loader image
Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Perché il Garante della Protezione dei Dati Personali ha sanzionato Foodinho per Violazione Privacy?

La sanzione per Violazione Privacy da 2,6 milioni di Euro a Foodinho, nota società di Food Delivery, comminata recentemente dal Garante della Privacy, è frutto di un provvedimento che possiamo definire storico. Ponendosi come nuovo punto di riferimento per le aziende che offrono servizi interamente digitalizzati nel rapporto con i propri dipendenti, qui rappresentati dalla categoria dei Rider.

È infatti necessario specificare che l’attività ispettiva si è soffermata esclusivamente sul trattamento dei dati personali e della privacy dei Rider per mezzo di applicativi e algoritmi utilizzati da Foodinho dei quali avremo modo di parlare nel prosieguo.

In questo articolo, proveremo dunque ad elencare alcuni spunti utili per comprendere il provvedimento (potete scaricarlo qui), in un’ottica di conformità normativa, analizzando gli elementi che il Garante della Privacy ha investigato con maggiore attenzione oltre ad approfondire le maggiori criticità da esso riscontrate.

L’obiettivo è quello di fornire un quadro chiaro circa lo standard richiesto dall’Autorità in relazione alle violazioni accertate.

 

Violazione Privacy: perché l’Informativa sui Dati Personali non è una mera formalità

Il Garante della Protezione dei Dati Personali si dimostra molto attento al contenuto dell’Informativa Privacy, analizzando punto su punto la presenza dei requisiti richiesti dall’art. 13 e 14 della Normativa Europea sulla Privacy (GDPR), a partire dalla tipologia di dati raccolti.

Foodinho aveva infatti omesso di informare i Rider sull’uso di alcuni dati personali, peraltro molto invasivi. Fra questi: dati relativi alla loro posizione geografica (aggiornata ogni 15 secondi nel corso della fase di consegna dell’ordine); dati riguardanti le comunicazioni via chat, email e telefono con il call center; i feedback da parte di esercenti e clienti sul loro operato.

Ma non è tutto. Grandi carenze sono state riscontrate anche sull’indicazione dei tempi di conservazione dei dati personali (cosiddetta Data Retention).

Frasi generiche (purtroppo ancora diffuse) del tipo: «I dati saranno conservati per il tempo strettamente necessario», non sono più ammesse. Foodinho avrebbe dovuto indicare, per ogni tipologia di dato, il termine finale di conservazione specificando le ragioni a sostegno del periodo di conservazione scelto.

Il Garante della Privacy rileva infatti che «Il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee», accorpando dati di natura diversa sotto uno stesso periodo di conservazione (per esempio: una generica prescrizione decennale per diverse tipologie di dati).

Per evitare una sanzione per Violazione Privacy è necessario scendere nel dettaglio di ogni singolo dato personale, nessuno escluso.

violazione privacy foodinho sanzione garante rider food delivery

 

Violazione Privacy: massima coerenza tra Registro del Trattamento e Informativa

Il Garante della Privacy si è profuso in un lavoro di raffronto tra Informativa e Registro, per accertare una coerenza generale fra i documenti perno del concetto di accountability.

Dalle righe del provvedimento per Violazione Privacy traspare un messaggio chiaro a tutti i titolari: occorre partire dal registro del trattamento (art. 30 GDPR), da compilare dopo una attenta ricognizione dei dati personali presenti in azienda. Soltanto in un secondo momento si può procedere con la redazione degli altri documenti, informative incluse.

Invece, come molti consulenti accertano quotidianamente, è ancora diffusa la prassi inversa, con la stesura di informative “alla cieca”, senza l’esistenza di un registro che testimoni un’indagine dettagliata sulle attività di trattamento della privacy effettuate in azienda.

Non a caso, nel caso di specie, sono numerose le incongruenze che tradiscono un approccio poco sistemico, anzi a compartimenti stagni: dalle tipologie di dati elencati nel registro e non presenti all’interno delle informative, ai diversi periodi di conservazione fino alle incoerenze accertate sulle ragioni poste a sostegno dell’utilizzo di certi dati.

 

Violazione Privacy: la valutazione di impatto non può mancare!

Sorprende e non poco l’assenza di una valutazione di impatto sui rischi di Violazione Privacy della piattaforma utilizzata da Foodinho per gestire il rapporto lavorativo con i Rider.

Ricordiamo infatti, che la piattaforma – come ha accertato il Garante della Privacy – effettua complesse attività di profilazione volte ad analizzare la performance lavorativa dei Rider che autorizza o nega il loro inserimento in determinate fasce d’orario ad alta domanda, in cui sono maggiori le richieste di consegna.

Vedremo, poi, che il punteggio viene calcolato per mezzo di un algoritmo (denominato “Sistema d’Eccellenza”), ma qui il punto centrale da rimarcare è la profilazione dei Rider, che di per sé fa scattare l’obbligo della redazione di una valutazione di impatto ai sensi dell’art. 35 GDPR pgf. 3, trattandosi di una «valutazione sistematica e globale di aspetti personali» riguardante il rendimento professionale dei Rider.

Non può essere certo accolta, invece, la difesa di Foodinho contro la Violazione Privacy che, su un punto, si dimostra davvero inconsistente sostenendo che, la valutazione di impatto non sarebbe necessaria in quanto la piattaforma e la profilazione non potrebbero definirsi “nuove tecnologie”.

Il Garante ha giustamente respinto questa tesi, affermando che «il carattere innovativo della tecnologia utilizzata risulta evidente […] tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della cosiddetta “Gig economy”».

 

Gli Algoritmi e Violazione Privacy: le possibili discriminazioni

Gli accertamenti del Garante Privacy hanno portato alla luce un sistema di valutazione dei Rider fortemente discriminatorio, perché basato su una logica che tiene conto esclusivamente dei feedback negativi degli utenti.

Nel video qui allegato, l’Avvocato Andrea Baldrati spiega con un esempio quale può essere la portata discriminatoria di un tale sistema di scoring. Sul punto l’Autorità è molto chiara quando dice che «il punteggio, variato solo a seguito di feedback negativi e non incrementato a seguito di feedback positivi, subisce un effetto penalizzante derivante da un maggior peso assegnato al feedback negativo».

Parlando di Violazione Privacy, c’è poi il tema legato alle tutele previste dal GDPR nel caso in cui si faccia uso di algoritmi che generano decisioni automatizzate (lo scoring del Rider) con effetti giuridici rilevanti (maggiori o minori occasioni di lavoro a seconda della fascia di lavoro assegnata).

In via generale, infatti, l’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato. Una regola generale che dovrebbe dunque applicarsi anche alle decisioni effettuate dal Sistema di Eccellenza utilizzato da Foodinho.

Alla regola generale sono previste però delle eccezioni, come nell’ipotesi in cui la decisione dell’algoritmo sia necessaria per la conclusione o esecuzione di un contratto tra titolare e interessato.

Foodinho ha infatti precisato che il SIstema di Eccellenza rientrerebbe in tale eccezione costituendo un elemento funzionale all’esecuzione del contratto di lavoro del Rider, che, con il punteggio ottenuto, viene così assegnato ad una determinata fascia di orario in cui è abilitato alle consegne.

Se si applica una delle eccezioni previste, il legislatore europeo richiede però – come contrappeso – una serie di tutele a favore dell’interessato per arginare possibili derive discriminatorie. Fra queste, il diritto di ottenere l’intervento umano, di esprimere una opinione o di contestare la decisione algoritmica.

Il Garante Privacy non ha rilevato l’esistenza di nessuno tra i meccanismi di tutela previsti dalla normativa, che ha l’obiettivo di porre l’interessato nelle condizioni di opporsi o, quantomeno, di mettere in discussione la decisione automatizzata dall’algoritmo.

 

Violazione Privacy e l’importanza di avere un DPO competente

Se qualche imprenditore ha la pazienza di leggersi l’intero provvedimento in materia di Violazione Privacy si renderà conto di quanto sia importante avere un DPO competente e una squadra di consulenti privacy all’altezza del compito. In alcune aziende, giungere ad una situazione di conformità richiede tempo, investimenti e grandi competenze.

Il provvedimento del Garante Privacy ce lo ricorda quando approfondisce anche il singolo trattamento di dati personali, quando si ferma su un singolo requisito.

La profondità di questa materia non può essere lasciata all’improvvisazione e il consulente o il DPO deve essere messo nelle condizioni di sapere tutto dell’azienda. Solo così potrà fornire la consulenza necessaria per raggiungere gli alti standard richiesti dal Garante Privacy in sede ispettiva.

Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Rimborso Accise sull’Energia Elettrica: illegittime nel biennio 2010-2011

Perché le Accise sull’Energia Elettrica sono illegittime?

Il Giudice di Pace di Forlì ha accolto integralmente la richiesta da noi presentata ed ha dichiarato l’illegittimità delle Accise sull’Energia Elettrica applicate dal fornitore tra Gennaio 2010 e Dicembre 2011 ad un’azienda cliente del nostro Studio Legale (qui puoi scaricare la sentenza).

Pertanto, il fornitore medesimo è stato condannato a restituire ogni somma all’epoca indebitamente incassata a tale titolo.

Confermando la bontà della tesi avanzata dal nostro Studio Legale (fondata sui principi enunciati in due recentissime sentenze della Corte di Cassazione – Cass. Civ. sez. trib., 23/10/2019, n.27099 e n.27101 – nonché sulla normativa comunitaria), nel caso di specie il giudice ha deciso per la disapplicazione dell’art. 6 comma 2 del DL 511/1988 riconoscendo così il diritto della società attrice al Rimborso Accise sull’Energia Elettrica, ricevendo le somme contenute illegittimamente nelle bollette relative al biennio 2010-2011.

La sentenza è di assoluto rilievo in quanto rappresenta una tra le prime pronunce di merito che applica i principi della Corte di Cassazione, risultando pertanto una solida base su cui fondare richieste di rimborso di ogni somma versata e non dovuta al fornitore dell’energia elettrica.

Le motivazioni della Sentenza, infatti, non lasciano adito a dubbi: «va disapplicata, per contrasto con il diritto dell’Unione Europea, la disciplina interna di cui all’art. 6, comma 2, del d.l. n. 511 del 1988, avente come finalità una mera esigenza di bilancio degli enti locali».

In questo senso non sono rispettati i canoni di specificità richiesti dalla normativa comunitaria, attesa la decisione precedente della Corte di Giustizia UE che aveva qualificato come generica la finalità di bilancio.

studio legale baldrati strinati sentenza rimborso accise energia elettrica

 

Come ottenere il Rimborso Accise sull’Energia Elettrica

Tornando al tema concreto della richiesta di Rimborso Accise sull’Energia Elettrica, è bene ricordare che, secondo le prime stime fatte, per l’anno 2010 e 2011 le imprese avrebbero versato ai loro fornitori di energia elettrica, in ogni bolletta e per ogni utenza aperta, una somma non dovuta oscillante tra i 0,0093 €/kWh e i 0,0114 €/kWh (ossia circa 10 €/MWh) a seconda della Provincia di appartenenza.

Anche se apparentemente tale cifra può sembrare irrisoria, è necessario tuttavia considerare che l’addizionale in questione è stata applicata sui consumi fino a 200.000 KWh/mese. Ciò significa che molte aziende posso aver corrisposto senza saperlo una somma non dovuta per ciascuna utenza attiva anche superiore a € 25.000 all’anno.

Somme, quelle versate, che dovranno essere interamente restituite, anche alla luce della Sentenza del Giudice di Pace di Forlì che ad oggi fa certamente giurisprudenza.

Attenzione: la richiesta di Rimborso Accise sull’Energia Elettrica in favore dell’utente si prescriverà seguendo il termine ordinario contrattuale, ossia dopo 10 anni a partire dalla data in cui il versamento delle somme è divenuto indebito (anno 2011).

L’invito, quindi, è quello di agire tempestivamente inviando apposita richiesta di Rimborso Accise sull’Energia Elettrica al fornitore del servizio ed impedire che il diritto alla restituzione delle somme si prescriva.

In caso di mancato riscontro, si potrà agire giudizialmente chiedendo al Giudice competente la condanna del fornitore al versamento immediato della somma dovuta.

 

Vuoi sapere se la tua azienda è idonea a ricevere il Rimborso Accise sull’Energia Elettrica?

Con l’esperienza acquisita nel corso del giudizio conclusosi positivamente, abbiamo gli strumenti per seguire il Cliente nella preparazione e attivazione della fase giudiziale, nel rispetto dei termini prescrizionali di cui occorre tenere conto per il calcolo corretto della richiesta di rimborso.

Se vuoi sapere se la tua azienda è idonea a ricevere il rimborso sulle Rimborso Accise sull’Energia Elettrica contattaci per una consulenza.

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Ecco le ragioni per cui la Normativa sulla Privacy non è più un’opzione

Il rapporto annuale di Clusit (realtà italiana di riferimento nella sicurezza informatica e sulla normativa sulla privacy), già nel 2018 evidenziava come il 45% delle aziende italiane avesse subito cyber attacchi. Da anni, ormai, si tratta di un trend in costante crescita. E, dal 2017 ad oggi, gli attacchi cyber sono aumentati del 66%.

Non a caso quasi la metà del personale responsabile delle infrastrutture IT aziendali (46%) teme che un attacco ransomware (con annessa richiesta di riscatto) possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

Un altro studio di Canalys, tra le principali società di analisi del mercato tecnologico globale, evidenzia che nel 2020 sono state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni, e alcune di queste violazioni hanno avuto effetti catastrofici su servizi essenziali (come ad esempio per gli ospedali).

La foto rappresenta un grafico dello studio di Canalys su normativa sulla privacy e data breach

È quindi chiaro che lo scenario attuale impone un alto standard di conformità nei confronti della normativa sulla privacy, per mitigare innanzitutto gli effetti assolutamente negativi di una violazione dei dati personali (il cosiddetto data breach); effetti che potremmo sintetizzare in questi termini:

  • Perdita di dati personali e violazione della normativa sulla privacy: tralasciando l’aspetto etico derivante dalla responsabilità di gestire nel miglior modo possibile le informazioni di altri soggetti (dipendenti, clienti e fornitori in primis), è evidente che oggi i dati personali rappresentano un asset di valore che, in quanto tale, necessita di una protezione adeguata. Ogni fuga di dati personali rappresenta anche un enorme danno di immagine, che peraltro può comportare – a norma di legge – anche la comunicazione dell’evento ai propri clienti e fornitori. Questa eventualità è certamente da scongiurare avendo ricadute immediate sul brand aziendale, come testimonia il recente attacco hacker nei confronti di Ho Mobile, l’operatore virtuale di telefonia mobile, che dopo l’accaduto e il tam-tam mediatico che ne è seguito, ha visto registrare una fuga in massa dei suoi clienti verso altre compagnie.
  • Interruzione dell’operatività aziendale: in molti casi (come nell’ipotesi di attacchi ransomware), il data breach può comportare un blocco dei server aziendali o di altri settori focali dell’azienda, determinando altresì una sospensione della normale attività lavorativa. In questi frangenti, un corretto sistema di gestione dei dati personali, insieme a procedure di risposta efficienti e resilienti, sono un elemento decisivo per minimizzare l’impatto di questi eventi di danno.
  • Sanzioni: un data breach può avere riflessi negativi anche sotto il profilo delle sanzioni, oggi certamente significative (fino a € 20 milioni o il 4% del fatturato globale annuo). L’entità di tali sanzioni sono certamente un fattore di cui tenere conto in una valutazione di costi-benefici. In questo senso, una corretta conformità alla normativa sulla privacy riduce sensibilmente l’eventuale applicazione delle stesse sanzioni, perché l’Autorità Garante è la prima ad essere cosciente che il rischio zero in ambito di sicurezza informatica non esiste. Per cui, l’azienda che dimostra di aver fatto tutto ciò che era in suo potere per mitigare eventuali rischi, ha grandi probabilità di non essere soggetta alle pesanti sanzioni del GDPR.

Come si è detto, quindi, nessuno è in grado di garantire l’azzeramento dei rischi derivanti dal data breach. Quello che si può fare è agire preventivamente in modo da ridurre al minimo il rischio derivante dal trattamento dei dati di nostri clienti e fornitori, e al rispetto della normativa sulla privacy.

 

 

La mappatura dei flussi, l’individuazione di chiare regole di ingaggio per il trattamento dei dati personali effettuato da dipendenti e da collaboratori (interni ed esterni), la redazione di valutazioni di impatto, laddove sia identificato un rischio elevato, sono tutte attività utili per garantire un corretto trattamento dei dati personali, minimizzando al contempo il rischio per la violazione e divulgazione a terzi degli stessi.

È proprio questo che, come Studio Legale, ci proponiamo di fare: un’attività di consulenza che non si limiti all’adeguamento alla normativa sulla privacy ma che crei un valore per il Cliente in termini di maggiore sicurezza dei dati personali per affrontare con più serenità eventuali imprevisti e allo stesso tempo per creare una relazione di fiducia con i propri clienti basata su un trattamento trasparente dei loro dati personali.

Una società che si adegua al GDPR è una società che, anche in caso di data breach, non teme lo spettro di provvedimenti sanzionatori o di danni alla sua reputazione, perché sicura di aver fatto quanto in suo potere per proteggere i dati personali di cui è in possesso, sempre nel rispetto della normativa sulla privacy.

 

Con la Normativa sulla Privacy quale percorso affrontare per tutelarti?

Il percorso di conformità alla normativa sulla privacy necessita però di una profonda analisi dell’azienda, agendo sulle criticità per rendere più efficaci e snelli i processi aziendali:

  • In una prima fase, l’attenzione è riposta sull’analisi del rischio (il cosiddetto risk analysis), con la pianificazione di una serie di audit allo scopo di individuare le adeguate misure di sicurezza da implementare in rapporto alla natura ed entità dei dati personali trattati (cosiddetto gap analysis);
  • Si procede quindi alla stesura del registro del trattamento (art. 30 GDPR), documento essenziale per creare una mappa concettuale di tutti i flussi di dati all’interno dell’azienda (cosiddetto data mapping), identificando il ciclo vitale del dato. Il registro, infatti, permette di capire, per ogni dato personale, qual è il suo punto di raccolta, tracciando ogni suo passaggio interno – tra i dipartimenti aziendali – ed esterno, laddove ci si appoggi a fornitori terzi e servizi in outsourcing;
  • È anche l’occasione per fissare limiti nella conservazione dei dati personali (cosiddetto data retention) e per riflettere sullo stato attuale del data base aziendale, eliminando eventuali dati non necessari.

Questi passaggi sono fondamentali perché, memori di quanto detto all’inizio in tema di data breach, ogni dato personale è fonte di responsabilità per l’azienda che ne è titolare; per cui è cruciale trattare solo i dati strettamente necessari e utili alle finalità preposte, ottemperando al principio di minimizzazione dei dati (art. 5 GDPR).

In quella sede può nascere anche l’esigenza di effettuare valutazioni di impatto per i trattamenti ad alto rischio, seguendo le metodologie riconosciute a livello internazionale (come ad esempio il metodo ENISA); questo processo è fondamentale in sede di controllo ispettivo, perché testimonia la grande attenzione di un’azienda per la questione della normativa sulla privacy e la volontà di porre azioni concrete a mitigazione delle situazioni più rischiose.

Quindi per un corretto adempimento della Normativa sulla Privacy, segue una fase di redazione di policy e procedure inerenti alle attività aziendali (come ad esempio la policy di gestione delle e-mail, della gestione data breach, dei regolamenti sull’uso di device personali, eccetera), oltre alla redazione di tutte le informative necessarie, anche a favore di dipendenti e collaboratori.

Concluso il percorso di adeguamento, è importante attivarne uno nuovo di monitoraggio e aggiornamento mediante audit semestrali o annuali, a seconda del contesto aziendale, oltre ad implementare sessioni di formazione a tutto il personale.

 

La foto rappresenta un'immagine esplicativa sulla Normativa sulla Privacy e sul Data Breach

 

Normativa sulla Privacy: infine, segnaliamo un trend in forte crescita per il 2021.

Un modello organizzativo basato su un corretto trattamento dei dati personali sta diventando un elemento di competitività tra aziende concorrenti sul mercato. Ciò è dovuto da una serie di fattori che proviamo ad elencare:

  • A quasi 3 anni dall’applicazione effettiva del GDPR, è aumentata considerevolmente la sensibilità di utenti e consumatori finali sul tema della normativa sulla privacy. Quest’ultimi, dunque, sempre di più scelgono un prodotto o servizio anche in ragione del livello di protezione garantito dalle aziende sui loro dati.
  • La conformità alla normativa sulla privacy è un elemento decisivo anche nei rapporti B2B, cioè fra aziende; si collabora e si crea network solo con realtà con cui si può serenamente condividere dati personali per finalità comuni.
  • La normativa sulla privacy è ormai un elemento non più accessorio ma fondamentale nella creazione di un prodotto o servizio. Chi non si adegua a questo cambiamento rischia di perdere risorse e investimenti.

In quest’ottica va dunque visto il percorso di adeguamento che proponiamo alle aziende clienti. Non certo un adempimento legale, ma un valore di crescita per le stesse aziende in termini di sicurezza e di competitività sul mercato.

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro 

Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra cessare nonostante il noto divieto previsto dalla Legge n. 173/2005 (art. 5) e la sua inclusione tra le pratiche commerciali scorrette all’interno del Codice del Consumo (D. Lgs., n° 206/2005). 

Questa volta, ad essere al centro dell’indagine dell’Autorità è la società Starlife Italia S.r.l. (oggi Newcar Europe S.r.l.), che ha fondato un sistema di vendita piramidale dei suoi prodotti, fra cui integratori alimentari e cosmetici, basato sul reclutamento di consumatori, incentivati a creare un proprio network di clienti. 

Alla base del programma Starlife, una serie di elementi tipici della vendita piramidale: 

  • Il consumatore che si iscrive al network è subito chiamato ad un esborso non certo esiguo (200 euro), del tutto sproporzionato rispetto al corrispettivo rappresentato dai prodotti della società. 
  • Il neo iscritto è spinto nella ricerca di parenti, amici o colleghi interessati ad entrare nel sistema Starlife; se riesce infatti a far iscrivere in breve tempo altre 3 persone pronte a spendere la stessa cifra in prodotti Starlife, potrà recuperare parte della sua quota di ingresso.
  • Lo stesso meccanismo vale anche per le tre persone appena entrate nel sistema. 
  • Se il consumatore riesce poi a creare un proprio network può richiedere il noleggio a lungo termine di un’auto sponsorizzata, ma dovrà impegnarsi a mantenere su base mensile alti standard di acquisto (per autoconsumo) e di reclutamento di nuovi membri. 

 

Che cos’è il sistema di vendita piramidale e perché la legge lo vieta 

Pertanto, il sistema di marketing piramidale si regge principalmente sulle entrate derivate dall’ingresso di nuovi affiliati piuttosto che su un’attività economica reale (ossia la vendita di beni o servizi da parte dei consumatori iscritti). 

Il legislatore ne vieta la diffusione perché lo ritiene, nel lungo termine, un sistema non sostenibile, che porta cospicui guadagni in particolare a chi si trova in cima alla piramide del network, mentre difficilmente si raggiungono i risultati sperati (e promessi dalla società), quando si è alla base della stessa. 

La “bolla” del sistema piramidale regge fino a quando il flusso di nuovi ingressi resta ad un livello tale da assicurare il pagamento dei vari premi promessi nei diversi livelli del network. Ma prima o poi questo flusso cala, come è inevitabile che sia, compromettendo l’intera sostenibilità del sistema

Come ha di recente sottolineato il Consiglio di Stato (sent. n. 321/2020), il fondamento del divieto è quello «di contrastare i sistemi distributivi basati sul progressivo ampliamento della base di consumatori reclutati con la prospettiva illusoria di ingenti guadagni»

È questo il vero discrimine tra un sistema di vendita piramidale (illecito) e un sistema di multilevel marketing (lecito): nel primo caso i profitti dei singoli e della società derivano principalmente dall’ingresso di nuovi affiliati, mentre nel secondo caso sono i guadagni derivanti dalla vendita diretta di prodotti o servizi o dalla percentuale sulle vendite del proprio network che rappresentano le entrate principali dell’intero sistema. 

Nel caso di Starlife Italia, tutto il programma era incentrato sul reclutamento di nuovi affiliati, e pertanto anche i benefit connessi alla affiliazione, fra cui il noleggio dell’auto sponsorizzata, dipendevano dalla dimensione e propagazione del network creato dall’affiliato-sponsor, il quale doveva mantenere anche un ordine di acquisto mensile minimo per il proprio consumo. 

Per queste ragione, l’Autorità ha valutato la condotta di Starlife Italia come una pratica commerciale scorretta, perché afferente ad un sistema di vendita piramidale illecito, vietandone per questo la continuazione oltre ad irrogare una severa sanzione di € 850,000,00. 

 

multilevel marketing e di sistema di vendita piramidale

 

Come creare un sistema legittimo di Multilevel Marketing 

Il provvedimento dell’Autorità ci offre alcuni spunti. Innanzitutto, esso rappresenta un monito per tutti coloro che desiderano intraprendere un’attività imprenditoriale in questo settore, creando una società di Multilevel Marketing

Prima di avviare un’attività del genere, dobbiamo infatti assicurarci che il sistema di Multilevel Marketing che abbiamo in mente resti nel perimetro di legittimità disegnato dal legislatore senza sfociare in un sistema di tipo piramidale, che – come abbiamo visto – viene sanzionato dall’Autorità in maniera molto severa. 

Per questa ragione, il consiglio è di affrontare un percorso di conformità normativa (cosiddetto compliance), per dare vita ad un genuino sistema di Multilevel Marketing, senza alcuna rischiosa contaminazione con il sistema illecito di tipo marketing piramidale.

Un percorso dunque di consulenza che parta dalla redazione dello statuto ai contratti con i singoli fornitori e clienti, dai Manuali per gli affiliati, fino al codice etico dell’azienda, con l’obiettivo di essere pienamente conformi alla L. n. 173/2005, senza ricadere tra le “presunzioni” di vendita piramidale indicate dall’art. 6 della norma. 

Le presunzioni sono infatti indicatori che segnalano la presumibile esistenza di una vendita piramidale, facendo scattare, a sua volta, un intervento dell’AGCM. In particolare, si presume che il sistema sia di tipo piramidale: 

  • Se il sistema è in gran parte finanziato dall’ingresso di nuovi membri che, all’atto del reclutamento, devono corrispondere “una somma di denaro o titoli di credito o altri valori mobiliari e benefici finanziari in genere di rilevante entità e in assenza di una reale controprestazione”; 
  • Se il nuovo membro è inoltre obbligato ad acquistare “una rilevante quantità di beni o prodotti” dalla società organizzatrice, “ivi compresi materiali didattici e corsi di formazione, non strettamente inerenti e necessari alla attività commerciale in questione e comunque non proporzionati al volume dell’attività svolta”; 
  • Se, infine, il sistema si basa economicamente sull’ingresso di nuovi affiliati e sul loro acquisto di prodotti per autoconsumo piuttosto che su un sistema di vendita diretta. 

Tutta l’attività di consulenza dovrà quindi essere improntata nel senso di creare un programma di multilevel marketing che non abbia nessuna affinità con le caratteristiche tipiche della vendita piramidale, per non ricadere in nessuna delle presunzioni appena elencate.

SOVRAINDEBITAMENTO: nuove vie di uscita dai debiti con il Decreto Ristori

SOVRAINDEBITAMENTO: nuove vie di uscita dai debiti con il Decreto Ristori

In sede di conversione del c.d Decreto Ristori, il Legislatore ha previsto diverse importanti modifiche alle procedure di sovraindebitamento (L. n. 3/12) che nella sostanza, anticipando di fatto l’entrata in vigore del tanto atteso Codice della crisi d’impresa e dell’insolvenza (ad oggi fissata per il 1 settembre 2021), si pongono come vere e proprie nuove opportunità per il debitore da sfruttare fin da subito. 

1. AUMENTATE LE POSSIBILITÀ DI ACCESSO ALLA PROCEDURA

Anzitutto è stata riscritta la nozione di “consumatore”, di fatto estendendo il numero dei potenziali fruitori del piano del consumatore.

Oggi infatti potranno usufruire del piano del consumatore pure le persone fisiche che agiscono per scopi estranei all’attività imprenditoriale, commerciale, artigiana o professionale eventualmente svolta, anche se soci di s.n.c., s.a.s. e s.a.p.a., per i debiti estranei a quelli sociali.

E’ inoltre stata prevista l’estensione a favore dei soci, illimitatamente responsabili, degli effetti dell’accordo di composizione della crisi depositato dalla società.

Altra interessante novità è rappresentata dalla possibilità di usufruire, già da oggi, di un’unica procedura di composizione della crisi per i debiti del nucleo famigliare.

Oggi quindi i membri di una famiglia (coniuge, parenti entro il quarto grado, affini entro il secondo, parti dell’unione civile e conviventi di fatto) potranno presentare, in caso di origine comune del sovraindebitamento, un’unica procedura con ovvio risparmio di tempi e costi.

Un’ipotesi, questa, che già alcuni tribunali avevano ritenuto ammissibile e che da ora in avanti godrà di espressa previsione di Legge.

Importanti novità anche nei rapporti con l’Agenzia delle Entrate.

È infatti previsto che il Tribunale potrà ugualmente procedere con l’omologa dell’accordo di composizione della crisi anche in caso di diniego da parte dell’Agenzia delle Entrate.

Tuttavia, sono richieste due condizioni: anzitutto, la proposta avanzata al fisco dal debitore deve presentarsi più conveniente rispetto all’alternativa liquidatoria; inoltre, la posizione dell’Amministrazione finanziaria deve porsi come decisiva per il raggiungimento del quorum creditorio.

Infine, una delle misure introdotte più rilevanti per il debitore è quella che concede anche ad un soggetto totalmente incapiente la possibilità di cancellare interamente il proprio debito.

Infatti, solo per una volta, il debitore persona fisica (meritevole) che non sia in grado di offrire ai creditori alcuna utilità, diretta o indiretta, nemmeno in prospettiva futura, può accedere all’esdebitazione, fatto salvo l’obbligo di pagamento del debito entro quattro anni dal decreto del giudice nel caso in cui sopravvengano utilità rilevanti che consentano il soddisfacimento dei creditori in misura non inferiore al 10 per cento.

2. UNA SINTESI DELLE PRINCIPALI NOVITÀ

Riassumendo:

– sono estesi gli effetti dell’accordo di composizione della crisi anche in favore dei soci illimitatamente responsabili;

– l’inclusione nella definizione di “consumatore” anche del socio di una società di persone, nonché la possibilità di falcidia e di ristrutturazione dei debiti derivanti da contratti di finanziamento con cessione del quinto, del trattamento di fine rapporto o della pensione nonché quelli derivanti da operazioni di prestito su pegno;

– in caso di accordo presentato da un soggetto non consumatore con richiesta di continuazione dell’attività aziendale, è possibile prevedere il rimborso alla scadenza convenuta delle rate del contratto di mutuo con garanzia reale gravante su beni strumentali all’esercizio dell’impresa, a patto che il richiedente abbia adempiuto le proprie obbligazioni o qualora il giudice lo abbia autorizzato al pagamento del debito per capitale ed interessi scaduto a tale data.

– introduzione di una procedura unica per i debiti comuni del nucleo famigliare;

– impossibilità di opposizione o reclamo in sede di omologa per il creditore che ha colposamente determinato l’indebitamento o il suo aggravamento;

– c.d. cram down nei confronti del Fisco in caso di sua non adesione;

– prevista la possibilità di esdebitazione anche per il debitore incapiente.

3. IN CONCLUSIONE

In sede di conversione del c.d Decreto Ristori sono state rese già applicabili molte delle disposizioni favorevoli per il debitore previste nel Codice della Crisi d’Impresa. Disposizioni quindi che potranno essere sfruttate dai sovraindebitati fin da subito e che consentiranno ai medesimi, al ricorrere delle giuste condizioni, di giungere ad una liberazione integrale dei propri debiti con maggiore facilità.

Lo studio assiste da tempo i debitori nella ristrutturazione dei propri debiti, al fine di permettere una loro ripartenza e un ritorno alla normalità.

E-commerce e Payment Card Surcharge: se paghi con PayPal no a spese aggiuntive

E-commerce e Payment Card Surcharge: se paghi con PayPal no a spese aggiuntive

L’AGCOM salvaguardia i cittadini: vietato aumentare le tariffe per i Consumatori PayPal

Di recente l’AGCOM (l’Autorità per le Garanzie nelle Comunicazioni) ha sanzionato un professionista, titolare di un e-commerce, che applicava in capo ai consumatori una commissione aggiuntiva del 2% rispetto al prezzo di vendita dei prodotti in caso di pagamento con PayPal.

Questa pratica, peraltro piuttosto diffusa nel mondo del web, prende il nome di “Payment Card Surcharge” e consiste proprio nella previsione di un onere aggiuntivo a carico del consumatore sull’importo dei beni acquistati, qualora decida – nelle fasi di “Check-out” – di utilizzare un determinato mezzo di pagamento (in questo caso PayPal).

 

Spese PayPal: la violazione del “Payment card surcharge”

Come giustamente rilevato dall’Autorità, il professionista che addebita ai consumatori degli oneri aggiuntivi in relazione all’uso di PayPal o di altri strumenti di pagamento (come ad esempio la carta di credito) viola l’Articolo 62 del Codice del Consumo, anche alla luce degli ultimi aggiornamenti normativi.

L’ordinamento italiano ha infatti recepito la Direttiva Europea UE 2015/2366 relativa ai servizi di pagamento nel mercato interno (il cosiddetto PSD2) – mediante il Decreto Legislativo n. 11/2010, che pone un divieto assoluto di Payment Card Surcharge.

Dal momento che il Decreto in questione viene espressamente richiamato dall’art. 62 Codice del Consumo, non vi sono dubbi sull’applicazione del divieto all’interno della disciplina consumeristica.

ecommerce payment card surcharge pagamenti paypal

 

Spese PayPal e Payment Card Surcharge: riflessioni sulla sanzione

I provvedimenti dell’AGCOM offrono spunti di riflessioni per chi fa impresa online, anche in ragione del rischio connesso alle sanzioni, per comprenderne la loro entità e i parametri che ne determinano la loro quantificazione.

In questo caso l’Autorità ha innanzitutto preso in esame il periodo della pratica commerciale scorretta dell’aumento delle Spese PayPal (2017-2020), tenendo conto delle segnalazioni ricevute dai consumatori e dalle associazioni di categoria.

Riguardo alla gravità della violazione è stata valutata la dimensione del Professionista. Esaminando l’ultimo bilancio disponibile (circa 6 milioni di ricavi); il pregiudizio economico derivante ai consumatori, connesso all’illegittimo aggravio di spese PayPal; il contesto dell’e-commerce – che pone il consumatore in un posizione di asimmetria informativa rispetto al professionista – nonché del mezzo di diffusione (internet) che è in grado di raggiungere una platea illimitata di consumatori.

Per queste ragioni l’AGCOM ha irrogato nei confronti del titolare dell’e-commerce una sanzione amministrativa pecuniaria di 60.000,00 €. Intimando allo stesso la cessazione di qualunque pratica commerciale che imponga ai consumatori spese aggiuntive per l’utilizzo di determinati strumenti di pagamento, comunicando entro il termine di 60 giorni, le iniziative assunte al riguardo.

 

Come aprire un e-commerce ed evitare sanzioni

Per approfondire il tema dell’e-commerce – con una introduzione su come creare un e-commerce legale e rispettoso delle normative di settore – ti invitiamo a guardare il nostro video.