Privacy e pagamenti con il cellulare: le 4 regole del Garante
iStock
Tecnologia

Privacy e pagamenti con il cellulare: le 4 regole del Garante

Le novità: informazioni agli utenti, consenso obbligato per operazioni di marketing, misure di sicurezza, tracciabilità dei dati

"Chi usa smatphone e tablet per acquistare servizi, abbonarsi a quotidiani on-line, comprare e-book, scaricare a pagamento film o giochi sarà più garantito". Inizia con questa rassicurazione il documento del Garante per la Privacy che comunica le nuove regole per proteggere la privacy appunto degli utenti che, con il proprio telefono, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.

A dover essere meglio tutelate sono le informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto) che si veicolano nel compiere le operazioni di pagamento e che spesso sono di natura sensibile.

Le direttive del Garante privacy sono rivolte ai tre principali soggetti che offrono servizi di mobile payment: operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare o con l’uso di una carta prepagata oppure mediante un abbonamento telefonico; gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l’offerta di prodotti e servizi digitali; i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi, servizi destinati ad un pubblico adulto.

Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie.

Informativa
I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando quali dati personali utilizzano e per quali scopi. Per tale motivo dovranno rilasciare l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell’apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell’operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l’informativa e la richiesta del consenso al trattamento dei dati.

Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.
Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze. Da prevedere anche accorgimenti tecnici per disattivare servizi destinati ad un pubblico adulto.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

I più letti

avatar-icon

Redazione