Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti

Diritto

Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti

Chi usa smartphone e tablet per acquistare servizi, abbonarsi a servizi on line, comprare e-book, scaricare a pagamento film o giochi sarà più garantito. Il Garante della Privacy ha, infatti, varato uno schema di regolamento per tutelare la privacy degli utenti che, attraverso il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del "mobile remote payment".

Obiettivo del provvedimento generale dell'Autorità è, dunque, quello di garantire, nel panorama di un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti, così da prevenire i rischi di un loro uso improprio.

L'Autorità, prima del varo del provvedimento, ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di mprenditori e consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella diposta elettronica consultazionemp@gpdp.it

Il Mobile Remote Payment

Il Mobile Remote Payment comprende quei servizi che consentono di eﬀettuare un pagamento a distanza tramite rete cellulare, quali ad esempio il pagamento dei parcheggi o la ricarica di una smart card per il video on demand sul digitale terrestre: il consumatore invia una richiesta di pagamento tramite un messaggio SMS o un USSD5 contenente un breve codice che consente di eﬀettuare il servizio richiesto.

L'uso di questa nuova forma di pagamento comporta il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell'acquisto), in alcuni casi anche di natura sensibile.

Gli operatori coinvolti

Le direttive del garante sono rivolte a :

operatori di comunicazione elettronica: forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l'uso di una carta prepagata oppure mediante un abbonamento telefonico;
aggregatori (hub): mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l'offerta di prodotti e servizi digitali;
venditori (merchant): offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi, servizi destinati ad un pubblico adulto.

Consenso - I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment. Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi.

Misure di sicurezza e conservazione

Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure al fine di garantire la confidenzialità dei dati, ovvero:

sistemi di autenticazione forte per l'acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
criteri di codificazione dei prodotti e servizi;
forme di mascheramento dei dati mediante sistemi crittografici.

Dovranno, altresì, essere adottate misure per evitare i rischi di incrocio delle diverse tipologie di dati a disposizione dell'operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) e la profilazione incrociata dell'utenza basata su abitudini, gusti e preferenze..

Conservazione - I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.