GDPR e la nuova normativa in materia di Whistleblowing

Il 15 luglio entra in vigore la nuova normativa in materia di whistleblowing con i relativi adempimenti GDPR.

L’obiettivo del legislatore è garantire una maggiore tutela per coloro che segnalano comportamenti illeciti, sia nel settore pubblico che in quello privato, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato in ambito lavorativo.

Allo stesso tempo, sono state introdotte importanti novità in materia di privacy per proteggere i segnalanti e gestire correttamente il processo di segnalazione e i rischi ad esso connessi.

Ambito di applicazione

Le imprese del settore privato che dovranno adeguarsi alla nuova disciplina sono quelle che:

  • hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Si precisa che le imprese che hanno impiegato nell’ultimo anno una media di 249 lavoratori subordinati avranno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi obblighi e adottare adeguati canali di segnalazione interna, oltre all’adozione di una serie di adempimenti GDPR.

Adempimenti GDPR

Con particolare riferimento agli adempimenti in materia di data protection, spicca quello relativo alle modalità di conservazione dei dati personali dei soggetti coinvolti nella segnalazione (segnalanti, persone coinvolte nella segnalazione o facilitatori) nel rispetto del “principio di minimizzazione dei dati” (art. 5 GDPR).

I soggetti incaricati di ricevere le segnalazioni dovranno infatti eliminare immediatamente tutti i dati non utili alla segnalazione ai sensi dell’art. 13, comma 2 decreto whistleblowing.

Nella pratica, se la segnalazione viene fatta oralmente, sarà necessario il consenso del segnalante per la trascrizione o la redazione del verbale da parte del personale addetto a riceverla. Il segnalante potrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Per quanto riguarda il canale di segnalazione da adottare, saranno i titolari del trattamento che dovranno individuare, in anticipo, adeguate misure tecniche e organizzative per mitigare il rischio per i diritti e le libertà dei soggetti interessati nel rispetto del principio privacy by design (art.25 GDPR).

Nell’iter di selezione del fornitore del servizio di segnalazione e/o del prodotto tecnologico si dovrà valutare il rispetto dei requisiti di sicurezza prescritti dalla normativa (art. 32 GDPR).

A tal proposito sarà quindi obbligatorio effettuare la cosiddetta DPIA (valutazione di impatto) del sistema di segnalazione interna, già in fase di progettazione del relativo disegno organizzativo (art. 35 GDPR).

L’obbiettivo della normativa è proprio quello di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato (art. 25 GDPR).

Qualora la gestione delle segnalazioni avvenga in maniera condivisa (per quanto attiene alle risorse per il ricevimento e la gestione della segnalazione) dovranno essere conclusi accordi di contitolarità tra i diversi titolari del trattamento coinvolti (art. 26 GDPR).

Una volta adottato il sistema di segnalazione, anche l’elenco delle nomine a responsabile esterno (ovvero colui che tratta i dati personali per conto del titolare del trattamento) dovrà essere aggiornato e in questo caso dovranno sottoscrivere i cosiddetti DPA (data protection agreement) (art. 28 GDPR) anche:

  • il fornitore del sistema informatico del canale di segnalazione;
  • l’ADS (amministratore di sistema) o
  • il fornitore dell’eventuale piattaforma per la gestione delle segnalazioni.

Tra le nomine non bisogna dimenticare anche quella del “referente del titolare del trattamento” a favore di tutti i soggetti incaricati dal titolare di ricevere e gestire le segnalazioni interne alla realtà aziendale (art. 29 GDPR).

Infine, sarà necessario aggiungere uno specifico trattamento relativo alla procedura di whistleblowing nel relativo registro dei trattamenti (art. 30 GDPR), senza dimenticare di predisporre e pubblicare anche un’informativa dedicata o eventualmente integrando quella già in essere. (art. 12 GDPR).

dati trattati devono essere conservati solo per il tempo strettamente necessario al relativo trattamento sempre nel rispetto del principio di minimizzazione dei dati, e comunque non oltre il termine di 5 anni a decorrere dalla comunicazione dell’esito finale della procedura di segnalazione (articoli 5 e 12 GDPR).

Il nuovo regime sanzionatorio

Abbiamo anticipato che i soggetti destinatari della normativa sono tenuti ad adeguarsi entro il 15 luglio 2023 o al più tardi entro e non oltre il 17 dicembre 2023 agli obblighi a loro imposti.

Senza considerare altri profili responsabilità (civile, penale, amministrativa, contabile), il decreto whistleblowing ha infatti previsto sanzioni rigorose per coloro che non si adeguano alle prescrizioni imposte dalla legge.

L’organismo preposto a irrogarle (ANAC) potrà erogare sanzioni quando le imprese abbiano commesso ritorsioni nei confronti dei soggetti segnalanti o quando:

  • abbiano ostacolato o tentato di ostacolare la segnalazione o violato l’obbligo di riservatezza;
  • hanno omesso di istituire canali di segnalazione;
  • hanno omesso di adottare procedure per l’effettuazione e la gestione delle segnalazioni;
  • l’adozione o la loro implementazione non è stata conforme alla normativa;
  • hanno omesso di svolgere l’attività di verifica e analisi delle segnalazioni ricevute.

In tutti questi casi, l’ANAC può irrogare fino a 50.000 euro di sanzioni in caso di violazione.

Qualora la violazione riguardi l’identità del segnalante la sanzione potrà arrivare a 2.500 euro.

Considerazioni finali

Da una prima analisi del decreto whistleblowing, si evince come la norma sia stata pensata in stretta connessione con quella in materia di GDPR. La norma va rispettata sia sotto il profilo della riservatezza dei dati sia per i numerosi adempimenti da adottare per trattare correttamente le informazioni selezionate e raccolte.

In quest’ottica si ricorda che gli illeciti in materia di privacy sono stati ricompresi all’interno dell’elenco delle fattispecie che potranno essere oggetto di segnalazione.

Si auspica quindi che anche grazie al nuovo decreto whistleblowing si diffonda una maggiore consapevolezza in materia di data protection e conseguente volontà di miglioramento della cultura della privacy compliance su tutto il territorio nazionale.

Dark Patterns: questi sconosciuti…

Cosa ne sappiamo dei dark patterns e perché il legislatore europeo ha emanato un regolamento per contrastarli?  

Secondo il considerando 67 del REGOLAMENTO (UE) 2022/2065 (Digital Services Act “DSA”), i dark patterns sono “percorsi oscuri” (e già la traduzione italiana rende l’idea dello scopo della normativa) sulle interfacce delle piattaforme online, pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni libere e informate. Lo scopo è convincere gli utenti, mediante un inganno, ad adottare comportamenti o decisioni indesiderate che possono avere conseguenze negative per gli stessi.  

A pensarci bene siamo tutti vittime di dark patterns, ogni volta che acquistiamo un prodotto o un servizio on-line e dobbiamo tenere alta l’attenzione per non cadere in trappole confezionate ad hoc: l’assicurazione per il volo non richiesta, il conto alla rovescia del tempo massimo per effettuare l’acquisto, il costo maggiorato di spedizione, il recesso dall’abbonamento difficilmente esercitabile, le promozioni già scadute, il call center irraggiungibile. Tutti esempi che la Commissione Europea ha classificato in uno studio del 2022 che trovate qui.

Il DSA punta l’attenzione sulla necessità di trasparenza, sulle eliminazione delle pratiche pubblicitarie scorrette e sulla progettazione delle piattaforme in linea con la normativa. Ad esempio vieta ai fornitori di piattaforme online di adottare pratiche tese a ingannare o esortare i destinatari del servizio e distorcere o limitare l’autonomia, il processo decisionale o la scelta dei destinatari del servizio attraverso la struttura, la progettazione o le funzionalità di un’interfaccia online o di una parte della stessa, ad esempio anche presentando le scelte in maniera non neutrale, attribuendo maggiore rilevanza a talune scelte attraverso componenti visive, auditive o di altro tipo nel chiedere al destinatario del servizio di prendere una decisione (art.25). 

I destinatari del Regolamento sono i fornitori di servizi internet (ISP), definiti secondo la classificazione già in uso con la Direttiva e-commerce in fornitori di servizi di mere conduit, di memorizzazione temporanea e non di informazioni. Alcuni dei quali, integrando piattaforme on line di grandi dimensioni sono già stati individuati dalla Commissione Ue in 17 operatori (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) e due motori di ricerca (Google e Bing).  

Il Regolamento, che prevede ampi poteri di indagine da parte della Commissione Europea o da una delle autorità preposte nei singoli stati membri, troverà applicazione prima tra questi operatori di grandi dimensioni i quali dovranno adeguarsi entro agosto 2023, successivamente (entro il 17 febbraio 2024) per tutti gli altri. 

Riguardo a termini e condizioni del contratto che regola i servizi è prescritto che gli ISP forniscano informazioni sulle restrizioni che impongono in relazione all’uso dei loro servizi, includendo le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, nonché le regole del sistema di gestione dei reclami. Informazioni da fornire con un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità e disponibili al pubblico in un formato facilmente accessibile e leggibile meccanicamente (in linea con le migliori pratiche sull’accessibilità dei servizi). 

Per i servizi rivolti ai minori l’ISP dovrà adeguare il contenuto informativo e lo stile spiegando in modo comprensibile le condizioni e le restrizioni che si applicano all’utilizzo del servizio. 

Il rispetto dei diritti fondamentali dei destinatari del servizio, quali la libertà di espressione, la libertà e il pluralismo dei media, e altri diritti e libertà fondamentali sanciti dalla Carta è tenuto nella massima considerazione dal legislatore Europeo. 

Gli ISP e i motori d ricerca di dimensioni molto grandi dovranno anche mettere a disposizione una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità e pubblicare le loro condizioni generali nelle lingue ufficiali di tutti gli Stati membri in cui offrono i loro servizi. 

I destinatari del servizio (intesi sia come persone fisiche che persone giuridiche), nonché gli organismi, le organizzazioni o le associazioni rappresentative, hanno il diritto di presentare reclamo nei confronti dei fornitori presso il coordinatore dei servizi digitali dello Stato membro in cui il destinatario del servizio è situato o è stabilito, aprendo un procedimento in contraddittorio tra le parti. (Art.53) 

Le sanzioni – pesantissime – possono arrivare fino al 6% dell’ultimo fatturato annuo mondiale del fornitore. 

Sistemi di Informazione Creditizia: Organismo di Monitoraggio

Con la delibera 6 ottobre 2022 pubblicata sulla Gazzetta Ufficiale n. 258 del 4 novembre 2022, è stato finalmente approvato il codice di deontologia e di buona condotta per i sistemi di informazione creditizia (SIC) gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti e accreditato il nuovo Organismo di monitoraggio (ODM) per tutelare i consumatori da eventuali problemi riscontrati con gli operatori del sistema.

Il nuovo codice completa il percorso normativo avviato dal Garante nel 2019 quando aveva già approvato il codice di condotta, ma con riserva, nell’attesa di completare la fase di accreditamento dell’ODM.

Il nuovo codice disciplina le categorie di dati che possono essere trattate (quali dati identificativi, anagrafici e sociodemografici; dati relativi alla richiesta/rapporto; dati di tipo contabile; dati relativi al contenzioso e adattività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati), le modalità di raccolta e registrazione dei dati, le modalità con le quali gli interessati devono essere informati, i tempi di conservazione e le modalità attraverso le quali deve essere fornito il preavviso della segnalazione.

Per quanto riguarda l’istituzione del nuovo Organismo di monitoraggio del rischio, lo stesso sarà composto da tre componenti, uno designato dal CNCU (Consiglio nazionale consumatori e utenti); un altro, in qualità di vicepresidente, designato all’unanimità dai gestori aderenti al presente codice di condotta; il terzo nominato in accordo tra questi ultimi e CNCU all’unanimità, il quale ricoprirà il ruolo di presidente.

I membri dell’Organismo, investiti dei requisiti di onorabilità, autonomia, indipendenza, professionalità ed esperienza, avranno il compito primario di svolgere tutte le verifiche opportune, ivi incluse ispezioni sia da remoto che presso la sede dei gestori aderenti, nonché gestirei reclami eventualmente insorti tra i gestori e gli interessati, relativamente alle violazioni del codice di condotta.

Il codice precisa, tuttavia, che in caso di reclamo da parte di un interessato, lo stesso potrà essere proposto solo in via residuale, ovvero quando saranno stati esercitati i diritti di cui all’art. 9 del codice di condotta; gli sarà comunque preclusa la possibilità di avviare in sede giudiziaria ordinaria o amministrativa una procedura avente il medesimo oggetto o attinente alle medesime questioni sollevate avanti l’ODM, ma non anche di poter adire il Garante per la protezione dei dati personali, che manterrà inalterate tutte le sue competenze, incluse quelle di vigilanza sull’ODM stesso.

Agenzia: attenzione alle nuove forme di promozione sul web, la contribuzione diventa obbligatoria?

Promozioni on-line, influencer e personal shopper sul web e sui social potrebbero finire nel mirino dell’ente di previdenza per agenti e rappresentanti di commercio che pretende il pagamento dei contributi previdenziali dai preponenti.

In materia di distribuzione commerciale va posta molta attenzione ai contratti che vengono stipulati. A fronte delle nuove e più fluide figure di intermediazione, determinate anche dall’evoluzione tecnologica, l’Enasarco annuncia per i prossimi anni maggiori ispezioni al fine di combattere le forme di elusione contributiva “mascherate” da rapporti di procacciamento.

In merito ai nuovi procacciatori, che comprendono adesso anche personal shopper, influencer e promoter che operano sul web, la Corte di Cassazione è chiamata ad esprimersi in merito alla riconducibilità o meno delle relative attività di propaganda, in qualunque modo finalizzate alla conclusione di un determinato affare, all’attività promozionale dell’agente di commercio come regolamentata dagli articoli 1742 e seguenti del codice civile, focalizzando principalmente l’attenzione sul nesso di causalità tra l’attività del procacciatore e la conclusione dell’affare.

Enasarco sta quindi monitorando gli interventi della giurisprudenza sul punto dal momento che i settori destinati a essere coinvolti da tale evoluzione, e quindi dalle prossime attività ispettive della stessa Enasarco, sono potenzialmente ampliati partendo dal classico settore farmaceutico e libraio fino ad arrivare alle attività di call center e di promozione tramite web.

Dunque, divenendo più  fluido e labile il confine tra attività promozionale tipica dell’agente di commercio e attività di distribuzione in genere, anche l’ente previdenziale degli agenti e rappresentanti di commercio prevede un adeguamento delle proprie ispezioni in ottica inclusiva degli obblighi contributivi in favore dei nuovi promotori a carico dei preponenti.

Per non farsi trovare impreparati gli operatori interessati devono prestare massima attenzione al contenuto dei propri contratti di distribuzione: mai come ora è raccomandabile un’attenta revisione legale dei testi contrattuali.

Green pass in ambito privato: nuovi obblighi per il datore di lavoro

Come noto nella giornata di ieri 21 settembre 2021, è stato pubblicato in Gazzetta Ufficiale il decreto legge n. 127 (il Decreto Green Pass bis) il quale ha previsto l’estensione dell’ambito applicativo del Green Pass al personale del settore pubblico e privato, ivi inclusi i lavoratori autonomi e i collaboratori familiari e a tutti i soggetti che prestano, a qualsiasi titolo (anche in forza di contratti esterni), la propria attività lavorativa, formativa o di volontariato nei luoghi di lavoro.

DECORRENZA – Tale obbligo entrerà in vigore il 15 ottobre p.v., permarrà fino al termine dello stato di emergenza, attualmente previsto per il 31 dicembre 2021, e sono previsti casi di esenzione solo per coloro in possesso di idonea certificazione medica rilasciata secondo i criteri definiti dal Ministero della Salute.

MODALITA’ – Il decreto disciplina anche le modalità operative di controllo (da svolgersi esclusivamente tramite l’App “VerificaC19” scaricabile sia per i sistemi Android  che Apple) che i datori di lavoro sono chiamati ad adottare prevedendo che il controllo avvenga, ove possibile, al momento dell’accesso al luogo di lavoro e che possa essere effettuato anche a campione.

DATI PERSONALI E ADEMPIMENTI PER LA LORO TUTELA – Ora, è indubbio che – così come già previsto per altri settori quali ristorazione, cinema etc… – la verifica del possesso del Green Pass integra un trattamento dei dati personali ai sensi del GDPR poiché permette alla persona preposta al controllo di visionare i dati contenuti nel Green Pass e nei documenti di identità.

Conseguentemente sarà necessario attivarsi per adottare le opportune cautele mantenendosi compliant con la disciplina in materia di protezione dei dati personali.

In particolare, sarà opportuno:

  1. Individuare in modo formale il soggetto deputato al controllo del Green Pass e provvedere a nominarlo quale soggetto autorizzato al trattamento ex art. 29 GDPR fornendogli le opportune istruzioni operative in ottemperanza a quanto stabilito dai provvedimenti governativi;
  2. redigere apposita informativa ex art. 13 GDPR in merito al trattamento dei dati che verrà effettuato – precisiamo che è stato sancito il divieto di conservazione, in qualunque forma, dei dati relativi al Green Pass (conseguentemente scoraggiamo la raccolta preventiva, in qualunque forma, dei Green Pass, prassi errata già invalsa presso molti operatori);
  3. censire lo specifico trattamento all’interno del Registro dei trattamenti;
  4. valutare con il proprio DPO o con il consulente privacy il rischio connesso ai fini della valutazione di impatto ex art. 35 GDPR – precisiamo per completezza che al momento non sono state date informazioni specifiche da parte del Garante ma alla luce del tipo di trattamento e delle conseguenze che ne derivano sarebbe opportuno valutare tale possibilità;
  5. in linea generale, attenersi ai principi sanciti dal GDPR al fine di garantire la riservatezza dei propri dipendenti, collaboratori, nonché di soggetti terzi quali clienti, fornitori o altri;
  6. NON RACCOGLIERE i certificati medici dei soggetti esenti poiché rappresentano dati sanitari. I certificati dovranno essere consegnati dai dipendenti al medico competente quale unico soggetto autorizzato alla loro raccolta.

Infine, vi precisiamo che sarà necessario adeguarsi e predisporre le modalità operativo-organizzative entro il 15 ottobre e che sono previste sanzioni anche per i datori di lavoro che non si attengono alle prescrizioni (i.e. omessa verifica del Green Pass, omessa definizione delle modalità operative entro il termine, presenza di lavoratori privi di Green Pass).

I nostri professionisti sono a disposizione per il supporto necessario.

Scarica il PDF

Invalidità del Privacy Shield UE-USA: La decisione della Corte di Giustizia Europea

La decisione della Commissione Europea relativa alla adeguatezza della protezione offerta dal regime del Privacy Shield UE-USA del 12 luglio 2016 deve considerarsi invalida.

Nel 2015 con la sentenza “Schrems I” era stata dichiarata invalida la decisione (UE) 2000/520 (“Approdo sicuro”) con la quale la Commissione aveva dichiarato adeguato il livello di protezione dei dati garantito dagli Stati Uniti. A seguito di questa decisione, il Sig. Schrems aveva formulato una nuova denuncia, la quale ha portato all’avvio di un procedimento davanti alla Corte di Giustizia volto ad indagare la validità della decisione (UE) 2010/87 sulle clausole contrattuali standard e della decisione (UE) 2016/1250 sull’adeguatezza dello scudo privacy UE-USA che era stata adottata dalla Commissione a seguito della sentenza Schrems I.

In data odierna, la Corte diGiustizia dell’Unione Europea ha confermato la validità della decisione (UE)2010/87 relativa alle clausole contrattuali tipo ma ha dichiarato invalida la decisione (UE) 2016/1250 assunta ai sensi dell’art. 45 del GDPR alla luce della Carta dei diritti fondamentali dell’UE.

In particolare, la Corte hachiarito che:

  • la valutazione del livello di protezione garantito nel contesto di un trasferimento verso i paesi terzi deve prendere in considerazione sia le clausole contrattuali concordate tra il titolare o il responsabile del trattamento e il destinatario stabilito nel paese terzo quanto, sia, in relazione all’eventuale accesso delle autorità pubbliche di tale paese ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di tale paese ai sensi dell’art. 45, comma 2 del GDPR;
  • la normativa interna statunitense non garantisce agli interessati diritti nei confronti delle autorità azionabili dinnanzi ai giudici e che il meccanismo di mediazione previsto dalla decisione (UE) 2016/1250 non garantisce l’indipendenza del mediatore, né la possibilità per questo di adottare decisioni vincolanti verso l’intelligence statunitense;
  • le autorità di controllo sono tenute a sospendere o vietare il trasferimento di dati verso paesi terzi se le clausole contrattuali standard non sono o non possono essere rispettate e se non sono presenti altri mezzi per garantire la protezione richiesta dal GDPR.

Ne consegue che la decisione(UE) 2016/1250, oltre a non rispettare i requisiti di cui al GDPR, viola le disposizioni della Carta dei diritti fondamentali in quanto non garantisce il rispetto alla vita privata, familiare, alla protezione dei dati e alla tutela giurisdizionale.

Conseguentemente il trasferimento dei dati personali da un titolare o responsabile situato nell’UE verso un destinatario locato negli USA non potrà più essere effettuato sulla base dell’inclusione del destinatario nella lista dei soggetti aderenti al Privacy Shield ma dovranno essere invocate le altre garanzie previste dal GDPR agli artt. 46 (garanzie adeguate), 47 (Norme vincolanti d’impresa) e 49(deroghe) del GDPR.

L’attenzione per le aziende dovrà essere quindi portata verso la stipula (non automatica in molti casi)delle clausole standard proposte dai provider dei servizi e dalle piattaforme social e la fornitura di una corretta informativa agli interessati inconsiderazione della garanzia adottata e della base giuridica in uso.

Facilitata la conclusione dei contratti bancari durante l’emergenza Covid-19: forma scritta soddisfatta via email

Fra le norme introdotte dal d.l. 08/04/2020, n. 23, l’art. 4 (Sottoscrizione contratti e comunicazioni in modo semplificato) prevede che il requisito della forma scritta previsto (a pena di nullità) dall’art. 117 del Testo Unico Bancario (TUB), durante il periodo dell’emergenza sanitaria (quanto meno, quindi, fino al 31 luglio 2020) sia soddisfatta, ai sensi dell’art. 20, comma 1-bis del Codice dell’Amministrazione Digitale (CAD), anche quando il cliente, che sia classificabile quale “cliente al dettaglio” secondo la vigente normativa, esprima il proprio consenso mediante il proprio indirizzo di posta elettronica non certificata o con altro strumento idoneo, a condizione che il consenso sia accompagnato da copia di un documento di riconoscimento in corso di validità del contraente, faccia riferimento ad un contratto identificabile in modo certo e il messaggio da cui il consenso emerge sia conservato insieme al contratto medesimo con modalità tali da garantirne la sicurezza, l’integrità e l’immodificabilità.

In altri termini, non necessita la apposizione della firma digitale o autografa da parte del cliente, ma è sufficiente il suo consenso prestato tramite e-mail ai fini della valida conclusione del contratto bancario. Allo scopo di evitare future contestazioni, potrà essere utile per l’intermediario verificare che l’indirizzo e-mail dal quale si attende il consenso sia effettivamente in uso al cliente, per esempio, tramite un sistema di doppia autenticazione.

La seconda parte della norma precisa che “il requisito della consegna di copia del contratto è soddisfatto mediante la messa a disposizione del cliente di copia del testo del contratto su supporto durevole” e, dunque, anche mediante invio tramite e-mail. Sarà, poi, cura dell’intermediario consegnare copia cartacea del contratto al cliente alla prima occasione utile successiva al termine dello stato di emergenza.

Da notare, infine, che il cliente può usare il medesimo strumento impiegato per esprimere il consenso al contratto anche per esercitare il diritto di recesso previsto dalla legge.

Vale la pena ricordare, in conclusione, che resta ferma l’osservanza delle disposizioni in materia di prevenzione del riciclaggio.