenza legale e fiscale di supporto a servizi di marketing virale; uso e tutela dei dati personali raccolti attraverso siti internet e transazioni elettroniche; redazione di contratti informatici e di contratti on line; contratti con ISP; contenzioso B2B o B2C; assistenza nell’ambito della fiscalità internazionale ed e-payment. “Ogni singola persona conta“, per i Castellers e per noi. Verso il successo „La nostra filosofia è condividere gli obiettivi dei nostri assistiti in una visione globale e imprenditoriale. Pensiamo al cliente e al mercato in cui opera, ne condividiamo le finalità e impostiamo la nostra consulenza con l’obiettivo di accompagnarlo verso il successo.“ Rödl & Partner „ Non perdiamo mai di vista lo scopo del nostro impegno. Un chiaro obiettivo ci aiuta a scorgere gli errori, le debolezze e rischi e ad evitarli per tempo. Solo quando la strada è libera dagli ostacoli, iniziamo la scalata, ma avendo sempre ben presente quale sia la nostra meta.“ Castelleres de Barcelona Imprint “E-commerce, Media and IT Law”, edizione giugno 2014 Redazione: Rödl & Partner Largo Donegani 2, 20121 Milano Tel.: +39 02 6328841 | www.roedl.com/it Responsabile di redazione: Paolo Peroni – [email protected] Carlo Impalà – [email protected] Largo Donegani 2, 20121 Milano Responsabile grafica: Rödl & Partner, sede di Milano Le “torri umane” simboleggiano in modo straordinario la cultura di Rödl & Partner. Incarnano la nostra filosofia di coesione, equilibrio, coraggio e spirito di squadra. Mostrano la crescita che scaturisce dalle proprie forze, elemento che ha fatto di Rödl & Partner quello che è oggi. „Força, Equilibri, Valor i Seny“ (Forza, equilibrio, coraggio e intelligenza) sono i valori dei Castellers, così vicini ai nostri. Per questo, nel maggio 2011, Rödl & Partner ha stretto una cooperazione con i Castellers di Barcellona, ambasciatori nel mondo dell’antica tradizione delle “torri umane”. L’associazione catalana incarna, insieme a molte altre, questa preziosa eredità culturale. La presente informativa è redatta a cura di Rödl & Partner e non è destinata alla stampa. Rödl & Partner non assume alcuna responsabilità in relazione ai contenuti della presente informativa né in merito alla veridicità, attualità o completezza delle informazioni o in merito a decisioni eventualmente assunte in seguito alla lettura, anche per estratto, della medesima. Le informazioni e valutazioni ivi contenute hanno carattere generale, non costituiscono parere legale o fiscale, né esame esaustivo dei temi trattati, non potendo sostituire né intendersi quali servizi di consulenza legale o tributaria personalizzati che raccomandiamo di richiedere ove foste interessati all’analisi e trattazione di questioni e casi concreti. L'intero contenuto dell’informativa costituisce proprietà intellettuale di Rödl & Partner ed è protetto da copyright. È consentito scaricare, stampare o copiare la informativa esclusivamente per uso personale. Qualsiasi modifica, copia, divulgazione o libera riproduzione dei contenuti o di parti di essi, sia online che offline, necessitano di preventiva autorizzazione scritta da parte di Rödl & Partner. 12
© Copyright 2024 ExpyDoc