Garante Privacy – pagamenti – mobile remote payment –obblighi informativi.
Il Garante della Privacy, con il provvedimento n. 3161560, pubblicato sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014, ha disciplinato il trattamento dei dati personali degli utenti telefonici, sia in abbonamento sia con carta prepagata, che utilizzano smartphone, tablet e pc per compiere acquisti di beni e servizi digitali tramite i servizi di “mobile remote payment”.
L’intervento del Garante si è reso necessario per prevedere un termine di conservazione dei dati (fino a sei mesi) e per imporre una richiesta informativa specifica, funzionale ad un eventuale specifico consenso da parte dell’utente, per l’attività di marketing.
I dati tratti per le transazioni (i.e. numero telefonico, dati anagrafici, informazioni sul servizio o prodotto digitale acquistati) non potranno essere usati per inviare pubblicità o analizzare le abitudini dell’utente, senza lo specifico consenso di quest’ultimo e dovranno essere sempre protetti da qualsiasi rischio di uso fraudolento.
L’utente deve essere informato sui modi di trattamento dei propri dati derivanti dall’adesione al servizio di pagamento da remoto: il consenso è obbligatorio per la comunicazione dei dati personali a terzi oppure per uso in attività di marketing e analisi utenza basata su abitudini, gusti e preferenze. L’indirizzo IP dell’utente deve essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale, si devono adottare sistemi di autenticazione più potenti per l’acceso ai dati da parte del personale addetto, tracciamento degli accessi e operazioni effettuate, criteri di codificazione dei prodotti e servizi e uso più alto livelli di crittografia.
Le misure a tutela della privacy dovranno essere adottate dalle compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, dalle società che forniscono l’interfaccia tecnologica e dalle aziende e-commerce nonché da tutti i soggetti coinvolti nella transazione.
Un ulteriore intervento ha riguardato i trattamenti di profilazione, anche nell’ambito di eventuali programmi di fidelizzazione e di comunicazione dei dati a soggetti terzi.
Rispetto a tale ultimo profilo l’informativa deve chiarire che la trasmissione del numero di telefonia mobile dell’utente al merchant nell’ambito delle operazioni di mobile remote payment è effettuata esclusivamente per consentire a quest’ultimo un’efficace gestione del servizio con riferimento alle necessarie attività di assistenza alla clientela.
Il Garante ha inoltre specificatamente vietato il raggruppamento di vati tipi di dati a disposizione dell’operatore telefonico (esempio, dati traffico telefonico associati a dati uso Tv digitale) senza consenso esplicito dell’utente. Dovranno essere previsti accorgimenti tecnici per disattivare servizi destinati a un pubblico adulto e per inibirne l’accesso a minorenni.