Mobile Payment: scattate le prescrizioni del Garante Privacy
Dal 1° aprile 2015 scattati gli obblighi per gli operatori del settore del mobile payment per adeguarsi alle prescrizioni adottate dal Garante Privacy con il provvedimento generale del 22 maggio 2014.
Il mobile payment è costituito da tutti quei servizi che permettono di gestire gli acquisti, e i relativi pagamenti, di beni e servizi sia digitali che fisici attraverso un terminale mobile. Il ricorso a tale innovativa tecnologia si è diffusa largamente negli ultimi anni andando a modificare radicalmente l’ambito del commercio tradizionale ed elettronico e aprendo nuove prospettive. La facilità di utilizzazione e la velocità con cui possono concludersi le transazioni commerciali col mobile payment hanno ampliato non solo la tipologia di prodotti e servizi di cui si può usufruire attraverso il suo utilizzo ma anche il numero dei soggetti attivi in questo ambito. Numeri che vanno ad incidere di conseguenza anche sulla quantità di dati personali trattati.
I servizi di mobile payment possono essere classificati, a seconda delle modalità e delle tecniche di utilizzo, nelle due principali categorie del mobile remote payment e del mobile proximity payment definite dal Garante Privacy, rispettivamente, come “le operazioni di pagamento di un bene o servizio tra esercente e cliente, attivate da quest’ultimo a distanza attraverso il telefono cellulare e le operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia NFC (Near Field Communication che fornisce connettività wireless bidirezionale a corto raggio) ad un apposito lettore POS (point of sale), posto presso il punto vendita dell’esercente da cui si acquista il bene”.
Tuttavia, se da un lato ci sono tutti i vantaggi e la velocità caratterizzanti le modalità di acquisto attraverso un terminale mobile, dall’altro lato vanno presi in seria considerazione i profili riguardanti il corretto utilizzo e la sicurezza dei dati e di tutte le ulteriori informazioni che hanno carattere personale e che l’utente deve fornire per poter utilizzare i nuovi servizi di pagamento.
Il mobile payment, infatti, implica il ricorso all’utilizzo sia di reti di comunicazione elettronica, sia di particolari e avanzate tecnologie quali la NFC. Inevitabile conseguenza è il trattamento di una serie di dati personali dell’utilizzatore di tale servizio non solo di carattere identificativo ma, potenzialmente, anche di natura sensibile. Tale trattamento, pertanto, oltre ad essere assoggettato alla disciplina sulla protezione dei dati personali, deve essere conforme anche al provvedimento generale emesso dal Garante Privacy il 22 maggio 2014.
Il suddetto provvedimento ha, difatti, l’obiettivo di individuare le prescrizioni dirette ai diversi soggetti coinvolti nelle operazioni di pagamento tramite telefonia mobile. Lo scopo finale è quello di prevenire i rischi legati ad un utilizzo improprio dei dati personali degli utenti che intendono utilizzare i servizi del mobile payment.
In particolare il Garante Privacy ha previsto l’adozione di misure e di accorgimenti con riguardo agli adempimenti dell’operatore, ovvero del fornitore di reti e servizi di comunicazione elettronica accessibili al pubblico. Gli adempimenti previsti dal Garante Privacy riguardano nello specifio l’adozione di un’adeguata informativa privacy, previsioni sulle modalità di espressione del consenso, misure di sicurezza da adottare e il tempo di conservazione dei dati che si ha avuto modo di raccogliere.
Per l’adozione delle misure e degli accorgimenti di cui al suddetto provvedimento veniva concesso dal Garante Privacy un tempo che andava non oltre centottanta giorni decorrenti dalla data di pubblicazione del provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana.
Per le società che operano nel settore del mobile payment, pertanto, il tempo per adeguarsi alle prescrizioni dettate dal Garante Privacy è scaduto. Dallo scorso 1° aprile le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, insieme a tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) devono essere in regola con il provvedimento.
Chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, grazie alle nuove regole dettate dal Garante Privacy, potrà acquistare in maniera sicura prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.
Dal 1° aprile, pertanto, gli operatori del settore dovranno mettere in atto alcuni comportamenti: secondo quanto indicato dall’Autorità, infatti, sarà fondamentale che gli utenti che acquistano beni digitali siano informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto. I loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati per un tempo massimo di 6 mesi e non potranno essere utilizzati per altre finalità, come, ad esempio, per inviare pubblicità o per analizzare abitudini senza uno specifico consenso. L’indirizzo IP degli utenti che utilizzano tali servizi, inoltre, dovrà essere cancellato dal venditore una volta conclusa la procedura per effettuare gli acquisti.
Il commercio on line è una pratica che si sta diffondendo largamente nel nostro Paese, ma sono ancora tante le persone che, pur riconoscendone la comodità (il mobile payment permette infatti di acquistare in ogni momento e ovunque ci si trovi), ritengono ancora poco sicura questa modalità di pagamento. Anche per tale motivo precise misure di sicurezza dovranno essere adottate per garantire la riservatezza delle persone e impedire la combinazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione “incrociata” dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.
Per meglio garantire la riservatezza delle transazioni dei clienti, i venditori potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o del servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.
La nuova normativa, prevedendo una serie di tutele che devono essere rispettate dagli operatori del settore, può pertanto essere considerata come un incentivo per la diffusione dei servizi di mobile payment.