Pagamenti via smartphone: il Garante detta le regole

Il boom dei sistemi di pagamento da mobile sarà uno dei temi forti del 2014, e con tempismo l’Autorità Garante per la Privacy interviene sull'argomento e ha proposto alla consultazione pubblica una bozza di “Linee guida” rivolte agli operatori (e alla tutela degli utenti). «Chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani online, comprare e-book, scaricare a pagamento film o giochi sarà più garantito», spiega la nota del Garante. L'uso del mobile payment – continua – formula che «è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, relativo importo, data e ora dell'acquisto), in alcuni casi anche di natura sensibile».

Tre in particolare i destinatari del provvedimento: operatori telefonici, provider internet e venditori, chiamati a «informare gli utenti specificando quali dati personali utilizzano e per quali scopi. Per questo motivo dovranno rilasciare l'informativa al momento dell'acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico o inserirla nell'apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell'operatore telefonico, potranno predisporre un'apposita pagina con la quale fornire l'informativa e la richiesta del consenso al trattamento dei dati».

Tre i temi affrontati dal Garante (qui i documenti completi).

I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment. Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:

Dovranno inoltre essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell'operatore telefonico (di traffico, sul consumo, relativi alla rete fissa, alla fornitura di servizi, ecc.) ed evitare la profilazione incrociata dell'utenza basata su abitudini, gusti e preferenze. Da prevedere anche accorgimenti tecnici per disattivare servizi destinati a un pubblico adulto. Infatti, come indica nello specifico la bozza di regolamento: «Tra i contenuti digitali che l'utente può acquistare con la modalità mobile remote payment rientrano anche quelli destinati ad un pubblico adulto, i quali comportano il trattamento di dati sensibili e, in particolare, di dati personali idonei a rivelarne “la vita sessuale” ed i relativi gusti e preferenze di consumo. In questo ambito è dunque opportuno prevedere una serie di misure volte a garantire il corretto uso di tali informazioni».

I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.