mobile payment

A conclusione di un iter iniziato ancora nel 2013, lo scorso 16 giugno 2014 è stato pubblicato in Gazzetta Ufficiale il provvedimento generale del 22 maggio 2014 del Garante Privacy in materia di trattamento dei dati personali nell’ambito

Leggi l'articolo su cindi.it

dei servizi di mobile remote payment. I valori economici in gioco (secondo il Politecnico di Milano le transazioni via mobile payment nel 2015 giungeranno a quota 14 miliardi di euro), nonché la quantità e la tipologia di dati che smartphone e tablet diffondono, hanno richiesto necessariamente maggiore chiarezza e tutele certe per gli utenti.
Le misure proposte dal Garante sono rivolte ai soggetti coinvolti nelle transazioni elettroniche, individuati nelle seguenti figure: gli operatori (ovvero coloro che forniscono tramite telefono cellulare i contenuti digitali ai clienti tramite l’utilizzo di una carta telefonica ricaricabile, o di un abbonamento telefonico); gli aggregatori o hub tecnologici (chi gestisce le piattaforme tecnologiche per l’offerta di prodotti e servizi digitali); i merchant, ovvero i venditori di contenuti digitali (quotidiani in digital edition, e-book, serie tv e film in streaming o broadcasting, giochi, ecc).
Per ogni soggetto coinvolto il Garante ha previsto specifici adempimenti di cui forniamo, in breve, una panoramica.

1) Informativa privacy.
A) Operatori
L’operatore deve:
- rendere agli utenti un’informativa chiara e completa degli elementi di cui all’art. 13 del Codice;
- specificare se i dati dell’utente verranno trattati anche per scopi ulteriori;
- in caso di profilazione deve chiarire che la trasmissione del numero di telefonia mobile dell’utente al merchant è effettuata esclusivamente per consentire a quest’ultimo un’efficace gestione del servizio;
- segnalare all’utente i diritti riconosciutigli dall’art. 7 del Codice;
- indicare il titolare del trattamento; il soggetto o i soggetti designati responsabili del trattamento (in particolare l’hub tecnologico che può anche agire in veste di responsabile esterno); gli incaricati del trattamento.

B) Aggregatori
Il Garante evidenzia che per le attività connesse alla gestione della piattaforma tecnologica:
- l’informativa deve contenere l’indicazione degli adempimenti individuati in capo all’operatore;
- l’aggregatore opera in veste di responsabile esterno del trattamento dei dati personali, designato sia dall’operatore, sia dal merchant.

C) Merchant
Il mercheant, con riguardo all’acquisto di beni digitali attraverso mobile payment, deve:
- chiarire sia le finalità della fornitura del prodotto o servizio, sia le ulteriori finalità per le quali i dati personali possono essere trattati;
- evidenziare eventuali attività di profilazione e marketing diretto, trattamenti di comunicazioni a terzi e fruizione di contenuti digitali da cui possa dedursi un orientamento dell’utente che implichi un trattamento di dati di natura sensibile;
- segnalare i diritti sanciti dall’art. 7 del Codice e il riferimento ai soggetti eventualmente designati responsabili del trattamento, con particolare riguardo al ruolo che può essere svolto dall’aggregatore, nonché di quelli designati incaricati;

Dette informative devono essere rilasciate al momento dell’iscrizione o adesione dell’utente ai servizi fruibili tramite mobile remote payment e, considerate le limitazioni di spazio legate alle dimensioni degli schermi dei terminali mobili, all’informativa deve essere data idonea evidenza adottando l’approccio c.d. layered (una prima informativa breve e un’ulteriore informativa, più lunga e dettagliata, cui può accedersi tramite specifico link.

2) Consenso al trattamento dei dati.
A) Operatori, aggregatori e merchant
Al consenso al trattamento non è necessario ai fini della relativa fornitura, stante il disposto dell’art. 24, comma 1, lett. b) del Codice salvo che i dati vengano utilizzati per finalità di marketing diretto e/o per finalità di profilazione, ovvero vengano comunicati a terzi.
Se dalla fruizione del contenuto o del servizio digitale sia possibile dedurre un orientamento dell’utente che implichi il trattamento di dati di natura sensibile, il consenso dell’interessato deve essere manifestato per iscritto, ovvero con altra modalità telematica equiparabile allo scritto (firma elettronica qualificata o digitale).

3) Misure di sicurezza.
A) Operatori, aggregatori e merchant
Su tale fronte operatori, aggregatori e venditori saranno tenuti a:
- dotarsi di sistemi di autenticazione forte per l’accesso ai dati storici da parte del personale addetto al customer care, nonché di procedure di tracciamento degli accessi e delle operazioni;
- operare la codificazione dei prodotti e servizi e il mascheramento dei dati con sistemi crittografici.
- evitare gli incroci di diversi tipi di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi ecc.);
- evitare la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze;
- prevedere anche accorgimenti tecnici per disattivare servizi per adulti.

 4) Conservazione dei dati.
A) Operatori
La conservazione dei dati dovrà avvenire per un limitato periodo di tempo, proporzionato alle finalità realizzate con il trattamento, e in ogni caso non superiore a sei mesi. Ai fini della decorrenza del periodo di conservazione si distingue tra acquisti c.d. one shot e acquisti in abbonamento, in quanto per questi ultimi il semestre di conservazione decorrere dalla scadenza dell’abbonamento stesso.
Scaduto il periodo l’operatore deve cancellare i dati dai propri sistemi, fatta salva l’ipotesi di conservazione necessaria in presenza di una contestazione anche in sede giudiziale.

B) Aggregatori e merchant
Le prescrizioni sono analoghe a quelle previste per gli operatori, con l’ulteriore previsione che qualora l’aggregatore, in veste di titolare del trattamento, e il merchant effettuino attività che implichi l’utilizzo dell’indirizzo IP dell’utente, detto dato dovrà essere immediatamente cancellato dai relativi sistemi una volta conclusa l’operazione di acquisto del contenuto digitale.

Resta ora da vedere se, per l’adozione delle misure e degli accorgimenti previsti dal Garante, saranno sufficienti i centottanta giorni concessi dall’Autorithy.