SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2019 - Lara Bianchini
1. Termini e condizioni della
contrattualistica online
Compliance legale: fattore strategico
di un e-commerce di successo
2. Quali sono i profili da analizzare per lo sviluppo di un e-commerce di
successo? Quali sono le particolarità se l’e-commerce viene sviluppato
tramite APP?
2
CONTRATTUALISTICA
DATA
PROTECTION
INTELLECTUAL
PROPERTY
CYBERSECURITY DIRITTO DEL LAVORO
3. DISEGNA UN
PROGETTO CHE
RISPETTI LA
NORMATIVA
APPLICABILE
AGGIORNA
COSTANTEMENTE IL TUO
E-COMMERCE E
PIANIFICA CONTINUI
MIGLIORAMENTI
SVILUPPA IL PROGETTO
SEGUENDO UN PIANO
D’AZIONE
CONTROLLA CHE QUANTO
IMPLEMENTATO RISPECCHI
SEMPRE LE MIGLIORI PRASSI
E SIA AGGIORNATO ALLE
NORMATIVE IN VIGORE
4. LE CONDIZIONI GENERALI DI
CONTRATTO
• Art. 1341 c.c.
• Condizioni predisposte da uno solo dei
contraenti nei confronti di una generalità
di utenti non ancora identificati
• Per essere efficaci devono essere
conosciute o conoscibili «usando
l’ordinaria diligenza»
• Sono efficaci anche se non
espressamente approvate (salvo clausole
vessatorie)
• Le clausole vessatorie devono essere
espressamente approvate (art. 1341, c.2,
c.c.)
5. QUALI SONO LE CLAUSOLE VESSATORIE?
5
SANCISCONO
DECADENZE
Il cliente dovrà
sporgere reclamo entro
entro 15 giorni per […]
[…] oltre il quale nulla
nulla sarà dovuto
LIMITAZIONI ALLA
FACOLTÀ DI OPPORRE
ECCEZIONI
Il fornitore non accetterà
reclami qualora la difformità
del bene/servizio riguardi
[…]
LIMITAZIONI DI
RESPONSABILITÀ
Il fornitore non
risponderà di tutti i
danni eventualmente
subiti in ragione di […]
FACOLTÀ DI
RECEDERE DAL
CONTRATTO
In caso di […] è
riconosciuta la facoltà
al fornitore di
recedere dal contratto
entro […] e nessuna
penale sarà dovuta
FACOLTÀ DI
SOSPENDERNE
L‘ESECUZIONE
Il fornitore non assicura la
continuità del servizio e il
cliente rinuncia sin da ora
a […]
RESTRIZIONI ALLA
LIBERTÀ
CONTRATTUALE
Il contratto/servizio è
a esclusivo beneficio
del cliente il quale non
potrà cederlo […]
TACITA PROROGA /
RINNOVAZIONE
Il contratto si rinnoverà
automaticamente 15 giorni
prima della scadenza salvo
espressa disdetta per iscritto
da parte del cliente inviata a
[…]
CLAUSOLE
COMPROMISSORIE
Per ogni controversia che
dovesse insorgere tra le
parti sarà competente a
decidere un collegio
arbitrale […]
DEROGHE ALLA
COMPETENZA
DELL’AUTORITÀ
GIUDIZIARIA
Per ogni controversia che
dovesse insorgere tra le
parti sarà competente il
Tribunale di Milano
6. LE CLAUSOLE
VESSATORIE NEL B2C
• Alcune clausole si «presumono» vessatorie (fino a
prova contraria)
• Irrilevante la buona fede
• Art. 33 del Codice del Consumo
(limitazioni di responsabilità o azioni, divieto di
compensazione, diritto a trattenere somme di denaro,
pagamenti anticipati, modifiche unilaterali,
determinazioni arbitrarie del prezzo, sostituzione del
soggetto che svolgerà la prestazione, ostacoli all’adr,
eccessive formalità)
• Art. 36 del Codice del Consumo
(esclusione o limitazione di responsabilità in caso di
morte o danno alla persona, esclusione o limitazione di
responsabilità in caso di inadempimento, adesione del
consumatore a clausole che non ha conosciuto
precedentemente)
6
7. COME SI APPROVANO LE CLAUSOLE
VESSATORIE?
Sia nei contratti B2B che B2C, per
essere valide ed applicabili, le
clausole contrattuali che gravano
sulla parte più debole devono essere
specificamente approvate per iscritto:
• consegna di una copia stampata
del contratto, contenente la
doppia firma;
• firma digitale o elettronica (non
molto comune);
• un secondo e specifico «point &
click»
7
8. FOCUS: ESCLUSIONE O
LIMITAZIONE DI AZIONI O
DIRITTI DEL CONSUMATORE
È abusiva la clausola (nella specie di un contratto
avente ad oggetto un corso professionale) con la
quale il consumatore rinuncia alla facoltà di
recesso e si assume l’obbligo di corrispondere
comunque l’intero importo pattuito.
(Cass. 17 Marzo 2010, n. 6481)
8
9. È vessatoria la clausola, contenuta nelle
condizioni generali di contratto, che riconosce
unilateralmente al professionista la facoltà di
modificare le disposizioni economiche del
rapporto contrattuale, anche in assenza di un
giustificato motivo.
(Cass. 21 Maggio 2008, n. 13051)
FOCUS: MODIFICHE
UNILATERALI
9
10. FOCUS:
FORO COMPETENTE
Risoluzione delle
controversie online (ODR): ai
sensi dell'articolo 14 del
Regolamento (UE) n.
524/2013, tutti i rivenditori e
commercianti online stabiliti
nell'Unione Europea devono
fornire sui loro siti web un
link facilmente accessibile
alla piattaforma ODR e un
indirizzo e-mail per la
piattaforma ODR.
10
Risoluzione delle controversie
(ADR): la norma definisce le
procedure - giurisdizione e legge
applicabile - che devono essere
seguite in caso di controversia.
• B2C ► Tribunale del luogo di
residenza/domicilio del
consumatore
• B2B ► Tribunale del luogo in
cui ha sede o domicilio il
convenuto (fatta salva
l'autonomia delle parti)
11. FOCUS: LEGGE APPLICABILE
Articolo 6, Regolamento (UE) n. 593/2008 sulla
legge applicabile alle obbligazioni contrattuali
(Roma I)
La scelta della legge applicabile non può mai
privare il consumatore della protezione assicuratagli
dalle disposizioni cui non è permesso derogare
convenzionalmente ai sensi della legge che, in
mancanza di scelta, sarebbe stata applicabile
(ovverosia, la legge del paese in cui il consumatore
ha la sua residenza abituale).
Valutare sempre la compatibilità delle disposizioni
contrattuali con le norme dei paesi di residenza dei
consumatori (es. momento di conclusione del
contratto, diritto di recesso, consegna).
12. OBBLIGHI INFORMATIVI
• Articolo 7 della legge sul commercio elettronico sulle informazioni
generali obbligatorie da fornire agli utenti;
• Articoli 8-9 della legge sul commercio elettronico sul contenuto
delle informazioni richieste per la comunicazione commerciale;
• Articolo 12 del Decreto Legislativo n. 70/2003 sul contenuto delle
informazioni richieste per la conclusione del contratto;
• Articolo 49 del decreto legislativo n. 206/2005 ("Codice del
consumo") sulle informazioni da fornire ai consumatori per la
conclusione di contratti a distanza e negoziati fuori dei locali
commerciali (B2C)
• Articolo 52 del Codice del consumo in relazione al diritto di
recesso
12
13. VIOLAZIONI E SANZIONI
• Ai sensi dell'articolo 21 del d. lgs. 70/2003,
qualsiasi violazione degli obblighi informativi
può comportare sanzioni pecuniarie da Euro
103,00 ad Euro 10.000,00, che possono
inasprirsi nel caso di pratiche commerciali
scorrette.
• In aggiunta:
o la nullità del contratto;
o l’annullabilità del contratto per mancanza di
informazioni complete;
o Proroga del termine per l'esercizio del diritto
di recesso (fino ad 1 anno).
14. 14
COS’ È UN APP?
“Software application often designed for a specific
task and targeted at a particular set of smart
devices such as:-smartphones-tablet computers -
internet connected televisions”
(Opinion n. 2/2013 on apps on smart devices –WP29)
15. DATA PROTECTION E CYBERSECURITY - LA NORMATIVA
APPLICABILE E STANDARD APPLICABILI
REGOLAMENTO EU679/2016
(GDPR)
DIRETTIVA E- PRIVACY
OWASP (Open Web
Application Security Project)
application security standard
16. QUALI DATI TRATTA UN APP?
NOME COGNOME SESSO/ETA’
INDIRIZZO
DATA DI NASCITA
POSIZIONE
DATI DI SPEDIZIONE
DATI DI FATTURAZIONE
CONTATTO EMAIL
16
COSA DEVO FARE PER
PROTEGGERE QUESTI
DATI?
DATA PROTECTION REQUIREMENTS
ANALYSIS
CYBERSECURITY ANALYSIS
18. L’informativa privacy
CONTENUTI PRINCIPALI
chi è il titolare;
quali sono i trattamenti effettuati;
l’origine delle informazioni, se non è l’utente;
quali sono i dati trattati;
eventuali comunicazioni a terzi;
come esercitare i diritti;
misure di sicurezza;
periodo di conservazione
DOVE?
L’informativa deve essere resa prima che
il trattamento dei dati venga effettuato.
Quindi?
all’interno dell’app store (anche solo in
formato sintetico/link);
all’interno della app;
all’interno del sito dello sviluppatore
18
19. Richiesta di consensi – quando serve?
Requisiti del consenso ai sensi del GDPR
● libero: l’utente può essere libero di accettare o meno senza
che questo possa pregiudicare l’utilizzo dell’app;
● informato: l’utente deve essere a conoscenza del tipo di
trattamento prima di prestare il consenso (es. informativa già
in fase di download, ad esempio con riferimento alla
geolocalizzazione);
● specifico: granulare, separato per finalità;
● inequivocabile: tramite un’azione certamente rivolta in tal
senso.
Requisiti ai sensi della direttiva e-privacy
• Al fine di installare informazioni nel device dell’utente;
• per consentire l’accesso a informazioni già presenti nel
device dell’utente (ad es., la rubrica, le foto, etc.)
20. CONSENSO PER LA GEOLOCALIZZAZIONE
spot: possibilità di essere geolocalizzati una tantum (ad es., nel caso in cui si intenda
trovare un benzinaio nelle vicinanze). Deve essere fornito il consenso;
continuativa quando si accede la app: deve essere fornito il consenso;
continuativa, anche se la app non è aperta: deve essere fornito il consenso e deve
essere presente un simbolo che avvisa l’utente del fatto che viene tracciata la sua
posizione / deve essere inviato un messaggio che avvisa l’utente del tracciamento su
base continuativa.
ESEMPIO
21. Revoca del consenso ed esercizio dei diritti
Il consenso è libero
L’utente come è libero di prestarlo è libero anche di revocarlo in qualsiasi momento
PRINCIPIO DI TRASPARENZA
1. Prevedere una sezione all’interno dell’app per la gestione dei consensi.
2. Ricordare all’utente periodicamente dei consensi prestati in modo che sia consapevole dei
trattamenti in corso.
22. ALTRE MISURE ORGANIZZATIVE ADEGUATE
MODELLO
ORGANIZZATIVO
PRIVACY
Referenti interni
Incaricati/autorizzati
Ads
DPO
Formazione
INFORMATIVE
Dipendenti
Sito web
Candidati
Fornitori/Consulenti
Visitatori
Videosorveglianza
CONSENSI
Marketing
Profilazione
Geolocalizzazione
Comunicazione
DATA BREACH
Policy per la gestione
del breach
Metodologia per la
quantificazione del
breach (Enisa 2013)
GESTIONE DIRITTI
INTERESSATO
Accesso, Oblio,
Rettifica, Portabilità,
Opposizione,
Limitazione
Policy per diritti
GESTIONE TERZE
PARTI
DPA
Policy per qualificazione
terze parti
RISK e PRIVACY
ASSESSMENT
Policy per la valutazione
del rischio e dell’impatto
del trattamento,
necessario per
determinare misure
adeguate
PRIVACY BY DESIGN
Policy e approccio di
incorporazione della
privacy a partire dalla
progettazione di un
processo aziendale
REGISTRI DEL
TRATTAMENTO
con + 250 dipendenti
se trattamento di dati
particolari (art. 9)
o rischio per libertà
fondamentali (es.
profilazione su larga
scala)
DATA RETENTION
Policy e metodologia di
data retention
Retention per dato,
trattamento e sistema
23. CYBERSECURITY E L’ADEGUATEZZA DELLE MISURE: GLI
STANDARD OWASP
● Il Mobile AppSec Verification definisce due livelli di verifica di sicurezza (L1 e L2):
L1 Standard security level;
L2 Defense in depth;
● nonché determinati requisiti di resilienza del reverse engineering (MASVS-R):
24. Come scegliere lo standard di sicurezza adeguato?
24
• Pratiche di sicurezza che possono essere seguite con un impatto
ragionevole su costi di sviluppo e di esperienza utente(…) per
tutte le applicazioni che non si qualificano per uno dei livelli più
alti
MASVS-L1
•Per le applicazioni dell’industria finanziaria o sanitariaMASVS-L2
• Applicazioni mobili in cui la protezione della proprietà
intellettuale (IP) è un obiettivo aziendale o per il mondo del
gaming preventivando controlli anti-manomissione o anti-baro.
MASVS L1+R
•Per le applicazioni dell’industria finanziaria come online banking o
app che permettono la gestione dei fondi o app che trattano dati
estremamente sensibili. I controlli di resilienza possono essere
utilizzati come una misura di difesa approfondita per aumentare lo
sforzo per gli aggressori che mirano ad estrarre i dati sensibili.
MASVS L2 + R:
26. COSA SUCCEDE QUANDO SI RIMUOVE UN’APP?
Il sistema operativo dovrebbe assicurare che le APP inviino il segnale allo
sviluppatore della app
Cancellazione account Rimozione APP dal device
27. IN CASO DI INUTILIZZO PROLUNGATO DELLA APP?
Lo sviluppatore dovrebbe considerarlo come un account
chiuso, dopo il decorso di un periodo di tempo predefinito
indicato nell’informativa.
28. RACHELE FINOCCHITO
Associate, Lawyer
rachele.finocchito@roedl.it
28
LARA BIANCHINI
Associate, Lawyer
lara.bianchini@roedl.it
SERENA GIANVECCHIO
Junior Associate, Lawyer Trainee
serena.gianvecchio@roedl.it
Avvocati, Dottori Commercialisti, Revisori
Legali e Consulenti del Lavoro
Attorneys-at-Law, Tax Consultants,
Certified Public Accountants and Labour
Consultancy
Rechtsanwälte, Steuerberater,
Wirtschaftsprüfer, Arbeitsrechtsberater