Pagamenti via smartphone: il Garante detta le regole
di Mattia Schieppati
-
13 Gennaio 2014
L’Autorità di tutela della privacy mette i paletti sui sistemi di mobile remote payment, dettando le linee guida che intervengono su uso dei dati, misure di sicurezza, periodo di conservazione. Al via la consultazione pubblica
Il boom dei sistemi di pagamento da mobile sarà uno dei temi forti del 2014, e con tempismo l’Autorità Garante per la Privacy interviene sull'argomento e ha proposto alla consultazione pubblica una bozza di “Linee guida” rivolte agli operatori (e alla tutela degli utenti). «Chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani online, comprare e-book, scaricare a pagamento film o giochi sarà più garantito», spiega la nota del Garante. L'uso del mobile payment – continua – formula che «è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, relativo importo, data e ora dell'acquisto), in alcuni casi anche di natura sensibile».
Tre in particolare i destinatari del provvedimento: operatori telefonici, provider internet e venditori, chiamati a «informare gli utenti specificando quali dati personali utilizzano e per quali scopi. Per questo motivo dovranno rilasciare l'informativa al momento dell'acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico o inserirla nell'apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell'operatore telefonico, potranno predisporre un'apposita pagina con la quale fornire l'informativa e la richiesta del consenso al trattamento dei dati».
Tre i
temi affrontati dal Garante (
qui i documenti completi).
1. Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment. Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.
2. Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:
sistemi di autenticazione forte per l'acceso ai dati da parte del personale addetto;
procedure di tracciamento degli accessi e delle operazioni effettuate;
criteri di codificazione dei prodotti e servizi;
forme di mascheramento dei dati mediante sistemi crittografici.
Dovranno inoltre essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell'operatore telefonico (di traffico, sul consumo, relativi alla rete fissa, alla fornitura di servizi, ecc.) ed evitare la profilazione incrociata dell'utenza basata su abitudini, gusti e preferenze. Da prevedere anche accorgimenti tecnici per disattivare servizi destinati a un pubblico adulto. Infatti, come indica nello specifico la bozza di regolamento: «Tra i contenuti digitali che l'utente può acquistare con la modalità mobile remote payment rientrano anche quelli destinati ad un pubblico adulto, i quali comportano il trattamento di dati sensibili e, in particolare, di dati personali idonei a rivelarne “la vita sessuale” ed i relativi gusti e preferenze di consumo. In questo ambito è dunque opportuno prevedere una serie di misure volte a garantire il corretto uso di tali informazioni».
3. Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.