Il Garante per la protezione dei dati personali ha adottato il 12 dicembre 2013 una delibera per tutelare gli utenti in materia di pagamenti via smartphone e tablet. Obiettivo del provvedimento dell'Autorità è garantire un trattamento sicuro delle informazioni che riguardano gli utenti (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell'acquisto) e prevenire i rischi di un loro uso improprio.

Dunque, chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare  e-book, scaricare  a pagamento film o giochi sarà più garantito nell'uso del proprio credito telefonico nel cosiddetto mobile remote payment. Le direttive sono rivolte a tre principali soggetti: operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l'uso di una carta prepagata oppure mediante un abbonamento telefonico; gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l'offerta di prodotti e servizi digitali; i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi,  servizi destinati ad un pubblico adulto.

Ecco, in sintesi, gli adempimenti che si dovranno adottare.

Informativa
I provider telefonici e internet e i venditori dovranno informare gli utenti, specificando  quali dati personali  utilizzano  e per quali scopi, al momento dell'acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico. Gli aggregatori potranno predisporre una apposita pagina con la quale fornire l'informativa e la richiesta del consenso al trattamento dei dati.

Consenso
Per la fornitura del servizio di mobile payment non è necessario richiedere il consenso, che diventa invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza
Operatori, aggregatori e venditori dovranno adottare precise misure per garantire la confidenzialità dei dati (sistemi di autenticazione forte,  procedure di tracciamento degli accessi, sistemi crittografici, ecc.). Dovranno essere adottate misure ad hoc per scongiurare la profilazione incrociata dell'utenza basata su abitudini,  gusti e  preferenze e dovranno essere previsti accorgimenti tecnici per  disattivare  servizi destinati ad un pubblico adulto.

Conservazione
I dati degli utenti trattati dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

Prima del varo definitivo del provvedimento, l'Autorità ha deciso di sottoporre il testo a una consultazione pubblica rivolta ai soggetti interessati - associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca - che potranno far pervenire contributi e osservazioni al Garante privacy per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it. La consultazione sarà attiva per 60 giorni dalla pubblicazione dell'avviso sulla Gazzetta Ufficiale delle Repubblica italiana, per acquisire osservazioni e commenti sull'adeguatezza delle misure ipotizzate e sulle relative modalità attuative.

Vai all'Avviso pubblico di avvio della consultazione su "Schema di provvedimento generale in materia di trattamento di dati personali nell'ambito dei servizi di mobile remote payment".

Valenzano, 7 gennaio 2014