Drept & Internet - noutati si opinii

Asta a fost titlul prezentarii mele de la Galele Premiilor E-commerce 2010 (puteti sa le vedeti live pina la 21 00, premiile efectiv se dau de la 19 30, pina atunci sunt prezentari.)

Mai jos si prezenatrea, pentru cei ce nu au apucat sa o vada:

N-am pus in prezentare, dar in timp ce vorbeam despre povesti juridice, pentru a explica ca ele trebuie scrise pe intelesul tuturor si nu neaparat intr-un limbaj juridic inchis, am amintit si de seminariile AvocatNet facute cu Alin Popescu despre Afaceri online si problemele lor juridice (planificam un eveniment in Constanta si unul in Bucuresti in toamna asta). De fapt am mai scris povesti si in documentul mai vechi cu cele 10 sfaturi juridice pentru comertul electronic.

Ca sa reiau insa ideile din prezentare pe scurt:
- Numele de domeniu este esential pentru un magazin online. Protejeaza-l prin inregistrarea ca marca.
- Nu copia documentele juridice, ci incearca sa le creezi sau personalizezi. Daca tot decizi sa le copiezi, macar citeste-le sa scoti prositiile din ele !
- Politica de confidentialitate e obligatorie, dar ea trebuie sa te bazeze pe ceea ce faci tu efectiv cu datele personale.

Gata, ma intorc la prezentarea lui Bryan Eisenberg, care e excelenta.

Dupa cum anuntam in ultima insemnare, MAI a organizat o dezbatere publica pe tema noilor acte electronice de identitate.

In primul rind e bine de mentionat ca MAI doreste obligativitatea noilor carti electronice de identitate. (cel putin asa era inteles de ei prin actualul proiect).

In schimb, a fost clar ca scopul prezentei modificari este “pentru ca tehnic se poate.” Adrian (IPP) a punctat bine intrebind cite cazuri de falsificari de acte de identitate exista in curent. Reprezentantii MAI nu au putut oferi nicio cifra concreta. Doar un procent de 7% de mai multe cazuri anul acesta fata de anul trecut. Deci ne bazam pe un procent pentru a face o investitie de 32 de milioane de euro.
La fel a venit si motivatia pentru introducerea cartilor de identitate de la 6 ani. De ce 6 ? Pentru ca de la aceasta varsta este posibila este tehnic posibila identificarea biometrica prin amprente. Deci pentru ca tehnic se poate.

Dar nu exista vreo analiza asupra impactului asupra vietii private. Cei din MAI spun ca doar Autoritatea pentru date personale (care deocamdata a avizat negativ doar acordarea de acte electronice de identitate celor de sub 14 ani). Doar ca autoritatea priveste doar dpdv al legii 677/2001, si nu si dpdv a dreptului la viata privata - ca drept al omului (asa cum rezulta din Constitutie sau din CEDO).

Motivatia generala a unei astfel de masuri a fost legata de 2 argumente:

- primul - aceea ca Europa (Schengen) ne vrea cu asa ceva. Asta e o minciuna. Daca ne uitam la documentul ENISA deja amintit in insemnarea trecuta, vedem clar ce tari au acte de identitate obligatorii, care din ele le au electronice si care nu. Mi se pare jenant sa tot iei UE in brate cind implementezi o decizie - ar fi fost cazul sa recunoastem barbateste ca este o hotarire proprie a MAI. (sau a Romaniei) Si la fel - nu exista nicio motivatie serioasa pentru a face aceste carduri singurele existente.

- al doilea este ca noile carduri ofera mai multa securitate fata de actualele carti de identitate. Ne-au fost prezentate o serie de decizii tehnice corecte (inexistenta unei baza de date cu amprente - sunt pastrate doar pe card, utilizare tehnologie contactless in loc de RFID, partitie separata si criptata pentru zona in care sunt pastrate datele personale si cele biometrice, imposibilitatea accesului la date fara acordul titularului cardului, acces extrem de limitat la aceste date - doar pentru cei ce primesc un cerificat digital, etc.)

Dar sarind peste faptul ca orice tehnologie isi arata, in timp, limitele si niciuna nu poate fi 100% sigura, problema majora este ca toate aceste detalii tehnice, dar esentiale pentru securitatea proiectului nu exista in proiectul propus. Ele au fost prezentate verbal, dar nu exista nicio garantie ca ele sunt incluse in proiect.

Sa fim clar intelesi ca nu este imposibil sa existe o carte electronica de identitate care sa respecte principiile de viata privata si de securitate necesare. Iar Europa ne arata suficiente exemple.

Problema este ca proiectul romanesc este departe de a implementa aceste principii. Cel putin in varianta initiala propusa.

Iar daca - din motivele tale personale - nu doresti sa nu ai o astfel de carte de identitate, nu ai practic alta solutie. De ce ? Pentru ca asta a fost decizia autoritatilor romane.

Mai jos - si scrisoarea trimisa MAI de mai multe asociatii dupa intalnire cu argumentele de rigoare. Poate se ia totusi in calcul.

Update - Activewatch a lansat o petitie online pe blogul lor prin care cer retragerea proiectului. Important este, daca va intereseaza subiectul, ca puteti sa trimiteti direct opinia dvs. pe email:
“ Sustine aceasta petitie! Semneaza aici si trimite petitia completata de tine (cu opinia, numele, orasul si varsta) la: petitii@mai.gov.ro, legislatie@mai.gov.ro“

Update 2 - si IPP-ul are un punct de vedere similar - solicită stoparea unei afaceri de 30 de milioane de euro cu un nou tip de card de identitate de care România NU ARE NEVOIE.

Update 3- Cristian Driga are o analiza mai larga asupra cardurilor contactless, ca si a citorva atacuri posibile.

“Dar experienta practica ne invata ca nici un sistem informatic nu este 100% sigur si ca ceea ce astazi poate parea sigur, maine se poate dovedi usor de contracarat.

De aceea, la decizia de implementare, in special cand vorbim de transpunere electronica la purtator a datelor personale si posibilitatea ca aceste date sa fie accesate fara contact fizic, masurile practice luate ar trebui sa cuprinda decizii de la cea mai simpla: e nevoie neaparata de acest tip de act de identitate? si pana la efectuarea de teste extinse pe prototipurile de card implementate pentru a stabili clar gradul de siguranta al datelor stocate si care dintre solutiile existente pe piata e cea mai buna din acest punct de vedere. “

O noua propunere de Ordonanta a Guvernului a Ministerului de Interne din Romania aduce mai multe detalii referitoare la cartile electronice de identitate ce ar trebui emise din 1 ianuarie 2011. Proiectul este in consultare publica pina in 20 August 2010.(vezi si nota de fundamentare, ca si ce se schimba fata de versiunea anterioara)

Noul act introduce urmatoarul articol:

Art. 11^1
(1) Cartea electronică de identitate este de tip smart card şi conţine date cu caracter personal, inclusiv date biometrice ale titularului, în format tipărit şi/sau în format electronic, precum şi elemente de particularizare şi de siguranţă.
(2) Datele biometrice incluse în cartea electronică de identitate sunt imaginea facială şi imaginile impresiunilor papilare a două degete.
(3) Conţinutul de date al cărţii electronice de identitate se supune avizării de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
(4) Cartea electronică de identitate permite titularului autentificarea în sisteme informatice ale Ministerului Administraţiei şi Internelor sau terţe şi identificarea pe bază de semnătură electronică, în condiţiile Legii nr.455/2001 privind semnătura electronică şi ale prezentei ordonanţe de
urgenţă.
(5) Certificatele digitale înscrise în cartea electronică de identitate sunt valabile după cum urmează:
a) certificatul digital înscris de Ministerului Administraţiei şi Internelor – de la data personalizării cărţii electronice de identitate, pe toată perioada de valabilitate a acesteia;
b) certificatul digital calificat înscris de un furnizor de servicii de certificare, la solicitarea titularului – potrivit menţiunilor cuprinse în acesta.
(…)

Sunt citeva chestiuni care fac din prezenta modificare una periculoasa pentru respectarea dreptului la viata privata, asa cum este definit de Constitutia Romaniei si de CEDO.

In primul rind este esential de precizat daca aceasta carte de identitate electronica va fi singurul act de identitate care va putea fi eliberat de autoritatile competente din 1 Ianuarie 2011. Prezentul text este neclar.

Interpretarea logica care rezulta din parcurgerea intregului text al legii, ar fi ca aceasta este facultativa. Aceasta ar rezulta atit din textul art 11 (În sensul prezentei ordonanţe de urgenţă, prin act de identitate se înţelege cartea de identitate, cartea de identitate provizorie şi buletinul de identitate, aflate în termen de valabilitate. Începând cu data de 1 ianuarie 2011, prin act de identitate se înţelege şi cartea electronicã de identitate) si a articolelor 13 alin 3 si art. 14.

Din pacate avem de a face cu un domeniul sensibil, astfel incat aceasta dispozitie trebuie expres precizata ca fiind facultativa. De asemenea este important de stipulat in mod expres in lege ca nu se doreste in niciun caz in viitor existenta doar a variantei electronice.

In al doilea rind este extrem de important de stipulat scopul acestei prelucrari de date personal cu caracter, asa cum e precizat prin Conventia 108 a Consiliului Europei. Deci - de ce este nevoie de acte de identitate electronice, cu identificatori biometrici stocati in format electronic?

Exista oare o problema de securitate a actualelor carti de identitate? Exista rapoarte din partea MAI in acest sens? Exista o analiza a securitatii noilor cipuri propuse care garanteaza ca ele sunt mai sigure decit cele actuale?

Nota de fundamentare a actului este un blabla guvernamental. Se face referire la e-servicii si e-administratie, dar se uita ca celebrul proiect eRomania nu are inca niciun serviciul disponibil. Mai mult se sustine ca ele sunt majoritatea bazate pe o semnatura electronica extinsa (inclusa sau nu intr-un act de identitate), lucru profund fals (pentru ca majoritatea serviciilor e-guv NU se bazeaza pe o semnatura electronica extinsa) - demonstrat in primul rind de Raportul UE cu privire la implementarea directivei privind semnatura electronica ca si alte rapoarte subsecvente finantate de UE ref la semnatura electronica in statele membre.

Tot nota de fundamnetare face referire la un proiect de cercetare finantat de UE - STORK, care este insa extrem de departe de a duce la o interoperabilitate a eID-urulor europene, dar in schimb opac fata de orice grupuri ale societatii civile si criticat pentru atitudinea sa de nerespectare a legislatiei privind datele personale. Mai mult, raportul ENISA cu privire la acelasi subiect (analiza care a inclus si programul Stork) noteaza problemele majore legale si tehice ale oricarei interoperabilitati la nivelul UE.

Deocamdata nivelul de explicatii al MAI nu precizeaza un scop anume al cartii de identitate electronice si al datelor incluse pe ea, ea fiind mai degraba fie un rezultat al gindirii - pai daca se poate tehnic, de ce sa n-o facem.

O analiza sumara a unui documentul publicat de ENISA in 2009 referitor la viata privata si actele de identificare biometrice, ne arata ca in afara de Estonia niciun stat nu obliga incarcarea semnaturii electronice (vezi pagina 12) pe actul electronic de identitate. La fel, niciun stat nu obliga pastrarea amprentelor in format digital, iar majoritatea nici macar nu lasa posibilitatea ca aceastea sa fie inscrise (vezi pagina 19).

In al treilea rind actul normativ eludeaza orice fel de informatie referitoare la normele de securitate si de protectia vietii private.
Unde sunt stocate informatiile de pe cip-ul din card? Este acesta criptat - daca da, cu ce tehnologie? Cine are acces la datele in format electronic si in ce conditii?
Exista o baza de data unica cu datele de la amprentele cetatenilor? (ar fi contrar practicii CEDO - vezi Marper vs UK)

Toate aceste detalii esentiale pentru a avea o carte electronica de identitate sigura pentru cei care vor s-o aibe nu sunt prezente in nicio forma in actul propus. Nici nu erau greu de gasit - majoritatea pot fi deduse din documentul ENISA precizat mai sus. Altele - cu privire si la faptul ca unele informatii biometrice nu sunt de incredere le gasiti la No2Id in Marea Britanie.

Ca atare - fara o analiza serioasa si documentatata a impactului asupra vietii private (Privacy Impact Asessment) si a securitatii sistemelor informatice folosite, prezenta propunere nu reprezinta decit inca o dovada ca pentru guv.ro informatizarea este un panaceu.

Dupa ce am scris articolul am aflat ca MAI anunta si o dezbatere publica cu societatea civila pentru 20 August, ora 12 00 la sediul Ministerului Administraţiei şi Internelor (Piaţa Revoluţiei, nr.1A, Sector 1), Sala de Marmură, etaj II, intrarea A1.

Pentru cei interesati de subiect si comunicatul APADOR-CH primit ieri.

Acum citeva zile s-a anuntat lansarea Asociatiei Romane a Magazinelor Online (ARMO) si a avut si o prima iesire pe TV.

Cum cred ca Internetul are nevoie de astfel de initiative de auto-reglementare si asociatii profesionale, iar comertul electronic nu mai este in stadiul de bebelus - o astfel de activitate ar trebui sa fie considerata drept normala. Mai ales daca citesti lista membrilor, extrem de onoranta prin marimea magazinelor, dar si pentru ca unii dintre ei sunt, de fapt, concurenti pe aceiasi piata.

Este nevoie insa de mai mult decit un anunt public, iar greul abia acum incepe intr-un domeniul unde doar Gala Premiilor E-commerce (anul asta organizata pe 2 Septembrie - peste 100 de magazine inscrise) incearca de 5 ani sa stabileasca niste principii de buna practica in domeniu.

Codul de bune practici propus de ARMO este un pas util, dar care trebuie sa dovedeasca in timp, la fel ca si propunerea de marca de incredere. Alte initiative similare din Romania (vezi de ex. cea lansata anul trecut de IAB Romania) n-au reusit inca sa depaseasaca faza planificarii.

O prima privire asupra codului propus de ARMO indica citeva principii de bun simt pentru orice magazin online. Din momentul propunerii unui astfel de cod, o asociatie profesionala trebuie sa fie atenta atit la obligatiile legale (vezi Art 18, Legea Comertului electronic), dar si la modul in care poate fi efectiv implementat (sectiunea de conformitate pare un crochiu).

Eu am fost insa putin suprins de lipsa a (cel putin) 2 elemente care mi se pare importante:

1. Trimiterea de mesaje comerciale nesolicitate. In ultima vreme primesc tot mai multe spam-uri de la magazine online (de obicei noi) care inteleg ca asta e o buna metoda de promovare.

2. Protectia datelor cu caracter personal. Este un subiect pe care magazinele online romanesti par a-l ignora in mod constant, mai ales in lipsa unei atitudini pro-active din partea autoritatii in domeniu. Aceasta include si partea unor minime standarde de securitate a unui magazin online, o zona in care nevoia de standarde minimale (in explicarea normelor legale) ar fi mai mult decit bine-venita.

Nu pot sa ma abtin si gasesc cel putin ironic faptul ca ARMO insa uita sa respecte chiar primul principiu pe care il cere membrilor ei “1. Semnatarii Codului se angajeaza ca pe site sa apara datele de contact si feedback in site in conformitate cu legislatia;” .
Pagina de contact a ARMO.ro contine un forumular si 3 adrese de email, dar niciun numar de inregistrare al asociatiei, codul fiscal sau alte detalii de contact.

Asa e cind te grabesti, iti mai scapa unele detalii…
Bine, ca le gasesti detaliile membrilor Consiliului Director pe site-urile personale.

Un nou pachet legislativ introdus de Ministerul Justitiei pentru accelerarea proceselor a ajuns deja la discutii in Senat - L 475(conform avocatnet.ro). (pentru o analiza mai larga a legii vezi insemnarea lui Cristi Danilet. Daca nu sunteti familiarizati cu motivele pentru care un proces dureaza mult o insemnare nitel mai veche a lui Cristi e obligatorie de parcurs - De ce nu judecam dosarele de la o zi la alta?! Iata de ce!)

Una din noile masuri introduse se refera la posibilitatea citarii prin email. De fapt este o introducere a unui nou articol - 132^1 in Codul de procedura civila care zice (printre altele):

“In afara de aceste masuri, instanta va putea dispune ca incunostiintarea partilor sa si faca si telefonic, telegrafic, prin fax, poştă electronică sau prin orice alt mijloc de comunicare care asigură transmiterea textului actului ce se comunică ori înştiinţarea pentru prezentarea la termen, precum şi confirmarea primirii acestora. În cazul încunoştinţării telefonice, grefierul va întocmi un referat în care va arăta modalitatea de încunoştinţare şi obiectul acesteia”

Desi ideea suna bine la prima vedere, problema este putintel mai complicata in cazul email-ului si sunt surprins ca niciunul dintre experti tehnici consultati (caci probabil ca o fi fost intrebat macar unul) nu a ridicat citeva semne de intrebare. Eu, ca un neofit tehnic, imi permit sa le ridic.

In primul rind un email nu asigura transmiterea textului. De fapt atunci cind trimiti un email nu poti sa fie absolut deloc sigur ca acesta va ajunge la destinatar. El va face tot posibilul ca acest lucru sa se intample, dar nu poate nicicum asigura asta. Aceasta se numeste in termeni mai tehnici best effort delivery.

In al doilea rind un email nu poate sa ofere confirmarea primirii acestuia.. Desi exista unele solutii pentru a confirma primirea (unele legate de soft-ul de transmitere, cum este Request Read Receipt in Outlook, altele legate de software-uri externe specializate, mailinfo, iar altele de tweak-uri folosite de cei ce fac marketing prin email), nu exista o solutie perfecta - iar in functie de sistemul de operare sau softul de mail al celui care il primeste aceasta confirmare nu va merge.

Or, din minusculele notiuni de procedura ramase in creierul meu, aceste doua elemente ar trebui sa fie esentiale in alegerea oricarei metode de incunostintare a partilor cu privire la un un nou termen - de exemplu.

Acestea fiind spuse observam ca anuntarea prin email nu este o metoda unica, ci alternativa si suplimentara, deci se poate apela la ea avind in vedere limitarile mai sus expuse.

Si totusi, daca luam in considerare faptul ca se adauga si “orice mijloc de comunicare” ce permite indeplinirea celor 2 functii mai sus mentionate, atunci putem avea o varietate larga de solutii care depinde doar de functia tehnica aleasa.

Astfel, exista posibilitatea (ca mod de citare alternativa) de trimitere a unui link unic pe care cel care il primeste sa il poata accesa pentru confirmarea primirii citatiei.

Ba mai mult, pentru exista deja un sistem informatic - ECRIS - care gestioneaza toate cauzele aflate pe rol - teoretic se poate include in acesta o aplicatie pe care sa se trimita automat notificari si prin email catre participanti sau avocatii acestora.
Dar ca metoda alternativa si suplimentara.
Si oricum, deocamdata, sistemul ECRIS se actualizeza undeva departe de ochii publicului…

Traducere aproximativa (pentru cei ce nu au chef sa citeasca in franceza): Pentru securitatea dumneavoastra nu veti mai avea nicio libertate.
Vazut in St Nazaire, Franta, Iulie 2010 - Poza sub CC BY 3.0 @flickr

Dilema veche publica saptamina asta un supliment ce se intituleaza: Moare viaţa privată pe net?. Cunoscuta fiind apetenta mea pentru subiectul privacy, la citeva intrebari ale lui Cristian Ghinea am raspuns si eu si astfel a aparut articolul de mai jos. (cu linkuri care merg, nu ca pe hartie unde nu poti sa dai click ) - aici si pe site-ul Dilema.

Dincolo de intrebarile lui Cristi si comentariile mele, si raspunsurile voastre sunt utile - deci dragi cititori - Moare viaţa privată pe net?

Read more »

Un comunicat recent al DIICOT ne prezinta un caz al unei persoane care a spart o casuta de email a unei alte persoane din SUA, dupa care s-a gindit ca ar fi bine s-o si santajeze putin. Asa ca, dupa ce persoana vatamata a depus plingere, DIICOT + FBI l-au prins pe tipul ce-si retragea de la Western Union una din transele de bani primite la santaj. N-ar trebui sa fie un caz prea spectaculos, dar merita mentionat cel putin din citeva puncte de vedere (unul colateral):

• E important ca DIICOT prezinta astfel de cazuri. Asa cum am prezentat personal si la conferinta de criminalitate informatica de la Tg. Jiu de astfel de cazuri de “spargere a contului de email” aud din ce in ce mai des (mai ales pentru yahoo) si nu prea s-au vazut actiuni publice ale Politiei, dar pe de alta parte este adevarat ca nici multe cazuri nu sunt raportate. (Un dracusor imi sopteste ca poate ca acest caz s-a rezolvat mai repede cu o arestare pentru ca persoana vatamata era din SUA sau ca l-au prins pe om cu mina pe bani. Piei drace!)

• Max (e-crime.ro), de unde de fapt am furat preluat informatia, comenteaza asupra incadrarii faptei, in speta asupra alin 3 din art 42 - adica acces fara drept prin incalcarea normelor de securitate.
  
  Presupunand ca si in cazul instrumentat de DIICOT datele de acces la contul de posta electronica au fost cunoscute dinainte de inculpat, atunci nu se poate retine in sarcina acestuia art. 42 alin 3 din Legea 161/2003 pentru simplul motiv ca masurile de securitate asociate serverului de mesaje nu au fost incalcate. Ramane insa infractiunea de acces fara drept la un sistem informatic, in scopul obtinerii de date informatice, prev. de art. 42 alin 2 din Legea 161/2003.

  Adicatelea mai pe sleau zis - daca a aflat username-ul si parola nu inseamna ca a incalcat norma de securitate. (mai pe larg despre chestiune intr-un articol mai vechi tot de Max din Revista de Drept Penal). Dar oricum are deja vreo 3 infractiuni in concurs, din care cea mai mare cu pedepse de la 3 la 12 ani.

• Cazul aduce insa la lumina si problema cooperarii organelor de aplicare a legii cu sectorul privat. Daca inculpatul nu ar fi inceput santajul, ar fi fost el asa usor de prins, doar pe baza informatiilor digitale ? Avind in vedere ca 4.8 milioane de romani au cont la Yahoo! Mail si ca alte citeva milioane au la Gmail, exista vreun acord de cooperare cu aceste servicii ? Cred ca raspunsul este negativ si nu numai pentru serviciile de email din strainatate, ci si pentru cele din Romania (habar n-am care sunt cele mai folosite, dar or fi unele).

  In lipsa unui asemenea acord de colaborare, care sa-ti poata permita macar conservarea datelor informatice pina obtii autorizatia competenta, datele se pot sterge sau pierde extrem de repede. Pentru ca pe caile tratatelor mutuale, lucrurile pot dura luni, daca nu si ani.

  Dar si daca se merge pe calea prea directa poate fi o problema. Intr-un caz din Belgia din 2009, Politia si Procuratura au cerut direct Yahoo date cu privire la niste adrese de email care erau implicate intr-un caz de frauda online. Yahoo a refuzat, iar prima instanta i-a condamnat chiar la plata de 10 000 euro/zi de intarziere in cazul in care nu dau datele. Doar ca Yahoo a cistigat recent in apel dovedind ca nu este subiect al legii belgiene, neavind un sediu sau pastrind date in Belgia - deci nu este obligata sa transmita date persoanale ale utilizatorilor sai catre autoritatile belgiene (decizia e aici in original in flamanda)

Oricum ar fi, ideea principala care trebuie sa fie retinuta este ca “spargerea unui cont de email” este o infractiune. Care de cele mai multe ori se incadreaza nu la unul, ci in mai multe articole ale legii 161 care nu are pedepse chiar mici. Si dupa cum ne arata DIICOT, chiar sunt prinsi fapuitorii.

PS1: Nu pot sa inteleg absurditatea unui articol din Adevarul (care cica vrea sa iasa pe bani cu continut platit) care nu a inteles din tot cazul decit ca pe tip il chema Gigi si ca tipa avea o orientare sexuala anume. (??) Ce legatura are asta cu subiectul ? O dovada crasa de incompetenta, ca si alegerea imaginii cu care s-a impopotzonat articolul.

PS2: Putin off-topic Am dat si pe Twitter, dar mi se pare ca acest caz este mult sub-mediatizat, asa ca il mentionezi si aici - 100 de milioane de pagini de pe Facebook au ajuns pe torrente.
Ieri m-a intrebat cineva pe blog de ce nu suntpe Facebook - daca va uitati la prima parte a acestui infograf, raspunsul este simplu: N-am incredere in ei si ce fac cu datele mele personale.

Una din problemele destul de des întalnite pe anumite site-uri de comerţ electronic este afişarea corectă a preţului pe care trebuie să-l plăteasca un cumpărător pentru bunul său. Se pare ca este o problema intalnita destul de des, daca vedem ca si Comisia Europeana s-a interesat de acest domeniu, mai ales pentru pagini web ale zborurilor low-cost care au abuzat de tot felul de astfel de tehnici. Dar şi ultima„razie” a Autorităţii Naţionale de Protecţie a Consumatorului (ANPC) a mentionat acest aspect ca unul care a fost incălcat de magazinele online.

Cât trebuie sa fie preţul ?

În mod evident, nimeni nu va poate impune ce preţ să puneţi la un anume produs. Este decizia voastră, bazat pe propriu business plan. Există doar citeva reguli minimale. Unul este stabilit de Codul civil care spune ca preţul trebuie sa fie determinat sau determinabil. Adica nu poate fi stabilit ulterior de către vânzător, pentru ca a atunci nu mai e vinzare, ci joc de noroc. Logic, nu ?

Apoi preţul trebuie să fie unul corect şi nu un preţ de dumping. De obicei preţul de dumping este cunoscut ca un preţ de ruinare, sau un preţ sub costurile de producţie care are scopul de a-şi scoate competitorii de pe piaţă. În practică, mai poate se însemne si preţul excesiv pe care o companie, beneficiind e poziţia de pe piaţă , îl poate impune. Aceste chestiuni sunt reglementate de Legea concurenţei 21/1996.

Eroarea de preţ sau preţul derizoriu

Una din problemele practice ale magazinelor online, este ca preţurile nu sunt puse uneori manual, ci deseori sunt importate în mod automat din alte baze de date sau realizate de la nişte preţuri fixe de achiziţie, pe baza unor calcule mai mult sau mai puţin complicate. De aceea posibilitatea unei erori de preţ este mult mai mare decât în cazul comerţului clasic (brick and mortar). Nu rareori vezi un cumparator nemulţumit că preţul la care a văzut si comandat un anumit produs pe site nu mai este cel la care se va realiza tranzacţia.

Am mai explicat pe blogul propriu regulile aplicabile unei astfel de situaţii. De principiu magazinul va fi responsabil pentru acea greşală şi va trebuie sa livreze produsul la preţul la care cumpărătorul a confirmat comanda. Important este de înţeles că o astfel de obligaţie este legată nu de vreo dispoziţie expresă de protecţie a consumatorului, deci este validă atât în cazul unei persoane fizice, cât şi a uneia juridice.

Există însă şi o excepţie – şi anume preţul derizoriu, cel pe care şi un cumpărător neavizat ar trebuie să-l recunoască ca fiind o eroare. Sa fim serioşi – nu poţi cumpăra un automobil nou la 1000 de RON şi nici ultimul laptop apărut de piaţă la 100 de RON.

Sau cum explicasem:
„Din punctul meu de vedere, un pret mic poate insemna si 50% sau mai putin din alt pret care il afiseaza alt magazin. Poate fi vorba de o oferta, de o lichidare de stoc, de un produs care trebuie sa fie vindut ca apare unul nou, etc.
In conditiile in care pretul afisat este de 10% sau mai mic decit un pret normal al acelui produs este clar un pret derizoriu, iar clientul nu poate beneficia de aceasta eroare, pretul fiind neserios, iar contractul de vinzare-cumparare nul.”

Informarea corectă asupra preţului

Dar problema preţului la unii comercianţi este mai degraba prin omisiunea informarii corecte asupra preţului total pe care un cumpărător trebuie sa-l plătească.
Argumentul juridic al obligaţiilor legate de prezentarea corectă a preţului este atât în Legea comerţului electronic 365/2002, care zice

Art 5 Furnizorul de servicii (adică magazinul - n.n) are obligatia de a pune la dispozitie destinatarilor si autoritătilor publice mijloace care să permită accesul facil, direct, permanent si gratuit cel putin la următoarele informatii:
(…)
h) tarifele aferente serviciilor oferite, care trebuie indicate cu respectarea normelor privind comercializarea produselor si serviciilor de piată, cu precizarea scutirii, includerii sau neincluderii taxei pe valoarea adăugată, precum si a cuantumului acesteia;
i) includerea sau neincluderea în pret a cheltuielilor de livrare, precum si valoarea acestora, dacă este cazul;

Mai mult legea din domeniul protecţiei consumatorilor în cazul contractelor la distanţă (OG 130/2000)
Art. 3. - (1) Inainte de incheierea contractului la distanta comerciantul trebuie sa informeze consumatorul in timp util, corect si complet asupra urmatoarelor elemente:
c)pretul bunurilor sau tarifele serviciilor, cu toate taxele incluse;
d) cheltuielile de livrare, daca este cazul;
e) modalitatile de plata, de livrare sau de prestare;

Preţul înşelător

Dincolo de textul legii, interpretarea legii este cea care ne poate ajuta în practică. În lipsa unei interpretări oficiale sau unui ghid din partea ANPC, nu putem decât să facem o interpretare bazată pe experienta.
Un ajutor deosebit îl am de la „funcţia” de jurat în cadrul Galelor Premiilor E-commerce (apropo s-a deschis sezonul pentru Galele 2010) care m-au obligat să văd zeci de site-uri de e-commerce şi să pot să îmi fac o părere asupra cazurilor practice. Astfel vă pot recomanda ca pe pagina principală a produsului sa apara cel putin:

• pretul integral
• daca contine tva sau nu
• timbrul verde
• daca include pretul de livrare sau nu (si in acest ultim caz, unde se afla informatia referitoare la cheltuielile de livare)
• orice alta taxa suplimentara care va este inclusa in pretul platit in cele din urma (de ex. taxa pentru procesare cu cardul, taxa locala pentru servicii hoteliere, etc.

În orice caz, părarea mea personală este că majoritatea erorilor in aceasta chestiune sunt mai degraba legate de o lipsa de cunostinte a comerciantului si nu a dorintei de a induce cumparatorul in eroare.