Il Garante della Privacy ha definito una serie di regole per tutelare gli acquirenti di contenuti digitali da dispositivi Mobile attraverso il credito telefonico, e ha avviato una consultazione pubblica di tutti i soggetti interessati prima di procedere al definitivo varo del Provvedimento. L’iniziativa, precisa un comunicato del Garante, mira a proteggere la privacy degli utenti che, appunto tramite il proprio credito telefonico, effettuano pagamenti a distanza tramite smartphone e tablet, avvalendosi del cosiddetto Mobile Remote Payment (MRP), per acquistare servizi, abbonarsi a quotidiani online, comprare e-book, scaricare a pagamento film o giochi.
«L’uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di diverse informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile», spiega il comunicato. L’obiettivo del provvedimento, quindi, è di garantire, in un mercato dei pagamenti sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti, prevenendo i rischi di un loro uso improprio.
Le direttive sono rivolte ai tre principali soggetti che offrono servizi di mobile payment: gli operatori di comunicazione elettronica (gestori di telefonia mobile), che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, con carta prepagata o abbonamento telefonico; gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono una piattaforma tecnologica per l’offerta di prodotti e servizi digitali; e i venditori (merchant), che offrono contenuti digitali e servizi editoriali, prodotti multimediali, giochi, servizi destinati a un pubblico adulto. Ecco, in sintesi, gli adempimenti che dovranno adottare queste tre categorie di operatori.
Obbligo di informativa
I provider telefonici e internet e i venditori dovranno informare gli utenti – specificando i dati personali utilizzati, e gli obiettivi dell’utilizzo – al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico, e nell’apposito modulo per la portabilità del numero. Gli aggregatori, che operano per conto dell’operatore telefonico, potranno predisporre un’apposita pagina con l’informativa e la richiesta del consenso al trattamento dei dati.
Obbligo di consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment. Il consenso è invece obbligatorio, sia per gli operatori sia per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.
Obbligo di adottare misure di sicurezza
Operatori, aggregatori e venditori dovranno adottare precise misure per garantire la confidenzialità dei dati. Il Garante cita come esempi sistemi di autenticazione forte per l’accesso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per impedire l’incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) e la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze. Da prevedere anche accorgimenti tecnici per permettere la disattivazione di servizi destinati a un pubblico adulto.
Conservazione e cancellazione dei dati
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore subito, una volta terminata la procedura d’acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.
Prima del varo definitivo del provvedimento, l’Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella e-mail consultazionemp@gpdp.it
