Con comunicato del 31 marzo 2015, il Garante per la Protezione dei Dati personali informa circa l’entrata in vigore e applicazione della nuova normativa introdotta con il provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment – 22 maggio 2014 (pubblicato sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014).
In poche parole, i consumatori da ora in poi saranno tutelati nel momento in cui intendano acquistare beni o servizi tramite tablet, telefoni cellulari e intermediari.
Le compagnie telefoniche che forniscono servizi di pagamento tramite telefono cellulare, e più in generale le aziende che offrono contenuti digitali e servizi, e i soggetti coinvolti nelle transazioni dovranno adeguarsi al contenuto del provvedimento generale varato dal Garante privacy nel maggio 2014.
Il Garante distingue, nell’ambito dei servizi di pagamento tramite cellulare, due forme diverse di servizio, il mobile remote payment e il mobile proximity payment: riguardano, rispettivamente
le operazioni di pagamento di un bene o servizio tra esercente e cliente, attivate da quest’ultimo a distanza attraverso il telefono cellulare e le operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia NFC (Near Field Communication che fornisce connettività wireless bidirezionale a corto raggio) ad un apposito lettore POS (point of sale), posto presso il punto vendita dell’esercente da cui si acquista il bene.
La base normativa di questo settore è rappresentata dalla direttiva 2007/64/CE, c.d. PSD (recepita dal d.lg. n. 11/2010), la quale ha autorizzato anche operatori non bancari a svolgere queste forme di intermediazione nel pagamento. E’ prevista, quindi, un’informativa, che deve precisare se i dati personali dell’utente sono trattati anche per scopi ulteriori, o per finalità di marketing, quali l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (ex artt. 7, comma 4, lett. b) e 140 del Codice).
Lo scopo della normativa è consentire a chi sfrutta questi sistemi di pagamento per i propri acquisti da remoto di poter operare in modo sicuro. Il consumatore o l’utente verranno a sapere, quindi, come vengono trattati i propri dati personali, se vi siano finalità commerciali e di pubblicità ulteriori. Inoltre, i dati dovranno essere trattati con precauzione circa la loro conservazione, dovendo essere distrutti allo scadere dei sei mesi successivi. La delicatezza della questione riguarda il fatto che per dati si devono intendere lo stesso numero telefonico, i dati anagrafici, le informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento. Lo stesso indirizzo IP è un dato personale, per cui dovrà essere cancellato dal venditore al termine dell’acquisto:
Con specifico riguardo all’indirizzo IP dell’utente, tale dato deve, invece, essere immediatamente cancellato dai sistemi del merchant, una volta terminata la procedura di acquisto del contenuto digitale.
Articolo redatto a Torino da Studio Duchemino il 3 aprile 2015