Acquistare beni e servizi in mobilità, senza il timore di consegnare i propri dati e le proprie preferenze al marketing più selvaggio o di esporli alle mire di truffatori e malintenzionati: il Garante Privacy italiano ha definitivamente approvato le regole che dovranno orientare i comportamenti degli operatori dei servizi di mobile remote payment, con l’obiettivo di tutelare i dati personali degli utenti “senza penalizzare lo sviluppo del mercato digitale”.
Il regolamento messo a punto dal Garante Privacy era stato sottoposto a consultazione pubblica nei mesi scorsi: la pubblicazione in Gazzetta Ufficiale ne segna l’adozione e invita i soggetti coinvolti nelle transazioni a garantire che “gli utenti telefonici, sia in abbonamento sia con carta prepagata, potranno acquistare in sicurezza servizi, abbonarsi a quotidiani online, comprare e-book, video e giochi con il proprio telefono o altri strumenti elettronici”. Con il regolamento, auspica l’Autorità, sarà possibile fare fronte all'”accelerazione della conclusione delle transazioni commerciali” e all'”accentuazione dei processi di smaterializzazione dei trasferimenti di denaro” con i relativi dati personali che, dai terminali mobile, vengono disseminati presso numerosi soggetti titolari del loro trattamento.
La transazione, spiega il Garante, coinvolge infatti “il trattamento di una serie di dati personali dell’utente non solo di carattere identificativo ma, potenzialmente, anche di natura sensibile”. I diversi attori che rendono possibile il mobile remote payment, individuati dal decreto legislativo 11/2010 , si trovano dunque a gestire dati relativi alla numerazione telefonica, dati anagrafici, i dati relativi al servizio o al prodotto digitale acquistato, quelli loro affidati con la sottoscrizione al servizio, quelli, anche sensibili, legati alla fruizione del contenuto o del servizio, i dati connessi alla fatturazione, ma anche e email e indirizzi IP.
È così che per le diverse figure della catena dei pagamenti mobile vengono individuati dei doveri nei confronti del cliente, e tutti sono chiamati ad agire a tutela del consumatore, dall’operatore al merchant, passando per i servizi offerti dall’aggregatore (“il soggetto, o i soggetti, cui è affidata la realizzazione di una serie di attività legate alla operatività della piattaforma tecnica che rende disponibili contenuti digitali attraverso il ricorso al mobile remote payment”, attività quali la gestione della piattaforma CRM, la reportistica dedicata al marketing, la gestione del processo di acquisto e della messa disposizione di beni e servizi digitali).
Nel contesto della vendita del prodotto o del servizio sarà necessario predisporre una adeguata informativa in cui si specifichi se i dati degli utenti sono trattati anche per scopi che esulano da quelli dell’acquisto , ad esempio per finalità di marketing, condotte anche con modalità automatizzate, o sistemi di profilazione anche incrociata con altri dati a dispozione ad esempio dell’operatore, o la fornitura di dati a terze parti. Per mettere in atto queste attività collaterali alla vendita sarà necessario il consenso informato dell’utente, al quale l’informativa sarà sottoposta in modo che possa attirare l’attenzione anche su schermi di dimensioni ridotte come quelli dei dispositivi portatili.
Il Garante stabilisce dunque le regole che devono guidare la comunicazione tra l’operatore di pagamento e il venditore del servizio, eventualmente supportati dai servizi dell’aggregatore: l’authority prescrive che la comunicazione dei dati si limiti a ciò che è strettamente necessario a concludere l’operazione (ad esempio, i venditori potranno trasmettere all’operatore telefonico delle informazioni relative alla sola categoria del prodotto digitale acquistato, senza entrare nel merito dello specifico contenuto).
Ulteriori dati raccolti nel corso del processo di acquisto dovranno avere il semplice scopo di far fronte agli imprevisti, anche nel tracciamento di tutti i procedimenti compiuti, senza però che questo tracciamento dia luogo a potenziali rischi per la privacy delle persone coinvolte. Il Garante raccomanda inoltre l’adozione di strumenti di autenticazione forte per il personale che opera presso i gestori del trattamento dei dati e di soluzioni di cifratura per scongiurare l’accesso ai dati da parte di soggetti terzi. A questo proposito, per bilanciare le istanze della sicurezza in gioco e per non dare origine a una sensazione di controllo pervasivo , si prevede un periodo di data retention pari a sei mesi, eccezion fatta per gli indirizzi IP , che devono essere immediatamente cancellati una volta terminata la procedura di acquisto del contenuto digitale.
Per quanto riguarda beni e servizi acquistati, è necessario mettere in campo misure di tutela a favore dei minori , limitando ad esempio l’accesso a contenuti per adulti a coloro che non abbiano dimostrato di aver raggiunto la maggiore età (ad esempio, con un codice numerico di accesso affidato dall’operatore a utenti di età comprovata).
Le regole sono dunque state approvate, i soggetti coinvolti nella vendita mediata da dispositivi mobile dovranno recepirle. Ma poiché il settore è in continuo fermento, sia dal punto di vista tecnologico, sia dal punto di vista normativo, il Garante si riserva di intervenire per aggiornarle. I consumatori di Adiconsum offrono tutto il loro supporto.
Gaia Bottà