Mobile Remote Payment. Il Garante Privacy concede più tempo per adeguarsi al provvedimento prescrittivo n. 258/2014

Diritto

Mobile Remote Payment. Il Garante Privacy concede più tempo per adeguarsi al provvedimento prescrittivo n. 258/2014

Il provvedimento n. 258 emanato dal Garante Privacy lo scorso maggio ha previsto misure prescrittive generali in materia di forme di pagamento mediante dispositivi elettronici (cosiddetto Mobile Remote Payment), destinate a regolamentare le modalità di trattamento dei dati personali, di conservazione e le relative misure di sicurezza che le figure principali (ovvero i fornitori di reti e sistemi di comunicazione elettronica; i fornitori dei contenuti digitali; i fornitori della piattaforma abilitante per l’acquisto dei contenuti digitali) che permettono agli utenti di acquistare beni digitali attraverso l’uso di tali sistemi di pagamento, devono adottare.

Il provvedimento n. 258 ha previsto che le tre le figure coinvolte debbano adeguarsi alle misure prescrittive ivi contenute entro e non oltre centottanta giorni dalla data di pubblicazione sulla Gazzetta Ufficiale del provvedimento.

Il termine previsto per adeguarsi era fissato per il 15 dicembre 2014.

A seguito della istanza di proroga della scadenza promossa da ASSTEL, l'Associazione rappresentativa, nel sistema di Confindustria, delle Imprese della filiera delle telecomunicazioni (di seguito l'«Associazione»), che ha rilevato la notevole complessità in relazione alle attività tecnologiche da implementare per adeguarsi alle prescrizioni impartite, il Garante, mediante il provvedimento del 20 Novembre scorso, pubblicato in G. U. del 15 Dicembre 2014, ha ritenuto opportuno, considerato peraltro l'elevato numero di soggetti coinvolti e la delicatezza dei temi affrontati, prorogare la scadenza al prossimo 31 Marzo.

Pertanto, entro il 31 Marzo 2015, tutti coloro che operano online, consentendo di gestire gli acquisti degli utenti ed i relativi pagamenti di beni digitali tramite un terminale mobile, siano essi Merchant (coloro che forniscono i contenuti digitali), Operatori (coloro che forniscono il servizio o il sistema di rete per la comunicazione elettronica per l’acquisto dei contenuti digitali), Aggregatori (coloro che forniscono la piattaforma necessaria per l’acquisto), in sintesi, dovranno:

rendere l’informativa in modo conforme a quanto disposto dall’art. 13 del Codice Privacy e nel rispetto altresì delle modalità precisate nel provvedimento n. 258;
richiedere i relativi e distinti consensi all’utente, nel caso in cui i dati raccolti verranno utilizzati per scopi diversi dall’erogazione del servizio o dalla fornitura del prodotto digitale (finalità di marketing; profilazione; comunicazione dati a terzi);
adeguarsi alle specifiche misure di sicurezza stabilite dal Garante destinate alle tre figure principali che operano nel Mobile Remote Payment, in relazione al trattamento dei dati e alla loro conservazione;
notificare al Garante i trattamenti effettuati nell'ambito delle operazioni di Mobile Remote Payment, laddove ne ricorrano i presupposti, ai sensi dell'art. 37 del Codice Privacy;
cancellare i dati raccolti entro 6 mesi dall’acquisizione.