IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»);
Vista la direttiva 2007/64/CE del Parlamento europeo e del
Consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel
mercato interno («Payment Service Directive»), recante modifica delle
direttive 97/7/CE; 2002/65/CE; 2005/60/CE e 2006/48/CE che abroga la
direttiva 97/5/CE (di seguito PSD);
Visto il decreto legislativo n. 11 del 27 gennaio 2010 (pubblicato
sul supplemento ordinario alla Gazzetta Ufficiale n. 36 del 13
febbraio 2010), di recepimento della PSD;
Vista la direttiva 2009/110/CE, del Parlamento europeo e del
Consiglio concernente l'avvio, l'esercizio e la vigilanza prudenziale
dell'attivita' degli istituti di moneta elettronica, («e-Money
Directive») recante modifica delle direttive 2005/60/CE e 2006/48/CE
e che abroga la direttiva 2000/46/CE (di seguito EMD);
Visto il decreto legislativo n. 45 del 16 aprile 2012 (pubblicato
nella Gazzetta Ufficiale n. 99 del 24 aprile 2012), di recepimento
della EMD;
Visti i provvedimenti della Banca d'Italia del 5 luglio 2011 di
«Attuazione del titolo II del decreto legislativo n. 11 del 27
gennaio 2010 relativo ai servizi di pagamento (Diritti e obblighi
delle parti)» e del 15 febbraio 2010 recante le «Disposizioni di
vigilanza per gli istituti di pagamento»;
Visto il Libro verde della Commissione europea dell'11 gennaio 2012
«Verso un mercato europeo integrato dei pagamenti tramite carte,
internet e telefono mobile»;
Vista la Proposta di risoluzione del 20 novembre 2012 del
Parlamento europeo sul Libro verde della Commissione europea;
Visto il decreto-legge n. 201 del 6 dicembre 2011, recante
«Disposizioni urgenti per la crescita, l'equita' e il consolidamento
dei conti pubblici» (pubblicato nella Gazzetta Ufficiale n. 284 del 6
dicembre 2011 - supplemento ordinario n. 251) c.d. «Decreto
SalvaItalia», convertito con modificazioni dalla legge 22 dicembre
2011, n. 214 (pubblicata nella Gazzetta Ufficiale n. 300 del 27
dicembre 2011 - supplemento ordinario n. 276) e, in particolare,
l'art. 12 (comma 4) «Riduzione del limite per la tracciabilita' dei
pagamenti a 1.000 euro e contrasto all'uso del contante» con riguardo
ai nuovi prestatori di servizi di pagamento;
Visto il decreto-legge n. 179 del 18 ottobre 2012, recante
«Ulteriori misure urgenti per la crescita del Paese» (pubblicato
nella Gazzetta Ufficiale n. 245 del 19 ottobre 2012 - supplemento
ordinario n. 194/L), c.d. «Decreto sviluppo-bis», convertito con
modificazioni dalla legge n. 221 del 17 dicembre 2012 (pubblicata
nella Gazzetta Ufficiale n. 294 del 18 dicembre 2012 - supplemento
ordinario n. 208) e, in particolare, l'art. 8 «Misure per
l'innovazione dei sistemi di trasporto» e l'art. 15 «Pagamenti
elettronici» che, tra l'altro, ha sostituito, al comma 1, l'art. 5
del decreto legislativo 7 marzo 2005, n. 82 recante il «Codice
dell'amministrazione digitale»;
Visto il decreto ministeriale n. 145 del 2 marzo 200 «Regolamento
recante la disciplina dei sevizi a sovrapprezzo» (pubblicato nella
Gazzetta Ufficiale n. 84 del 10 aprile 2006);
Visto il Libro bianco dell'European Payments Council del 19 giugno
2013 sui sistemi mobili di pagamento (mobile wallet payments);
Vista la «Proposta di direttiva del Parlamento europeo e del
Consiglio relativa ai servizi di pagamento nel mercato interno,
recante modifica delle direttive 2002/65/CE, 2013/36/UE e 2009/110/CE
e che abroga la direttiva 2007/64/CE» della Commissione europea del
24 luglio 2013;
Visti gli emendamenti del Parlamento europeo alla suddetta proposta
di direttiva, approvati il 3 aprile 2014;
Visto il parere del Garante europeo della protezione dei dati sulla
medesima proposta, pubblicato nella Gazzetta Ufficiale dell'Unione
europea dell'8 febbraio 2014 (2014/C38/07) e sul sito del GEPD
http://www.edps.europa.eu;
Vista la direttiva 2002/58/CE del Parlamento europeo e del
Consiglio del 12 luglio 2002 «relativa al trattamento dei dati
personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche (direttiva relativa alla vita privata e
alle comunicazioni elettroniche)»;
Vista la direttiva 2006/24/CE del Parlamento europeo e del
Consiglio del 15 marzo 2006 «Riguardante la conservazione di dati
generati o trattati nell'ambito della fornitura di servizi di
comunicazione elettronica accessibili al pubblico o di reti pubbliche
di comunicazione e che modifica la direttiva 2002/58/CE»;
Vista la decisione della Corte di giustizia dell'Unione Europea
dell'8 aprile 2014, n. 54/2014, in riferimento alle cause riunite
C-293/12 e C-594/12, che ha dichiarato l'invalidita' della direttiva
2006/24/CE;
Visto il provvedimento del Garante del 15 maggio 2013 sul «Consenso
al trattamento dei dati personali per finalita' di "marketing
diretto" attraverso strumenti tradizionali e automatizzati di
contatto» (pubblicato nella Gazzetta Ufficiale n. 174 del 26 luglio
2013);
Visto il provvedimento del Garante in materia di attuazione della
disciplina sulla comunicazione delle violazioni di dati personali
(c.d. data breach) del 4 aprile 2013 (pubblicato nella Gazzetta
Ufficiale n. 97 del 4 aprile 2013);
Visto il decreto del Presidente della Repubblica del 28 dicembre
2000, n. 445, recante il Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa (pubblicato
nella Gazzetta Ufficiale n. 42 del 20 febbraio 2001);
Ritenuto opportuno fornire le necessarie indicazioni rispetto al
trattamento dei dati personali degli utenti che si avvalgono di
servizi di pagamento o trasferimento di denaro tramite telefono
cellulare, c.d. mobile payment;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento n. 1/2000;
Relatore il dott. Antonello Soro;
Premesso
Il ricorso alle potenzialita' del mobile payment, ovvero dei
servizi che consentono di gestire gli acquisti ed i relativi
pagamenti di beni sia digitali che fisici tramite un terminale
mobile, la cui diffusione ha negli ultimi anni, grazie alla continua
evoluzione della tecnologia, radicalmente modificato il settore del
commercio tradizionale ed elettronico ha aperto, anche nel nostro
Paese, nuove prospettive. Cio' ha determinato un'accelerazione della
conclusione delle transazioni commerciali ed un'accentuazione dei
processi di smaterializzazione dei trasferimenti di denaro,
ampliando, altresi', la tipologia dei prodotti e servizi fruibili
attraverso il ricorso al mobile payment e la platea dei soggetti che
operano in questo ambito, nonche' la quantita' di dati personali
trattati.
I servizi di mobile payment, classificabili nelle due principali
categorie del mobile remote payment e del mobile proximity payment,
riguardano, rispettivamente, le operazioni di pagamento di un bene o
servizio tra esercente e cliente, attivate da quest'ultimo a distanza
attraverso il telefono cellulare e le operazioni di pagamento
eseguite dal cliente avvicinando il dispositivo mobile, dotato di
tecnologia NFC (Near Field Communication che fornisce connettivita'
wireless bidirezionale a corto raggio) ad un apposito lettore POS
(point of sale), posto presso il punto vendita dell'esercente da cui
si acquista il bene.
Si tratta di passi importanti nel settore dei micropagamenti
rispetto all'uso del contante, da cui discendono valutazioni che
riguardano anche il trattamento dei dati personali degli interessati.
Se infatti, da un lato, si pongono le facilitazioni delle modalita'
di acquisto attraverso il terminale mobile ed un possibile risparmio
dei costi propri delle transazioni effettuate con carte di pagamento,
dall'altro non possono trascurarsi i profili che investono il
corretto utilizzo e la sicurezza delle informazioni di carattere
personale che l'utente deve fornire per fruire dei nuovi servizi di
pagamento.
Il mobile payment ed il conseguente ricorso sia a reti di
comunicazione elettronica, sia a tecnologie come la NFC (che, con
riguardo alla modalita' proximity, saranno richiamate in un apposito
provvedimento dell'Autorita') implica, infatti, il trattamento di una
serie di dati personali dell'utente non solo di carattere
identificativo ma, potenzialmente, anche di natura sensibile. Cio'
con la conseguenza che tale trattamento, oltre a svolgersi nel
rispetto della disciplina sulla protezione dei dati personali e, in
particolare, dei principi generali di liceita', pertinenza e non
eccedenza, di correttezza e buona fede sanciti dal Codice (cfr. art.
11), deve essere improntato anche al rispetto del presente
provvedimento generale.
Il provvedimento dell'Autorita' e' difatti volto ad individuare le
prescrizioni dirette ai diversi soggetti coinvolti nelle operazioni
di pagamento tramite telefonia mobile, allo scopo di prevenire i
rischi connessi ad un utilizzo improprio dei dati personali degli
utenti che intendono avvalersi del mobile remote payment.
1. Quadro normativo.
La direttiva 2007/64/CE, c.d. PSD (recepita a livello interno dal
decreto legislativo n. 11/2010), ha aperto il mercato dei servizi di
pagamento anche ad operatori di matrice non bancaria nell'ottica, non
solo di armonizzare il relativo quadro giuridico, superando la
frammentazione normativa delle singole realta' nazionali, ma di
definire nuovi profili di efficienza, parita' e sicurezza per tutti i
portatori di interessi in tale ambito.
La PSD indica, tra l'altro, le condizioni per autorizzare i nuovi
soggetti non bancari all'esercizio di un servizio di pagamento
all'interno dell'UE, prevedendo, in particolare, che i nuovi istituti
di pagamento possano operare come intermediari di pagamento, previa
autorizzazione delle Autorita' competenti, nell'ambito di un «regime
semplificato» rispetto a quello degli istituti bancari.
Difatti, nella sua attuale configurazione, la direttiva, nel
definire i «servizi di pagamento» rimandando alle attivita'
commerciali elencate nel relativo allegato (cfr. art. 4, punto 3 che
rinvia al punto 7 dell'allegato) consente agli operatori del sistema
o della rete di telecomunicazioni o digitale o informatica di agire
nella veste di intermediari tra l'utilizzatore di servizi di
pagamento che usa un dispositivo di telecomunicazione digitale o
informatico ed il fornitore di beni e servizi (cfr. anche l'art. 1,
comma 1, lettera b), punto 7 del decreto interno di recepimento).
Tale attivita' rientra nell'ambito di quelle definite nel c.d.
positive scope.
Dal perimetro di applicazione delle previsioni comunitarie e delle
conseguenti disposizioni interne restano invece escluse le operazioni
di pagamento, eseguite tramite il suddetto dispositivo, che si
riferiscono all'acquisto di beni e servizi digitali, la cui consegna
o il cui utilizzo siano effettuati mediante tale dispositivo gestito
dall'operatore di telecomunicazione digitale o informatico, quando
quest'ultimo non agisca esclusivamente come mero intermediario
autorizzato del pagamento tra l'utente ed il fornitore di beni e
servizi (cfr. l'art. 3, lettera l) della PSD e l'art. 2, comma 2,
lettera n) del decreto legislativo n. 11/2010, a sua volta richiamato
al paragrafo 2.2.9 del menzionato provvedimento della Banca d'Italia
del 5 luglio 2011), ma svolga una serie di ulteriori funzioni.
Tali funzioni possono rinvenirsi in quelle di accesso, ricerca e
distribuzione del contenuto digitale e si atteggiano in modo tale che
la relativa assenza non consentirebbe all'utente di fruirne con le
medesime modalita' sopra descritte. Viene cosi' a delinearsi il c.d.
negative scope, ovvero lo spazio delle deroghe nel quale ricadono
quelle attivita' non classificate come servizi di pagamento che
possono essere prestate dagli operatori del sistema o della rete di
telecomunicazioni o digitale o informatica (da intendersi come
fornitori di reti e servizi di comunicazione elettronica accessibili
al pubblico), senza l'obbligo di diventare o agire come un
intermediario di pagamento.
Tale esclusione consente quindi all'operatore, sotto un profilo di
significativa innovazione, di intervenire nel settore dei pagamenti
elettronici anche prestando direttamente un servizio attraverso la
propria rete di telecomunicazione.
In questo senso la PSD (Considerando 6), nel precisare
l'opportunita' che il quadro giuridico disciplinato non si applica
quando l'attivita' dell'operatore va al di la' della semplice
operazione di pagamento, richiama le menzionate funzioni di accesso,
distribuzione o consultazione proprio in termini di «valore
intrinseco» che tale soggetto puo' aggiungere al contenuto dei beni
digitali offerti all'utente.
2. Futuri inquadramenti normativi.
Con riguardo al quadro normativo sopra delineato occorre dar conto
dei recenti cambiamenti previsti a livello europeo, rispetto al
vigente acquis legislativo e regolamentare in materia di servizi di
pagamento.
Ci si riferisce alla proposta della Commissione europea del 24
luglio 2013 di riesame della «e-Money Directive» e di inglobamento ed
abrogazione della «Service Payment Directive», al precipuo scopo di
aggiornare l'assetto giuridico in materia di servizi di pagamento
nell'ambito dell'UE, «in un'epoca in cui la distinzione tra istituti
di pagamento e istituti di moneta elettronica e' sempre meno netta e
si assiste alla convergenza delle tecnologie e dei modelli
commerciali» e di rispondere al meglio alle esigenze di un vero e
proprio mercato integrato che favorisca la concorrenza, l'innovazione
e la sicurezza.
Tali obiettivi erano del resto gia' emersi nel gennaio 2012, a
seguito della pubblicazione, da parte della Commissione, del Libro
verde «Verso un mercato europeo integrato dei pagamenti tramite
carte, internet e telefono mobile», nonche' degli esiti della
successiva consultazione pubblica che aveva registrato un ampio
numero di contributi sulle possibili esigenze di modifica del vigente
quadro dei pagamenti.
Alla luce degli scopi e degli ostacoli individuati nel Libro verde,
il Parlamento europeo ha poi, con la risoluzione adottata il 20
novembre 2012, richiesto una riforma del modello di governance
dell'area unica dei pagamenti in euro, in linea con l'agenda digitale
e, in particolare, con la creazione di un mercato unico del digitale.
In questo quadro, l'analisi condotta nell'ambito della menzionata
proposta di inglobamento ed abrogazione della PSD ha fatto emergere,
tra l'altro, l'intenzione di ridefinire il dettato degli articoli 3 e
4 della direttiva tanto sotto il profilo soggettivo, quanto sotto
quello oggettivo, evidenziando una nuova, possibile, prospettiva che
tende a delimitare l'esenzione relativa ai contenuti digitali
esclusivamente ai servizi di pagamento accessori, prestati dai
fornitori di reti o di servizi di comunicazione elettronica sulla
base di determinate soglie di pagamento.
Cio' nondimeno, in attesa di conoscere se e quali saranno gli
effettivi esiti della proposta e che implicazioni essa comportera'
nel nostro ordinamento interno, giova ribadire che lo scopo del
presente provvedimento, il quale si basa sull'attuale assetto
normativo del settore, e' quello di garantire, in un mercato dei
pagamenti sempre piu' dinamico, un uso sicuro e al contempo efficace
delle informazioni che riguardano gli utenti.
In quest'ottica l'Autorita' ha peraltro condotto una serie di
attivita' ispettive nell'ambito della fornitura di servizi di mobile
remote payment, cosi' da individuare eventuali profili di criticita'
e prevedere misure opportune e sempre piu' mirate ad una tutela
effettiva dei dati personali, fornendo altresi' utili strumenti di
intervento a tutti i soggetti coinvolti.
3. Il Mobile remote payment.
Attualmente le operazioni di mobile remote payment, ricorrendo le
circostanze sopra menzionate, vedono coinvolti diversi soggetti, tra
cui i fornitori di reti e servizi di comunicazione elettronica
accessibili al pubblico, per l'acquisto di contenuti digitali tramite
terminale mobile, ovvero, anche a seguito degli interventi normativi
di cui al citato «Decreto Sviluppo bis», di titoli digitalizzati che
possono consentire all'utente l'accesso a servizi di utilita' sociale
o a servizi in mobilita'. Rispetto a questi ultimi i profili legati
al trattamento dei dati personali saranno oggetto di un apposito
provvedimento del Garante, cosi' come altre considerazioni
dell'Autorita' potranno investire ambiti di utilizzo di dati
personali che prevedono il ricorso a tecnologie diverse e
tradizionali e altri servizi di pagamento.
Pertanto, proprio in uno scenario cosi' in evoluzione, si e'
ritenuto opportuno individuare, nell'ambito del presente
provvedimento, un contesto operativo, un'architettura
tecnico-organizzativa di riferimento ed i possibili ruoli dei
soggetti coinvolti nel processo di erogazione del servizio di mobile
remote payment.
In particolare, l'ambito individuato riguarda l'offerta da parte
dei fornitori di reti e servizi di comunicazione elettronica
accessibili al pubblico (di seguito operatori) di prodotti e di
servizi digitali (singoli prodotti o servizi in abbonamento) fruibili
dall'utente tramite smartphone, tablet e PC, attraverso servizi di
micropagamento (secondo quanto previsto dal decreto ministeriale n.
145/2006) mediante terminale mobile.
La menzionata architettura prevede la costituzione di una apposita
piattaforma tecnologica destinata alla gestione delle nuove modalita'
di pagamento attraverso l'addebito e la conseguente decurtazione del
costo del contenuto digitale richiesto dal credito telefonico, per
gli utenti dotati di una carta ricaricabile, ovvero l'addebito sul
conto telefonico, per quelli che abbiano sottoscritto un contratto di
abbonamento con l'operatore di riferimento.
I processi gestionali legati all'operativita' della piattaforma
implicano, infine, sotto il profilo soggettivo, l'intervento, oltre
che degli operatori e dei fornitori dei contenuti digitali
disponibili (di seguito merchant), di appositi hub preposti a
svolgere generalmente, tra gli uni e gli altri, il ruolo di
«interfaccia» tecnologica (di seguito aggregatori).
Le suddette considerazioni non intendono, tuttavia, limitare
l'applicazione del presente provvedimento, il quale si rivolge
all'intero contesto in cui puo' realizzarsi un'operazione di mobile
remote payment volta all'acquisto di beni e servizi digitali, quindi
anche attraverso altri scenari tecnologici ed altre configurazioni
soggettive. Difatti sono da considerarsi ricompresi, nell'ambito di
riferimento delle misure che vengono indicate dall'Autorita', anche
altri soggetti diversi dagli operatori telefonici, dai merchant e
dagli aggregatori, i quali, tramite proprie applicazioni ovvero
applicazioni sviluppate da terze parti abilitate, consentono
l'accesso ad un mercato di beni digitali, offrendo all'utente la
possibilita' di acquistare contenuti, giochi o programmi informatici
di varia natura mediante l'utilizzo del credito telefonico.
4. Ambito soggettivo.
Come evidenziato, nel contesto dei servizi di mobile remote payment
attualmente offerti agli utenti puo' individuarsi la figura
dell'operatore che, alla luce della disciplina comunitaria ed
interna, e' in grado di fornire alla propria clientela un servizio di
pagamento tramite telefono cellullare per l'acquisto di contenuti
digitali attraverso l'utilizzo di una carta telefonica ricaricabile,
ovvero sulla base di un abbonamento telefonico.
Accanto a tale soggetto, lo scenario si puo' arricchire, come
detto, della presenza di altri player come l'aggregatore, ovvero il
soggetto o i soggetti che mettono a disposizione e gestiscono la
piattaforma abilitante per la fruizione dei prodotti e servizi
digitali ed il merchant, ovvero il fornitore dei contenuti digitali
offerti a vario titolo all'utente.
Utente o cliente e' invece il soggetto titolare di una USIM
prepagata o postpagata.
5. Tipologia dei dati trattati.
Rispetto alla tipologia dei dati trattati nell'ambito del mobile
remote payment si e' detto che il pagamento dei contenuti digitali
avviene attraverso il telefono mobile e che il cliente puo' fruirne
sia direttamente sul proprio smartphone, sia su altri tipi di
terminali (ad esempio tablet e PC).
Attraverso il mobile remote payment vengono trattate numerose
informazioni riferibili all'utente che riguardano, in particolare, i
dati relativi alla numerazione telefonica, i dati anagrafici, i dati
legati alla tipologia del servizio o del prodotto digitale richiesto
ed al relativo importo.
Ad essi si aggiungono i dati inerenti alla sottoscrizione ed alla
revoca del servizio, quelli relativi agli addebiti degli acquisti
nella fattura o sulla carta prepagata e, eventualmente, quelli di
posta elettronica richiesti per una maggiore fruibilita' del
contenuto digitale, nonche' l'indirizzo IP dell'utente.
Ai suddetti dati se ne possono peraltro aggiungere altri, anche di
natura sensibile (cfr art. 4 comma 1, lettera d) del Codice), legati
alla fruizione del contenuto o del servizio digitale.
Stante la varieta' e molteplicita' dei dati suscettibili di
trattamento nel quadro delle operazioni sopra descritte possono,
quindi, facilmente emergere profili di rischio per i diritti e le
liberta' fondamentali, nonche' per la dignita' dei soggetti
interessati.
6. Gli adempimenti dell'«operatore».
6.1. Descrizione dell'attivita'.
Come gia' rilevato nelle premesse del presente provvedimento
l'offerta di contenuti digitali, fruibili dall'utente su smartphone,
tablet, personal computer, notebook e laptop, tramite il proprio
credito telefonico puo' essere resa disponibile da parte
dell'operatore, attraverso un'apposita piattaforma tecnologica.
I beni e servizi digitali proposti possono essere diversi e,
riguardare ad esempio, copie di quotidiani on-line (one shot o in
abbonamento), contenuti musicali e video, social games, contenuti
riferiti ad un «pubblico adulto».
La gestione della piattaforma abilitante puo' essere affidata ad
uno o piu' soggetti tecnologici il cui ruolo consiste nella messa a
punto di un'interfaccia tra i merchant e gli operatori che consente
all'utente di acquistare il contenuto digitale e di portare a termine
l'operazione di pagamento, previa decurtazione del costo dalla scheda
prepagata, ovvero addebito in abbonamento.
6.2. Informativa.
Con riguardo alle operazioni di acquisto di beni e servizi digitali
attraverso il mobile remote payment l'operatore deve rendere agli
utenti un'informativa chiara e completa degli elementi di cui
all'art. 13 del Codice.
In particolare, oltre al richiamo alla finalita' di erogazione del
servizio attraverso la nuova modalita', l'informativa deve
specificare se i dati personali dell'utente sono trattati anche per
scopi ulteriori, ovvero per finalita' di marketing, quali invio di
materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale (ex articoli 7,
comma 4, lettera b) e 140 del Codice), specificando, se le suddette
attivita' vengono effettuate anche attraverso il ricorso a modalita'
automatizzate di contatto (quali, ad esempio, fax, e-mail, SMS o
MMS).
Un ulteriore richiamo deve riguardare i trattamenti di
profilazione, anche nell'ambito di eventuali programmi di
fidelizzazione e di comunicazione dei dati a soggetti terzi.
Rispetto a tale ultimo profilo l'informativa deve chiarire che la
trasmissione del numero di telefonia mobile dell'utente al merchant
nell'ambito delle operazioni di mobile remote payment e' effettuata
esclusivamente per consentire a quest'ultimo un'efficace gestione del
servizio con riferimento alle necessarie attivita' di assistenza alla
clientela.
Sia nel caso in cui vengano svolte attivita' di marketing, sia in
quello in cui si effettui un'attivita' di profilazione o, ancora, di
comunicazione dei dati a terzi, nell'informativa rilasciata
dall'operatore dovra' risultare chiaramente che dette attivita'
possono svolgersi solo previa acquisizione del consenso espresso,
libero e specifico dell'utente per ciascuna finalita' del
trattamento, sulla base di quanto dispone l'art. 23 del Codice e, nel
caso in cui si ricorra a modalita' automatizzate di contatto, sulla
base dell'art. 130 del Codice, tenuto conto di quanto evidenziato
dall'Autorita' nel citato provvedimento del 15 maggio 2013
(pubblicato anche sul sito istituzionale www.garanteprivacy.it, doc.
web. n. 2543820).
Un'ulteriore, espressa, indicazione deve poi riguardare l'esercizio
da parte dell'utente dei diritti sanciti dall'art. 7 del Codice.
Nell'informativa deve inoltre emergere la chiara indicazione del
titolare del trattamento e del soggetto o dei soggetti designati
responsabili ai sensi dell'art. 29 del Codice, in particolare avuto
riguardo al ruolo dell'hub tecnologico che puo' anche agire in veste
di responsabile esterno del trattamento, nonche' dei soggetti
incaricati del trattamento ai sensi dell'art. 30 del Codice.
Analogamente, deve risultare chiaro all'utente l'eventuale rapporto
di co-titolarita' tra l'operatore ed il merchant.
L'informativa deve anche richiamare l'eventuale utilizzo di dati di
natura sensibile da parte dell'operatore e le relative modalita' di
trattamento.
L'informativa deve essere rilasciata al momento dell'iscrizione o
adesione dell'utente ai servizi fruibili tramite mobile remote
payment.
Posti i vincoli di spazio, legati alle dimensioni degli schermi dei
terminali mobili normalmente utilizzati per la fruizione di tali
servizi, all'informativa deve essere data idonea evidenza adottando,
in particolare, una formula basata sull'approccio c.d. layered,
ovvero a strati.
In tal senso, all'utente dovra' essere fornita una prima
informativa breve, contenente il riferimento agli elementi essenziali
del trattamento (tra i quali almeno, l'indicazione delle finalita' e
gli estremi identificativi del titolare), da inserirsi all'interno di
un'apposita sezione della pagina web dell'operatore, ovvero nella
landing page predisposta dall'aggregatore ed un'ulteriore
informativa, piu' lunga e dettagliata, alla quale il cliente potra'
accedere selezionando, nella suddetta pagina, uno specifico link.
6.3. Consenso.
Il consenso al trattamento dei dati personali dell'utente che
fruisce del servizio di mobile remote payment non e' necessario ai
fini della relativa fornitura, stante il disposto dell'art. 24, comma
1, lettera b) del Codice.
In veste di titolare del trattamento l'operatore deve invece
acquisire il consenso dell'utente nel caso in cui i dati forniti da
quest'ultimo, riferibili agli acquisti effettuati, vengano utilizzati
per finalita' di marketing diretto e/o per finalita' di profilazione,
anche nell'ambito di eventuali programmi di fidelizzazione. Il
consenso dell'utente deve essere richiesto anche nel caso di
comunicazione dei dati a soggetti terzi.
Rispetto alle suddette finalita' l'utente deve rilasciare specifici
e distinti consensi, secondo quanto disposto dal citato art. 23 del
Codice e dall'art. 130 nel caso in cui si ricorra a modalita'
automatizzate di contatto.
Il consenso dell'utente puo' essere espresso tramite un flag da
inserire in una specifica casella presente in una apposita sezione
della pagina web dell'operatore, ovvero nella landing page
predisposta dall'aggregatore, oppure attraverso altre idonee
modalita' informatiche.
Laddove dalla fruizione del contenuto o del servizio digitale sia
possibile dedurre un orientamento dell'utente che implichi il
trattamento di dati di natura sensibile, il consenso dell'interessato
deve essere manifestato per iscritto, ovvero con altra modalita'
telematica equiparabile allo scritto, nel rispetto di quanto previsto
dall'art. 26, comma 1, del Codice. In tal senso la modalita'
telematica equiparabile allo scritto puo' implicare, oltre al ricorso
ad un documento sottoscritto con firma elettronica qualificata o
digitale, anche il ricorso a forme alternative piu' diffuse, secondo
quanto previsto dal menzionato decreto del Presidente della
Repubblica n. 445/2000.
In ogni caso resta ferma la possibilita', per il titolare del
trattamento, di individuare forme alternative di manifestazione del
consenso che possano supplire alle modalita' previste dalla normativa
e che l'Autorita' si riserva di valutare ai sensi dell'art. 17 del
Codice.
6.4. Dati trattati. Misure di sicurezza.
A seguito dell'avvio dell'operazione di acquisto del bene digitale
l'operatore, oltre al numero di telefonia mobile dell'utente, ai
relativi dati anagrafici e a quelli legati al contratto di
attivazione del servizio, acquisisce i dati relativi alla data e
all'ora dell'operazione, nonche' quelli che riguardano l'indicazione
del prodotto digitale richiesto ed il relativo importo.
Le categorie merceologiche di riferimento dei prodotti digitali
offerti sono normalmente definite dal merchant il quale deve
limitarsi a trasmetterle all'operatore senza alcun riferimento allo
specifico contenuto del prodotto o servizio fornito.
In tal senso, una misura che anche l'operatore deve adottare, al
fine di garantire il corretto trattamento delle informazioni relative
al prodotto o servizio richiesto dall'utente e' quella di utilizzare
tabelle interne di classificazione che prevedano criteri di codifica
dei prodotti e servizi basati non sul loro specifico contenuto, ma
esclusivamente sull'individuazione di classi e/o genere (ad es. video
sportivo, cronaca, ecc.).
Tuttavia, nel caso di servizi in abbonamento, l'operatore puo'
conoscere il nome del servizio acquistato dall'utente al fine di
poter distinguere tra piu' abbonamenti dello stesso tipo e fornirgli
informazioni, effettuare disattivazioni dal servizio stesso, nonche'
effettuare una corretta attivita' di fatturazione.
L'operatore gestisce il numero di telefonia mobile dell'utente
anche per effettuare le necessarie verifiche sotto il profilo della
sussistenza o meno di credito telefonico, a tal fine invia al
merchant un messaggio di ok o ko a seconda che l'operazione sia
andata o meno a buon fine.
Tale messaggio non deve tuttavia risultare accompagnato da codici
che consentano di risalire puntualmente a cause ostative, diverse da
quelle tecniche (ad esempio problemi di rete), legate
all'indisponibilita' od insufficienza di credito telefonico. Cio' al
fine di evitare che sia il merchant che l'aggregatore vengano a
conoscenza di informazioni riferite ad un dato economico dell'utente
che non ha alcun rilievo sotto il profilo della gestione
dell'operazione di mobile payment e che risulta ultroneo rispetto
alle finalita' del trattamento che i menzionati soggetti sono
chiamati a svolgere.
Pertanto, il segnale di ko che l'operatore invia puo' essere
accompagnato, da un codice che permetta solo di distinguere, tra le
diverse causali di errore, quelle che danno luogo ad un retry da
quelle che, invece, non prevedono la ripetizione della transazione.
Generalmente quando l'operazione effettuata non va a buon fine
l'operatore puo' inviare all'utente un SMS il quale, oltre a
segnalare che si e' verificato un errore durante l'operazione, con
l'invito a controllare le proprie informazioni personali e ad
effettuare un nuovo tentativo, evidenzia anche che il numero fornito
non sembra essere abilitato a procedere all'acquisto.
Inoltre, se la causa del mancato acquisto e' imputabile alla
mancanza o insufficienza di credito telefonico, all'utente puo'
pervenire un ulteriore messaggio che segnali l'insufficienza di
credito sulla sim.
Con specifico riguardo ai dati presenti nella piattaforma
dell'operatore utilizzata per le operazioni di mobile remote payment,
quest'ultimo deve poi adottare, oltre alle misure di sicurezza dei
dati e dei sistemi previste dall'art. 31 e seguenti del Codice,
nonche' dal Disciplinare tecnico in materia di misure minime di
sicurezza di cui all'allegato B) dello stesso, ulteriori cautele.
In particolare, e' necessario che l'operatore preveda una forma di
mascheramento dei dati, ad esempio mediante applicazione di un
meccanismo crittografico (c.d. hash) le cui chiavi di decifrazione
siano nella disponibilita' dei propri addetti esclusivamente con
riguardo alle operazioni di customer care.
Gli addetti all'attivita' di customer care, infatti, devono essere
posti in grado di visualizzare, per finalita' di assistenza alla
clientela, lo storico di tutte le operazioni di acquisto effettuate
da un determinato numero telefonico, i riferimenti temporali ed i
relativi importi, nonche' la categoria merceologica e la classe di
prodotto o servizio digitale acquistato.
Cio' nondimeno, per l'accesso alle predette interrogazioni tali
soggetti, che devono essere nominati incaricati del trattamento ai
sensi dell'art. 30 del Codice, devono essere sottoposti ad una
procedura di autenticazione basata su token e account nominale, con
attribuzione dello specifico profilo «operatore di customer care»
(c.d. strong authentication). Gli stessi devono essere altresi'
abilitati all'uso di un numero limitato di chiavi di interrogazione
del sistema in merito alle operazioni da effettuare, costituito,
recependo i contributi pervenuti a seguito della consultazione
pubblica, esclusivamente dal numero di telefonia mobile del cliente,
dal codice fiscale o dalla partita IVA, escludendo in tal modo forme
di «ricerca inversa» che utilizzino come chiave i dati identificativi
del bene digitale. Le operazioni di accesso al sistema devono inoltre
essere sottoposte a tracciamento analitico e dettagliato.
Tale ultima misura risulta oltremodo necessaria laddove l'operatore
utilizzi un'unica piattaforma di provisioning sulla quale
confluiscono tutti i dati relativi alle operazioni effettuate, non
solo rispetto ai servizi di mobile remote payment, ma anche ad altri
servizi erogati quali, ad esempio, quelli a valore aggiunto (c.d.
VAS), con la conseguenza che il tracciamento deve estendersi a tutti
i profili di autorizzazione impostati sulla predetta piattaforma.
Del resto, la previsione di una strong authentication e di file di
log che consentano di risalire all'incaricato che effettua gli
accessi al sistema si rivela idonea ad offrire un'adeguata protezione
anche a quelle informazioni personali, dalle quali si possa dedurre
un orientamento dell'utente che implichi un trattamento di dati di
natura sensibile.
Dal momento che i fornitori di reti e servizi di comunicazione
elettronica accessibili al pubblico, oltre a trattare i dati relativi
alle operazioni di mobile remote payment ed alle scelte di consumo
dei contenuti digitali, trattano anche dati di consumo/traffico
telefonico e dati relativi alla fornitura di altre tipologie di beni
digitali (quali ad esempio quelli legati alla c.d. Tv interattiva)
per finalita' di profilazione e marketing, risulta opportuno
prevedere l'adozione di alcune misure ed accorgimenti anche
nell'ottica di un'eventuale integrazione tra le diverse tipologie di
dati e, quindi, di un'analisi incrociata delle abitudini, dei gusti e
delle preferenze di consumo della clientela nei diversi ambiti
individuati.
Infatti, tra i dati che normalmente identificano l'utente nei
sistemi degli operatori sono presenti, oltre ai dati relativi alla
linea di rete fissa, anche altri dati come il numero di telefonia
mobile e l'indirizzo di posta elettronica, i quali potrebbero essere
facilmente utilizzati come chiave comune tra i diversi sistemi
dedicati alle differenti attivita' di profilazione dell'utenza,
proprio al fine di far emergere fenomeni di correlazione tra consumi
telefonici e consumi di beni digitali, fruiti anche con modalita'
mobile remote payment.
In tal senso, al fine di impedire un'eventuale profilazione
incrociata dell'utenza, devono essere individuati appositi
«meccanismi di rotazione» che consentano di applicare allo stesso
utente chiavi di codifica differenti, destinate a mascherare i
relativi dati all'interno dei diversi sistemi dedicati alle attivita'
di profilazione che l'operatore puo' svolgere.
Con riguardo poi al trattamento dei dati che l'operatore puo'
realizzare nell'ambito di eventuali programmi di fidelizzazione
proposti all'utente, e' necessario precisare che tali programmi
devono basarsi esclusivamente su dati cumulati di spesa e non
riguardare il singolo dato relativo allo specifico evento di acquisto
del prodotto digitale effettuato dallo stesso.
6.5. Particolari tipologie di contenuti. Misure di sicurezza.
Tra i contenuti e i servizi digitali che l'utente puo' acquistare
con la modalita' mobile remote payment possono rientrare anche
quelli, ad esempio destinati ad un pubblico adulto, per la cui
fruizione risulta necessaria la previsione di apposite misure di
sicurezza, come, ad esempio, l'attribuzione da parte dell'operatore
al cliente, di cui abbia verificato la maggiore eta', di un apposito
codice numerico di accesso, ovvero di un PIN dispositivo,
univocamente ed esclusivamente associato di volta in volta alla
particolare tipologia di prodotto o servizio di cui l'utente intende
fruire.
Un'ulteriore cautela di cui prevedere l'adozione e' quella relativa
all'implementazione di misure tecniche che garantiscano all'utente la
possibilita' di disattivare ogni servizio, destinato ad esempio ad un
pubblico adulto, per default, nonche' previo contatto con il servizio
di customer care dell'operatore.
6.6. Conservazione.
I dati trattati nell'ambito delle operazioni di mobile remote
payment devono essere conservati per un limitato periodo di tempo,
proporzionato alle finalita' realizzate con il trattamento, le quali
non si esauriscono con la definizione del processo che conduce
all'acquisto del contenuto digitale, ma si estendono alla gestione di
attivita' correlate quali la fatturazione e quelle di carattere
amministrativo e contabile. In considerazione di cio', il periodo
massimo di conservazione dei dati personali e' individuato in sei
mesi.
Alla scadenza del suddetto periodo l'operatore deve pertanto
provvedere alla cancellazione dei dati dai propri sistemi, ferma
restando l'ulteriore, specifica, conservazione necessaria in presenza
di una contestazione anche in sede giudiziale e avuto riguardo alla
disciplina sulla conservazione dei dati di traffico per fini di
giustizia.
Ai fini della decorrenza del previsto periodo di conservazione si
ritiene inoltre necessario differenziare gli acquisti di prodotti
digitali c.d. one shot dagli abbonamenti, posto che per questi ultimi
detto periodo deve cominciare a decorrere dalla scadenza
dell'abbonamento stesso.
Analogamente, in presenza di una violazione di dati personali,
l'operatore sara' tenuto al rispetto di quanto espressamente sancito
dall'art. 32 bis del Codice, nonche' dal citato provvedimento
dell'Autorita' del 4 aprile 2013 in materia di c.d. data breach (in
www.garanteprivacy.it, doc. web n. 2388260).
7. Adempimenti dell'«aggregatore».
7.1. Descrizione dell'attivita'.
Come si e' gia' evidenziato, l'aggregatore o hub tecnologico, e'
normalmente il soggetto (o i soggetti) cui e' affidata la
realizzazione di una serie di attivita' legate alla operativita'
della piattaforma tecnica che rende disponibili contenuti digitali
attraverso il ricorso al mobile remote payment.
All'aggregatore puo' competere infatti, tra le possibili attivita'
da svolgere, la gestione del processo di acquisto del bene digitale e
del processo di disattivazione del servizio, la creazione
dell'interfaccia di customer relationship management destinata ai
call center di ciascun operatore, l'eventuale attivita' di
reportistica destinata alla funzione marketing, nonche' la gestione
di un cruscotto self care attraverso il quale il singolo utente puo'
verificare, in ogni momento, il dettaglio dei propri acquisti e dei
relativi addebiti. Tale ultima modalita' puo' consentire inoltre,
allo stesso utente di disattivare il servizio, nonche'
all'aggregatore di fornire un'apposita interconnessione che permette
anche ai customer care degli operatori la consultazione dello storico
degli acquisti effettuati dai clienti con i diversi merchant.
Nell'ambito dell'attivita' di gestione all'aggregatore e' poi
generalmente attribuita la funzione di conservazione di tutti gli SMS
di attivazione e disattivazione del servizio.
Con specifico riguardo all'attivita' di reportistica l'aggregatore
puo' provvedere anche alla realizzazione dei report di verifica che
contengono, in forma aggregata, i dati relativi al totale delle
transazioni effettuate dagli operatori in un determinato lasso di
tempo, nonche' i dati inerenti alla spesa complessiva realizzata
rispetto ad ogni singolo merchant. Detti report vengono normalmente
inviati sia agli operatori che ai merchant. L'invio a questi ultimi
permette infatti di valutare tutti i dati relativi agli acquisti, ai
fini dell'emissione delle relative fatture e della definizione degli
importi da percepire una volta detratte le royalties destinate agli
operatori.
Su richiesta dell'operatore, l'aggregatore puo' produrre anche un
report dettagliato sui clienti che hanno effettuato degli acquisti
sui siti web dei merchant attraverso il mobile remote payment, con
indicazione del numero di telefonia mobile e del prodotto o servizio
digitale acquistato.
In tal caso, le informazioni che l'aggregatore invia all'operatore,
con riguardo al prodotto o servizio digitale, non devono riguardare
lo specifico contenuto richiesto dall'utente, ma riferirsi
esclusivamente alla classe o al genere di appartenenza del servizio o
prodotto, ovvero al servizio in abbonamento.
7.2. Informativa.
Tutte le attivita' connesse alla gestione della piattaforma
tecnologica possono essere svolte dall'aggregatore in veste di
responsabile esterno del trattamento dei dati personali, designato
sia dall'operatore, sia dal merchant ai sensi dell'art. 29 del
Codice. Conseguentemente, i suddetti soggetti sono tenuti ad
indicare, nell'informativa da rilasciare agli utenti in qualita' di
titolari del trattamento, gli estremi identificativi dell'aggregatore
che agisca come responsabile esterno del trattamento stesso (cfr.
art. 13, comma 1, lettera f) del Codice).
In questa veste l'aggregatore puo' anche predisporre, per conto
dell'operatore, la landing page prevista per il rilascio
dell'informativa e dei consensi da richiedere all'utente.
In alcuni casi all'aggregatore puo' essere riconosciuta, sulla base
di specifici accordi contrattuali con l'operatore ed il merchant, la
possibilita' di rendere direttamente disponibili i prodotti e i
servizi normalmente offerti da quest'ultimo. A tal fine l'aggregatore
puo' svolgere una serie di attivita' quali l'organizzazione e
l'offerta del contenuto digitale al cliente, l'assistenza al medesimo
(in genere previa attivazione di un apposito numero telefonico e/o di
un indirizzo e-mail), la realizzazione di eventuali campagne o
iniziative di comunicazione promozionale sul contenuto digitale
offerto.
In tale veste l'aggregatore opera come titolare autonomo del
trattamento e deve provvedere a rilasciare all'utente un'adeguata ed
esaustiva informativa ai sensi dell'art. 13 del Codice anche ai fini
dell'esercizio dei diritti di cui all'art. 7 del Codice da parte
dell'interessato.
L'informativa, oltre a contenere tutti gli elementi gia' previsti
con riguardo agli adempimenti individuati in capo all'operatore, deve
anche essere adeguatamente evidenziata secondo le modalita' gia'
individuate.
7.3. Consenso.
Come gia' evidenziato, il consenso al trattamento dei dati
personali dell'utente che fruisce del servizio di mobile remote
payment non e' necessario ai fini della relativa fornitura,
analogamente non deve essere richiesto dall'aggregatore per altre
finalita' realizzate in veste di responsabile esterno del
trattamento.
Laddove, invece, l'aggregatore rivesta il ruolo di titolare del
trattamento la necessita' di acquisire il consenso dell'utente
sussiste nel caso in cui i dati forniti da quest'ultimo vengano
utilizzati per finalita' di marketing diretto e/o per finalita' di
profilazione, anche nell'ambito di eventuali programmi di
fidelizzazione, o per comunicazioni a terzi, cosi come nell'ipotesi
in cui dalla fruizione del contenuto si possa dedurre un orientamento
dell'utente che implichi un trattamento di dati di natura sensibile.
In questi casi operano, con riguardo al consenso ed alle relative
modalita' di rilascio, tutte le disposizioni gia' individuate
rispetto al trattamento svolto dall'operatore, nonche' tutte le
considerazioni espresse dall'Autorita'.
7.4. Modalita' di erogazione del servizio. Misure di sicurezza.
L'operazione di acquisto tramite mobile remote payment puo'
comportare l'utilizzo da parte dell'aggregatore di diverse modalita'
di riconoscimento del numero telefonico associato al cliente.
Una modalita' automatica che si attiva nel caso in cui l'utente,
una volta avuto accesso al sito del merchant (e, quindi, del medesimo
hub che offre l'interfaccia tecnologica) per l'individuazione e la
selezione del contenuto digitale di cui intende fruire, utilizzi per
l'acquisto (mediante smartphone, tablet o dispositivo senza fili) la
rete mobile di un operatore collegato alla piattaforma abilitante.
In tal caso, l'associazione tra il terminale mobile ed il numero di
telefonia mobile avviene immediatamente e l'aggregatore acquisisce il
numero dell'utente direttamente dall'operatore, il quale provvede
anche alla verifica della disponibilita' di credito. Al termine
dell'operazione il cliente riceve un SMS che conferma l'avvenuto
acquisto del prodotto o l'attivazione del servizio in abbonamento.
Un'ulteriore modalita' che si attiva, invece, qualora l'utente
acceda al sito del merchant, nonche' dell'hub, da una rete diversa da
quella dell'operatore (come una linea wi-fi, ADSL o una rete
aziendale), poiche' in tal caso deve essere egli stesso ad inserire,
in un apposito form, nella pagina web del merchant, il proprio numero
di telefonia mobile e l'operatore telefonico di riferimento.
Terminata questa fase, il sistema verifica la corretta associazione
tra il numero telefonico e l'operatore e reindirizza l'utente su una
pagina web del soggetto aggregatore. Contestualmente, l'utente riceve
un SMS sul numero indicato, contenente un PIN che funge da password
ed abilita all'acquisto, una volta inserito in un apposito form
presente all'interno della suddetta pagina web. Eseguita tale
operazione, l'utente riceve, anche in questo caso, un SMS di conferma
dell'acquisto. Il descritto processo, che ricade interamente sotto la
gestione e la responsabilita' dell'aggregatore, consente di
verificare il possesso della sim a cui corrisponde il numero
telefonico in capo all'utente che sta effettuando l'acquisto e,
successivamente, di procedere al controllo della disponibilita' del
credito telefonico ai fini della fattibilita' dell'operazione.
Come si e' detto, attraverso la piattaforma abilitante puo' essere
gestito anche un servizio «self care» che permette all'utente la
consultazione dello storico degli acquisti effettuati con i diversi
merchant e consente, attraverso un'apposita interconnessione
realizzata dall'aggregatore, un'analoga interrogazione anche ai
customer care degli operatori.
Qualora la piattaforma sia gestita, per aspetti diversi
dell'operazione di mobile remote payment (ad esempio reportistica e
fatturazione rispetto ad assistenza alla clientela) da piu'
aggregatori, il funzionamento del servizio puo' implicare un flusso
di dati tra database dei differenti hub tecnologici.
Ulteriori interrogazioni tra le banche dati possono essere inoltre
previste nel caso in cui sia lo stesso utente ad effettuare la
disattivazione del servizio attraverso un cruscotto self care,
nonche' per verificare il raggiungimento della soglia massima di
spesa prevista dalla normativa.
In un quadro cosi' delineato, posto che gli aggregatori operano in
tempi differenti, svolgendo funzioni diverse, si ritiene necessario,
con specifico riguardo al corretto trattamento dei dati personali,
dar conto di due esigenze e prevedere apposite misure di sicurezza.
La prima, legata alla confidenzialita' del dato, ovvero alla
necessita' di garantire che il trasferimento di dati da un soggetto
all'altro avvenga secondo elevati standard di sicurezza, implica la
cifratura del collegamento.
La seconda esigenza, legata all'accuratezza del dato, implica la
necessita' che, anche in assenza di un allineamento real time tra le
banche dati degli aggregatori, sia l'utente che i customer care degli
operatori siano posti sempre nella condizione di «ricostruire lo
storico degli acquisti» entro un arco temporale non superiore alle 24
ore.
Inoltre, con riguardo alla verifica delle soglie di spesa relative
agli acquisti effettuati dall'utente, gli aggregatori devono porre in
essere un sistema di controlli idoneo a garantire un riscontro
istantaneo sull'eventuale superamento del tetto previsto.
7.5. Dati trattati. Misure di sicurezza.
Le informazioni contenute nella piattaforma gestita
dall'aggregatore riguardano normalmente il numero telefonico mobile
dell'utente, il codice identificativo del prodotto digitale, la
descrizione del prodotto digitale, la data e l'ora dell'operazione di
acquisto con il relativo importo, nonche' l'esito (positivo-negativo)
della stessa. A tali dati si aggiungono, inoltre, quelli che
ineriscono alla disattivazione del servizio, nonche' tutti gli SMS
che riguardano la relativa attivazione e disattivazione.
L'aggregatore puo' inoltre mantenere traccia di tutte le richieste
di contenuti/servizi digitali comunque effettuate dai clienti, di
tutti i contenuti digitali offerti dai merchant (ovvero direttamente
se previsto) con indicazione del relativo destinatario, orario, stato
di erogazione, oltre alla classe di costo associata a ciascuno di
essi.
Rispetto ai dati contenuti nella piattaforma tecnologica
l'aggregatore deve quindi adottare le medesime misure gia'
individuate con riguardo all'operatore, in particolare prevedendo la
menzionata procedura di strong authentication degli addetti che hanno
accesso alla piattaforma e che devono essere nominati incaricati del
trattamento, nonche' il tracciamento analitico e dettagliato delle
operazioni di accesso, per le quali opera, tuttavia, l'abilitazione
tramite l'utilizzo di un'unica chiave di interrogazione del sistema,
costituita dal numero di telefonia mobile dell'utente.
Alla luce delle misure individuate rispetto all'attivita'
dell'operatore, con riguardo ai messaggi sull'esito delle transazioni
che vengono inviati all'aggregatore, ai fini della necessaria
gestione dell'operazione di mobile payment e della successiva
attivita' di reportistica, quest'ultimo deve, nelle proprie tabelle
interne di codifica, disporre solo di indicazioni relative a messaggi
e codici che non consentano di risalire puntualmente a dati legati
alla mancanza od insufficienza di credito telefonico.
7.6. Conservazione.
Come gia' rilevato, i dati personali trattati nell'ambito delle
operazioni di mobile remote payment devono essere conservati per un
limitato periodo di tempo, proporzionato alle finalita' realizzate
con il trattamento.
Alla luce di considerazioni del tutto analoghe a quelle gia'
effettuate rispetto all'attivita' svolta dall'operatore ed alle
relative finalita', il periodo massimo di conservazione dei dati
trattati dall'aggregatore, ivi compresi gli SMS di attivazione e di
disattivazione del servizio, e' quindi individuato in sei mesi al
termine dei quali gli stessi devono essere cancellati dai relativi
sistemi.
Resta in ogni caso salva l'ulteriore, specifica, conservazione,
necessaria in presenza di una contestazione anche in sede giudiziale.
Ai fini della decorrenza del previsto periodo di conservazione si
ritiene inoltre necessario, anche in questo caso, differenziare gli
acquisti one shot dagli abbonamenti, posto che per questi ultimi
detto periodo deve cominciare a decorrere dalla scadenza
dell'abbonamento stesso.
Resta altresi' inteso che, laddove l'aggregatore, in veste di
titolare del trattamento, effettui attivita' che, al pari del
merchant, implicano l'utilizzo dell'indirizzo IP dell'utente, detto
dato dovra' essere immediatamente cancellato dai relativi sistemi una
volta conclusa l'operazione di acquisto del contenuto digitale.
8. Adempimenti del «merchant».
8.1. Descrizione dell'attivita' e modalita' di erogazione del
servizio.
Attualmente, nell'ambito del mobile remote payment, i merchant che
aderiscono al servizio vendono prodotti editoriali (singole copie del
quotidiano o servizi in abbonamento anche in formato digital edition
ed e-book), contenuti multimediali in modalita' streaming,
broadcasting (serie tv e film) e download, giochi, community e
servizi inerenti, nonche' servizi relativi a materiale a carattere
sessuale.
Il servizio offerto risulta fruibile dal cliente sia da web, sia da
dispositivo mobile. Talora, risulta obbligatoria la preventiva
registrazione dell'utente al sito web del merchant.
Come si e' gia' evidenziato, attraverso l'uso del personal computer
(ricorrendo alla linea ADSL o wireless) i prodotti possono essere
acquistati dall'utente collegandosi direttamente al sito del merchant
e adottando la procedura gia' richiamata con riguardo alle modalita'
di erogazione del servizio nella sezione dedicata al soggetto
aggregatore.
Se si utilizzano, invece, dispositivi mobili la procedura prevista
per l'attivazione del servizio risulta essere piu' veloce in quanto,
come visto, una volta che l'utente abbia inserito nella pagina web
del merchant il numero di telefonia mobile e l'operatore di
riferimento e' quest'ultimo ad effettuare immediatamente
l'associazione tra il terminale mobile ed il numero di telefono.
In alcuni casi l'utente puo' avvalersi anche di un'opzione
«multicanale» che consiste nella possibilita' di fruire del contenuto
digitale da piu' terminali. In tale ipotesi l'utente deve effettuare
una registrazione al sito del merchant, fornendo anche il proprio
indirizzo di posta elettronica che puo' essere utilizzato da
quest'ultimo sia per comunicazioni di servizio, sia come chiave
identificativa.
Nel contesto delle suddette operazioni, pertanto, i dati trattati
dal merchant risultano essere molteplici e riguardano il numero di
telefonia mobile indicato dall'utente all'atto dell'acquisto del
contenuto digitale, ovvero comunicato dall'operatore, la data e l'ora
dell'operazione, la descrizione del bene acquistato ed il relativo
importo, l'identificativo della sessione e l'indirizzo IP, nonche',
in alcune ipotesi, l'indirizzo di posta elettronica dell'utente.
8.2. Informativa.
Analogamente a quanto gia' evidenziato, anche nell'informativa che
il merchant deve rendere all'utente con riguardo all'acquisto di beni
digitali attraverso il ricorso al mobile remote payment, deve
risultare chiaro il richiamo sia alla finalita' della fornitura del
prodotto o servizio, sia alle ulteriori finalita' per le quali i dati
personali possono essere trattati.
In tale ultima ipotesi l'informativa deve evidenziare tutti i
profili gia' individuati per l'operatore con riguardo ad eventuali
attivita' di profilazione e marketing diretto, programmi di
fidelizzazione, nonche' trattamenti di comunicazione a terzi e
fruizione di contenuti digitali da cui possa dedursi un orientamento
dell'utente che implichi un trattamento di dati di natura sensibile.
Nell'informativa deve essere altresi' presente il richiamo
all'esercizio dei diritti sanciti dall'art. 7 del Codice ed il
riferimento ai soggetti eventualmente designati responsabili del
trattamento, con particolare riguardo al ruolo che puo' essere svolto
dall'aggregatore, nonche' di quelli designati incaricati.
L'informativa del merchant deve inoltre fare espressa menzione del
trattamento del dato relativo sia al numero di telefonia mobile
dell'utente, sia a quello eventualmente relativo all'indirizzo di
posta elettronica, nonche', se effettuato, del trattamento del dato
riferibile all'indirizzo IP, specificando che tali informazioni
possono essere utilizzate, senza acquisire il consenso dell'utente,
solo per finalita' di erogazione del contenuto digitale e di migliore
e piu' efficace gestione del servizio.
In ragione dei vincoli di spazio, legati alle dimensioni degli
schermi dei terminali anche all'informativa del merchant deve essere
data idonea evidenza adottando le medesime modalita' gia' descritte
con riguardo al trattamento svolto dall'operatore, in particolare,
rispetto al cd. approccio layered.
8.3. Consenso.
In veste di titolare autonomo del trattamento il merchant deve
acquisire il consenso dell'utente con riguardo a tutti i trattamenti,
gia' individuati rispetto all'operatore eventualmente svolti per
finalita' di marketing diretto e/o per finalita' di profilazione
(anche nell'ambito di programmi di fidelizzazione), ovvero di
comunicazione dei dati a soggetti terzi, o ancora di fruizione di
contenuti digitali da cui possa dedursi un orientamento dell'utente
che implichi un trattamento di dati di natura sensibile.
Con riguardo alle modalita' di acquisizione del consenso, anche in
questo caso, operano tutte le disposizioni gia' individuate rispetto
al trattamento svolto dall'operatore, nonche' tutte le considerazioni
espresse dall'Autorita'.
8.4. Dati trattati. Misure di sicurezza.
Come si e' evidenziato, i dati trattati dal merchant nell'ambito
delle operazioni di mobile remote payment spaziano dal numero di
telefonia mobile dell'utente, all'indirizzo IP sino, eventualmente,
al relativo indirizzo di posta elettronica.
Al merchant puo' essere altresi' inviato un messaggio o un codice
identificativo della causa della mancata erogazione del servizio da
cui, tuttavia, per le considerazioni gia' svolte rispetto
all'operatore, non deve essere possibile risalire alle motivazioni di
carattere economico per le quali l'operazione di acquisto non e'
andata a buon fine.
Conseguentemente, anche il merchant nelle proprie tabelle interne
di codifica, deve disporre solo di indicazioni relative a messaggi e
codici che non consentano di risalire puntualmente a dati legati alla
mancanza od insufficienza di credito telefonico.
La medesima ratio deve essere richiamata con riguardo al livello di
profondita' e di dettaglio dei dati che il merchant trasmette a
propria volta all'operatore, nel senso che le tabelle inviate a
quest'ultimo non devono contenere dati immediatamente identificativi
dello specifico contenuto digitale acquistato dall'utente, essendo
sufficiente la menzione della sola categoria merceologica di
appartenenza, o del solo servizio in abbonamento.
Cio' in quanto determinati beni digitali possono risultare idonei a
rivelare orientamenti dell'utente che possono implicare un
trattamento di dati di natura sensibile, ovvero in quanto le
peculiarita' stesse dell'attivita' svolta dal merchant, risultino un
chiaro indicatore di gusti e preferenze di consumo dell'utenza. In
tal senso idonee misure di sicurezza sono costituite
dall'applicazione sull'anagrafica del bene digitale, censito nella
banca dati interna del merchant, di un criterio di codificazione del
dato, nonche' dall'uso di report aggregati da inviare all'operatore.
Rispetto ai dati presenti nel database del merchant ed al relativo
accesso da parte dei soggetti addetti al trattamento nell'ambito
dell'attivita' di customer care, valgono tutte le indicazioni gia'
individuate per l'operatore, e, in particolare, la nomina di tali
soggetti ad incaricati ai sensi del menzionato art. 30 del Codice, la
disponibilita' di chiavi di decifrazione dei dati solo rispetto alla
suddetta attivita' di assistenza alla clientela, l'adozione di una
procedura di strong authentication ed il tracciamento analitico e
dettagliato delle operazioni effettuate, nonche', in questo caso, il
ricorso all'utilizzo di una sola chiave di interrogazione del
sistema, costituita dal numero di telefonia mobile dell'utente.
Con specifico riguardo al dato costituito dal numero di telefonia
mobile dell'utente, posto che il merchant ne dispone nell'ambito
della sessione di navigazione al proprio sito per la fase di
pagamento immediatamente successiva alla scelta del bene, per
eventuali contestazioni in merito alla relativa fruizione, nonche'
per attivita' di customer care, occorre evidenziare che il
trattamento e' ammissibile senza l'acquisizione del consenso
dell'utente solo per tali specifiche finalita', proprio in quanto
connesse all'erogazione del servizio e alla corretta gestione del
medesimo.
Anche il trattamento del dato relativo all'indirizzo di posta
elettronica dell'utente, talvolta inserito nella pagina web del
merchant, implica analoghe considerazioni.
Tale dato puo' essere infatti utilizzato per inviare al cliente un
messaggio di riscontro dell'avvenuta operazione di acquisto, nonche'
le istruzioni per accedere al contenuto digitale, consentendo al
merchant di gestire meglio il servizio ed il rapporto con l'utente,
anche rispetto alla risoluzione di eventuali contestazioni legate
alla mancata o insoddisfacente fruizione del bene.
A cio' puo' aggiungersi la possibilita' di garantire all'utente il
disaccoppiamento tra il canale di pagamento ed il canale di fruizione
del contenuto, consentendogli di pagare il bene digitale attraverso
il proprio credito telefonico e di fruirne su qualsiasi altro
terminale, in quanto il contenuto acquistato puo' essere recuperato
in qualsiasi momento, accedendo al link indicato nell'e-mail che il
merchant invia all'indirizzo di posta elettronica fornito
dall'interessato.
Un'ulteriore possibilita' offerta e' poi quella di arricchire nel
tempo il contenuto acquistato attraverso aggiornamenti ed altre
informazioni, che non sarebbe altrimenti possibile offrire all'utente
se si vincolasse la fruizione del contenuto al terminale con il quale
quest'ultimo effettua il pagamento e al momento in cui lo stesso
contenuto e' scaricato.
In un contesto come quello rappresentato anche l'utilizzo da parte
del merchant dell'indirizzo di posta elettronica dell'utente deve
essere limitato a tali specifiche finalita' e alla migliore e piu'
efficace gestione del servizio.
Anche con riguardo all'eventuale utilizzo dell'indirizzo IP da
parte del merchant, deve precisarsi che, se trattato, tale dato deve
essere utilizzato esclusivamente ai fini della navigazione
dell'utente sul relativo sito, nonche' dell'»instradamento» del bene
digitale richiesto. I merchant non rientrano, infatti, tra le
categorie di soggetti che possono conservare tale dato ai sensi delle
citate direttive del Parlamento europeo e del Consiglio 2002/58/CE
del 12 luglio 2002 e 2006/24/CE del 15 marzo 2006.
8.5. Conservazione.
Con riguardo alla conservazione dei dati personali trattati
nell'ambito delle operazioni di mobile payment da parte del merchant
anche per quest'ultimo valgono le medesime considerazioni e le
conseguenti prescrizioni individuate rispetto all'operatore. Con
specifico riguardo all'indirizzo IP dell'utente, tale dato deve,
invece, essere immediatamente cancellato dai sistemi del merchant,
una volta terminata la procedura di acquisto del contenuto digitale.
8.6. Notificazione del trattamento.
Laddove ne ricorrano i presupposti, i trattamenti effettuati
nell'ambito delle operazioni di mobile remote payment dovranno essere
notificati ai sensi dell'art. 37 del Codice.
8.7. Richiesta di verifica preliminare.
Resta altresi' inteso che per ulteriori, specifici, trattamenti ed
eventuali misure ed accorgimenti, previsti nell'ambito delle
operazioni di mobile remote payment diversamente da quanto
individuato nel presente provvedimento, sara' necessario presentare
al Garante una richiesta di verifica preliminare ai sensi dell'art.
17 del Codice, indicando nel dettaglio i trattamenti da effettuare,
specificando le relative finalita' nonche' le tipologie di dati che
si intenda utilizzare.
Tutto cio' premesso, il Garante
Ai sensi dell'art. 154, comma 1, lettera c), del Codice, prescrive
a tutti i titolari che effettuato trattamenti di dati personali
nell'ambito delle operazioni di mobile remote payment, nel rispetto
dei principi generali di liceita', pertinenza, non eccedenza,
correttezza e buona fede di cui all'art. 11 del Codice:
A) l'adozione delle misure e degli accorgimenti individuati nel
presente provvedimento e specificamente:
1) con riguardo agli adempimenti dell'operatore, ovvero del
fornitore di reti e servizi di comunicazione elettronica accessibili
al pubblico, tutte le misure indicate ai punti 6.2.; 6.3.; 6.4; 6.5.
e 6.6.;
2) con riguardo agli adempimenti del soggetto aggregatore,
ovvero del c.d. hub tecnologico, tutte le misure indicate ai punti
7.2.; 7.3.; 7.4.; 7.5. e 7.6.;
3) con riguardo agli adempimenti del merchant, ovvero del
fornitore di contenuti digitali, tutte le misure indicate ai punti
8.2.; 8.3.; 8.4. e 8.5.;
B) l'adozione delle misure e degli accorgimenti di cui ai
precedenti punti entro e non oltre centottanta giorni decorrenti
dalla data di pubblicazione del presente provvedimento nella Gazzetta
Ufficiale della Repubblica italiana.
Avverso il presente provvedimento puo' essere proposta opposizione
ai sensi degli articoli 152 del Codice e 10 del decreto legislativo
n. 150/2011 con ricorso dinanzi all'autorita' giudiziaria ordinaria,
in particolare al tribunale del luogo ove risiede il titolare del
trattamento, da presentarsi entro il termine di trenta giorni dalla
data della sua comunicazione ovvero di sessanta giorni se il
ricorrente risiede all'estero.
Si dispone la trasmissione di copia del presente provvedimento al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 22 maggio 2014
Il Presidente e relatore: Soro
Il segretario generale: Busia