Pagamenti su dispositivi portatili: più tutele per i dati personali degli utenti secondo il nuovo provvedimento del Garante
Il Garante della Privacy ha adottato nuove regole che disciplinano il trattamento dei dati personali di chi utilizza i cosiddetti servizi di mobile remote payment (in italiano, pagamenti su dispositivi portatili) negli smartphone, nei tablet o nei pc. Il Provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment è stato adottato definitivamente dopo una consultazione pubblica ed è stato pubblicato il 16 giugno 2014 sulla Gazzetta Ufficiale.
Lo scopo del provvedimento è fornire maggiori tutele agli utenti che decidono di acquistare beni e servizi digitali (es. la sottoscrizione di abbonamenti a quotidiani on line, l’acquisto di e-book, video e giochi ecc.) utilizzando le nuove forme di pagamento elettronico e, allo stesso tempo, stabilire regole certe per tutti gli attori del mercato, senza penalizzare lo sviluppo del mercato digitale.
Il provvedimento è rivolto in particolar modo agli operatori di comunicazione elettronica, agli aggregatori o hub tecnologici (le società che forniscono la piattaforma tecnologica) ed ai merchant (le società che offrono contenuti digitali e servizi), ma si applica anche a tutti gli altri soggetti coinvolti nella transazione.
Gli adempimenti previsti in capo ai soggetti coinvolti possono essere riassunti come segue:
– Le società che trattano i dati personali degli utenti non devono generalmente richiedere il consenso degli utenti per il trattamento di tali dati ai fini della transazione. Tuttavia, i dati personali non potranno essere usati per altri scopi senza il consenso specifico dell’utente; il consenso specifico è obbligatorio, per esempio, per la comunicazione dei dati personali a terzi oppure per l’attività di marketing o profilazione degli utenti.
– Gli utenti devono essere adeguatamente informati sulle modalità di trattamento dei loro dati personali, possibilmente attraverso un approccio c.d. layered, cioè la visualizzazione di una prima informativa breve contenente un collegamento ipertestuale ad un’informativa completa.
– Operatori, aggregatori e merchant devono adottare misure appropriate per garantire la confidenzialità dei dati personali, quali ad esempio: sistemi di autenticazione forte per l’accesso ai dati, procedure di tracciamento delle operazioni effettuate e sistemi crittografici per mascherare i dati.
– Ulteriori misure devono essere adottate per prevenire la combinazione dei dati usati per la transazione con altri dati a disposizione dell’operatore telefonico e così evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che l’utente non abbia dato uno specifico consenso informato. I merchant potranno rivelare all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti o dei servizi acquistati senza riferire lo specifico contenuto del prodotto o servizio acquistato, salvo che non sia necessario per la fornitura dei servizi.
– I dati personali degli utenti trattati dagli operatori, dagli aggregatori e dai merchant, potranno essere conservati al massimo per sei mesi, mentre gli indirizzi IP degli utenti dovranno essere cancellati dal merchant una volta terminata la procedura di acquisto.
Le misure e gli accorgimenti individuati nel provvedimento del Garante devono essere adottati entro centottanta giorni dalla pubblicazione sulla Gazzetta Ufficiale.