Oggi ci soffermiamo sul Regolamento Europeo per la Protezione dei dati personali, con l’attenzione sulle implicazioni in materia di commercio elettronico.
Il Regolamento è una fonte giuridica dotata della così detta “efficacia orizzontale”, il che sta a significare che le disposizioni di esso sono rivendicabili in ogni sede (stragiudiziale e giudiziale) tra i privati operanti a qualsiasi titolo o residenti nell’Unione Europea. Ciò comporta che eventuali violazioni al Regolamento non danno alla vittima il diritto di chiedere giustizia contro lo Stato che non avrebbe adeguato in tempo la propria normativa (ecco cosa si intende per “efficacia verticale”, caratteristica delle “Direttive”), bensì abilitano la vittima a pretendere il rispetto delle regole direttamente dal soggetto responsabile.
Nell’ambito del commercio elettronico, che per definizione è “a-territoriale”, il Regolamento si applica anche alle imprese con sede al di fuori della UE ma che abbiano clienti all’interno di essa, il che comporta che, di fatto, esso dovrà essere rispettato da imprese e operatori aventi sede in ogni parte del mondo, ove pretendano di vendere beni o servizi a cittadini o imprese con sede in UE.
Dal lato delle imprese che vendono on line gli adempimenti di maggiore peso consisteranno in:
- aggiornare le formule di avviso e di richiesta di consenso per l’uso dei dati dei clienti, specie se utilizzati non solo per soddisfare gli ordini ricevuti ma anche a fini di elaborazione (“profilazione”) per attività pubblicitaria o di marketing proprio o di terzi;
- verificare se le applicazioni/banner/link/finestre di operatori terzi presenti sul proprio sito appartengano ad imprese che si sono adeguate alle prescrizioni regolamentari;
- valutare l’impatto sulla propria organizzazione interna, con specifico riferimento alla capacità di evadere con puntualità e precisione le richieste di accesso/modifica/cancellazione di dati che gli utenti possano rivolgere in ogni tempo.
Da ultimo è importante sapere che, secondo il Regolamento, anche l’indirizzo IP del proprio PC rientra oggi -a differenza che in passato- nella nozione di “dato personale”, in quanto identifica un dispositivo associato al suo proprietario, persona fisica o impresa che sia.
Sarà dunque possibile, per un cittadino UE, chiedere a un’impresa anche extra-UE di cancellare dal suo archivio la cronologia dei propri acquisti operati tramite il sito dell’impresa stessa, sotto pena delle azioni e sanzioni previste dalla nuova normativa.
Nella foto Avv. Diego Maria Poggi, Torino
