ESCLUSIONE DI RESPONSABILITÀ: le presenti indicazioni sono a esclusivo scopo informativo e non costituiscono una consulenza legale professionale. Rivolgiti a un consulente legale indipendente per informazioni specifiche relative al tuo Paese e alla tua situazione. Shopify non si assume alcuna responsabilità circa l'affidamento alle presenti indicazioni o il relativo utilizzo.
Non esiste un momento sbagliato per avviare un'attività di ecommerce. Internet ha connesso il mondo e strumenti come Shopify consentono a tutti di avviare un'attività, indipendentemente dalle proprie competenze tecniche.
Ma la vendita online è caratterizzata da una serie di complesse questioni legali. Ciascun Paese e Stato presentano leggi diverse, quindi conoscere quali si applicano alla propria attività è fondamentale. Inoltre "ecommerce e leggi" è un binomio fluido e in costante evoluzione. Per raccogliere i frutti di un ecommerce online di successo, occorre restare informati ed essere in grado di proteggere se stessi e la propria attività.
Perché è importante conoscere le leggi sull'ecommerce
Sapere quali regole si applicano ai titolari di attività online e rispettarle è un aspetto fondamentale della gestione del proprio business. Conoscere le leggi sull'ecommerce è essenziale per proteggere il tuo brand e le tue risorse, oltre che per mantenere relazioni positive con i clienti.
Proteggi i tuoi clienti
Le leggi sull'ecommerce nascono per proteggere clienti e attività. Alcune leggi mirano a prevenire furti di identità, a contrastare le frodi e a tutelare la riservatezza dei dati dei clienti.
In alcuni casi, queste leggi sorgono per proteggere i clienti dalle attività. Ad esempio, esistono leggi finalizzate a prevenire le pratiche pubblicitarie ingannevoli e scorrette, oltre alla pubblicità rivolta ai minori e alla raccolta dei loro dati. Esistono addirittura leggi che proibiscono l'elaborazione di transazioni non autorizzate da parte delle attività, anche se queste sono in possesso delle informazioni di pagamento del cliente.
Proteggi la tua attività
Proteggere i tuoi clienti è importante tanto quanto tutelare la tua attività. Esistono molteplici leggi che tutelano il diritto delle attività di gestire il proprio business in modo onesto. Ad esempio, le leggi in materia di marchi commerciali, brevetti e diritto d'autore tutelano idee e proprietà intellettuale.
Conoscere le normative fiscali, comprese le imposte sulle vendite, i dazi di importazioni e le dichiarazioni fiscali annuali, ti consente di proteggere le tue risorse. Infine, avere familiarità con le leggi sull'impiego e sul lavoro ti permetterà di evitare ripercussioni in caso di violazione, oltre a garantire un trattamento equo ai tuoi dipendenti.
Protezione dei tuoi clienti
Le leggi sull'ecommerce volte a tutelare i clienti di solito riguardano la privacy dei dati personali, la sicurezza dei dati finanziari e le pratiche pubblicitarie e commerciali ingannevoli.
Mantieni i dati personali sicuri e riservati
Come accennato in precedenza, il rapporto tra ecommerce e leggi è in continua evoluzione, specie quando si tratta della privacy dei dati. In molti casi, le leggi non tengono ancora il passo della tecnologia. Tuttavia, la maggior parte degli Stati sta inasprendo le proprie normative e rispondendo alle preoccupazioni circa la privacy dei consumatori, come si evince da questo grafico:
Operiamo in un settore basato sui dati, quindi è importante raccoglierli e gestirli nei limiti della legge. Ecco alcuni aspetti da tenere a mente:
- Tracciamento da parte dei siti web: il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea impone ai rivenditori online di concedere agli acquirenti il diritto di conoscere le informazioni raccolte e le relative modalità d'uso, di eliminare, rettificare e cancellare le proprie informazioni, di interrompere la condivisione o la vendita dei loro dati e di richiederne la portabilità, nonché di esercitare i loro diritti senza subire ritorsioni. Alcune leggi statunitensi prevedono meccanismi simili a tutela dei consumatori, come il California Consumer Privacy Act (CCPA).
- Email marketing: alla luce del GDPR e dell’art. 130, comma 1, del Codice della Privacy, è vietato utilizzare sistemi automatizzati per l’invio di materiale pubblicitario, di vendita diretta, di comunicazione commerciale o per il compimento di ricerche di mercato in assenza del consenso preventivo dell’utente (il cosiddetto opt-in). L’art. 4 del GDPR definisce il consenso come la manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato. Il combinato disposto di questi articoli vieta dunque lo spam e l’invio di materiale non richiesto senza l’espressa autorizzazione dell’utente, al quale deve essere riconosciuto il diritto di revocare in qualsiasi momento il proprio consenso alla ricezione di tali forme di comunicazione. Negli Stati Uniti, la FTC (Federal Trade Commission) ha approvato il Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM) che prevede forme di tutela analoghe.
- Privacy policy: l’articolo 13 del GDPR specifica che, in caso di raccolta di dati personali dall’interessato, il titolare del trattamento (ossia la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali) deve fornire alcune informazioni essenziali al momento della raccolta dei dati, sotto forma di privacy policy. Tali informazioni devono comprendere identità e dati di contatto del titolare del trattamento, finalità e basi giuridiche del trattamento, periodo di conservazione dei dati, eventuale utilizzo di strumenti automatici di profilazione dei dati e diritto di presentare reclamo a un'autorità di controllo. Il titolare del trattamento è ovviamente tenuto a rispettare la propria privacy policy ai sensi del GDPR. Obblighi analoghi sono previsti negli Stati Uniti dalla Federal Communication Commission (FCC).
Scopri di più: generatore di privacy policy per GDPR e modelli gratuiti
Il GDPR prevede inoltre diverse disposizioni a tutela dei minori, riconoscendo la necessità di una protezione speciale per questa categoria di utenti, specie in relazione al trattamento dei loro dati personali:
- Consenso: in caso di trattamento di dati basato sul consenso, questi è valido solo se fornito o autorizzato dai genitori o tutori per i minori di anni 16. In Italia la soglia di età è stata fissata a 14 anni.
- Trasparenza e chiarezza delle informazioni: comunicazioni e informazioni rivolte ai minori, ivi comprese quelle contenute nelle privacy policy obbligatorie, devono essere formulate in modo chiaro, semplice e comprensibile per un soggetto minore.
- Protezione speciale per i dati dei minori: il GDPR riconosce in modo esplicito la necessità di fornire una protezione speciale ai dati dei minori, in particolare per quanto riguarda l’uso dei loro dati per finalità di marketing e profilazione.
Negli Stati Uniti, il Children's Online Privacy Protection Act (COPPA) della FTC vieta alle attività il tracciamento di dati provenienti da o relativi ai minori di anni 13, nonché di mostrare loro pubblicità ingannevoli.
I rivenditori online nel settore della salute e del benessere devono prestare particolare attenzione nello svolgimento della propria attività.
Infatti, secondo l’articolo 9 del GDPR, le informazioni sanitarie costituiscono una categoria speciale di dati personali, il che prevede un livello più elevato di protezione. Ciò implica per i merchant di questo settore obblighi di notifica alle autorità di controllo ancora più stringenti in caso di violazione dei dati subita.
L’Health Breach Notification Rule prevede meccanismi di tutela molto simili, in particolare l’obbligo di notifica immediata in caso di violazione dei dati per le attività che possiedo e trattano dati sanitari dei propri clienti.
Infine, il GDPR impone alle attività che trattano i dati dei propri clienti l’adozione di misure tecniche e organizzative adeguate alla protezione degli stessi, il che include la prevenzione dei furti di identità. In caso di violazione dei dati e possibili furti di identità, le attività di ecommerce, e non solo, devono notificare l’incidente entro 72 ore alle autorità competenti.
Anche gli Stati Uniti prevedono strumenti contro i furti di identità molto simili all’interno della Red Flags Rule.
Gestisci in modo sicuro i dati finanziari dei clienti
I dati finanziari sono importanti quanto quelli personali ed è fondamentale rispettare le leggi in materia. Violazioni nell’ambito di pagamenti e sicurezza sono minacce concrete e quasi la metà delle aziende sta adottando misure per proteggere la propria attività e i propri clienti mediante piani di cybersecurity.
Sebbene non sia un obbligo di legge adottare tali misure, un piano di cybersecurity può prevenire potenziali violazioni legali, per non parlare delle perdite in termini finanziari e di fiducia dei clienti.
Una legge sull'ecommerce applicabile in tal senso è il Regolamento UE 910/2014 (Regolamento eIDAS). Il Regolamento in questione prevede che le attività possano usare le firme elettroniche dei propri clienti solo in caso di consenso di entrambe le parti coinvolte, espresso mediante contratto, all’utilizzo di strumenti elettronici per la sottoscrizione.
A livello internazionale, l’Electronic Signatures in Global and National Commerce Act (l'E-Sign Act) degli Stati Uniti prevede che le attività possano usare le firme elettroniche solo con il consenso del cliente.
Ma le attività di ecommerce non possono limitarsi a rispettare il solo il Regolamento eIDAS. Infatti, è sempre opportuno adottare misure di prevenzione contro le frodi.
Due aspetti da non sottovalutare sono i gateway di pagamento e i fornitori di servizi di elaborazione dei pagamenti per ecommerce. Pur non trattandosi tecnicamente di una legge, il Payment Card Industry (PCI) ha predisposto una serie di standard di sicurezza raccomandati da seguire per attività e istituzioni finanziarie. Questi standard mirano a incoraggiare lo sviluppo e l'"adozione di risorse e standard per la sicurezza dei dati, al fine di garantire pagamenti sicuri in tutto il mondo".
Tuttavia, non devi preoccuparti della natura di questi standard. In qualità di imprenditore di ecommerce, puoi affidarti a elaboratori di pagamenti conformi al PCI, che conoscono e rispettano le normative. Ad esempio, tutti i negozi Shopify sono conformi al PCI di default, così da mantenere al sicuro informazioni di pagamento e dati di business.
Fornisci prodotti e servizi di qualità
Ecommerce e leggi non significa solo proteggere i dati dei clienti, ma anche evitare che i consumatori cadano vittime di pratiche di business ingannevoli o non etiche:
- La Direttiva sulle pratiche commerciali sleali (Direttiva 2005/29/CE) vieta pratiche ingannevoli e fuorvianti in grado di danneggiare i consumatori. La Direttiva definisce come ingannevoli le pratiche commerciali che contengono informazioni false o fuorvianti circa le caratteristiche essenziali del prodotto.
- Il Codice del Consumo vieta qualsiasi pratica commerciale che possa trarre in inganno il consumatore riguardo caratteristiche principali, prezzo, benefici, natura, qualità o disponibilità di un bene o servizio. Lo stesso codice prevede anche la possibilità per i consumatori di ottenere risarcimenti per i danni subiti a causa di pratiche commerciali scorrette.
Analoghe tutele sono rinvenibili nell'FTC Act degli Stati Uniti.
La Direttiva Omnibus impone inoltre alle attività di indicare in modo chiaro le modalità con cui verificano l’autenticità delle recensioni pubblicate dai propri clienti (ad es., le piattaforme di ecommerce devono indicare se le recensioni provengono effettivamente da utenti che hanno acquistato o utilizzato il prodotto). La Direttiva inoltre vieta qualsiasi forma di recensioni false o manipolate o l’eliminazione di recensioni negative da parte delle attività.
Negli Stati Uniti, è il Consumer Review Fairness Act dell’FTC a garantire che tutte le recensioni dei clienti siano autentiche e che le aziende non impediscano ai clienti di lasciare recensioni.
La Direttiva 2011/83/UE sui diritti dei consumatori e il Codice del Consumo disciplinano le spedizioni per le attività di vendita a distanza, comprese quelle che esercitano il proprio business online, telefonicamente o per corrispondenza. Le due normative stabiliscono che il venditore debba consegnare i beni acquistati senza ingiustificato ritardo entro 30 giorni dalla conclusione dell’acquisto. L’art. 61 del Codice del Consumo stabilisce che, se il venditore non adempie agli obblighi di consegna o è impossibilitato a farlo entro il termine pattuito, o in mancanza, entro 30 giorni, il cliente può invitare il venditore a effettuare la consegna entro un termine supplementare adeguato. In caso di mancato rispetto di tale termine supplementare, il cliente avrà diritto a risolvere l’acquisto e ottenere un rimborso completo.
I medesimi obblighi sono imposti ai merchant statunitensi, ad esempio, dalla Mail, Internet, or Telephone Order Merchandise Rule.
Protezione della tua attività
Oltre a proteggere i tuoi clienti, devi anche tutelare la tua attività da potenziali insidie derivanti dalla mancata conoscenza delle leggi.
Verifica se devi aprire partita IVA o costituire un'entità commerciale
Registrare la tua attività è una mossa saggia per proteggere il tuo business. Puoi decidere di svolgere la tua attività mediante partita IVA o costituendo un’entità commerciale.
Ad esempio, una ditta individuale è diversa da una S.r.l. e da altre forme giuridiche d'impresa in quanto è meno formale, mette a rischio i tuoi beni personali e presenta restrizioni diverse in tema di crescita dell'attività. Quindi, è sempre opportuno consultare un consulente legale qualificato per scoprire quali leggi devi rispettare in materia di forma giuridica per la tua attività.
In alcuni casi, potresti aver bisogno di una licenza commerciale per operare legalmente. Tale obbligo si applica a specifici settori, come gli alcolici o l'agricoltura. Potresti anche aver bisogno di una licenza speciale se stai avviando un'attività di rivendita. In alcuni casi, potresti dover registrare la tua attività presso la Camera di Commercio locale.
Assicurati di riscuotere le imposte corrette
Sussistono specifiche leggi in materia di imposte sulle vendite che si applicano alle attività di ecommerce. Se ti occupi di commercio internazionale, dovrai anche tenere conto di imposte e dazi di importazione.
È importante conoscere le leggi pertinenti così da sapere quando e come trasferire in modo legale gli oneri fiscali ai tuoi clienti e quando invece gravano sulle tue spalle. Conoscere queste leggi ti aiuta a stabilire il prezzo di vendita dei prodotti in modo da realizzare comunque un profitto su ciascuna vendita.
Dovrai anche conoscere le scadenze fiscali per le aziende. Le imposte per le attività funzionano in modo diverso rispetto a quelle personali, quindi dovrai sapere quali sono i tuoi obblighi in tal senso.
Registra marchi commerciali e brevetti
Puoi prendere in considerazione la registrazione di marchi commerciali o brevetti per la tua attività, i tuoi prodotti e le proprietà creative associate. Marchi commerciali e brevetti impediscono alle attività concorrenti di copiare le tue idee. Si tratta di strumenti perfetti per proteggere la tua brand identity in un panorama competitivo.
Scopri le restrizioni relative ai prodotti che vendi
Alcuni prodotti presentano stringenti requisiti legali in materia di spedizione. Se spedisci all'estero i tuoi prodotti, presta particolare attenzione a queste leggi. Bevande alcoliche, smalti per unghie, profumi e prodotti a base di CBD sono solo alcuni esempi di articoli che presentano specifiche restrizioni legali in merito alla spedizione, a livello nazionale e internazionale.
Pur non essendo requisiti legali, è opportuno anche verificare le ulteriori restrizioni applicate dal vettore di tua scelta.
Scopri se ti serve un'assicurazione aziendale
Le assicurazioni aziendali rappresentano un'altra area dai confini legali sfumati. Tuttavia, se hai dipendenti, vale la pena investire in assicurazioni per risarcimento, disoccupazione e invalidità degli stessi. Tutti questi strumenti sono volti alla protezione del tuo personale, e della tua attività, in caso di emergenze, come gli infortuni sul lavoro.
Pur non essendo sempre obbligatoria, specie se non si hanno dipendenti, è sempre opportuno sottoscrivere un'assicurazione. Molte attività di ecommerce sottoscrivono volontariamente polizze assicurative per danni alla proprietà e in caso di responsabilità civile.
Le polizze per danni alla proprietà proteggono magazzini, prodotti fisici, uffici e qualsiasi altro bene fisico di proprietà della tua attività, compreso il tuo negozio al dettaglio, se ne possiedi uno. Le polizze di responsabilità civile consentono di far fronte alle spese legali derivanti da eventuali cause intentate contro la tua attività.
Richiedi sempre una consulenza legale professionale in materia di ecommerce
Ricorda, questa guida non costituisce una consulenza legale ufficiale: tutte le attività sono diverse. L'evoluzione legislativa e la vendita oltreconfine rende più difficile orientarsi nel rapporto tra ecommerce e leggi. È sempre opportuno rivolgersi a un professionista esperto e autorizzato, in grado di aiutarti a garantire il rispetto di tutte le leggi nella tua situazione specifica.
La piattaforma Shopify semplifica la gestione sicura di pagamenti, dati dei clienti e altre importanti informazioni correlate alla tua attività.
Ecommerce e leggi: domande frequenti
Devo creare una S.r.l. per la mia attività di ecommerce?
No, non devi necessariamente creare una S.r.l. per la tua attività di ecommerce. Puoi operare aprendo partita IVA, ma è opportuno conoscere le varie forme giuridiche d'impresa e scegliere quella più adeguata alla tua attività specifica.
Quali leggi e normative possono influire sulla tua attività di ecommerce?
- GDPR
- Codice del Consumo
- Codice della Privacy
- Regolamento eIDAS
- Direttiva sulle pratiche commerciali sleali
- Direttiva Omnibus
- Direttiva sui diritti dei consumatori
- Leggi in materia di imposte sulle vendite
Cosa devono sapere le attività di ecommerce in materia di leggi sulla protezione dei consumatori?
Le attività di ecommerce devono conoscere le leggi sulla privacy dei dati dei clienti e le normative in materia di gestione delle informazioni finanziarie degli stessi.
Perché la privacy è importante negli ecommerce?
La privacy è importante negli ecommerce per proteggere clienti e attività da potenziali frodi, furti di identità e così via.
Il mio negozio ecommerce deve avere una privacy policy?
Sì. Secondo il GDPR, il tuo negozio ecommerce deve avere una privacy policy, che puoi creare con questo apposito modello gratuito.
Quali iniziative devono intraprendere i responsabili degli ecommerce per tutelare privacy e sicurezza dei clienti?
I responsabili degli ecommerce devono conoscere e rispettare le leggi sulla privacy dei dati, oltre a usare tecnologie e strumenti conformi al PCI, come Shopify.