Elena Urbani e Paolo Peroni, Rödl & Partner Milano*
La crescita vertiginosa della mobile economy – lanciata verso il traguardo del 2% del PIL del nostro Paese[1] – ha riportato al centro del dibattito sul mondo digitale il tema della protezione dei dati personali dei tantissimi consumatori che utilizzano smartphone, tablet e pc per l’acquisto di beni e servizi. In questo contesto, l’argomento privacy rappresenta un nodo indubbiamente cruciale, anche e soprattutto in relazione ai servizi di mobile payment, il cui avvento è quasi certamente destinato a rivoluzionare le abitudini di milioni di consumatori.
I pagamenti elettronici, non vi è dubbio, offrono innumerevoli benefici: riduzione dei costi per gli operatori; aumento della trasparenza e tracciabilità dei pagamenti; riduzione dei prezzi per gli utenti finali. E’ tuttavia innegabile che l’accesso a servizi di pagamento tramite dispositivi mobili comporta anche la circolazione e il trattamento di un numero enorme di dati e informazioni riferibili agli utenti. Basti pensare, ad esempio, che per poter accedere a servizi di mobile payment possono essere richiesti dati anagrafici, dati relativi alla numerazione telefonica, alla tipologia del servizio richiesto, all’indirizzo di posta elettronica o all’indirizzo IP. E i profili di rischio correlati sono evidenti. Per tale ragione, il Garante per la Protezione dei Dati Personali, come già anticipato da PagamentiDigitali, ha recentemente adottato un provvedimento[2], con la finalità di rendere le operazioni di mobile payment il più possibile “sicure”.
Il mondo del mobile payment vede coinvolti una pluralità di attori in ruoli diversi nel processo di erogazione del servizio. L’“operatore” è il soggetto fornitore di reti e servizi di comunicazione elettronica accessibili al pubblico di prodotti e servizi digitali fruibili dall’utente tramite smartphone, tablet e PC attraverso un’apposita piattaforma tecnologica.
L’“aggregatore” o “hub tecnologico” è il soggetto cui è affidata la realizzazione di una serie di attività legate all’operatività della piattaforma tecnica. All’aggregatore spetta, ad esempio, la creazione dell’interfaccia di customer relationship management destinata ai call center di ciascun operatore, la gestione del processo di acquisto del bene digitale o della relativa disattivazione del servizio, la redazione di dettagliati report sui clienti che hanno effettuato degli acquisti. Infine, il “merchant” è colui che fornisce il contenuto digitale al cliente tramite web o dispositivi mobili e generalmente vende all’utente diversi servizi e prodotti come quelli editoriali, contenuti multimediali in modalità streaming, giochi, community e servizi in abbonamento, broadcasting (serie tv e film).
Le regole privacy per l’operatore
Nell’offrire servizi di acquisto e pagamento attraverso sistemi di remote mobile payment, l’Operatore è tenuto a rendere un’informativa chiara e completa di tutti gli elementi di cui all’articolo 13 del Codice della Privacy. Per quanto indicato dal Garante, all’informativa dovrà essere data idonea evidenza attraverso una formula basata sull’approccio “layered”, ovvero “a strati”.
In considerazione delle dimensioni ridotte degli schermi dei telefoni mobili / smartphone / tablet generalmente utilizzati per la fruizione del servizio, l’utente, al momento dell’iscrizione o adesione ai servizi di mobile remote payment, dovrà trovare all’interno dell’apposita sezione web una prima informativa sintetica, contenente gli elementi essenziali del trattamento; successivamente, tramite un link, potrà accedere ad una seconda informativa più dettagliata, che dovrà indicare elementi ulteriori rispetto a quelli delineati dall’art. 13 del D.lgs. 196/2003, c.d. “Codice Privacy”.
Nell’ottica della massima protezione dell’utente, l’informativa dovrà (i) specificare se i dati sono trattati per scopi ulteriori, ovvero per finalità di marketing, quali invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale; (ii) informare gli utenti sugli aspetti relativi alla profilazione, anche nell’ambito di eventuali programmi di fidelizzazione e di comunicazione dei soggetti terzi; (iii) indicare i soggetti designati responsabili ai sensi dell’art. 29 del Codice Privacy con specifico riferimento all’hub tecnologico che potrà agire anche in veste di responsabile esterno del trattamento; (iv) specificare l’eventuale rapporto di cotitolarità tra l’operatore ed il merchant.
Il consenso dell’utente al trattamento dei dati personali
Il consenso relativo al trattamento dei dati personali dell’utente che fruisce del servizio di mobile payment non è di per sé necessario, poiché rientra in un obbligo contrattuale, e quindi nell’esclusione prevista dall’art. 24 del Codice Privacy. Il consenso, al contrario, dovrà essere assolutamente richiesto in alcuni casi specifici e, in particolare, qualora l’operatore (i) utilizzi i dati forniti dall’utente per finalità di marketing diretto; (ii) utilizzi di dati personali per finalità di profilazione anche nell’ambito di eventuali programmi di fidelizzazione; (iii) comunichi i dati a soggetti terzi. Il consenso potrà essere prestato tramite un flag da inserire in una specifica casella presente in un’apposita sezione della pagina web dell’operatore.
Le misure di sicurezza a tutela dell’utente
Non mancano poi specifiche prescrizioni in tema di misure di sicurezza, che consistono in cautele ulteriori rispetto a quelle disciplinate dall’articolo 31 e seguenti del Codice Privacy e dall’Allegato B dello stesso: l’Operatore deve prevedere una forma di mascheramento dei dati, ad esempio mediante meccanismo crittografico (c.d. hash), le cui chiavi di decifrazione siano nella esclusiva disponibilità degli addetti alle operazioni di customer care. Questi ultimi, infatti, possono accedere a tali dati per finalità di assistenza alla clientela e nominati quali “incaricati al trattamento dei dati personali” e dovranno, quindi, esser sottoposti alla procedura della c.d “strong authentication” che consiste in un processo di autenticazione basato su token ed account nominale.
Nel caso in cui, tra i servizi digitali offerti all’utente, vi siano contenuti destinati ad un pubblico adulto, dovranno essere adottate apposite misure di sicurezza che garantiscano all’utente la possibilità di disattivare il servizio. In tale contesto, il provvedimento del Garante prescrive che i dati relativi al mobile payment non possono esser conservati per più di sei mesi, decorsi i quali l’Operatore dovrà provvedere alla cancellazione dei dati dai propri sistemi.
Le regole per l’Aggregatore
Secondo il Garante, l’aggregatore o hub tecnologico può essere designato, sia dall’operatore sia dal merchant, quale responsabile esterno del trattamento dei dati personali. Differente, invece, il caso in cui l’hub tecnologico rende direttamente disponibili i prodotti e i servizi normalmente offerti dal merchant mediante attività di organizzazione ed offerta del contenuto digitale al cliente. In tal caso, infatti, l’Aggregatore opera come titolare autonomo del trattamento dei dati personali e dovrà osservare le medesime regole relative all’informativa e al consenso dettate per l’operatore, sopra evidenziate.
Particolari misure di sicurezza dovranno, inoltre, essere adottate dall’hub in relazione alla cifratura dei dati personali, soprattutto qualora questi ultimi circolino tra i database dei diversi hub tecnologici che operano in tempi diversi. Tra queste, si segnala la necessità che l’hub attivi la predetta procedura di strong authetication degli addetti che hanno accesso alla piattaforma, il tracciamento delle operazioni di accesso tramite un’unica chiave di interrogazione del sistema. Anche per l’Aggregatore, il tempo massimo di conservazione dei dati previsto è di sei mesi.
Le regole per il Merchant
Le ultime prescrizioni dettate dal Garante non si differenziano di molto da quelle attinenti all’operatore e all’hub, salve alcune particolarità. Tra queste, il Garante ha previsto che l’informativa del Merchant faccia espressa menzione del dato relativo al numero di telefonia mobile dell’utente, all’eventuale indirizzo di posta elettronica e del dato riferibile all’indirizzo IP. In tale contesto, l’indirizzo di posta elettronica deve essere utilizzato dal Merchant solo per finalità limitate ad una gestione del servizio più efficace e l’eventuale indirizzo IP deve essere immediatamente cancellato dai sistemi del Merchant.
Prime riflessioni
Dalla lettura del provvedimento del Garante del 16 giugno 2014, emerge un quadro di regole sulla privacy preciso e dettagliato, almeno apparentemente idoneo ad assicurare un’adeguata protezione dei dati personali degli utenti coinvolti in operazioni di mobile payment. Il tempo e la diffusione dei servizi di pagamento mobile consentiranno di valutare l’effettiva completezza della normativa approntata dal Garante.
Di certo, se il mobile payment costituisce un settore ad alto rischio per la riservatezza dei suoi fruitori, esso rappresenta un mercato dal fortissimo potenziale. L’auspicio è che il mondo del mobile payment possa affermarsi in un quadro di disposizioni in grado di garantire la massima sicurezza e protezione nel trattamento dei dati degli utenti.
*Per ulteriori informazioni
Rödl & Partner Milano
E-commerce, Media e IT Law
Tel.: +39 (02) 6 32 88 41
elena.urbani@roedl.it
[1] Il riferimento è al titolo di una ricerca dell’osservatorio Mobile & App Economy del Politecnico di Milano pubblicato nell’aprile del 2014.
[2] Provvedimento n. 258 del 22 maggio 2014, doc. web. N. 3161560, pubblicato nella Gazzetta Ufficiale n. 137 del 16 giugno 2014
