Pagamenti via smartphone e tablet: le regole del Garante privacy per...
Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti. Avviata una consultazione pubblica
Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti. Avviata una consultazione pubblica
Informativa sull´uso dei dati, misure di sicurezza forti, conservazione a tempo
Chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare e-book, scaricare a pagamento film o giochi sarà più garantito. Arrivano le regole del Garante per proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.
L´uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell´acquisto), in alcuni casi anche di natura sensibile.
Obiettivo del provvedimento generale dell´Autorità, dunque, è quello di garantire in un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti e prevenire i rischi di un loro uso improprio.
Le direttive del Garante sono rivolte ai tre principali soggetti che offrono servizi di mobile payment: operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l´uso di una carta prepagata oppure mediante un abbonamento telefonico; gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l´offerta di prodotti e servizi digitali; i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi, servizi destinati ad un pubblico adulto.
Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie di operatori coinvolti.
Informativa
I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando quali dati personali utilizzano e per quali scopi. Per tale motivo dovranno rilasciare l´informativa al momento dell´acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell´apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell´operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l´informativa e la richiesta del consenso al trattamento dei dati.
Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.
Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.
Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l´acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell´operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell´utenza basata su abitudini, gusti e preferenze. Da prevedere anche accorgimenti tecnici per disattivare servizi destinati ad un pubblico adulto.
Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L´indirizzo Ip dell´utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.
Prima del varo definitivo del provvedimento, l´Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it
Roma, 3 gennaio 2014