"L'Italia in Internet"
L'impresa in Internet:
Miti, Leggende e Cose Vere

E-Business: le nuove regole giuridiche in materia di conclusione del contratto
virtuale e profilazione del consumatore

1 - La conclusione del contratto virtuale alla luce della Direttiva Ce 8 giugno 2000, n.31 sul commercio elettronico

Per quanto riguarda la conclusione del contratto virtuale sembra opportuno tenere conto, sin da ora, di quanto recentemente disposto dalla Direttiva CE dell'8 giugno 2000, n.31, sul commercio elettronico.
In particolare si richiamano in questa sede gli artt. 10 e 11 della Direttiva CE 31/2000.
Incominciamo dall'esame dell'art. 11 della Dir. CE 31/2000 che si richiama all'applicabilità del principo illustrato di cui all'art.1335 c.c.
Detto articolo - rubricato, Inoltro dell'ordine - stabilisce al punto 1 - relativamente ai casi in cui il destinatario del servizio inoltri il proprio ordine mediante strumenti tecnologici - che:
(a) il prestatore deve accusare ricevuta dell'ordine del destinatario del servizio senza ingiustificato ritardo e per via elettronica;
(b) l'ordine e la ricevuta si considerano pervenuti quando le parti cui sono indirizzati hanno la possibilità di accedervi.
In buona sostanza - in senso conforme a quanto stabilito dall'art.1335 c.c. - si deve ritenere operante la presunzione quando la comunicazione sia pervenuta all'indirizzo di posta elettronica delle parti, salva la prova dell'impossibilità - non colpevole - di accedere alla comunicazione.
La regola stabilita dall'art.11.1 Dir. CE 31/2000 è derogabile esclusivamente se nessuna delle parti è consumatore.
Gli Stati membri devono, inoltre, provvedere affinché - sempre salvo diverso accordo tra parti diverse da consumatori - il prestatore metta a disposizione del destinatario del servizio strumenti tecnici adeguati, efficaci ed accessibili tali da permettere a quest'ultimo di individuare e correggere errori di inserimento dei dati prima di inoltrare l'ordine (art.11.2).
Il comma 1, primo trattino - che prevede l'invio al destinatario del servizio della ricevuta dell'ordine da parte del prestatore - e il comma 2 dell'art.11 - relativo alla verificabilità e modificabilità dell'ordine prima dell'invio - non sono applicabili ai contratti conclusi esclusivamente mediante scambio di messaggi di posta elettronica o comunicazioni individuali equivalenti (art.11.3).
Esaminiamo ora l'art.10, che regola le informazioni da fornire al destinatario del servizio.
Prima dell'inoltro dell'ordine, salvo diverso accordo tra parti diverse da consumatori, il prestatore di servizi deve fornire in modo chiaro, comprensibile ed inequivocabile, prima dell'inoltro dell'ordine da parte del destinatario del servizio, almeno le seguenti informazioni (art.10.1):
a) le varie fasi tecniche della conclusione del contratto;
b) se il contratto concluso sarà archiviato dal prestatore e come si potrà accedervi;
c) i mezzi tecnici per individuare e correggere gli errori di inserimento dei dati prima di inoltrare l'ordine;
d) le lingue a disposizione per concludere il contratto.
Gli Stati membri devono provvedere affinché, salvo diverso accordo tra parti diverse da consumatori, il prestatore indichi gli eventuali codici di condotta pertinenti cui aderisce nonché come accedervi per via elettronica (10.2).
Le clausole e le condizioni generali del contratto proposte al destinatario devono essere messe a sua disposizione in un modo che gli permetta di memorizzarle e riprodurle (art.10.3).
L'art. 10, comma 1 e 2, non sono applicabili ai contratti conclusi esclusivamente mediante scambio di messaggi di posta elettronica o comunicazioni individuali equivalenti (art.10.4).
Gli Sati membri devono provvedere affinché il loro ordinamento giuridico renda possibili i contratti per via elettronica (art.9.1 - Disciplina dei contratti per via elettronica). Possono, però, decidere di escludere l'ammissibilità della negoziazione elettronica con riferimento alle seguenti tipologie negoziali:
- contratti che trasferiscono diritti relativi a beni immobili diversi dalla locazione;
- i contratti che richiedono per legge l'intervento di organi giurisdizionali (volontaria giurisdizione), pubblici poteri o professioni che esercitano pubblici poteri;
- i contratti di fideiussione o garanzia prestate da persone per finalità che esulano dalle loro attività professionali, commerciali o impreditoriali;
- i contratti disciplinati dal diritto di famiglia o di successione.

2 - La tutela dei dati personali e la raccolta invisibile dei dati tramite "cookie": la profilazione del consumatore virtuale ("clicktrail")

Esaminiamo ora uno strumento - ricorrente nella prassi del commercio elettronico - utilizzato per memorizzare determinati comportamenti del navigatore - consumatore, normalmente a sua insaputa: trattasi del c.d. cookie .
Il cookie non è altro che un contenitore di informazioni - normalmente di carattere commerciale - che viene inviato - attraverso il browser - dal sito web che si sta visitando alla memoria interna del computer utilizzato per la navigazione.
L'utilità di tale strumento va rinvenuta nella possibilità di personalizzare determinati aspetti della navigazione in funzione dei consumi e degli interessi manifestati dall'utente nel corso della stessa.
Si pensi, fra l'altro, alla possibilità del sito di riconoscere l'utente e di calibrare il contenuto dei banner pubblicitari in funzione del profilo ricostruito dal cookie in relazione ai dati raccolti nel corso di navigazioni precedenti.
Ma tale raccolta "invisibile" di dati è compatibile o meno con la tutela della privacy?
Secondo MANGANELLI - componente dell'Autorità Garante per la Protezione dei Dati Personali - il cookie non sarebbe strumento illecito di raccolta dei dati solo nei limiti in cui non sia possibile attraverso i dati da esso registrati identificare il navigatore, e quindi associare il profilo tracciato ad un soggetto individuato.
A diverse conclusioni - nel senso della illiceità ai sensi della L.675/96 - si deve evidentemente pervenire qualora il c.d. cookie registri - senza il consenso dell'interessato - un profilo del consumatore non in forma anonima ma riferibile immediatamente ad un utente individuato oppure non si limiti alla registrazione di dati di natura commerciale ma trasferisca informazioni relative al contenuto della memoria di massa del computer di navigazione.
In entrambi i casi sembra, però, ragionevole ritenere - tenuto conto delle problematiche relative alla legge applicabile e alla eterogeneità dei livelli di protezione - che lo strumento migliore di tuela del navigatore dalla raccolta occulta di informazioni che lo riguardano, sia in definitiva l'autotutela informatica e quindi - in questo caso - l'utilizzo avanzato dei browser di navigazione che allo stato della tecnologia sono in grado di segnalare all'utente quando un cookie sta per essere registrato sul proprio computer, così consentendogli di impedirne - se del caso - la registrazione.
Sul punto, anche il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali - istituito dal'art.29 della Direttiva 95/46 - si è espresso a favore dell'applicabilità al trattamento dei dati invisibili via Internet delle Direttive 95/46 e 97/66, invitando i progettisti di software e hardware a tenere conto e rispettare i principi posti da queste al fine di rafforzare la privacy degli utenti Internet.
Un utilizzo sapiente dei "cookie" - da parte dell'operatore commerciale - può rendere possibile il monitoraggio - "clicktrail" - della navigazione dell'utente in modo tale da consentire, come si è detto, la ricostruzione di un accurato profilo personale.
Trattasi della c.d. "profilazione" del consumatore virtuale.
Sul problema della profilazione è intervenuto il Garante - con provvedimento del 13 gennaio 2000 - ribadendo l'illiceità dei comportamenti di raccolta invisibile dei dati posti in essere dall'operatore in difetto di preventiva Informativa ex art.10 L.675/96 e di consenso al trattamento da parte dell'interessato.
In particolare il Garante ha precisato che l'informativa ai clienti deve essere:
- collocata "online" prima della richiesta di registrazione dei propri dati;
- riferita a tutti gli aspetti del complessivo trattamento svolto dall'operatore nell'ambito del servizio offerto (anziché ai soli profili relativi a finalità commerciali o di marketing), riepilogando in maniera chiara e sintetica le informazioni rilevanti "disseminate" nel testo del contratto;
- contenere un sintetico richiamo ai diritti d'accesso attribuiti agli interessati dall'art.13 della L.675/96, conl'indicazione dell'ufficio o servizio presso cui esercitare tali diritti.
Occorre, inoltre, ottenere lo specifico consenso dell'interessato non solo per poter trattare i dati per finalità commerciali e di marketing - inviare messaggi pubblicitari, effettuare chiamate dirette al consumatore - ma anche per poter comunicare i dati a società terze il cui elenco nominatim deve essere allegato all'Informativa.

Prof. Avv. Emilio Tosi

Professore Aggregato di Diritto Privato e Diritto delle Nuove Tecnologie
Università di Milano Bicocca

Managing Partner
TOSI & PARTNERS HIGH TECH LEGAL

© 2000 TOSI & PARTNERS HIGH TECH LEGAL