È stata pubblicata sulla G.U. n. 137 del 16 giugno 2014 la delibera del Garante privacy che ha introdotto nuove disposizioni a garanzia dei consumatori che effettuano acquisti via web mediante smartphone, tablet o computer (c.d. “mobile remote payment”).
Il provvedimento – adottato al termine di una consultazione pubblica – mira a stabilire un quadro organico di regole in grado di assicurare la protezione dei dati personali senza penalizzare lo sviluppo del mercato digitale.
In particolare, il Garante individua tre specifiche categorie di soggetti cui impone determinati obblighi: gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare), gli aggregatori (le società che realizzano l’interfaccia tecnologica) ed infine i “merchant” (le società che offrono beni e servizi online).
Attraverso il mobile remote payment, tutte e tre le tipologie di soggetti acquisiscono una serie di dati personali come il numero di telefono e i dati anagrafici; in alcuni casi, dalla natura dei beni acquistati è possibile anche ottenere dati sensibili, laddove, per esempio, si riesca a risalire allo stato di salute di una persona o alle sue convinzioni religiose.
Per tali ragioni il Garante ha imposto a tutti i soggetti coinvolti nella transazione l’obbligo di rendere l’informativa sul trattamento dei dati personali fin dalla sottoscrizione o adesione al servizio di pagamento da remoto da parte dell’utente.
L’informativa deve essere evidente: a tal fine, il Garante suggerisce l’adozione di una formula basata sull’approccio c.d. “layered”, ovvero a strati (informativa breve, cui segue un’informativa dettagliata e completa).
Il consenso dell’utente al trattamento dei dati personali deve essere richiesto dal soggetto che intenda comunicare i dati raccolti a terzi oppure sia intenzionato ad utilizzarli con finalità di marketing e profilazione.
Non è previsto invece alcun obbligo di consenso nel caso in cui il trattamento sia limitato all’offerta del servizio di mobile payment.
Infine, laddove dalla fruizione del contenuto o del servizio digitale sia possibile dedurre un orientamento dell’utente che implichi il trattamento di dati di natura sensibile, il consenso deve essere rilasciato per iscritto o con modalità equiparabile alla forma scritta (es. firma digitale).
I dati trattati dagli operatori, aggregatori e venditori potranno essere conservati per un periodo massimo di sei mesi; l’indirizzo IP dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.
Il provvedimento in esame impone infine una serie di oneri in materia di misure di sicurezza, con una particolare attenzione nei confronti dei minori.
Resta fermo l’obbligo di notifica al Garante laddove ne ricorrano i presupposti ai sensi dell’art. 37 del Codice.
Il testo integrale del provvedimento è disponibile QUI.