Quattro le direttrici: informativa, consenso, sicurezza e conservazione
CATANIA – Sempre più persone ormai acquistano servizi, stipulano abbonamenti, eseguono transizioni finanziari attraverso telefoni cellulari e tablet. Per questo motivo il Garante della privacy ha stabilito delle regole che proteggono i consumatori da eventuali truffe raggiri o anche solo per tutelare i dati personali di chi effettua i pagamenti.
Il mobile remote payment, ovvero il metodo che consente di pagare attraverso il proprio credito telefonico è destinato infatti a una sempre maggiore diffusione. Esso comporta il trattamento di numerose informazioni personali in alcuni casi anche di natura sensibile.
L’obiettivo del Garante è dunque quello di fare in modo che il trattamento delle informazioni sia quanto più possibile sicuro per gli utenti in modo da prevenire i rischi di un loro uso improprio. Le direttive sono rivolte prevalentemente ai tre principali soggetti che offrono servizi di mobile payment, e cioè agli operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico, agli aggregatori che gestiscono la piattaforma tecnologica per l’offerta di prodotti e servizi digitali e ai venditori, che offrono contenuti digitali.
Gli adempimenti vanno in quattro direzioni fondamentali, quella dell’informativa, del consenso, della sicurezza e della conservazione. Per quanto riguarda la prima tipologia di misure i provider telefonici e internet e i venditori dovranno informare gli utenti specificando quali dati personali utilizzano e per quali scopi e dovranno rilasciare l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico. Sul piano del consenso invece esso dovrà essere obbligatoriamente richiesto, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi.
Per quanto riguarda la sicurezza, poi, gli operatori, gli aggregatori e i venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali sistemi di autenticazione forte, procedure di tracciamento degli accessi e delle operazioni effettuate, criteri di codificazione dei prodotti e servizi e forme di mascheramento. Per la conservazione infine si impone che i dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi.