Il 1 aprile 2015 è entrato in vigore il provvedimento generale n. 258 del 22 maggio 2014 del Garante Privacy (Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment - 22 maggio 2014) che prevede nuove e specifiche regole per tutti i soggetti che usufruiscono di servizi di mobile payment.
Tale provvedimento, secondo il Garante, ha lo scopo di “proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment”.
Diversamente da quanto si potrebbe pensare, il provvedimento non stabilisce prescrizioni specifiche solo per le grandi compagnie telefoniche e di telecomunicazione, ma anche per tutti gli ulteriori soggetti (molto più numerosi degli operatori tlc) coinvolti a vario titolo nelle attività di trattamento dei dati personali degli utenti che effettuano acquisti di contenuti digitali attraverso la loro carta telefonica ricaricabile o il loro abbonamento telefonico.
Sono previste, in particolare, regole specifiche anche per:
- i merchant, ovvero i soggetti che offrono in rete contenuti digitali (e-book, film, musica, software, videogames, etc.);
- i cosiddetti hub (o aggregatori) che gestiscono e predispongono le piattaforme tecnologiche per la fruizione dei contenuti digitali (anche tramite app).
Quanto ai contenuti del provvedimento, le novità più possono essere individuate nei seguenti 3 ambiti:
- Informativa
L’informativa privacy fornita ai sensi dell’art. 13 D.lgs 196/2003 dovrà contenere indicazioni specifiche in relazione al servizio di mobile payment. Gli operatori tlc dovranno, all’atto dell’acquisto della scheda telefonica prepagata o della sottoscrizione del contratto di abbonamento da parte degli utenti, fornire agli stessi un’informativa completa nella quale venga specificato, oltre a quanto già previsto dall’art. 13 D.lgs 196/2003, che i dati personali dell’interessato verranno utilizzati anche per la fruizione di servizi di mobile payment. Dovranno poi essere indicati con chiarezza i soggetti nominati responsabili del trattamento da parte dell’operatore (ad es. la società o le società che forniscono l’infrastruttura tecnologica necessaria per l’utilizzo di sistemi di mobile payment) e gli incaricati del trattamento.
- Misure di sicurezza
In relazione ai servizi di mobile payment, il provvedimento generale del Garante prevede misure specifiche a tutela dei dati degli interessati, quali sistemi di mascheramento dei dati tramite strumenti crittografici, la predisposizione di sistemi di accesso ai dati tracciabili e basati su token e account nominali.
- Conservazione dei dati
In tema di data retention si prevede che gli operatori tlc, i merchant e gli hub debbano necessariamente cancellare i dati personali degli utenti (ad es. dati relativi alla data e all'ora dell'operazione, nonché quelli che riguardano l'indicazione del prodotto digitale richiesto ed il relativo importo) entro e non oltre 6 mesi dal momento in cui i dati sono stati utilizzati per servizi di mobile payment. Qualora poi gli aggregatori trattino anche gli indirizzi IP degli utenti, tali dati dovranno essere immediatamente cancellati una volta concluso l’acquisto del contenuto digitale.
Occorre ricordare, infine, che il provvedimento ha carattere generale (applicandosi quindi a tutti i soggetti che partecipano a trattamenti di dati relativi a servizi di mobile payment) e il suo mancato rispetto può comportare sanzioni amministrative e, nei casi più gravi, anche penali.