È un’iniziativa ICT4Executive
Direttore responsabile: Manuela Gianni Coordinamento editoriale: Roberto Garavaglia
Partner
HOME » Mobile » Privacy per il Mobile Payment, le regole da rispettare
Normative
Privacy per il Mobile Payment, le regole da rispettare
Una dettagliata analisi del provvedimento emanato dal Garante il 16 giugno che stabilisce le norme per la protezione
dei dati personali degli utenti coinvolti nelle operazioni di pagamento da smartphone
Elena Urbani e Paolo Peroni, Rödl & Partner Milano*
La crescita vertiginosa della mobile economy - lanciata verso il traguardo del 2% del PIL del nostro Paese
[1]
- ha
riportato al centro del dibattito sul mondo digitale il tema della protezione dei dati personali dei tantissimi
consumatori che utilizzano smartphone, tablet e pc per l’acquisto di beni e servizi. In questo contesto, l’argomento
privacy rappresenta un nodo indubbiamente cruciale, anche e soprattutto in relazione ai servizi di mobile payment,
il cui avvento è quasi certamente destinato a rivoluzionare le abitudini di milioni di consumatori.
I pagamenti elettronici, non vi è dubbio, offrono innumerevoli benefici: riduzione dei costi per gli operatori;
aumento della trasparenza e tracciabilità dei pagamenti; riduzione dei prezzi per gli utenti finali. E’ tuttavia
innegabile che l’accesso a servizi di pagamento tramite dispositivi mobili comporta anche la circolazione e il trattamento di un numero
enorme di dati e informazioni riferibili agli utenti. Basti pensare, ad esempio, che per poter accedere a servizi di mobile payment possono
essere richiesti dati anagrafici, dati relativi alla numerazione telefonica, alla tipologia del servizio richiesto, all’indirizzo di posta elettronica o
all’indirizzo IP. E i profili di rischio correlati sono evidenti. Per tale ragione, il Garante per la Protezione dei Dati Personali, come già anticipato
[2]
da PagamentiDigitali, ha recentemente adottato un provvedimento , con la finalità di rendere le operazioni di mobile payment il più
possibile “sicure”.
Il mondo del mobile payment vede coinvolti una pluralità di attori in ruoli diversi nel processo di erogazione del servizio. L’“operatore” è il
soggetto fornitore di reti e servizi di comunicazione elettronica accessibili al pubblico di prodotti e servizi digitali fruibili dall’utente tramite
smartphone, tablet e PC attraverso un’apposita piattaforma tecnologica.
L’“aggregatore” o “hub tecnologico” è il soggetto cui è affidata la realizzazione di una serie di attività legate all’operatività della piattaforma
tecnica. All’aggregatore spetta, ad esempio, la creazione dell’interfaccia di customer relationship management destinata ai call center di
ciascun operatore, la gestione del processo di acquisto del bene digitale o della relativa disattivazione del servizio, la redazione di dettagliati
report sui clienti che hanno effettuato degli acquisti. Infine, il “merchant” è colui che fornisce il contenuto digitale al cliente tramite web o
dispositivi mobili e generalmente vende all’utente diversi servizi e prodotti come quelli editoriali, contenuti multimediali in modalità
streaming, giochi, community e servizi in abbonamento, broadcasting (serie tv e film).
Le regole privacy per l’operatore
Nell’offrire servizi di acquisto e pagamento attraverso sistemi di remote mobile payment, l’Operatore è tenuto a rendere un’informativa
chiara e completa di tutti gli elementi di cui all’articolo 13 del Codice della Privacy. Per quanto indicato dal Garante, all’informativa dovrà
essere data idonea evidenza attraverso una formula basata sull’approccio “layered”, ovvero “a strati”.
In considerazione delle dimensioni ridotte degli schermi dei telefoni mobili / smartphone / tablet generalmente utilizzati per la fruizione del
servizio, l’utente, al momento dell’iscrizione o adesione ai servizi di mobile remote payment, dovrà trovare all’interno dell’apposita sezione
web una prima informativa sintetica, contenente gli elementi essenziali del trattamento; successivamente, tramite un link, potrà
accedere ad una seconda informativa più dettagliata, che dovrà indicare elementi ulteriori rispetto a quelli delineati dall’art. 13 del D.lgs.
196/2003, c.d. “Codice Privacy”.
Nell’ottica della massima protezione dell’utente, l’informativa dovrà (i) specificare se i dati sono trattati per scopi ulteriori, ovvero per finalità
di marketing, quali invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione
commerciale; (ii) informare gli utenti sugli aspetti relativi alla profilazione, anche nell’ambito di eventuali programmi di fidelizzazione e di
comunicazione dei soggetti terzi; (iii) indicare i soggetti designati responsabili ai sensi dell’art. 29 del Codice Privacy con specifico riferimento
all’hub tecnologico che potrà agire anche in veste di responsabile esterno del trattamento; (iv) specificare l’eventuale rapporto di cotitolarità
tra l’operatore ed il merchant.
Il consenso dell’utente al trattamento dei dati personali
Il consenso relativo al trattamento dei dati personali dell’utente che fruisce del servizio di mobile payment non è di per sé necessario,
poiché rientra in un obbligo contrattuale, e quindi nell’esclusione prevista dall’art. 24 del Codice Privacy. Il consenso, al contrario, dovrà
essere assolutamente richiesto in alcuni casi specifici e, in particolare, qualora l’operatore (i) utilizzi i dati forniti dall’utente per finalità di
marketing diretto; (ii) utilizzi di dati personali per finalità di profilazione anche nell’ambito di eventuali programmi di fidelizzazione; (iii)
comunichi i dati a soggetti terzi. Il consenso potrà essere prestato tramite un flag da inserire in una specifica casella presente in un’apposita
sezione della pagina web dell’operatore.
Le misure di sicurezza a tutela dell’utente
Non mancano poi specifiche prescrizioni in tema di misure di sicurezza, che consistono in cautele ulteriori rispetto a quelle disciplinate
dall’articolo 31 e seguenti del Codice Privacy e dall’Allegato B dello stesso: l’Operatore deve prevedere una forma di mascheramento dei
dati, ad esempio mediante meccanismo crittografico (c.d. hash), le cui chiavi di decifrazione siano nella esclusiva disponibilità degli addetti
alle operazioni di customer care. Questi ultimi, infatti, possono accedere a tali dati per finalità di assistenza alla clientela e nominati quali
“incaricati al trattamento dei dati personali ” e dovranno, quindi, esser sottoposti alla procedura della c.d “strong authentication” che consiste
in un processo di autenticazione basato su token ed account nominale.
Nel caso in cui, tra i servizi digitali offerti all’utente, vi siano contenuti destinati ad un pubblico adulto, dovranno essere adottate apposite
misure di sicurezza che garantiscano all’utente la possibilità di disattivare il servizio. In tale contesto, il provvedimento del Garante prescrive
che i dati relativi al mobile payment non possono esser conservati per più di sei mesi, decorsi i quali l’Operatore dovrà provvedere alla
cancellazione dei dati dai propri sistemi.
Le regole per l’Aggregatore
Secondo il Garante, l’aggregatore o hub tecnologico può essere designato, sia dall’operatore sia dal merchant, quale responsabile esterno del
trattamento dei dati personali. Differente, invece, il caso in cui l’hub tecnologico rende direttamente disponibili i prodotti e i servizi
normalmente offerti dal merchant mediante attività di organizzazione ed offerta del contenuto digitale al cliente. In tal caso, infatti,
l’Aggregatore opera come titolare autonomo del trattamento dei dati personali e dovrà osservare le medesime regole relative all’informativa e
al consenso dettate per l’operatore, sopra evidenziate.
Particolari misure di sicurezza dovranno, inoltre, essere adottate dall’hub in relazione alla cifratura dei dati personali, soprattutto qualora
questi ultimi circolino tra i database dei diversi hub tecnologici che operano in tempi diversi. Tra queste, si segnala la necessità che l’hub
attivi la predetta procedura di strong authetication degli addetti che hanno accesso alla piattaforma, il tracciamento delle operazioni di
accesso tramite un’unica chiave di interrogazione del sistema. Anche per l’Aggregatore, il tempo massimo di conservazione dei dati previsto è
di sei mesi .
Le regole per il Merchant
Le ultime prescrizioni dettate dal Garante non si differenziano di molto da quelle attinenti all’operatore e all’hub , salve alcune particolarità.
Tra queste, il Garante ha previsto che l’informativa del Merchant faccia espressa menzione del dato relativo al numero di telefonia mobile
dell’utente, all’eventuale indirizzo di posta elettronica e del dato riferibile all’indirizzo IP. In tale contesto, l’indirizzo di posta elettronica
deve essere utilizzato dal Merchant solo per finalità limitate ad una gestione del servizio più efficace e l’eventuale indirizzo IP deve essere
immediatamente cancellato dai sistemi del Merchant.
Prime riflessioni
Dalla lettura del provvedimento del Garante del 16 giugno 2014, emerge un quadro di regole sulla privacy preciso e dettagliato, almeno
apparentemente idoneo ad assicurare un’adeguata protezione dei dati personali degli utenti coinvolti in operazioni di mobile payment. Il
tempo e la diffusione dei servizi di pagamento mobile consentiranno di valutare l’effettiva completezza della normativa approntata dal
Garante.
Di certo, se il mobile payment costituisce un settore ad alto rischio per la riservatezza dei suoi fruitori, esso rappresenta un mercato dal
fortissimo potenziale. L’auspicio è che il mondo del mobile payment possa affermarsi in un quadro di disposizioni in grado di garantire la
massima sicurezza e protezione nel trattamento dei dati degli utenti.
*Per ulteriori informazioni
Rödl & Partner Milano
E-commerce, Media e IT Law
Tel.: +39 (02) 6 32 88 41
[email protected]
[email protected]
[1] Il riferimento è al titolo di una ricerca dell’osservatorio Mobile & App Economy del Politecnico di Milano pubblicato nell’aprile del 2014.
[2] Provvedimento n. 258 del 22 maggio 2014, doc. web. N. 3161560, pubblicato nella Gazzetta Ufficiale n. 137 del 16 giugno 2014
01 Luglio 2014
TAG: Privacy garante normative mobile payment
Articoli Correlati
Normative
Mobile Payment
Per Capire
Normativa
Privacy e Mobile
Payment, ecco le
norme del
Garante
Pagamenti NFC
con lo
smartphone,
finalmente si
parte
Mobile Payment,
le diverse
tipologie di
servizio
Pagamenti Mobile
con credito
telefonico, ecco le
norme del Garante
Con il termine Mobile
Payment ci si riferisce
all’attivazione di
pagamenti o al
trasferimento di
denaro tramite
telefono cellulare. Il
tratto...
L’Autorità per la tutela
della privacy ha avviato
una consultazione
pubblica su una serie
di regole a cui
dovranno sottostare gli
operatori tlc, i...
Emanato un
provvedimento che
definisce un primo
quadro organico di
regole in grado di
assicurare la
protezione dei dati
personali degli
utenti....
Dopo Spagna e
Germania, anche in
Italia Vodafone
annuncia il servizio
che virtualizza la carta
SmartPass NFC sul
cellulare. Da fine
aprile, chi ha un...
MAPPA DEL SITO | CHI SIAMO | IL PROGETTO EDITORIALE | PARTNER
Copyright © 2013 - ICT & STRATEGY s.r.l. P.IVA 05710080960 - Tutti i diritti sono riservati
Scarica

Privacy per il Mobile Payment, le regole da rispettare