Download - Roedl.com

Rödl & Partner
Verso il successo
E-Com@Rödl
E-commerce, Media e IT Law
Edizione: giugno 2014 · www.roedl.de | www.roedl.com/it
Sommario:
> La nuova disciplina sull’utilizzo dei cookie:
indicazioni pratiche per il mondo e-commerce e
digitale (di Carlo Impalà)
> Mobile payment o privacy? Il dilemma e la
soluzione del Garante (di Elena Urbani e Paolo
Peroni)
> Verso una PA digitale: la rivoluzione dei
pagamenti elettronici (di Elena Urbani)
> Quali regole per l'economia digitale (di Claudio
Finanze e Pamela Ciarcià)
> Vecchie e nuove questioni in tema di
responsabilità degli Internet Service Provider (di
Silvia Cocozza)
> L’e-procurement “si fa largo” (di Tiziana Fiorella)
> La nuova disciplina sull’utilizzo dei
cookie: indicazioni pratiche per il
mondo e-commerce e digitale
di Carlo Impalà, Rödl & Partner Milano
Al termine di una consultazione pubblica durata quasi
due anni, l’8 maggio 2014, il Garante Privacy ha emesso il tanto atteso provvedimento1 volto ad innovare la
disciplina riguardante l’uso dei cookie, ovvero di quei
piccoli file di testo che i siti visitati inviano al terminale
(computer, tablet, smartphone, notebook) dell’utente,
dove vengono memorizzati, per poi essere ritrasmessi
agli stessi siti alla visita successiva.
Cfr. Doc. web n. 3118884, Registro dei provvedimenti n. 359 del
22 novembre 2012, pubblicato sulla Gazzetta ufficiale in data 4
giugno 2014.
1
La nuova disciplina individua modalità semplificate per
rendere agli utenti l’informativa online sull’uso dei
cookie e per acquisire il consenso eventualmente richiesto dalla legge. Si tratta di un Provvedimento che comporterà sicuramente un notevole impatto, anche economico, sull’intero settore della società dei servizi
dell'informazione (soprattutto per la miriade di imprese
che operano nel mondo dell’e-commerce e del digitale).
Di seguito, quindi, se ne riassumono gli aspetti più
salienti, preceduti da una breve qualificazione dei cookie sotto il profilo tecnico e regolatorio2.
Per le finalità di regolamentazione sottese al Provvedimento del Garante, i cookie vengono distinti in due
macro-categorie: cookie “tecnici” e cookie “di profilazione”.
Cookie tecnici
Sono i cookie utilizzati al solo fine di “effettuare la
trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente
necessaria al fornitore di un servizio della società
dell’informazione
esplicitamente
richiesto
dall’abbonato o dall’utente a erogare tale servizio”3.
Possono essere suddivisi in:

cookie di navigazione o di sessione: che garantiscono la normale navigazione e fruizione del sito
web (permettendo, ad esempio, di realizzare un
acquisto o di autenticarsi per accedere ad aree
riservate);
2 La disciplina sull’utilizzo dei cookie tiene conto anche delle peculiarità dell’elemento soggettivo, ovvero del differente soggetto che
installa i cookie sul terminale dell'utente, a seconda che si tratti dello
stesso gestore del sito che l'utente sta visitando (che viene qualificato
dal Provvedimento come “editore”) o di un sito diverso che installa
cookie per il tramite dell’editore stesso (qualificato come “terze
parti”).
3 Cfr. articolo 122, comma 1, del d.lgs. n. 196/2003 (“Codice sulla
protezione dei dati personali”).
1
E-com@Rödl


cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito
per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
cookie di funzionalità, che consentono
all’utente di navigare in funzione di una serie di
criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, ma resta fermo l’obbligo
di dare l’informativa ai sensi dell’art. 13 del Codice, che
il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
Cookie di profilazione
Sono, invece, quelli finalizzati a creare profili relativi
all’utente ed utilizzati comunemente al fine di inviare
messaggi pubblicitari in linea con le preferenze manifestate dall’utente stesso nell’ambito della navigazione in
rete.
Per tale loro caratteristica, i cookie di profilazione risultano particolarmente invasivi della sfera personale
dell’utente; di conseguenza, la normativa, sia a livello
europeo che nazionale, prevede che l’utente debba
essere adeguatamente informato sul loro utilizzo e
debba esprimere il proprio valido consenso all’utilizzo.
Si ricorda, inoltre, che l’utilizzo di cookie di profilazione
rientra tra i trattamenti soggetti all’obbligo di notificazione preventiva al Garante ai sensi dell'art. 37, comma
1, lett. d), del Codice.
Informativa breve ed acquisizione del consenso
online
Il Provvedimento del Garante ritiene che una soluzione
efficace per rendere agli utenti l’informativa on line
sull’uso dei cookie sia quella di impostare la stessa su
due livelli di approfondimento successivi attraverso
l’utilizzo di un banner a comparsa immediata sulla
home page (o altra pagina tramite la quale l’utente può
accedere al sito).
un’informativa “estesa”, alla quale si può accedere
attraverso un link, presente e cliccabile dall’utente sul
banner stesso.
La richiesta di consenso all’uso dei cookie dovrà essere
inserita proprio nel banner contenente l’informativa
breve.
Gli utenti che desidereranno informazioni più dettagliate informazioni sulla tipologia e l’uso dei cookie dovranno poi poter accedere ad altre pagine del sito,
contenenti, oltre al testo dell’informativa estesa, la
possibilità di esprimere scelte più specifiche.
Il banner contenente l’informativa breve e la richiesta di consenso
Più specificatamente, il banner dovrà quindi contenere
le seguenti indicazioni:
a) che il sito utilizza cookie di profilazione al fine di
inviare messaggi pubblicitari in linea con le preferenze
manifestate dall’utente nell'ambito della navigazione in
rete;
b) che il sito consente anche l’invio di cookie “terze
parti” (laddove ciò ovviamente accada);
c) il link all’informativa estesa, ove vengono fornite
indicazioni sull’uso dei cookie tecnici e analytics, viene
data la possibilità di scegliere quali specifici cookie
autorizzare;
d) l’indicazione che alla pagina dell'informativa estesa è
possibile negare il consenso all'installazione di qualunque cookie;
e) l’indicazione che la prosecuzione della navigazione
mediante accesso ad altra area del sito o selezione di
un elemento dello stesso (ad esempio, di un'immagine
o di un link) comporta la prestazione del consenso
all'uso dei cookie.
Per facilitare la predisposizione del banner, il Garante
ne ha fornito anche il seguente esempio:
Il banner dovrà essere di dimensioni tali da costituire
una percettibile discontinuità, seppur minima,
dell’esperienza di navigazione. Ciò significa che il superamento della presenza del banner deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto
nella pagina sottostante il banner stesso).
Nel momento in cui l’utente accederà ad un sito web,
dovrà essergli presentata una prima informativa “breve”, contenuta appunto nel banner, integrata da
2
E-com@Rödl
In conformità con i principi generali, sarà necessario in
ogni caso che dell’avvenuta prestazione del consenso
dell’utente sia tenuta traccia da parte dell’editore, il
quale potrebbe a tal fine avvalersi di un apposito cookie tecnico.
La presenza di tale “documentazione” delle scelte
dell’utente consente poi all’editore di non riproporre
l’informativa breve alla seconda visita del medesimo
utente sullo stesso sito, ferma restando naturalmente la
possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie
opzioni relative all’uso dei cookie da parte del sito, ad
esempio, tramite accesso all’informativa estesa, che
dovrà essere linkabile da ogni pagina del sito.
L’informativa estesa
L’informativa estesa dovrà contenere tutti gli elementi
previsti dall’art. 13 del Codice e descrivere in maniera
analitica le caratteristiche e le finalità dei cookie installati dal sito, consentendo all’utente di selezionare e/o
deselezionare i singoli cookie.
Qualora l’editore abbia contatti indiretti con le terze
parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude
l’eventualità che tali collegamenti con le terze parti
siano raccolti all’interno di un unico sito web gestito da
un soggetto diverso dall’editore, come nel caso dei
concessionari.
Al fine di mantenere distinta la responsabilità degli
editori da quella delle terze parti in relazione
all’informativa resa e al consenso acquisito per i cookie
di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).
Periodo transitorio per l’adeguamento e regime
sanzionatorio
Come già anticipato,
il Garante, consapevole
dell’impatto - anche economico - che la nuova disciplina sui cookie avrà sull’intero comparto degli operatori
attivi nelle varie forme di business online e, quindi,
anche del tempo necessario alla realizzazione delle
misure necessarie di attuazione del Provvedimento - ha
previsto un periodo transitorio di un anno decorrente
dalla pubblicazione del Provvedimento in G.U. per consentire ai destinatari di adeguarsi alla nuova disciplina.
Le imprese e gli altri operatori interessati hanno tempo
sino a giugno 2015 per potersi avvalere delle modalità
semplificate indicate dal Provvedimento. Dal mese di
luglio, in caso di mancato rispetto della disciplina sui
Edizione: Giugno 2014
cookie, potranno essere comminate le seguenti sanzioni:

sanzione amministrativa del pagamento di una
somma da seimila a trentaseimila euro per il
caso di omessa informativa o di informativa inidonea, ossia che la medesima non presenti gli
elementi indicati nel Provvedimento, oltre che
nelle previsioni di cui all'art. 13 del Codice;

pagamento di una somma da diecimila a centoventimila euro per il caso di installazione di
cookie sui terminali degli utenti in assenza del
preventivo consenso;

pagamento di una somma da ventimila a centoventimila euro per omessa notificazione al
Garante nei casi di utilizzo di cookie di proliferazione.
Riflessioni conclusive
Oltre al recepimento della direttiva 2011/83 sui diritti
dei consumatori4, volto a rivoluzionare i rapporti tra
imprese e consumatori nell’ambito degli acquisti online,
anche il Provvedimento del Garante privacy conferma la
sempre maggiore attenzione che il Legislatore e le
Istituzioni - sia europee che nazionali - stanno ponendo
sui diritti e la tutela della sfera privata degli utenti che
utilizzano il web come strumento sempre più preponderante per realizzare i propri acquisti.
Ciò rappresenta, tuttavia, solo un lato (seppur meritevole) della medaglia.
Altrettanto evidente è, infatti, il rilievo che
l’implementazione delle normative di settore potrebbe
comportare ripercussioni notevoli, anche economiche,
soprattutto su tutte quelle aziende che - puntando
all’e-commerce, alle comunicazioni elettroniche e al
digitale come strumento strategico per lo sviluppo del
proprio business - pur volendo rispettare regole, si
trovano molto spesso a dover competere con concorrenti meno “virtuosi”.
Si spera, pertanto, che il richiamo al rispetto delle nuove norme non si risolva nell’ennesima richiesta di impegno rivolta solo ad una parte degli operatori del web; è
necessario, infatti, che all’adeguamento volontario da
parte delle imprese, si corrisponda anche un maggiore
impegno da parte delle Istituzioni competenti a vigilare
4 Recepita in via definitiva, lo scorso 6 febbraio dall’ex “Governo
Letta” con il D.lgs. 21/2014. Per verificare le principali misure introdotte sui diritti dei consumatori e gli acquisti online si veda anche
http://economia.panorama.it/soldi/acquisti-online-cosa-cambia
e
http://www.roedl.com/fileadmin/user_upload/Roedl_Italia/Memos/Inf
ormativa_E-com_Roedl_short_version_24.3.2014.pdf.
3
E-com@Rödl
affinché l’applicazione delle norme risulti la più effettiva e capillare possibile.
Ciò potrebbe forse contribuire a che il rispetto delle
regole non venga più avvertito da una parte delle imprese, a torto o a ragione, come un potenziale rischio
di
perdita
di
competitività
sul
mercato.
Contatto per ulteriori informazioni
essere richiesti dati anagrafici, dati relativi alla numerazione telefonica, alla tipologia del servizio richiesto,
all’indirizzo di posta elettronica o all’indirizzo IP. E i
profili di rischio correlati sono evidenti. Per tale ragione,
il Garante per la Protezione dei Dati Personali ha recentemente adottato un provvedimento6, con la finalità di
rendere le operazioni di mobile payment il più possibile
“sicure”.
Che cos’è il Mobile payment?
Con il termine mobile payment ci si riferisce a tutti quei
servizi che consentono di gestire gli acquisti ed i relativi
pagamenti di beni sia digitali che fisici tramite un terminale mobile.
Carlo Impalà
Avvocato
Tel.:
+ 39 02.6328841
E-Mail: [email protected]
> Mobile payment o privacy? Il dilemma e la soluzione del Garante
di Elena Urbani e Paolo Peroni, Rödl & Partner Milano
La crescita vertiginosa della mobile economy – lanciata
verso il traguardo del 2% del PIL del nostro Paese5 - ha
riportato al centro del dibattito sul mondo digitale il
tema della protezione dei dati personali dei tantissimi
consumatori che utilizzano smartphone, tablet e pc per
l’acquisto di beni e servizi. In questo contesto,
l’argomento privacy rappresenta un nodo indubbiamente cruciale, anche e soprattutto in relazione ai
servizi di mobile payment, il cui avvento è quasi certamente destinato a rivoluzionare le abitudini di milioni di
consumatori.
I pagamenti elettronici, non vi è dubbio, offrono innumerevoli benefici: riduzione dei costi per gli operatori;
aumento della trasparenza e tracciabilità dei pagamenti; riduzione dei prezzi per gli utenti finali. E’ tuttavia
innegabile che l’accesso a servizi di pagamento tramite
dispositivi mobili comporta anche la circolazione e il
trattamento di un numero enorme di dati e informazioni riferibili agli utenti. Basti pensare, ad esempio, che
per poter accedere a servizi di mobile payment possono
5 Il riferimento è al titolo di una ricerca dell’osservatorio Mobile &
App Economy del Politecnico di Milano pubblicato nell’aprile del
2014.
Il legislatore europeo si è avvicinato alla tematica dei
servizi di pagamenti dapprima con la Direttiva
2007/64/CE (c.d. “Payment Service Directive “o PSD”),
poi con la Direttiva 2009/110/EC, (c.d. “Electronic Money Directive o EMD”) ed infine con il Libro Verde della
Commissione europea intitolato “Verso un mercato
europeo integrato dei pagamenti” dell’11 gennaio
2012. Tali provvedimenti potrebbero essere presto
superati da una disciplina legislativa organica, avente
scopo di delineare un quadro unico di linee guida in
materia di pagamenti elettronici. Questo, per lo meno,
è il proposito manifestato nella proposta di direttiva del
Parlamento Europeo e del Consiglio del 24 luglio
20137. In attesa di vedere come si svilupperà l’iter normativo propugnato a livello europeo, pare utile delineare il quadro normativo attualmente vigente in Italia.
I servizi di mobile payment sono classificabili in due
principali categorie: il mobile remote payment, riferibile
alle operazioni di pagamento di un bene o servizio tra
esercente e cliente attivate da quest’ultimo a distanza
attraverso il telefono cellulare e il mobile proximity
payment, riferibile alle operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato
di tecnologia “NFC” (“Near Field Communication” che
fornisce connettività direzionale a corto raggio) ed un
apposito lettore POS (“Point of Sale”) collocato presso
il punto di vendita dell’esercente da cui si acquista il
bene.
Il mondo del mobile payment vede coinvolti una pluralità di attori in ruoli diversi nel processo di erogazione
del servizio. L’ “operatore” è il soggetto fornitore di
reti e servizi di comunicazione elettronica accessibili al
6 Provvedimento n. 258 del 22 maggio 2014, doc. web. N. 3161560,
pubblicato nella Gazzetta Ufficiale n. 137 del 16 giugno 2014
7 European Commission - IP/13/730 “Servizi di pagamento: regole
nuove a beneficio di consumatori e dettaglianti”
4
E-com@Rödl
pubblico di prodotti e servizi digitali fruibili dall’utente
tramite smartphone, tablet e PC attraverso un’apposita
piattaforma tecnologica.
L’ “aggregatore” o “hub tecnologico” è il soggetto cui
è affidata la realizzazione di una serie di attività legate
all’operatività della piattaforma tecnica. All’aggregatore
spetta, ad esempio, la creazione dell’interfaccia di customer relationship management destinata ai call center di ciascun operatore, la gestione del processo di
acquisto del bene digitale o della relativa disattivazione
del servizio, la redazione di dettagliati report sui clienti
che hanno effettuato degli acquisti. Infine, il “merchant” è colui che fornisce il contenuto digitale al cliente tramite web o dispositivi mobili e generalmente
vende all’utente diversi servizi e prodotti come quelli
editoriali, contenuti multimediali in modalità streaming,
giochi, community e servizi in abbonamento, broadcasting (serie tv e film).
Le regole privacy per l’operatore
Nell’offrire servizi di acquisto e pagamento attraverso
sistemi di remote mobile payment, l’Operatore è tenuto
a rendere un’informativa chiara e completa di tutti gli
elementi di cui all’articolo 13 del Codice della Privacy.
Per quanto indicato dal Garante, all’informativa dovrà
essere data idonea evidenza attraverso una formula
basata sull’approccio “layered”, ovvero “a strati”.
In considerazione delle dimensioni ridotte degli schermi
dei telefoni mobili / smartphone / tablet generalmente
utilizzati per la fruizione del servizio, l’utente, al momento dell’iscrizione o adesione ai servizi di mobile
remote payment, dovrà trovare all’interno dell’apposita
sezione web una prima informativa sintetica, contenente gli elementi essenziali del trattamento; successivamente, tramite un link, potrà accedere ad una seconda
informativa più dettagliata, che dovrà indicare elementi
ulteriori rispetto a quelli delineati dall’art. 13 del D.lgs.
196/2003, c.d. “Codice Privacy”.
Nell’ottica della massima protezione dell’utente,
l’informativa dovrà (i) specificare se i dati sono trattati
per scopi ulteriori, ovvero per finalità di marketing,
quali invio di materiale pubblicitario o vendita diretta o
per il compimento di ricerche di mercato o di comunicazione commerciale; (ii) informare gli utenti sugli
aspetti relativi alla profilazione, anche nell’ambito di
eventuali programmi di fidelizzazione e di comunicazione dei soggetti terzi; (iii) indicare i soggetti designati
responsabili ai sensi dell’art. 29 del Codice Privacy con
specifico riferimento all’hub tecnologico che potrà
agire anche in veste di responsabile esterno del tratta-
Edizione: Giugno 2014
mento; (iv) specificare l’eventuale rapporto di cotitolarità tra l’operatore ed il merchant.
Il consenso dell’utente al trattamento dei dati
personali
Il consenso relativo al trattamento dei dati personali
dell’utente che fruisce del servizio di mobile payment
non è di per sé necessario, poiché rientra in un obbligo
contrattuale, e quindi nell’esclusione prevista dall’art.
24 del Codice Privacy. Il consenso, al contrario, dovrà
essere assolutamente richiesto in alcuni casi specifici e,
in particolare, qualora l’operatore (i) utilizzi i dati forniti
dall’utente per finalità di marketing diretto; (ii) utilizzi di
dati personali per finalità di profilazione anche
nell’ambito di eventuali programmi di fidelizzazione;
(iii) comunichi i dati a soggetti terzi. Il consenso potrà
essere prestato tramite un flag da inserire in una specifica casella presente in un’apposita sezione della pagina
web dell’operatore.
Le misure di sicurezza a tutela dell’utente
Non mancano poi specifiche prescrizioni in tema di
misure di sicurezza, che consistono in cautele ulteriori
rispetto a quelle disciplinate dall’articolo 31 e seguenti
del Codice Privacy e dall’Allegato B dello stesso:
l’Operatore deve prevedere una forma di mascheramento dei dati, ad esempio mediante meccanismo
crittografico (c.d. hash), le cui chiavi di decifrazione
siano nella esclusiva disponibilità degli addetti alle operazioni di customer care. Questi ultimi, infatti, possono
accedere a tali dati per finalità di assistenza alla clientela e nominati quali “incaricati al trattamento dei dati
personali” e dovranno, quindi, esser sottoposti alla
procedura della c.d “strong authentication” che consiste in un processo di autenticazione basato su token ed
account nominale.
Nel caso in cui, tra i servizi digitali offerti all’utente, vi
siano contenuti destinati ad un pubblico adulto, dovranno essere adottate apposite misure di sicurezza che
garantiscano all’utente la possibilità di disattivare il
servizio. In tale contesto, il provvedimento del Garante
prescrive che i dati relativi al mobile payment non possono esser conservati per più di sei mesi, decorsi i quali
l’Operatore dovrà provvedere alla cancellazione dei dati
dai propri sistemi.
Le regole per l’Aggregatore
Secondo il Garante, l’aggregatore o hub tecnologico
può essere designato, sia dall’operatore sia dal mer5
E-com@Rödl
chant, quale responsabile esterno del trattamento dei
dati personali. Differente, invece, il caso in cui l’hub
tecnologico rende direttamente disponibili i prodotti e i
servizi normalmente offerti dal merchant mediante
attività di organizzazione ed offerta del contenuto
digitale al cliente. In tal caso, infatti, l’Aggregatore
opera come titolare autonomo del trattamento dei dati
personali e dovrà osservare le medesime regole relative
all’informativa e al consenso dettate per l’operatore,
sopra evidenziate.
Particolari misure di sicurezza dovranno, inoltre, essere
adottate dall’hub in relazione alla cifratura dei dati
personali, soprattutto qualora questi ultimi circolino tra
i database dei diversi hub tecnologici che operano in
tempi diversi. Tra queste, si segnala la necessità che
l’hub attivi la predetta procedura di strong authetication degli addetti che hanno accesso alla piattaforma, il
tracciamento delle operazioni di accesso tramite
un’unica chiave di interrogazione del sistema. Anche
per l’Aggregatore, il tempo massimo di conservazione
dei dati previsto è di sei mesi.
affermarsi in un quadro di disposizioni in grado di garantire la massima sicurezza e protezione nel trattamento dei dati degli utenti.
Contatti per ulteriori informazioni
Paolo Peroni
Avvocato
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
Le regole per il Merchant
Elena Urbani
Le ultime prescrizioni dettate dal Garante non si differenziano di molto da quelle attinenti all’operatore e
all’hub, salve alcune particolarità. Tra queste, il Garante
ha previsto che l’informativa del Merchant faccia
espressa menzione del dato relativo al numero di telefonia mobile dell’utente, all’eventuale indirizzo di posta
elettronica e del dato riferibile all’indirizzo IP. In tale
contesto, l’indirizzo di posta elettronica deve essere
utilizzato dal Merchant solo per finalità limitate ad una
gestione del servizio più efficace e l’eventuale indirizzo
IP deve essere immediatamente cancellato dai sistemi
del Merchant.
Prime riflessioni
Dalla lettura del provvedimento del Garante del 16
giugno 2014, emerge un quadro di regole sulla privacy
preciso e dettagliato, almeno apparentemente idoneo
ad assicurare un’adeguata protezione dei dati personali
degli utenti coinvolti in operazioni di mobile payment. Il
tempo e la diffusione dei servizi di pagamento mobile
consentiranno di valutare l’effettiva completezza della
normativa approntata dal Garante.
Di certo, se il mobile payment costituisce un settore ad
alto rischio per la riservatezza dei suoi fruitori, esso
rappresenta un mercato dal fortissimo potenziale.
L’auspicio è che il mondo del mobile payment possa
Dottoressa
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
> Verso una PA digitale: la rivoluzione dei pagamenti elettronici
di Elena Urbani, Rödl & Partner Milano
La fatturazione elettronica dei pagamenti si inserisce
nell’ambito del processo di ammodernamento, di semplificazione e di digitalizzazione dei servizi della Pubblica Amministrazione, nonché nel quadro delle linee di
azione dell’Unione Europea (“i 2010”8) volte ad incoraggiare gli Stati membri a dotarsi di un adeguato quadro normativo, organizzativo e tecnologico per gestire
in forma elettronica l'intero ciclo degli acquisti. In tale
ottica, già la Legge finanziaria n. 244/2007 aveva introdotto l’obbligo per i fornitori di emettere la fattura-
8 i2010 è il quadro strategico della Commissione europea che definisce gli orientamenti strategici di massima per la società
dell’informazione e i media. Questa politica integrata mira, in particolare, ad incoraggiare la conoscenza e l’innovazione per sostenere la
crescita, nonché la creazione di posti di lavoro più numerosi e di
migliore qualità (COM (2005) 229).
6
E-com@Rödl
Edizione: Giugno 2014
zione in formato elettronico nei rapporti con le Amministrazioni Pubbliche.
delle previsioni del Codice dell’Amministrazione Digitale12.
Tuttavia, tale obbligo è divenuto operativo soltanto lo
scorso 6 giugno 2014 con il D.M. del 3 aprile 2013, n.
55 e limitatamente alla fatturazione nei confronti di
alcuni enti pubblici, tra cui i Ministeri, le agenzie fiscali
e gli enti nazionali di previdenza. Per l’estensione
dell’obbligo a tutti gli enti pubblici si dovrà attendere il
31 marzo 2015.
Le novità in materia di fatturazione elettronica introdotte dal del D.M. n. 55/2013 rappresentano senz’altro un
passo importante nel processo di digitalizzazione e di
modernizzazione della PA, processo che tuttavia, non
solo non può dirsi ancora concluso, ma anzi deve ritenersi solo alle battute di inizio.
Il D.M. n. 55/2013 ha previsto inoltre un periodo transitorio di tre mesi dalla data di decorrenza dell’obbligo,
decorsi i quali, scatterà definitivamente per le PA il
divieto di accettare fatture in forma cartacea dalle imprese fornitrici, nonché di procedere a pagamenti,
anche parziali, prima dell’invio da parte dei fornitori
delle fatture elettroniche.
Come si verifica il processo di emissione delle fatture elettroniche?
La fatturazione elettronica dei pagamenti avviene tramite il c.d. “Sistema di interscambio” (c.d. “SdI”), una
piattaforma informatica gestita da Sogei per conto del
Ministero dell’Economia e delle Finanze, in grado di
ricevere le fatture sotto forma di file, effettuare controlli ed inoltrare i documenti fiscali alle Amministrazioni
destinatarie.
Le PA ammesse al sistema di fatturazione elettronica
sono tenute ad inserire l’anagrafica dei propri uffici
nell’indice delle Pubbliche Amministrazioni, c.d. “IPA”9,
attraverso la quale viene assegnato a ciascun ufficio un
codice univoco reso pubblico tramite il sito
www.indicepa.gov.it. La mancanza dell’indicazione di
tale codice nella fattura comporta il rifiuto della stessa
da parte del Sistema di Interscambio.
I provvedimenti in arrivo
Siamo ancora infatti in attesa della pubblicazione di
altri due provvedimenti importanti, che segneranno il
cammino verso la completa digitalizzazione del sistema
fiscale, anche pubblico: (i) il Decreto del Ministero
dell’Economia e delle Finanze per la conservazione
elettronica dei documenti fiscali e (ii) la Legge di conversione del D.L. n. 66/2014 (c.d.“Decreto Renzi”) con
cui è stato introdotto l’obbligo per le fatture elettroniche emesse verso le PA di riportare il Codice Identificativo di Gara (c.d. “CIG”) ed il Codice Unico di Progetto
(c.d. “CUP”), in linea con le disposizioni di cui alla Legge n. 136/2010 in tema di tracciabilità dei flussi finanziari13.
Un cammino, insomma, ancora lungo e tortuoso per le
nostre pubbliche amministrazioni passate alle cronache
degli ultimi anni come esempio di arretratezza ed avversione al cambiamento, soprattutto digitale; cammino che, intanto, spiana la strada agli obiettivi di semplificazione e razionalizzazione del settore pubblico invocati dai cittadini, dalle imprese e, dagli operatori anche
pubblici e che lascia ben sperare per il futuro del nostro
Paese.
Contatto per ulteriori informazioni
Da segnalare, infine, l’obbligo per le imprese fornitrici
di procedere alla c.d. “conservazione sostitutiva10”
delle fatture elettroniche e di nominare altresì un “Responsabile della Conservazione Digitale11”, nel rispetto
9 Il DM n. 55/2013 specifica le regole per l’identificazione univoca
degli uffici centrali e periferici delle amministrazioni destinatarie di
fatture elettroniche.
10 La conservazione sostitutiva è una procedura informatica, regolata
dal D.lgs. n. 82/2005, c.d. “Codice dell’Amministrazione Digitale” e
dal DPCM 13 gennaio 2004, in grado di garantire nel tempo la
validità legale di un documento informatico. La conservazione sostitutiva di documenti informatici avviene attraverso la memorizzazione
in supporti idonei (anche non ottici) e si esaurisce con l’apposizione
del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del
processo.
11 Il Responsabile della Conservazione Digitale è il responsabile della
corretta applicazione della legge e della procedura di conservazione
sostitutiva dei documenti; in particolare, si fa carico dell’apposizione
della marca temporale e della sottoscrizione elettronica del documen-
Elena Urbani
Dottoressa
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
to informatico memorizzato, assumendo la responsabilità del processo e dei singoli atti.
12 Cfr. art. 44, Codice dell’Amministrazione Digitale.
13 Cfr. art. 25, D.L. 66/2014.
7
E-com@Rödl
> Quali regole per l’economia
digitale?
di Pamela Ciarcià e Claudio Finanze, Rödl & Partner
Milano
Il fenomeno dell’economia digitale, prima sottostimato,
definito inizialmente anche dagli addetti ai lavori come
“penauts” (trascurabile), oggi ha assunto connotati di
rivoluzionaria importanza paragonabile all’avvento della
corrente elettrica. La domanda di molti è come può un
sistema di regole che hanno disciplinato la vecchia
economia e che sono nate almeno un cinquantennio
fa, disciplinare oggi questo fenomeno dirompente e
spesso totalmente dematerializzato?
È sotto gli occhi di tutti, in primis delle autorità fiscali
dei singoli paesi, che le grandi multinazionali di internet
generano milioni di profitti che a ben vedere sembrano
essere prodotti sulla rete stessa, non trovando nessuna
collocazione spaziale, se non in qualche paradiso fiscale. È consuetudine che le multinazionali di internet
utilizzino pratiche aggressive di ottimizzazione fiscale
che gli consentano di eludere le tasse nei paesi dove
forniscono i loro servizi per poi dirottare i profitti in
paesi a tassazione ridotta. Ad esempio, Lussemburgo
ed Irlanda sono le mete preferite da Google&Co.

a fini dei redditi, non è necessario creare una sovrastruttura fiscale con un regime di tassazione
separata. Le regole internazionali possono essere
adattate all’economia digitale;

a fini IVA, il principio di tassazione a destinazione è quello raccomandato, cercando di sviluppare il mini One Stop Shop, che dovrebbe essere il
metodo di tassazione preferibile (il soggetto extra UE si iscrive in un Paese Comunitario, l’IVA
viene versata in ogni singolo paese del cliente,
ma l’interfaccia dell’Amministrazione Finanziaria
è unica);

eliminare l’esenzione IVA per le piccole consegne
dai paesi extraeuropei, utilizzando il mini One
Stop Shop;

gli Stati Membri UE devono assumere una posizione comune per ciò che concerne il G20/
OECD Base Erosion e Profit Shifting (BEPS) in
modo da assicurare un unico outcome per
l’intera UE;

le priorità per disciplinare il BEPS sono:
-
Contrastare la concorrenza fiscale dannosa;
-
Revisione dei principi di Transfer pricing (sviluppando nuovi standard come il profit split
methods);
-
Revisione dei concetti di stabile organizzazione;
-
riformare radicalmente il sistema di imposizione fiscale ai fini dei redditi in ottica di lungo periodo, applicando il principio di tassazione a destinazione anche per le imposte dirette.
Semplificazione, Stabilità e Neutralità
Lo scorso 28 maggio, il Gruppo Europeo di Esperti di
tassazione dell’economia digitale ha pubblicato il proprio report con cui cerca di dare le linee guida da applicare; linee guida che devono basarsi su 3 assunti fondamentali: Semplificazione, Stabilità e Neutralità.
L’economia digitale è una grandissima opportunità di
innovazione, investimento, creazione sia di nuovo business che di lavoro e come tale non può essere soffocata da regole vessatorie. Non solo, gli addetti ai lavori
vedono nella tecnologia anche un mezzo per contrastare l’evasione fiscale ed abbassare i costi amministrativi.
Ovviamente non possono realizzarsi di fatto delle discriminazioni per le aziende tradizionali e quelle digitali,
entrambe vanno tassate in modo equo, ma ciò deve
avvenire senza ledere la naturale propensione
all’innovazione. Principio cardine è evitare regimi fiscali
punitivi, garantendo invece un equo trattamento per
prodotti e servizi.
Alla luce di ciò, la maggiori conclusioni riportate nel
report del Gruppo sono:
Il punto di vista Italiano
La Commissione Finanze della Camera, in accordo con
quella di Bilancio, ha lanciato un’indagine conoscitiva
proprio su queste tematiche. L’indagine parlamentare
riguarderà più specificatamente le azioni da intraprendere per cercare di contrastare il fenomeno
dell’erosione della base imponibile. C’era stato un
osteggiato tentativo di contrasto con la Web Tax, che
poi è stata abrogata. Attualmente la discussione è rimandata al summit che si terrà a luglio a Venezia.
Attendiamo fiduciosi i futuri sviluppi.
8
E-com@Rödl
Edizione: Giugno 2014
Contatti per ulteriori informazioni
blocco dell’accesso a siti internet che consentano la
violazione di diritti d’autore altrui. Unica misura di contemperamento è che tali provvedimenti, oltre ad essere
quantomeno in grado di prevenire e disincentivare
violazioni del diritto d’autore, ove individuati nello specifico dal giudice nazionale, non devono essere ritenuti
dall’ISP interessato particolarmente onerosi e/o comunque restrittivi della propria libertà di impresa.
Pamela Ciarcià
Dottore Commercialista
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
Il caso UPC Telekabel
Claudio Finanze
Dottore Commercialista
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
> Vecchie e nuove questioni in tema
di responsabilità degli Internet Service Provider
di Silvia Cocozza, Rödl & Partner Milano
La Corte di Giustizia UE torna ad occuparsi delle misure
che possono essere richieste ad un Internet Service
Provider (di seguito, “ISP”) nel caso in cui quest’ultimo
consenta ai propri abbonati l’accesso ad un sito internet che viola i diritti d’autore altrui.
La Corte, che due anni prima aveva escluso che un
giudice nazionale potesse imporre l’adozione di sistemi
di filtraggio atti a controllare le informazioni trasmesse,
senza limiti di tempo e a spese esclusive dell’ISP, a titolo preventivo14, legittima ora ingiunzioni generali di
Il riferimento è alle note sentenze C-70/10 del 24 novembre 2011
e C-360/10 del 16 febbraio 2012. Nel primo caso, la Corte di Giustizia dell’Unione Europea ha vietato qualsiasi ingiunzione, da parte di
un giudice nazionale, diretta ad imporre ad un fornitore di accesso
ad Internet di predisporre un sistema di filtraggio per prevenire gli
scaricamenti illegali di file che si applichi indiscriminatamente a tutta
la sua clientela, a titolo preventivo, a sue spese esclusive e senza limiti
di tempo. Nel secondo caso, la stessa Corte ha stabilito che il gestore
di una rete sociale in linea non può essere costretto a predisporre un
14
Partiamo dal principio. La corte austriaca aveva ingiunto all’UPC Telekabel Wien GmbH (di seguito, “UPC
Telekabel”), un ISP austriaco, di impedire ai propri abbonati l’accesso ad un sito internet dal quale era possibile scaricare o vedere, tra gli altri, film protetti da alcuni diritti connessi al diritto d’autore detenuti dalle
case cinematografiche Wega e Constantin Verleih.
L’ordinanza di ingiunzione veniva parzialmente modificata ritenendo il secondo giudice che all’UPC Telekabel
potesse essere richiesto, nella forma di un obbligo di
conseguire un risultato, soltanto di vietare ai suoi abbonati l’accesso al sito contestato, lasciando però libero
il fornitore circa la scelta delle misure da adottare.
Proponeva ricorso per Cassazione l’UPC Telekabel sostenendo di non potere essere considerato un intermediario ai sensi dell’art. 8 par. 3 della Direttiva 2001/29
non
sussistendo
alcun
rapporto
commerciale/contrattuale tra questi e il gestore del sito internet
contestato e che alcune delle misure richieste fossero
oltre che facilmente aggirabili anche eccessivamente
onerose. Otteneva così che la questione venisse risolta
con rinvio pregiudiziale alla Corte di Giustizia UE la
quale rendeva una pronuncia particolarmente significativa.
La posizione della Corte di Giustizia UE
Nel rispondere alla prima delle questioni sollevate, la
Corte, sostanzialmente recependo se stessa, ha confermato l’effetto preventivo delle misure a tutela dei
titolari dei diritti d’autore e connessi chiarendo che
“un’ISP che consente ai propri abbonati l’accesso a un
sito internet che mette a disposizione contenuti protetti
da diritti d’autore o connessi altrui (senza
l’autorizzazione dei rispettivi titolari) è un intermediario
ai sensi dell’articolo 8, paragrafo 3, della Direttiva
29/2001” e ciò a prescindere dalla dimostrazione che vi
sia un rapporto particolare tra il soggetto che commette la violazione e l’intermediario e che gli abbonanti
consultino effettivamente i materiali contestati.
sistema di filtraggio generale riguardante tutti i suoi utenti per prevenire l’utilizzo illecito di opere musicali e audiovisive.
9
E-com@Rödl
La Corte non manca, però, di ribadire il proprio atteggiamento di favore nei confronti degli ISP, in considerazione dell’incontestata pericolosità dell’imposizione in
capo a questi ultimi di obblighi di controllo fortemente
onerosi e lesivi di altre libertà fondamentali dell’Unione:
“i diritti fondamentali riconosciuti dal diritto
dell’Unione - afferma la Corte - devono essere interpretati nel senso che non ostano a che sia vietato, con
un’ingiunzione pronunciata da un giudice, a un fornitore di accesso ad internet di concedere ai suoi abbonati
l’accesso ad un sito Internet che metta in rete materiali
protetti senza il consenso dei titolari dei diritti, qualora
tale ingiunzione non specifichi quali misure tale fornitore d’accesso deve adottare e quest’ultimo possa evitare
sanzioni per la violazione di tale ingiunzione dimostrando di aver adottato tutte le misure ragionevoli, a
condizione tuttavia che, da un lato, le misure adottate
non privino inutilmente gli utenti di Internet della possibilità di accedere in modo lecito alle informazioni
disponibili e, dall’altro, che tali misure abbiano l’effetto
di impedire o, almeno , di rendere difficilmente realizzabili le consultazioni non autorizzate dei materiali
protetti e di scoraggiare seriamente gli utenti di internet che ricorrono ai servizi del destinatario di questa
stessa ingiunzione dal consultare tali materiali messi a
loro disposizione in violazione del diritto di proprietà
intellettuale, circostanza che spetta alle autorità e ai
giudici nazionali verificare”.
Secondo la Corte, un’ingiunzione come quella imposta
a UPC Telebakel non pregiudica il diritto di
quest’ultimo alla libertà di impresa in quanto lascia a
quest’ultimo l’onere di determinare le misure concrete
da adottare per raggiungere il risultato perseguito nonché la possibilità di sottrarsi alla propria responsabilità
qualora dimostri di aver adottato tutte le misure ragionevoli. Chi fa da sé, fa per tre dunque.
proprio perché lesiva del diritto alla privacy degli internauti15.
Quanto sembra essere sfuggito alla Corte. E cioè che
lasciare in capo all’ISP non soltanto la scelta delle misure (anche preventive) da adottare per la tutela dei diritti
d’autore e connessi sul web, ma altresì l’onere di individuare quelle misure effettivamente in grado di bilanciare tra loro interessi e diritti fondamentali e contrapposti, rischia di riannodare gli stessi fili che la Corte ha
cercato di sciogliere. Al futuro l’ardua risposta.
Contatto per ulteriori informazioni
Silvia Cocozza
Dottoressa
Tel.:
+ 39 02.6328841
E-Mail: [email protected]
> L’e-procurement “si fa largo”
di Tiziana Fiorella, Rödl & Partner Milano
Anche l’amministrazione pubblica si aggiorna ed
estende l’ambito di applicazione dell’appalto per
l’acquisto di beni e servizi tramite strumenti elettronici,
ovvero quello che è più comunemente conosciuto come e-procurement16.
Il tema irrisolto
Ma what if nel caso in cui al fine di “non privare inutilmente gli utenti di internet della possibilità di accedere in modo lecito alle informazioni disponibili”, l’ISP
dovesse ritenere opportuno, ad esempio, bloccare
l’accesso esclusivamente a quei contenuti che costituiscono violazione di diritti altrui? Decisione, si badi,
tecnicamente possibile, ma attuabile soltanto attraverso
l’adozione da parte degli ISP di sistemi di filtraggio
come tali implicanti l’ispezione del traffico dei singoli
utenti: pratica, questa, che oltre ad essere contraria al
diritto dell’Unione (che esclude la sussistenza in capo
agli ISP di un generale obbligo di controllo e sorveglianza), è stata dichiarata illecita dalla stessa Corte
E’ solo del 23 giugno u.s., la pubblicazione della legge
di conversione17 del Decreto Legge n. 66/2014, rubricato “Misure urgenti per la competitività e la giustizia
sociale”, con la quale il Senato ha previsto, tra altro, la
possibilità di utilizzare strumenti elettronici - gestiti da
Ciò è possibile, infatti, esclusivamente con riferimento a siti internet che utilizzano la tecnologia cd. Deep Packed Inspection, la quale
soltanto consente agli amministratori di rete e ai provider di identificare e distinguere un certo tipo di pacchetti di dati da un altro in
circolazione all’interno del network.
16 In particolare, con il termine “e-procurement” ci si riferisce al
Sistema informatico predisposto dal MEF, tramite Consip, costituito
da soluzioni e strumenti elettronici e telematici che consentono
l’effettuazione delle procedure telematiche di approvvigionamento
previste dagli Strumenti di Acquisto, nel rispetto della normativa
vigente in materia di approvvigionamenti della Pubblica Amministrazione, e l’utilizzo di altri servizi telematici dedicati agli Utenti.
17 Legge n. 89/2014. 15
10
E-com@Rödl
Edizione: Giugno 2014
Consip S.p.A. o da altri soggetti aggregatori di riferimento - di acquisto per l’acquisizione di beni e servizi.
Tuttavia segnaliamo che la norma non introduce una
nuova procedura in materia di e-procurement, già prevista infatti dalla vecchia formulazione dell’art. 33
comma 3 bis del D.lgs. 163/2006 c.d. Codice dei Contratti Pubblici, ma la disposizione assume rilievo, laddove estende tale facoltà a tutti i Comuni non capoluogo
di Provincia.
La disposizione si inserisce in un impianto normativo
che vuole condurre (i) ad una riduzione dei costi per le
procedure di aggiudicazione, in particolare attraverso il
potenziamento dei soggetti aggregatori, ovvero le
vecchie “centrali di committenza”, nonché (ii) ad una
accelerazione del processo di riforma, in senso di semplificazione e modernizzazione, della PA, attualmente
al centro delle priorità del nostro legislatore - si pensi
ad esempio c.d. “Decreto PA” - Decreto legge n.
90/2014 – pubblicato in Gazzetta Ufficiale n. 144 del
24 giugno 2014.
Contatti per ulteriori informazioni
Tiziana Fiorella
Avvocato
Tel.: +39 (02) 6 32 88 41
E-Mail: [email protected]
11
E-com@Rödl
Il nostro studio vanta un team di professionisti specializzati nelle aree IT, telecomunicazioni, media, proprietà
intellettuale e diritto commerciale in grado di coniugare
le competenze tecnico-legali e fiscali con una conoscenza approfondita dei settori dell’e-commerce, della
comunicazione, delle tecnologie e regolamentazione
dei nuovi media.
 audit sui siti internet e compliance al D.lgs.
231/2001 nella gestione di siti internet istituzionali
e di social networks;
Alcuni dei servizi offerti da Rödl&Partner in materia di E-commerce, Media e IT law:
 assistenza legale e fiscale nella creazione e gestione di piattaforme di gioco online;
 assistenza legale e fiscale per la creazione e gestione di portali e-commerce;
 redazione di contratti commerciali, condizioni generali, contratti di merchandising, per siti business-to-business e business-to-consumer;
 assistenza legale e fiscale per la tutela del diritto
d’autore e della proprietà intellettuale online;
 assistenza legale in relazione a pratiche commerciali scorrette;
 assistenza nell’ambito di manifestazioni a premio;
 assistenza legale e fiscale di supporto a servizi di
marketing virale;
 uso e tutela dei dati personali raccolti attraverso
siti internet e transazioni elettroniche;
 redazione di contratti informatici e di contratti on
line;
 contratti con ISP;
 contenzioso B2B o B2C;
 assistenza nell’ambito della fiscalità internazionale
ed e-payment.
“Ogni singola persona conta“, per i Castellers e per noi.
Verso il successo
„La nostra filosofia è condividere gli obiettivi dei nostri assistiti in una visione globale e
imprenditoriale. Pensiamo al cliente e al mercato in cui opera, ne condividiamo le finalità
e impostiamo la nostra consulenza con l’obiettivo di accompagnarlo verso il successo.“
Rödl & Partner
„ Non perdiamo mai di vista lo scopo del nostro impegno. Un chiaro obiettivo ci aiuta a
scorgere gli errori, le debolezze e rischi e ad evitarli per tempo. Solo quando la strada è
libera dagli ostacoli, iniziamo la scalata, ma avendo sempre ben presente quale sia la nostra meta.“
Castelleres de Barcelona
Imprint “E-commerce, Media and IT Law”, edizione giugno 2014
Redazione:
Rödl & Partner
Largo Donegani 2, 20121 Milano
Tel.: +39 02 6328841 | www.roedl.com/it
Responsabile di
redazione:
Paolo Peroni – [email protected]
Carlo Impalà – [email protected]
Largo Donegani 2, 20121 Milano
Responsabile grafica:
Rödl & Partner, sede di Milano
Le “torri umane” simboleggiano in modo straordinario la cultura di
Rödl & Partner. Incarnano la nostra filosofia di coesione, equilibrio,
coraggio e spirito di squadra. Mostrano la crescita che scaturisce
dalle proprie forze, elemento che ha fatto di Rödl & Partner quello
che è oggi.
„Força, Equilibri, Valor i Seny“ (Forza, equilibrio, coraggio e intelligenza) sono i valori dei Castellers, così vicini ai nostri. Per questo,
nel maggio 2011, Rödl & Partner ha stretto una cooperazione con i
Castellers di Barcellona, ambasciatori nel mondo dell’antica tradizione delle “torri umane”. L’associazione catalana incarna, insieme a
molte altre, questa preziosa eredità culturale.
La presente informativa è redatta a cura di Rödl & Partner e non è destinata alla stampa.
Rödl & Partner non assume alcuna responsabilità in relazione ai contenuti della presente
informativa né in merito alla veridicità, attualità o completezza delle informazioni o in
merito a decisioni eventualmente assunte in seguito alla lettura, anche per estratto, della
medesima. Le informazioni e valutazioni ivi contenute hanno carattere generale, non
costituiscono parere legale o fiscale, né esame esaustivo dei temi trattati, non potendo
sostituire né intendersi quali servizi di consulenza legale o tributaria personalizzati che
raccomandiamo di richiedere ove foste interessati all’analisi e trattazione di questioni e
casi concreti.
L'intero contenuto dell’informativa costituisce proprietà intellettuale di Rödl & Partner ed
è protetto da copyright. È consentito scaricare, stampare o copiare la informativa esclusivamente per uso personale. Qualsiasi modifica, copia, divulgazione o libera riproduzione
dei contenuti o di parti di essi, sia online che offline, necessitano di preventiva autorizzazione scritta da parte di Rödl & Partner.
12