Linee Guida del Garante sul Mobile Payment

Il futuro dei pagamenti tramite cellulare è sempre più prossimo. Due modalità sono già in fase sperimentale, il Mobile Remote Payment e il Mobile Proximity Payment. Nel primo caso è possibile acquistare beni e servizi a distanza con il telefono cellulare mediante invio sms, navigazione mobile, lettura QR code. Nel secondo caso parliamo di tecnologia Near Field Communication (nfc), grazie alla quale una speciale SIM, a cui è stata associata una carta di credito dei principali circuiti di pagamento (VISA, Mastercard, Maestro…) si attiva a distanza ravvicinata – circa 4 centimetri – da un particolare lettore Pos contactless, permettendo così pagamenti rapidi. In entrambi i casi, ogni pagamento prevede il trattamento di dati personali: anagrafici, di contatto, di credito, di consumo. Dati che devono necessariamente essere tutelati. A questo proposito il Garante Privacy ha emanato delle linee guida, rivolte ai principali operatori delle telecomunicazioni, con l’obiettivo di garantire agli utenti un corretto trattamento delle informazioni personali e evitare un uso improprio delle stesse.
Di seguito le direttive a cui gli operatori dovranno sottoporsi:

Informativa
I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando  quali dati personali utilizzano  e per quali scopi. Per tale motivo dovranno rilasciare l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell’apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell’operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l’informativa e la richiesta del consenso al trattamento dei dati.

Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment. Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare  precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini,  gusti e  preferenze. Da prevedere anche accorgimenti tecnici per  disattivare  servizi destinati ad un pubblico adulto.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

Prima del varo definitivo del provvedimento, l’Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università e centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it