Alcune criticità sul trattamento dei dati di chi utilizza le nuove forme di pagamento attraverso smartphone e tablet hanno portato il Garante a presentare uno schema di provvedimento volto a proteggere la privacy degli utenti del cosiddetto mobile remote payment, un sistema destinato a raggiungere in breve tempo una notevole diffusione.
Il Garante per la protezione dei dati personali ha avviato una procedura di consultazione pubblica sullo “Schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment“ pubblicato il 12 dicembre 2013.
Le nuove forme di pagamento comportano il trattamento di una varietà di informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile.
Nell’ottica di favorire lo sviluppo del mercato del mobile payment e garantire un trattamento sicuro delle informazioni le regole proposte dal Garante sono rivolte ai tre principali soggetti coinvolti nelle nuove forme di transazione elettronica: gli operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento tramite cellulare, con l’uso di una carta prepagata o mediante un abbonamento telefonico; gli aggregatori, che gestiscono le piattaforme tecnologiche per l’offerta di prodotti e servizi digitali; i venditori di contenuti digitali (ebook, videogiochi, servizi, ecc.).
Tra le principali disposizioni dell’Autorità l’obbligo per i provider telefonici e i venditori di informare gli utenti specificando quali tra i loro dati verranno utilizzati e per quali scopi. Nel caso operatori e venditori svolgano attività di marketing, profilazione, o comunichino i dati a terze parti saranno obbligati anche a chiedere il consenso al trattamento dei dati agli utenti.
Sul versante della sicurezza, per garantire la confidenzialità dei dati operatori, aggregatori e venditori saranno tenuti ad adottare “sistemi di autenticazione forte per l’acceso ai dati da parte del personale, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici.”
Dovranno inoltre essere “adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze. “
Per quanto riguarda la conservazione dei dati trattati dagli operatori, dagli aggregatori e venditori, le informazioni dovranno essere cancellate dagli archivi dopo 6 mesi, fatto salvo l’indirizzo Ip dell’utente che dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.
La consultazione è volta a raccogliere osservazioni e commenti sull’adeguatezza delle misure presentate dall’Autorità ed eventuali ulteriori proposte operative da parte di tutti gli stakeholder: privati cittadini, aziende, associazioni di categoria, centri di ricerca, università ecc. Tutti gli interessati potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella email consultazionemp@gpdp.it.
Lo schema di provvedimento è disponibile QUI.
Aggiungi commento