Garante per la protezione
    dei dati personali


Comunicato Stampa

PAGAMENTI VIA SMARTPHONE E TABLET: LEREGOLE DEL GARANTE PRIVACY PER TUTELARE GLI UTENTI


Informativa sull'uso dei dati, misure disicurezza forti, conservazione a tempo

Chi usasmatphone e tablet per acquistare servizi, abbonarsi a quotidiani on line,comprare  e-book, scaricare  a pagamento film o giochi sarà piùgarantito. Arrivano le regole del Garante per proteggere la privacy degliutenti che, tramite il proprio credito telefonico, effettuano pagamenti adistanza avvalendosi del cosiddetto mobile remote payment.

L'uso diquesta nuova forma di pagamento, che è destinata a raggiungere in breve tempouna notevole diffusione e che accentua i processi di smaterializzazione deitrasferimenti di denaro, comporta infatti il trattamento di numeroseinformazioni personali (numero telefonico, dati anagrafici, informazioni sullatipologia del servizio o del prodotto digitale richiesto, il relativo importo,data e ora dell'acquisto), in alcuni casi anche di natura sensibile.

Obiettivodel provvedimento generale dell'Autorità, dunque, è quello di garantirein un mercato del pagamento sempre più dinamico, un trattamento sicuro delleinformazioni che riguardano gli utenti e prevenire i rischi di un loro usoimproprio.

Ledirettive del Garante sono rivolte ai tre principali soggetti che offronoservizi di mobile payment: operatori di comunicazione elettronica, cheforniscono ai clienti un servizio di pagamento elettronico tramite cellulare, ocon l'uso di una carta prepagata oppure mediante un abbonamento telefonico; gliaggregatori (hub), che mettono a disposizione degli operatori tlc e internet egestiscono la piattaforma tecnologica per l'offerta di prodotti e servizidigitali; i venditori (merchant), che offrono contenuti digitali e vendonoservizi editoriali, prodotti multimediali, giochi,  servizi destinati adun pubblico adulto.

Ecco, insintesi, gli adempimenti che dovranno adottare le tre categorie di operatoricoinvolti.



Informativa


Iprovider telefonici ed internet e i venditori dovranno informare gli utentispecificando  quali dati personali  utilizzano  e per qualiscopi. Per tale motivo dovranno rilasciare l'informativa al momentodell'acquisto della scheda prepagata o della sottoscrizione del contratto diabbonamento telefonico ed inserirla nell'apposito modulo predisposto per laportabilità del numero. Gli aggregatori, che operano per conto dell'operatoretelefonico, potranno predisporre una apposita pagina con la quale fornirel'informativa e la richiesta del consenso al trattamento dei dati.

Consenso


Iprovider telefonici e internet e gli aggregatori, che operano per conto diquesti in veste di responsabili del trattamento, non dovranno richiedere ilconsenso per la fornitura del servizio di mobile payment.

Ilconsenso è invece obbligatorio, sia per gli operatori che per i venditori, nelcaso vengano svolte attività di marketing, profilazione, o i dati venganocomunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedereuno specifico consenso.



Misure di sicurezza


Operatori,aggregatori e venditori saranno tenuti ad adottare  precise misure pergarantire la confidenzialità dei dati, quali: sistemi di autenticazione forteper l'acceso ai dati da parte del personale addetto, e procedure ditracciamento degli accessi e delle operazioni effettuate; criteri dicodificazione dei prodotti e servizi; forme di mascheramento dei dati mediantesistemi crittografici. Dovranno essere adottate misure per scongiurare i rischidi incrocio delle diverse tipologie di dati a disposizione dell'operatoretelefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativialla fornitura di servizi etc.) ed evitare la profilazione incrociatadell'utenza basata su abitudini,  gusti e  preferenze. Da prevedereanche accorgimenti tecnici per disattivare  servizi destinati ad unpubblico adulto.

Conservazione


I dati degli utenti trattati dagli operatori, dagliaggregatori e venditori, ivi compresi gli sms di attivazione e disattivazionedel servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ipdell'utente dovrà invece essere cancellato dal venditore una volta terminata laprocedura di acquisto del contenuto digitale. Per la conservazione dei dati ditraffico telefonico e telematico coinvolti nelle operazioni di mobile paymentsi dovranno rispettare i periodi di tempo previsti dal Codice privacy.



Prima del varo definitivo del provvedimento, l'Autorità hadeciso di sottoporre il testo a una consultazione pubblica: soggettiinteressati, associazioni di categoria degli imprenditori e dei consumatori,università, centri di ricerca, potranno far pervenire contributi e osservazionial Garante per posta o attraverso la casella di posta elettronica appositamenteattivata: consultazionemp@gpdp.it



Roma, 3 gennaio 2014