Durante questo secondo quadrimestre 2023 sono emerse diverse novità dal punto di vista regolamentare; tra queste Netcomm ha selezionato tre importanti aggiornamenti di diretto impatto sul commercio digitale.
Il primo da segnalare concerne senza dubbio la nuova Decisione di Adeguatezza, del 10 luglio 2023, con la quale la Commissione Europea ha ufficialmente approvato il “EU-US Data Privacy Framework”, ovvero il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti; ne parliamo per le importanti conseguenze che il nuovo quadro normativo determina nell’ambito del trattamento dei dati da parte delle imprese che intrattengono relazioni commerciali con gli Stati Uniti.
La seconda novità concerne il Payment Package presentato dalla Commissione Europea il 28 giugno 2023 con il quale la Commissione avvia un’iniziativa di aggiornamento del servizi di pagamento in Europa; anche in questo caso gli effetti per le imprese e i consumatori saranno molto importanti.
Il terzo tema da segnalare riguarda la Direttiva Omnibus; sebbene non si tratti propriamente di una novità – posto che il decreto legislativo di recepimento della direttiva è stato emanato lo scorso marzo 2023, mediante il D.Lgs. 26/2023 – l’applicazione delle nuove regole sta entrando sempre più nel vivo e l’avvio dei saldi di fine stagione rappresentano un importante banco di prova per le imprese impegnate nell’adeguamento.
Si riporta qui di seguito una breve panoramica degli aspetti più rilevanti di tali iniziative.
La Commissione europea adotta una nuova decisione di adeguatezza per la circolazione dei flussi di dati UE-USA.
La nuova decisione di adeguatezza pubblicata lo scorso 10 luglio 2023 dalla Commissione Europea rappresenta il punto di arrivo, forse, di un percorso avviato da tempo di grande impatto per le imprese. Per comprendere la portata della questione occorre fare un passo indietro e fornire qualche elemento di contesto.
L’articolo 45, paragrafo 3, del regolamento generale sulla protezione dei dati (GDPR) stabilisce il potere della Commissione di decidere che un paese terzo garantisce “un livello di protezione adeguato”, ossia un livello sostanzialmente equivalente a quello presente nell’UE. La conseguenza di tale valutazione di “adeguatezza” ha come effetto la possibilità per un soggetto di poter trasmettere i dati personali dall’UE (e dalla Norvegia, dal Liechtenstein e dall’Islanda) verso un paese terzo senza ulteriori cautele. Nell’ambito della relazione tra Unione Europea e Stati Uniti questo livello di protezione è stato messo in discussione per ben due volte.
La nuova decisione interviene, infatti, a seguito dell’invalidamento delle precedenti due decisioni di adeguatezza[1] (nel 2016 e nel 2020) e il conseguente impegno da parte degli Stati Uniti di rivedere alcuni aspetti controversi per adeguarsi agli standard europei; il primo passo in questo senso è stato l’Executive Order promulgato dal Presidente Biden il 7 ottobre 2022 a seguito dal quale vi è stata la pubblicazione della bozza di Decisione di Adeguatezza del 13 dicembre 2022 da parte della Commissione Europea e l’avvio dell’iter di ratifica del testo, percorso concluso – con non poche difficoltà e dubbi – in data 10 luglio con la pubblicazione della nuova decisione di adeguatezza.
Il nuovo quadro UE-USA per la protezione dei dati personali introduce nuovi criteri e nuovi organi di garanzia negli Stati Uniti. In particolare, si segnalano per sommi capi i seguenti aspetti.
Sono introdotte nuove procedure di trattamento e di limitazione all’accesso dei dati personali dei cittadini europei da parte delle autorità pubbliche statunitensi a quanto necessario e proporzionato (ovvero per finalità di contrasto penale e di sicurezza nazionale), in conformità con l’Executive Order. È istituito un doppio livello di tutela per risolvere i reclami sollevati dai cittadini europei ed in particolare l’istituzione di un Tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), indipendente, che potrà esaminare i reclami presentati dai cittadini europei adottando misure correttive e vincolanti, come ad esempio, la cancellazione dei dati raccolti in violazione. Viene introdotto (nuovamente) un regime di “(auto)certificazione” delle imprese statunitensi che vorranno aderire al nuovo quadro UE-USA. Le società americane dovranno quindi conformarsi ai principi privacy tipici del regolamento europeo con un meccanismo di verifica periodico sul mantenimento degli standard e del rispetto dei principi. Il regime di certificazione sarà amministrato dal Dipartimento del Commercio degli Stati Uniti che controllerà la conformità delle aziende statunitensi e il rispetto degli obblighi previsti dal nuovo framework; il dipartimento collaborerà con le autorità europee sulle attività di verifica dei requisiti e mantenimento degli stessi e sull’adempimento.
La pubblicazione della nuova decisione di adeguatezza rappresenta, quindi, un’importante svolta per tutte le aziende che – ad esempio – hanno relazioni commerciali con gli Stati Uniti, che operano nell’ambito della ricerca scientifica o che, più in generale, hanno la necessità di trasferire i dati personali negli Stati Uniti per via dell’utilizzo dei servizi erogati dalle imprese statunitensi (dai servizi cloud, ai social media, alle piattaforme di comunicazione) e che potranno svolgere tali attività di trattamento (compreso il trasferimento) più agilmente. Molti ricorderanno le serie difficoltà riscontrate a seguito della Sentenza Schrems II non riuscendo spesso a gestire legittimamente tali trasferimenti attraverso gli altri strumenti previsti dal Capo V del Regolamento 679/2016 (come, ad esempio, le Clausole contrattuali standard), con la precisazione che la decisione di adeguatezza potrà affiancarsi agli altri strumenti previsti dagli articoli 46 e seguenti del GDPR attualmente in uso dalle aziende andando quindi a fornire maggiori garanzie di conformità dei trattamenti.
La decisione di adeguatezza è immediatamente esecutiva, sarà comunque necessario attendere la piena operatività dei nuovi istituti introdotti dal quadro UE-USA; nel frattempo, sarà importante per le imprese iniziare ad approfondire il testo per comprendere come gestire e come adeguarsi al nuovo quadro normativo e, al tempo stesso, monitorare l’andamento applicativo delle nuove norme[2].
Il nuovo Payment Package e gli impatti sul commercio digitale
Il secondo tema da segnalare afferisce l’ambito dei pagamenti. Tale settore rappresenta uno dei più dinamici nel contesto evolutivo; i pagamenti hanno assunto oramai un ruolo centrale nella relazione tra impresa e cliente andando ben oltre la mera transazione e trasformandosi in una leva strategica determinante, soprattutto nell’ambito del commercio digitale, ma non solo. Il processo evolutivo è in corso da tempo grazie alla concomitanza di alcuni fattori: l’innovazione tecnologica, il quadro regolamentare, che ha permesso lo sviluppo di nuovi modelli (a partire dalla PSD2), e la pandemia (che ha permesso a molti utenti di superare i timori sull’utilizzo di tali strumenti nel contesto digitale).
Al fine di stimolare e supportare tali evoluzioni, la Commissione europea ha presentato, in data 28 giugno 2023, l’iniziativa “Payment Package” che comprende una serie di interventi normativi volti ad aggiornare e innovare il quadro normativo esistente. L’iniziativa comprende: la terza Direttiva sui servizi di pagamento (PSD3 – “Payment Services Directive”), il Regolamento sui servizi di pagamento (PSR – “Payment Services Regulation”) e il quadro per l’accesso ai dati finanziari (FIDA – “Financial Data Access”). Contestualmente, la Commissione ha inoltre presentato l’iniziativa per l’Euro Digitale.
In particolare, la Commissione ha inteso procedere all’evoluzione dell’attuale normativa in materia di servizi di pagamento attraverso le due nuove proposte sopra menzionate.
Da un lato, la terza direttiva sui servizi di pagamento (PSD3) si occuperà dei regimi di autorizzazione e vigilanza degli Istituti di Pagamento rafforzandone la regolamentazione; di fatto rappresenta un’evoluzione della precedente direttiva con ulteriori aggiornamenti che permetteranno di chiarire il quadro di regolamentazione e fornire maggiore trasparenza ed efficienza sui soggetti autorizzati.
Dall’altro lato, il Regolamento sui Servizi di Pagamento (PSR) aggiorna e innova il quadro delineato dalla PSD2 mediante lo strumento del Regolamento; la Commissione mira a garantire maggiore uniformità da parte dei singoli Stati membri su alcuni aspetti cruciali della norma dal momento che il Regolamento, in termini generali, è direttamente applicabile a differenza della Direttiva che necessita di essere recepita nel singolo Stato.
Il nuovo Regolamento PSR disciplinerà, tra gli altri, gli aspetti afferenti la trasparenza delle condizioni di concorrenza tra istituti bancari e non bancari; favorirà lo sviluppo dell’Open Banking eliminando gli ostacoli esistenti e migliorando il controllo da parte degli utenti sui propri dati di pagamento; offrirà maggiori tutele ai consumatori apportando più trasparenza in casi di blocco temporaneo dei fondi, nei resoconti e nelle spese degli sportelli automatici; da menzionare, inoltre, le norme volte al contrasto delle frodi (attraverso l’introduzione di un sistema di verifica obbligatoria che allinea i numeri IBAN dei beneficiari con i nomi dei conti correnti). Il PSR copre anche l’autorizzazione dei pagamenti (inclusi chiarimenti sul regime di responsabilità) e introduce alcune modifiche alla Strong Customer Authentication e chiarimenti applicativi su alcune fattispecie (come le transazioni Mail Order Telephone Order – M.O.T.O).
Come anzidetto, contestualmente, la Commissione ha pubblicato la sua proposta di Regolamento sull’Euro Digitale, mediante il quale intende istituire l’euro digitale e disciplinarne gli aspetti essenziali per garantirne l’utilizzo come moneta unica in tutta la zona euro. Si tratta di un’iniziativa di grande impatto e di non semplice implementazione.
Sarà interessante monitorare l’evoluzione dell’iter normativo e gli impatti che tali norme porteranno per imprese e cittadini[3].
Il recepimento della direttiva Omnibus e le modifiche al Codice del Consumo.
La Direttiva (UE) 2019/2161 (nota come Direttiva Omnibus) rientra nell’iniziativa del Legislatore Europeo “New Deal for Consumers” ed ha come obiettivo l’adeguamento delle norme in materia di protezione dei consumatori all’evoluzione del mercato digitale. Il legislatore europeo mira, infatti, a garantire maggiori tutele per i consumatori, favorendo la consapevolezza nelle scelte di acquisto e, al tempo stesso, aumentare la trasparenza delle pratiche commerciali praticate dai professionisti.
Il Decreto Legislativo 7 marzo 2023 n. 26 ha recepito la Direttiva Omnibus nel nostro ordinamento aggiornando il Codice del Consumo (D.lgs. 206/2005). Le modifiche sono entrate in vigore il 2 aprile 2023, fatta eccezione per le norme relative all’indicazione dei prezzi di vendita in caso di riduzioni, operative dal 1° luglio 2023.
In estrema sintesi, il D.lgs. 26/2023:
- aggiorna e modernizza il Codice del Consumo adeguandolo alle dinamiche dell’online: sono infatti previste nuove fattispecie e definizioni tipiche del commercio digitale come ad esempio “mercato online”, “servizi digitali”, “contenuto digitale”, “ricerca online”, “recensioni online”.
- Rafforza le tutele del consumatore introducendo ulteriori obblighi di trasparenza e informativi a carico del professionista in relazione a diversi aspetti divenuti oramai centrali nelle dinamiche di mercato: dall’indicazione dei prezzi di vendita e applicazione di ribassi all’utilizzo di servizi di recensioni online; dall’utilizzo di sistemi automatizzati per la determinazione dei prezzi di vendita.
- introduce nuove fattispecie considerate «pratiche commerciali scorrette» e rafforza il regime sanzionatorio in caso di violazione delle norme;
- estende le tutele a favore del consumatore anche nel caso di acquisto previo conferimento dei dati personali;
- introduce nuove regole per il recesso.
Si tratta quindi di novità importanti e di ampia portata; occorre infatti precisare che le nuove norme si applicano indistintamente a tutti i professionisti che si rivolgono ai consumatori, indipendentemente dal canale di vendita utilizzato (negozio fisico, catalogo, oppure portale di e-commerce); è altresì vero che le novità di maggiore impatto concernono come anzidetto gli operatori che svolgono la loro attività online. Uno dei punti di maggiore attenzione è costituito dal rafforzamento degli obblighi informativi a carico del professionista che opera tramite web. Uno degli obiettivi principali perseguiti dal legislatore è quello di fornire al consumatore un quadro chiaro del rapporto contrattuale che sta per concludere.
Tra gli aspetti di maggiore impatto per le imprese occorre tuttavia menzionare il tema degli Annunci di riduzione dei prezzi. La Direttiva Omnibus è intervenuta sugli aspetti di comunicazione delle riduzioni di prezzo al fine di contrastare pratiche commerciali distorsive che generano nel consumatore il convincimento di una convenienza economica non veritiera (come ad esempio, l’incremento del prezzo di vendita applicato su un prodotto in prossimità di campagne promozionali, per poi applicare una scontistica che non sempre risultava effettivamente vantaggiosa rispetto al prezzo di riferimento e che, quindi, creava il falso convincimento di un acquisto conveniente).
Per contrastare tale pratica, il legislatore europeo, ha introdotto il generale obbligo per il professionista di fornire al consumatore, in occasione di campagne di riduzione di prezzo, informazioni sul prezzo reale del prodotto applicato nei trenta giorni precedenti la riduzione, introducendo una serie di regole e di eccezioni per governare tali attività; tali regole sono riportate nell’Articolo 17-bis del Codice del Consumo che in 7 paragrafi descrive le ipotesi applicative, le esenzioni e le conseguenze sanzionatorie – particolarmente aspre – in caso di mancato rispetto della normativa.
Al fine di comprendere meglio l’applicazione delle disposizioni della Direttiva Omnibus, con particolare riguardo al tema dei prezzi, intervengono due importanti strumenti:
- gli “Orientamenti sull’interpretazione e l’applicazione dell’articolo 6 bis della direttiva 98/6/CE del Parlamento europeo e del Consiglio relativa alla protezione dei consumatori in materia di indicazione dei prezzi dei prodotti offerti ai consumatori” di cui alla Comunicazione della Commissione europea (2021/C 526/02).
- le FAQ del Ministero delle Imprese e del Made in Italy pubblicate lo scorso maggio 2023 e in aggiornamento.
Le FAQ sono state accolte con grande favore da parte delle aziende poiché riportano delle esemplificazioni e indicazioni che chiariscono la portata applicativa delle nuove norme. Tuttavia, come noto, i diversi modelli di business presenti sul mercato rendono non facile l’operatività delle stesse lasciando ancora aperti numerosi interrogativi, soprattutto alla luce dell’avvio dei saldi stagionali che rappresentano una delle principali ipotesi applicative dell’operatività dell’Articolo 17-bis.
Tra i principali profili di criticità emersi è possibile richiamare il tema della rappresentazione del prezzo precedente, il tema dell’operatività delle riduzioni progressive nell’ambito di una medesima campagna di vendita e l’applicazione delle regole nel caso di iniziative di fidelizzazione, solo per citarne alcune.
Occorre inoltre segnalare che una delle maggiori preoccupazioni per le imprese è legata anche al timore di non incorrere in condotte rientranti nell’ambito delle pratiche commerciali “scorrette”; alcune fattispecie, infatti, potrebbero non rilevare ai fini dell’articolo 17-bis, come annunci di riduzione di prezzo, tuttavia potrebbero essere valutate, appunto, come pratiche commerciali scorrette e valutate alla luce delle disposizioni del Codice del Consumo, Titolo III, Parte II, per gli effetti ingannevoli che possono determinare nel consumatore.
Nei prossimi mesi sarà quindi fondamentale comprendere l’evoluzione della normativa, gli impatti che emergeranno per le imprese e i consumatori e le valutazioni che saranno assunte dalle Autorità competenti quando saranno chiamate a valutare l’adempimento[4] e l’applicazione della normativa.
_____________________________________________
[1] La prima pronuncia di invalidità risale al 2015 per effetto della Sentenza della Corte di Giustizia Europea (nota come “Schrems I”) che ha valutato il “Safe Harbor”, come non adeguato; la seconda è la Sentenza della Corte di Giustizia Europea (CGUE) del 16 luglio 2020 (nota come “Schrems II”) con la quale ha stabilito l’illegittimità dell’equivalenza attribuita dalla Commissione Europea all’ordinamento statunitense con la Decisione di adeguatezza denominata “Privacy Shield”.
[2] Per approfondire gli aspetti relativi alla decisione di adeguatezza, i documenti di posizionamento e gli approfondimenti pubblicati da Netcomm a seguito della Sentenza Schrems II accedi alla pagina dedicata del sito: https://www.consorzionetcomm.it/servizi/trasferimento-internazionale-dei-dati/
[3] Per monitorare gli sviluppi della normativa vi invitiamo a seguire le attività e gli aggiornamenti di Netcomm che saranno pubblicati sulla pagina dedicata del sito.
[4] Per approfondire l’operatività della normativa Netcomm ha messo a disposizione le Linee Guida per l’adeguamento dei portali di e-Commerce, reperibili al seguente link: