Nel marzo 2018, quando il fiasco dei dati Cambridge Analytica-Facebook è diventato di dominio pubblico, ha creato increspature in tutto il mondo. I governi di diversi paesi hanno preso atto della protesta pubblica e hanno iniziato a gettare le basi per la protezione dei dati e della privacy dei propri cittadini.

I legislatori dell'Unione Europea (UE) hanno guidato l'accusa. Sono state emanate numerose leggi e direttive mentre alcune delle leggi superate sono state rivisitate, imponendo nuovi obblighi e responsabilità a titolari e responsabili del trattamento.

In questa guida informativa, presentiamo la nostra ricerca sulle normative e le leggi europee sull'e-commerce di cui un imprenditore dovrebbe essere a conoscenza prima di avviare il proprio mercato di e-commerce come Flubit, ASOS o Allegro. Cominciamo con il largamente accettato e implementato; GDPR.

Tabella dei contenuti

• Le basi del GDPR
• Il GDPR è importante per il settore dell'e-commerce. Ecco perché!
• E-Commerce, IVA e Brexit e la loro armonia di lavoro
• Gateway di pagamento e pagamenti online
• Direttiva sulla vendita a distanza
• Industria delle carte di pagamento - Conformità allo standard di sicurezza dei dati (PCI DSS).
• Direttiva RAEE europea
• Conclusione

Le basi del GDPR

Il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore il 25 maggio 2018, è un regolamento sulla protezione dei dati e la privacy nell'Unione Europea (UE) e nella sua area economica. Serve a proteggere i dati dei residenti nell'UE.

I dati personali si riferiscono a qualsiasi informazione che possa essere ricondotta a una persona identificabile. Può includere nome, indirizzo e-mail, indirizzo IP, ecc.

Il GDPR si applica a qualsiasi azienda o impresa, indipendentemente dalla sua ubicazione e/o dalla cittadinanza o residenza degli interessati (individui). Se stai elaborando le informazioni personali di individui all'interno dello Spazio economico europeo (SEE) o se hai clienti nell'UE, devi esserne a conoscenza. Esistono sei basi legittime specificate dal GDPR (consenso, contratto, compito pubblico, interesse vitale, interesse legittimo o requisito legale).

A parte la base legale, ci sono alcuni diritti conferiti agli interessati dell'UE ai sensi del nuovo regolamento, che sono i seguenti:

• Diritto di accesso significa che i clienti hanno il diritto di sapere come vengono utilizzati i loro dati. Pertanto, le aziende devono valutare le persone con queste informazioni.
• Il diritto al trasferimento afferma che i clienti o gli interessati hanno il diritto di trasferire i propri dati da un'azienda all'altra.
• Il diritto all'oblio implica che se un cliente desidera che tutti i suoi dati vengano cancellati, le aziende devono ottemperare alla richiesta.
• Il diritto all'informazione impone che i clienti debbano essere esplicitamente informati che i loro dati vengono raccolti e che deve essere ottenuto il libero consenso.
• Il diritto alla rettifica dà ai clienti il ​​diritto di far aggiornare i propri dati se non sono aggiornati o non sono corretti.
• Il diritto di non elaborare implica che un cliente può scegliere di non far elaborare i propri dati ma i suoi record possono rimanere nel sistema.
• Diritto di opposizione significa che un cliente può scegliere di far sì che i propri dati non vengano elaborati per il Direct Marketing.

Inoltre, ci sono alcuni doveri e diritti a cui le aziende devono aderire secondo le nuove linee guida GDPR:

• In caso di violazione dei dati, l'azienda è tenuta a comunicarlo e segnalarlo entro 72 ore alle Autorità di vigilanza nazionali.
• Tutte le aziende devono nominare un responsabile della protezione dei dati (DPO) in caso di trattamento di dati in blocco.
• Per mantenere i dati protetti, le aziende devono intraprendere le azioni necessarie.
• Anche se le aziende devono raccogliere dati, deve essere la quantità minima richiesta.
• Le aziende/imprese devono assumere il consenso esplicito prima di raccogliere dati personali.
• Se le imprese internazionali o nazionali non rispettano la normativa sulla protezione dei dati, possono essere multate fino a 20 milioni di euro o al 4% del loro fatturato mondiale annuo dell'anno finanziario precedente, a seconda di quale sia maggiore.

A causa della dipendenza dell'Unione Europea dal GDPR, è diventato un modello da seguire per altri paesi e stati. Paesi come Cile, Giappone, Brasile, Kenya e Stati Uniti d'America hanno molte somiglianze con le loro normative, il che la rende una regola globale da seguire e rispettare per le imprese e le imprese.

Il GDPR è importante per il settore dell'e-commerce. Ecco perché!

Il GDPR ha rimodellato il settore dell'e-commerce in Europa e in altri continenti. Considerando che le aziende che operano nel dominio dell'e-commerce devono gestire i dati personali dei clienti e raccogliere, archiviare o utilizzare in altro modo i dati, devono seguire una pletora di normative a causa del trattamento dei dati dei clienti dell'UE.

• Un'azienda deve divulgare i dettagli di contatto del proprio negozio di e-commerce.
• Anche se non hai un ufficio fisico in Europa ma hai clienti nell'UE, dovrai rispettare il GDPR.

Sebbene un'azienda non debba fare nulla di straordinario per garantire che la propria attività sia conforme al GDPR, deve comunque assicurarsi che i propri T&C e l'Informativa sulla privacy insieme alle impostazioni dei cookie siano aggiornati.

Nota: da 1 a 10.000 dipendenti, il GDPR si applica a tutti, ma la registrazione è richiesta solo per le aziende con oltre 250 dipendenti.

Ci sono alcuni aspetti che devi prendere in considerazione per essere conforme al GDPR:

• Dai agli utenti la possibilità di scegliere e controllare se danno o meno il consenso
• Chiedere agli utenti l'attivazione significa che le caselle preselezionate non contano come consenso, pertanto l'utente deve "accettare" per se stesso
• Evidenziare esplicitamente ciò a cui l'individuo sta acconsentendo
• Le richieste di consenso dovrebbero essere separate da altri termini di servizio
• Sii specifico; non usare un ombrello per catturare tutto in una volta
• Sii chiaro e conciso: non c'è spazio per i doppi negativi
• Le terze parti che faranno affidamento sul consenso devono essere nominate
• Facile ritiro del consenso e come farlo è importante
• Documentare e conservare la prova del consenso in termini di chi ha acconsentito, quando, come e qual era il messaggio comunicato in quel momento
• Rivedi il consenso che hai ricevuto e aggiornalo se qualcosa cambia
• Evita di rendere il consenso una condizione preliminare per utilizzare il tuo servizio

Pagamenti transfrontalieri e rischi di conversione valutaria:

Le spese di pagamento transfrontaliere in tutta Europa sono intercambiabili, indipendentemente dalla sua partecipazione all'area dell'euro. Inoltre, i pagamenti nazionali in euro sono molto costosi, consentendo ai fornitori di servizi di pagamento (PSP) di addebitare in modo variabile.

Per far fronte a questo problema, il Parlamento europeo ha aggiornato i suoi regolamenti sui pagamenti. Il CBPR2 o regolamento transfrontaliero prevede di introdurre una maggiore trasparenza delle commissioni di conversione valutaria e definire standard presso i POS (Point of Sale) e gli sportelli automatici.

I PSP devono fornire quanto segue agli utenti che avviano un trasferimento online diretto con carta di credito:

• una stima delle spese di conversione
• un importo totale stimato nella valuta del conto del pagatore
• un importo totale stimato da pagare all'utente del servizio di pagamento nella valuta dell'account del pagatore
• commissione di transazione, se presente
• commissione di conversione valuta, se presente

CBPR2 richiede inoltre che prima dell'avvio di qualsiasi transazione basata su carta che comporti una conversione di valuta presso un bancomat o POS, i PSP devono divulgare le seguenti informazioni all'utente/beneficiario del servizio di pagamento:

Dichiarazione:

• Spese di conversione valutaria e tassi di cambio utilizzati.

Conformità fiscale:

• Il ricarico percentuale sull'ultimo tasso di cambio dell'euro emesso dalla Banca centrale europea
• L'importo totale da pagare nella valuta utilizzata dal beneficiario e nella valuta del conto PSP del pagatore

Otturazioni di sicurezza:

• La possibilità di pagare nella valuta utilizzata dal beneficiario e di far eseguire successivamente la conversione valutaria dal PSP dei pagatori.
• Il diritto del beneficiario di rifiutare il servizio di conversione valuta e pagare invece nella valuta utilizzata dal beneficiario.

Originariamente condiviso qui

Diritto dell'e-commerce in Europa e conversioni di valuta:

A causa della conversione di valuta, sorgono diversi rischi a causa del costante scambio di denaro. Come da nuova normativa, il tasso di cambio utilizzato sarà sempre quello al momento della transazione. Tre tipi di valute associate a un negozio online sono :

• Valuta del negozio: è la valuta visualizzata nei rapporti ed è dell'amministratore utilizzata per impostare i prezzi per i tuoi prodotti e le relative varianti.
• Valuta locale: è la valuta utilizzata dal cliente per pagare l'ordine al momento del pagamento ed è visibile anche nel tuo negozio.
• Valuta di pagamento: è la valuta utilizzata per depositare denaro sul conto bancario di un utente che può essere gestito dall'amministratore o direttamente dai proprietari del negozio.

Rischi:

• In caso di ritardi nell'elaborazione o rimborsi, c'è la possibilità che tu possa perdere o guadagnare denaro a causa della continua fluttuazione dei tassi di cambio.
• Se il tuo negozio effettua offerte in più valute, i prezzi vengono automaticamente convertiti e aggiornati con i tassi di mercato (è prevista anche una piccola commissione di conversione).

E-Commerce, IVA e Brexit e la loro armonia di lavoro

La Gran Bretagna è composta da Inghilterra, Galles e Scozia e ha nuove regole IVA per le merci importate dal Regno Unito dal capodanno del 2021. L'Irlanda del Nord ora ha il doppio status dopo la Brexit, quindi faranno parte del territorio doganale del Regno Unito ma anche una parte del mercato unico dell'UE ai fini dell'IVA.

D'ora in poi, le aziende di e-commerce devono prendersi cura di alcuni aspetti tecnici per assicurarsi che non ciondolano i piedi in acque agitate:

• Innanzitutto, richiedi il numero di partita IVA del Regno Unito in ogni paese in cui stai vendendo poiché la regola dello sportello unico è entrata in vigore dal 1° luglio 2021.
• Riscuoti l'IVA sugli ordini spediti nel Regno Unito che sono inferiori a 135 sterline,
• Nel caso di un mercato online, la responsabilità si sposta sulla piattaforma.
• Presentare e versare l'IVA a HMRC ogni trimestre.
• Richiedere un numero di registrazione e identificazione economica (EORI); viene utilizzato nelle dichiarazioni doganali, che aiuta a identificare gli esportatori nelle procedure e nella documentazione doganale.
• Rivaluta e aggiorna le tue impostazioni fiscali; se usi Avalara, verrà eseguito automaticamente.
• Le regole variano per B2B e B2C e i codici merceologici sono vitali considerando che se ottieni i codici sbagliati, potresti finire per pagare le tariffe sbagliate o avere le tue merci bloccate dalla dogana.

Necessità di Rappresentante Fiscale Locale:

Anche se deve ancora diventare ufficiale, si ritiene che 19 dei 27 paesi in Europa debbano avere un rappresentante IVA locale secondo il nuovo regolamento IVA e UE dell'e-commerce. Norvegia, Australia, Giappone o Corea del Sud stanno già seguendo questo accordo in cui il rappresentante fiscale locale è generalmente un avvocato o un contabile.

La mancata nomina di un rappresentante fiscale può comportare sanzioni. Tenendo presente che questi rappresentanti saranno ritenuti responsabili se la tua piattaforma non è conforme alle norme fiscali, potresti dover pagare loro una bella somma di denaro o una garanzia bancaria.

Gateway di pagamento e pagamenti online

È resa obbligatoria una Strong Customer Authentication (SCA) che aiuta a ridurre i casi di frode dei clienti in Gran Bretagna e in Europa. Secondo Silicon Canals, una società fintech, le aziende basate sull'e-commerce dovrebbero crescere fino a $ 1 trilione entro il 2022 in Europa e oltre $ 1 miliardo è la frode prevista sulle carte europee secondo la BCE ogni anno.

SCA è richiesto per la maggior parte dei pagamenti con carta. Il mancato rispetto della SCA potrebbe comportare il mancato rispetto delle transazioni di pagamento e altre conseguenze costose. Secondo il nuovo regolamento, l'autenticazione a due fattori è obbligatoria per consentire ai clienti di fornire 2 informazioni chiave su 3 per dimostrare la propria identità, che sono le seguenti:

• qualcosa che possiedono (un cellulare, un token o una smart card) ,
• qualcosa che sanno (codice PIN o password) ,
• qualcosa che sono (impronta digitale o modello vocale) .

L'avvento di fornitori di terze parti ha ulteriormente aumentato la concorrenza e la complessità. Dal 2018 esistono due tipi di fornitori di servizi bancari aperti, entrambi con scopi diversi.

• Fornitori di servizi di ordine di pagamento (PISP)
• Fornitori di servizi di informazioni sull'account (AISP)

I PISP sono autorizzati ad avviare pagamenti in entrata e in uscita dall'account di un utente mentre gli AISP hanno il potere di recuperare le informazioni sull'account fornite da banche e istituzioni.

Questi due gestiscono i consensi dei clienti necessari per accedere ai dati di cottura aperti. In parole povere, spiegano ai clienti a cosa si accederà, per quanto tempo e con chi sarà condiviso.

Le cose possono essere travolgenti per le aziende che non hanno mai avuto un'esposizione a un tale livello di dati prima, tuttavia, comprendendo le sfumature e le leggi in questione dovrebbero essere implementate dalle organizzazioni per salvaguardare gli interessi loro e dei loro azionisti.

Vantaggi per i commercianti online:

• Tassi di frode ridotti e maggiore fiducia nei clienti
• Autenticazione a due fattori per rendere il processo più fluido.
• Più opzioni per i consumatori di e-commerce

Cosa possono fare le aziende Internet:

Mostra i metodi di pagamento appropriati in base al contesto e assicurati che la tua piattaforma abbia uno standard 3D sicuro a 2 fattori.

Oltre alle cose da fare, ci sono anche alcune esenzioni alle normative sulla Strong Customer Authentication spiegate da Stripe , che esegue un'analisi in tempo reale per determinare se applicare o meno la SCA a una transazione.

Transazioni a basso rischio:

Le transazioni a basso rischio sono considerate valide per SCA solo se il provider di pagamento lo ritiene necessario, dopo averlo analizzato in tempo reale. Tuttavia, ci sono alcune esenzioni che sono possibili se i pagamenti con carta dei tassi di frode complessivi del fornitore di servizi di pagamento o della banca non superano le seguenti soglie:

• 0,13% per esentare le transazioni inferiori a € 100
• 0,06% per esentare le transazioni inferiori a € 250
• 0,01% per esentare le transazioni inferiori a € 500

Pagamenti inferiori a 30 euro:

Le transazioni inferiori a 30 euro sono considerate di basso valore e pertanto possono essere esentate da SCA , tuttavia, se questo scenario si ripete più di 5 volte e l'importo supera i 100 euro, le banche dovranno richiedere l'autenticazione. Inoltre, le banche sono tenute a mantenere un controllo sul numero di transazioni.

Abbonamento a importo fisso:

In questo caso, il primo pagamento del cliente richiede SCA, e il pagamento successivo può tuttavia esserne esentato.

Beneficiari fidati:

Durante il completamento dell'autenticazione per un pagamento , i clienti hanno la possibilità di aggiungere un'attività all'elenco di autorizzazioni che verrà ulteriormente aggiunto all'elenco dei "beneficiari di fiducia" della banca. Ciò garantirà che si verifichino meno errori di autenticazione.

Vendite telefoniche:

I dati della carta del cliente raccolti telefonicamente sono esenti da SCA e non richiedono l'autenticazione.

Pagamento aziendale:

Anche i pagamenti effettuati utilizzando numeri di carte virtuali comunemente utilizzati dal settore dei viaggi sono al di fuori di SCA.

Pagamenti avviati dal commerciante:

Quando una carta viene salvata nel sistema del commerciante e il pagamento viene effettuato utilizzando le carte salvate, è esente dall'autenticazione poiché tecnicamente questi pagamenti non rientrano nell'ambito delle SCA.

Direttiva sulla vendita a distanza

La vendita a distanza è, in termini semplici, la vendita attraverso qualsiasi forma di mezzo, inclusi digitale, online, posta, tra gli altri. Se la tua attività su Internet con partita IVA vende, ad esempio in Gran Bretagna ma non sei registrato lì ma in qualche altro paese in Europa, allora stai vendendo a distanza. Non è facile da capire ma è molto importante per le aziende che hanno clienti e potenziali clienti in Europa.

Prima di vendere a un cliente a distanza, assicurati che siano incluse le seguenti informazioni:

• Nome, recapiti e indirizzo della tua attività
• Una descrizione dettagliata della tua attività
• Prezzo totale comprensivo di tutte le tasse e istruzioni su come pagarle.
• Pagamento, tempi e costi di consegna
• Periodo di fatturazione e durata minima del contratto
• Condizioni di deposito, garanzie finanziarie e risoluzione dei contratti
• Criteri di annullamento dell'ordine insieme a un modulo, eventuali costi di annullamento e un termine fino al momento in cui hanno il diritto di annullare

Tutte queste informazioni devono essere fornite in un formato di facile comprensione.

In base a questa direttiva, le aziende di e-commerce devono comunicare ai propri clienti che possono annullare l'ordine entro 14 giorni dalla consegna e non è richiesto alcun motivo per l'annullamento.

Queste norme sul commercio elettronico nell'UE si applicano alle imprese che vendono servizi digitali online e dovrebbero essere seguite diligentemente.

Industria delle carte di pagamento - Conformità allo standard di sicurezza dei dati (PCI DSS).

Se la tua attività di e-commerce accetta pagamenti con carta di credito, devi essere consapevole di come funziona PCI DSS e, soprattutto, di come avrà un impatto sulla tua attività.

Sebbene per molti aspetti l'ambito PCI e GDPR si sovrappongano, la differenza sta tuttavia nel loro scopo. Il GDPR funge da mezzo per consentire agli utenti di comprendere i propri diritti e doveri quando un'attività su Internet raccoglie i propri dati, ma non fornisce sicurezza.

PCI, d'altra parte, si occupa direttamente degli aspetti di sicurezza e protezione dei dati dei titolari di carta. Perdita di dati, violazioni, furto di identità, tra gli altri, rientrano nella PCI. Anche se in questo standard i clienti non hanno molto controllo sui propri dati, PCI si concentra sulla sicurezza dei server, limitando l'accesso e concentrandosi sulla mitigazione e sulla gestione del rischio.

Direttiva RAEE europea

Questa direttiva è particolarmente importante per le imprese che si occupano di vendita e acquisto di beni elettronici. La direttiva sui rifiuti di apparecchiature elettriche ed elettroniche (o RAEE) stabilisce obiettivi di raccolta, riciclaggio e recupero per tutti i tipi di beni elettronici.

Secondo il RAEE, tutte le apparecchiature elettriche immesse sul mercato devono essere registrate nel rispettivo paese a cui vengono inoltre fornite le istruzioni per mantenere un elenco delle stesse.

Tutti gli Stati membri sono obbligati a mantenere relazioni annuali di tutte le apparecchiature elettriche immesse sul mercato e tutte le apparecchiature registrate dovrebbero essere etichettate di conseguenza.

Questo diventa difficile per i venditori che vogliono vendere i loro prodotti in diversi paesi dell'UE poiché dovranno essere registrati individualmente in ogni paese per garantire che siano conformi agli obblighi dei produttori locali. Se le organizzazioni non rispettano questa direttiva, possono essere inflitte pesanti sanzioni.

Anche se questa direttiva ha più lavoro da fare per i produttori, le aziende Internet devono comunque garantire che i loro prodotti siano conformi alle normative stabilite.

Qualche gergo comune usato in Europa di cui devi essere a conoscenza.

Definiamo alcuni dei termini chiave che vedrai durante la ricerca per GDPR.

• Interessato: la persona i cui dati privati ​​vengono archiviati, raccolti, condivisi o scaricati.
• Dati privati ​​e personali: qualsiasi informazione che identifica direttamente o indirettamente una persona vivente. Ad esempio, informazioni sull'account, informazioni sulla salute, età, sesso, indirizzo e-mail, data di nascita, indirizzo, indirizzo IP, ecc.
• Titolare del trattamento: è una o più persone che determinano le modalità di trattamento dei dati personali.
• Responsabile del trattamento: è una o più persone che trattano i dati per conto del titolare del trattamento.
• Obblighi dei responsabili del trattamento – I responsabili del trattamento devono seguire le istruzioni del titolare del trattamento e dovrebbero essere in grado di dimostrare la conformità al GDPR
• Responsabile della protezione dei dati : per la supervisione del GDPR, della conformità alla gestione generale della privacy e delle pratiche di protezione dei dati, le aziende potrebbero dover nominare un membro del personale o un fornitore di servizi per la supervisione del GDPR.
• Valutazioni dell'impatto sulla privacy (PIA) – Le valutazioni dell'impatto sulla privacy devono essere condotte sull'elaborazione dei dati su larga scala per ridurre al minimo i rischi e identificare le misure per mitigarli.
• Notifica di violazione – Gli stakeholder devono essere informati dal Titolare entro 72 ore dalla conoscenza di una violazione.

Fonte di informazione

Altre direttive e regolamenti da considerare:

Direttiva europea sul diritto d'autore (non una legge ma un quadro per aiutare gli stati membri a scrivere e redigere le loro leggi)

• Invia un avviso di pagamento ai clienti una volta effettuato il pagamento.
• Assicurati che la tua attività sia iscritta alla Camera di Commercio.

Dai ai tuoi utenti Nessuna casella preselezionata

• Avviso di pagamento obbligatorio
• Conversioni di valuta
• Gestione delle scorte

Conclusione

Dato il controllo che un'azienda potrebbe dover affrontare se non segue le normative legali per l'eCommerce nello Spazio economico europeo (SEE), è consigliabile comprendere le leggi che le riguardano. Inoltre, è importante che i nuovi imprenditori si assicurino di non trascurare i loro diritti e doveri fondamentali come fornitori di servizi e cittadini globali. Inoltre, l'impatto potrebbe essere più grave sulle PMI o sulle startup rispetto alle imprese più grandi.