redazione
Il Garante per la privacy ha stabilito nuove regole per quanto riguarda i pagamenti in mobilità.
Pubblicato sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014, il provvedimento [doc. web n. 3161560] disciplina il trattamento dei dati personali di chi usufruisce dei servizi di mobile remote payment, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati, senza penalizzare lo sviluppo del mercato digitale.
Le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento (tramite il credito telefonico) per beni digitali fruibili dall’utente tramite smartphone, tablet e PC: gli operatori di comunicazione elettronica (le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare), gli aggregatori (le società che forniscono l’interfaccia tecnologica), i venditori (le aziende che offrono contenuti digitali e servizi); nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale). Il provvedimento distingue una serie di adempimenti per le singole figure di operatori.
A seguito degli interventi normativi di cui al decreto c.d. “Sviluppo bis” dell’ottobre 2012, come noto, tra i beni digitali possono essere ricompresi anche i titoli digitalizzati che consentirebbero all’utente l’accesso a servizi di utilità sociale o a servizi in mobilità (tipicamente i biglietti per il trasporto pubblico). Rispetto a questi ultimi, per quanto attiene il trattamento dei dati personali, saranno oggetto di un apposito provvedimento del Garante.
Le nuove regole stabiliscono che gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento. Le società non dovranno richiedere il consenso degli utenti, per il trattamento dei dati relativi alla fornitura del servizio di mobile remote payment, mentre la richiesta del consenso diventa obbligatoria per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione.
I dati degli utenti trattati dalle varie figure di operatori coinvolte nel processo di acquisto potranno essere conservati al massimo per sei mesi. L’indirizzo Ip dell’utente dovrà invece essere immediatamente rimosso una volta terminata la procedura di acquisto.
Nuove regole anche per quanto riguarda la sicurezza. I soggetti destinatari del provvedimento del Garante saranno tenuti ad adottare precise misure per assicurare la confidenzialità dei dati. In particolare si parla di sistemi di autenticazione forte per l’acceso ai dati da parte del personale, procedure di tracciamento degli accessi e delle operazioni effettuate, criteri di codificazione dei prodotti e servizi, forme di mascheramento dei dati mediante sistemi crittografici.
Altre misure dovranno essere adottate per impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (consumo/traffico telefonico e dati relativi alla fornitura di altre tipologie di beni digitali, quali ad esempio quelli legati alla cosiddetta Tv interattiva) ed evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.
I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.
Altri accorgimenti tecnici sono previsti per disattivare servizi destinati ad un “pubblico adulto” e inibirne l’accesso a minorenni.
