Una delle ultime novità in materia di trattamento dei dati personali è costituita dal provvedimento generale adottato dal Garante per la protezione dei dati personali nell’ambito del “mobile remote payment” con la delibera n. 258 pubblicata sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014.            

E’ d’uopo premettere cosa si intenda per “mobile remote payment”: si tratta di quel complesso di operazioni di pagamento di un bene o di un servizio che un utente attiva a distanza, ossia mediante l’utilizzo di un telefono cellulare. La macrocategoria di riferimento è quella del “mobile payment”, cioè quell’insieme di servizi che abilitano l’utente ad effettuare pagamenti o trasferimenti di denaro tramite l’uso di dispositivi mobili. Differente rispetto al mobile remote payment è il “mobile proximity payment”, ovvero quel sistema attraverso il quale i pagamenti vengono effettuati accostando il dispositivo mobile ad un apposito terminale di pagamento (Pos); tale ultimo sistema, tuttavia, per quanto menzionato nel provvedimento del Garante, non è stato ancora oggetto di specifiche prescrizioni. I vantaggi legati al mobile payment sono immediatamente percepibili e relativi alla facilitazione delle modalità di acquisto attraverso il telefono mobile, nonché al potenziale abbattimento dei costi rispetto alle transazioni effettuate con carte di pagamento.

La ratio del provvedimento adottato dal Garante va ravvisata nelle eventuali criticità e nei potenziali rischi sottesi all’utilizzo delle informazioni di carattere personale che l’utente è tenuto a fornire per fruire dei summenzionati servizi di pagamento.           Il riferimento è non solo ai dati identificativi del cliente, ma anche a quelli di natura sensibile; tutto ciò impone il rispetto della disciplina e delle prescrizioni contenute nel d.lgs. 196/2003 in materia di trattamento dei dati personali (da qui in avanti “Codice”).

La delibera adottata fa analitico riferimento all’informativa, al consenso, alle misure di sicurezza ed alle modalità di conservazione dei dati trattati; in particolare, prende in esame i predetti aspetti in relazione ad ognuno dei soggetti coinvolti nelle operazioni di mobile remote payment e definiti nel provvedimento come: a) l’operatore, colui che fornisce al cliente il servizio di pagamento tramite telefono cellulare al fine di consentire l’acquisto di contenuti digitali mediante l’utilizzo di una carta telefonica ricaricabile o di un abbonamento telefonico; b) l’aggregatore, colui che mette a disposizione o gestisce la piattaforma abilitante per la fruizione dei prodotti e servizi digitali legati al mobile remote payment, curandone l’operatività sin dal processo d’acquisto fino alla consultazione dello storico degli acquisti effettuati dai vari clienti; c)  il merchant (venditore), che è il soggetto che fornisce i contenuti digitali offerti all’utenza, come prodotti editoriali, contenuti multimediali in modalità streaming o broadcasting, giochi, community e servizi similari. L’informativa che i soggetti saranno tenuti a rendere al cliente, dovrà specificare in primo luogo le finalità legate all’erogazione del servizio e, secondariamente, quelle ulteriori legate ad esempio al marketing, alla pubblicità, alla vendita diretta o al compimento di ricerche di mercato; ancora, dovranno essere specificate le modalità attraverso le quali le summenzionate finalità saranno perseguite. L'informativa dovrà anche richiamare l'eventuale utilizzo di dati di natura sensibile da parte dell'operatore e le relative modalità di trattamento (es. acquisto di farmaci). L’informativa, inoltre, dovrà contemplare l’ipotesi in cui il trattamento dei dati avvenga a fini di profilazione sia per programmi di fidelizzazione sia per la comunicazione di dati a terze parti: tali finalità  potranno perseguirsi solo per rendere più efficace la gestione del servizio in relazione a quelle che potrebbero essere le necessità della clientela, come l’attività di assistenza.

Come noto l’informativa è necessaria per la corretta prestazione del consenso da parte del titolare dei dati alla loro utilizzazione e trattamento; è bene precisare che il consenso non dovrà essere prestato in occasione dell’erogazione dei servizi di mobile remote payment -  in quanto si ricade nell’ambito di regolare rapporto contrattuale, esente ai sensi dell’art. 24, comma 1, lett. b) del Codice – ma ogni qualvolta i dati forniti in relazione alla fornitura dei servizi debbano poi essere utilizzati a fini di marketing diretto o di profilazione. In tali casi, il consenso dovrà essere richiesto e prestato in maniera specifica e distinta per ciascuna delle finalità cui il trattamento è diretto. Il provvedimento, inoltre, prescrive le misure di sicurezza che devono essere adottate a tutela dei dati acquisiti e la cui intensità varia a secondo dei dati che possano essere acquisiti dai diversi soggetti (es. solo dati personali od anche dai sensibili). Generalmente, per i servizi di mobile remote payment, è prevista la possibilità di esprimere il consenso tramite un “flag” (contrassegno), da inserirsi in apposita ed evidente sezione della pagina web dell’operatore o attraverso diverse, ma altrettanto idonee, modalità informatiche. Qualora invece il trattamento inerisca a dati sensibili, il consenso dovrà essere espresso per iscritto ovvero con altra modalità telematica equipollente. Il Garante evidenzia, in questo caso, che la modalità telematica equiparabile allo scritto può implicare, oltre al ricorso ad un documento sottoscritto con firma elettronica qualificata o digitale, anche il ricorso a forme alternative più diffuse, secondo quanto previsto dal menzionato D.P.R. n. 445/2000 in materia di documento informatico. In ogni caso resta ferma la possibilità, per il titolare del trattamento, di individuare forme alternative di manifestazione del consenso che possano supplire alle modalità previste dalla normativa e che l'Autorità si riserva di valutare ai sensi dell'art. 17 del Codice. Infine, ma non meno importante, il provvedimento detta alcune prescrizioni in tema di conservazione dei dati: sempre nel rispetto del principio di pertinenza e non eccedenza di cui al Codice, i dati possono essere detenuti per un periodo di tempo limitato che, in ogni caso, non può superare i sei mesi. Una volta decorso tale termine i dati devono essere cancellati dai propri archivi, fatta salva la necessaria conservazione nel caso di contestazione anche in sede giudiziale e avuto riguardo alla disciplina sulla conservazione dei dati di traffico per fini di giustizia. Ai fini della decorrenza del previsto periodo di conservazione si ritiene inoltre necessario differenziare gli acquisti di prodotti digitali cosiddetti one shot dagli abbonamenti, posto che per questi ultimi detto periodo deve cominciare a decorrere dalla scadenza dell'abbonamento stesso.

La breve disamina delle prescrizioni richieste dal Garante rappresenta un punto di partenza della disciplina dei micropagamenti, uno dei settori in espansione nel nostro paese. La tendenza verso la facilitazione e l’immediatezza delle transazioni commerciali deve necessariamente adattarsi ed armonizzarsi con la disciplina prevista in materia di trattamento dei dati personali, anche sensibili. Infatti, al favor verso questi nuovi sistemi deve accompagnarsi il costante rispetto dei diritti dell’individuo-cliente a livello di privacy; in questa ottica dev’essere inquadrato il provvedimento in esame, le cui prescrizioni appaiono in grado di garantire un utilizzo cosciente e garantito del mobile remote payment  per gli utenti coinvolti. Si tratta, in definitiva, del primo di una serie di interventi programmati dal Garante per la protezione dei dati personali e finalizzati a contemperare da un lato le esigenza di tutela degli utenti e dall’altro lo sviluppo delle imprese del settore in un ambito in continua evoluzione sia dal punto di vista tecnologico che normativo.

***

The data-protection decision adopted by the Italian Data Protection Authority, under the resolution n. 258 as published in the Official Journal n. 137 of June 16^th , 2014, about “mobile remote payment” represents one of the last news concerning data processing.

It’s necessary to make clear the meaning of “mobile remote payment”: the expression indicates a complex system of payment transactions relating to goods or services purchased by the user only using his/her mobile phone.

The main area is the “mobile payment”, that is the complex of services that enables the user to make payments or money transfers through a mobile device. The mobile remote payment is way ahead of mobile proximity payment, that is the system through which payments are made bringing the mobile device closer to the Pos; this system, although mentioned, is not covered by the measure of the Authority.

Mobile payment presents evident advantages: it makes purchase easier and lowers the costs of card payments.

The purpose of this measure is to eliminate problems and risks associated to the use of personal data involved in mobile remote payments. We are talking not only about user’s identification but also about his/her sensitive data; therefore, what is needed is full compliance with legislative decree n. 196/2003 on data protection (“Data Protection Code”).

The decision specifically mentions the privacy statement, the consent, the security measures and the tools for storage data; it takes especially account of them on each and every one of the players involved in the mobile remote payment defined in the following ways: a) the provider, as who makes purchase of digital goods available to the customer using a phone rechargeable card or a phone rental; b) the hub, as who offer and manage from the outset the access to digital contents, related to mobile remote payment, right up the consumer’s shopping report list; c) the merchant, as who sell the digital products offered to customers like editorial contents, streaming or broadcasting media, games, community services and so on.

In the privacy statement all the mentioned players must set out mobile payment’s purposes and, possibly, all the others purposes of directly offering the digital content to the user, guaranteeing assistance further to the sale, as well as managing promotional and marketing communications on digital contents; furthermore, it must set out the tools to pursuing that. The privacy statement, eventually, must give undertakings as regards the handling of sensitive data (for example, purchase of medicines) and specify if the data are processed for the following purposes: profiling individuals, commercial selling, to fidelity programs or also to third party transmission. These activities can be pursued only for more effective management of the service in relation to what might be the customer's needs, such as assistance activities.

As known, the privacy statement is necessary to correctly obtain the individual’s consent for personal data processing and using; it is worth noting that such consent should not required for providing mobile remote payment – this is a regular contractual relationship, so it would be exempt under the rule of 24, c. 1, b) of the Code – but only when business personal data could be also processed for direct marketing or profiling purposes. In these circumstances the consent must be obtained specifically and separately in order to every purpose.

The decision necessitates using different security measures according to the kind of data processed (for example personal data or also sensitive data).

Generally the providers put on a clear and specific box of their web site a flag icon, selecting which the data’s subject may express his/her consent; there is also the possibility to use other technological devices for it.

On handling sensitive data the consent has to be given in written or in equivalent cyber forms.

In this case the Authority exposes that the cyber form, equivalent to the written one, involves not only documents subscribed with electronic and qualified signature, but also most common alternative forms as laid down in Presidential Decree n. 445/2001 about electronic document.

In any case the data’s subject has the opportunity to express his/her consent in alternative forms as substitutes for the legal ways that will be submitted to the Authority under the rule of article 17 of the Code. And, last but not least, the tools for storage data are laid down in the measure: processed data may be kept over a maximum period of six months, according to the relevancy and not exceeding principles guaranteed by the Code. Since this deadline data must be deleted from the archives, unless data procession has been disputed, or necessary storage is requested by the law for judicial purpose. About the starting of retention period, it should be noted that should the purchase of the digital content be carried out by the user during the subscription of a telephone contract, instead of being a one-shot purchase, the data retention period should be calculated from the expiry of the subscription.

The brief explanation of the Authority’s provisions represents a starting point about micropayments, as one of the growing sectors in our Country. In spite to the trend to simplify and speed up commercial transactions, is important that provisions about sensitive and personal data protection are observed.

The attention must be constantly focused on respecting a person's right to privacy, as well as on new technology systems; in this regard, Authority’s provisions ensure the proper use of mobile remote payment. This is the first in a series of scheduled actions  of the Italian Data Protection Authority in order to ensure protection for users and also the business development in a continually changing field, both from the technological point of view that regulatory one.