Mobile Remote Payment. Il provvedimento del Garante privacy

Transcript

1 Mobile Remote Payment Il provvedimento del Garante privacy

2 Il contesto di riferimento La direttiva 2007/64/CE, c.d. PSD (recepita con il D. lgs. 11/2010), ha aperto il mercato dei servizi di pagamento anche ad operatori di matrice non bancaria. I nuovi istituti di pagamento possono operare come intermediari di pagamento, previa autorizzazione delle Autorità competenti, nell'ambito di un"regime semplificato. Agli operatori del sistema o della rete di telecomunicazioni o digitale o informatica è consentito di agire nella veste di intermediari tra l'utilizzatore di servizi di pagamento che usa un dispositivo di telecomunicazione digitale o informatico ed il fornitore di beni e servizi 2 (c.d.positivescope);

3 Il contesto di riferimento Restano invece escluse le operazioni di pagamento, eseguite tramite il suddetto dispositivo, che si riferiscono all'acquisto di beni e servizi digitali, la cui consegna o il cui utilizzo siano effettuati mediante tale dispositivo gestito dall'operatore di telecomunicazione digitale o informatico, quando quest'ultimo non agisca esclusivamente come mero intermediario autorizzato del pagamento tra l'utente ed il fornitore di beni e servizi(cfr. l'art. 3, lett. l) della PSD(c.d. negative scope). 3

4 Il contesto di riferimento Il Considerando 6 della PSD precisa che il quadro giuridico disciplinato non si applica quando l'attività dell'operatore (TLC) va al di là della semplice operazione di pagamento e fornisce funzioni di accesso, distribuzione o consultazione proprio in termini di "valore intrinseco" (VAS) che tale soggetto può aggiungere al contenuto dei beni digitali offerti all'utente 4

5 1. Il perimetro di applicazione: sostanzialmente quello indicato dalla Direttiva PSD quindi remote mobile payment per importi non eccedenti i 15 per singolo acquisto di beni digitali ( limite fissato dal dm. n. 145/2006) decurtazione del costo dal credito telefonico (pre-pagato) o addebito sul conto telefonico 2. I destinatari: Operatori TLC mobile Aggregatore, il gestore della piattaforma che abilita la distribuzione dei contenuti Merchant, il fornitore dei contenuti digitali 5

6 3. Gli adempimenti: l informativa, da fornire prima dell utilizzo del servizio; il consenso, da raccogliere nel caso di trattamento di dati sensibili (principalmente contenuti adult) o per effettuare comunicazioni commerciali o profilazione; le misure di sicurezza, da applicare a protezione dei dati personali sia comuni che sensibili; i tempi di conservazione, secondo la tipologia e le finalità dei dati trattati. 6

7 INFORMATIVA Il provvedimento del Garante fornisce ad Operatore, Aggregatore e Merchant, puntuali indicazioni relativamente all informativa che deve essere data agli utilizzatori dei servizi di mobile remote payment prima dell utilizzo del servizio. Operatore: -fornire chiare indicazioni delle caratteristiche proprie del servizio e dei soggetti coinvolti (Aggregatore, Merchant), dei dati personali trattati e utilizzati dagli altri soggetti coinvolti (es. numero telefonico, indirizzo IP, etc.). Merchant: -rendere disponibile la propria informativa, specificando oltre alle caratteristiche proprie del servizio la tipologia dei dati personali trattati ed in particolare che, ad esempio, numero di telefono, indirizzo IP, o di posta elettronica sono utilizzati esclusivamente per fornire il servizio richiesto. Aggregatore: - Indicare eventuali trattamenti effettuati in veste di Titolare del trattamento in aggiunta a quelli svolti quale Responsabile nominato sia dall Operatore che dal Merchant. 7

8 CONSENSO Il consenso al trattamento dei dati personali dell'utente che fruisce del servizio di mobile remote payment non è necessario ai fini della relativa fornitura, stante il disposto dell'art. 24,comma1,lett.b)delCodice. Operatore: -raccogliere il consenso per finalità di commerciali o se intende effettuare attività di profilazione anche tramite un flag posto sulla landing page del sito web; raccogliere il consenso scritto, ovvero con altra modalità telematica equiparabile allo scritto, per il trattamento dei dati sensibili. Merchant: -raccogliere il consenso per finalità di commerciali o se intende effettuare attività di profilazione anche tramite un flag posto sulla landing page del sito web; raccogliere il consenso scritto, ovvero con altra modalità telematica equiparabile allo scritto, per il trattamento dei dati sensibili. Aggregatore: -per eventuali trattamenti effettuati in veste di Titolare del trattamento deve raccogliere il consenso per finalità di commerciali o se intende effettuare attività di profilazione anche tramite un flag posto sulla landing page del sito web; raccogliere il consenso scritto, ovvero con altra modalità telematica equiparabile allo scritto, per il trattamento dei dati sensibili. 8

9 MISURE DI SICUREZZA Operatore: -codifica dei prodotti per classi e/o genere (ad es. video sportivo, cronaca etc.) con l eccezione per gli abbonamenti; -in caso di mancanza di credito inviare al Merchant solo un messaggio di ko non accompagnato da codici che consentano di risalire puntualmente a cause ostative, diverse da quelle tecniche(ad esempio problemi di rete). -prevedere una forma di mascheramento dei dati, ad esempio mediante applicazione di un meccanismo crittografico (c.d. hash) le cui chiavi di decifrazione siano nella disponibilità dei propri addetti esclusivamente con riguardo alle operazioni di customer care. -strong-authentication per gli addetti ai servizi di customer care e raccolta dei log delle attività; -"meccanismi di rotazione" che consentano di applicare allo stesso utente chiavi di codifica differenti per evitare fenomeni di profilazione incrociata; -solo dati cumulati di spesa in presenza di programmi di fidelizzazione 9

10 MISURE DI SICUREZZA Merchant: -codifica dei prodotti per classi e/o genere (ad es. video sportivo, cronaca etc.) con l eccezione per gli abbonamenti; -messaggio di ko accompagnato da codici che (non) consentano di risalire puntualmente a cause ostative, diverse da quelle tecniche (ad esempio problemi di rete) ; -prevedere una forma di mascheramento dei dati, ad esempio mediante applicazione di un meccanismo crittografico (c.d. hash) le cui chiavi di decifrazione siano nella disponibilità dei propri addetti esclusivamente con riguardo alle operazioni di customer care con utilizzo di una sola chiave di interrogazione del sistema, costituita dal numero di telefonia mobile dell'utente ; -strong-authentication per gli addetti ai servizi di customer care e raccolta dei log delle attività; -applicazione sull'anagrafica del bene digitale, censito nella banca dati interna del merchant, di un criterio di codificazione del dato, nonché dall'uso di report aggregati da inviare all'operatore nel caso di dati sensibili o in grado di rivelare gusti e preferenze di consumo (in particolare se i contenuti forniti dal Merchant sono caratterizzati ). 10

11 MISURE DI SICUREZZA Aggregatore: -codifica dei prodotti per classi e/o genere (ad es. video sportivo, cronaca etc.) con l eccezione per gli abbonamenti; -messaggio di ko accompagnato da codici che (non) consentano di risalire puntualmente a cause ostative, diverse da quelle tecniche (ad esempio problemi di rete) ; - utilizzo di una sola chiave di interrogazione del sistema, costituita dal numero di telefonia mobile dell'utente ; -strong-authentication per gli addetti ai servizi di customer care e raccolta dei log delle attività; - cifratura dei canali di comunicazione da e verso Operatore/Merchant; -"ricostruire lo storico degli acquisti entro un arco temporale non superiore alle24ore; -monitoraggio e riscontro istantaneo sull'eventuale superamento del tetto (di spesa) previsto. 11

12 CONSERVAZIONE Operatore: -conservazione non superiore a 6 mesi dalla data dell evento/acquisto del contenuto digitale(salvo contestazione anche giudiziale); nel caso di abbonamento al servizio/contenuto i 6 mesi decorrono dalla sua cessazione; -deve conservare i dati di traffico ex art. 132 del Codice per finalità di giustizia(conserva quindi anche l indirizzo IP); -deve notificare eventuali violazioni dei dati personali ex art. 32 bis del Codice privacy. 12

13 CONSERVAZIONE Merchant: -conservazione non superiore a 6 mesi dalla data dell evento/acquisto del contenuto digitale(salvo contestazione anche giudiziale); nel caso di abbonamento al servizio/contenuto i 6 mesi decorrono dalla sua cessazione; -non può conservare i dati di traffico in quanto non rientra tra i soggetti previsti dalle Direttive UE 2002/58/CE del 12 luglio 2002 e 2006/24/CE del 15 marzo 2006 (l indirizzo IP è da cancellare immediatamente dopo la fornitura del contenuto); -deve notificare eventuali violazioni dei dati personali ex art. 32 bis del 13 Codice privacy??

14 CONSERVAZIONE Aggregatore: -conservazione non superiore a 6 mesi dalla data dell evento/acquisto del contenuto digitale(salvo contestazione anche giudiziale); nel caso di abbonamento al servizio/contenuto i 6 mesi decorrono dalla sua cessazione; -non può conservare i dati di traffico in quanto non rientra tra i soggetti previsti dalle Direttive UE 2002/58/CE del 12 luglio 2002 e 2006/24/CE del 15 marzo 2006 (l indirizzo IP è da cancellare immediatamente dopo la fornitura del contenuto); -deve notificare eventuali violazioni dei dati personali ex art. 32 bis del 14 Codice privacy??

15 Punti di attenzione Individuazione dei ruoli: l assetto descritto che prevede per l Aggregatore la nomina a Responsabile da parte sia dell Operatore che del Merchant non è del tutto condivisibile; Informativa: più soggetti sono chiamati ad effettuare il medesimo adempimento con sovrapposizione tra più documenti ed inutile appesantimento informativo per il Cliente (perché non ripetere il modello catena assicurativa?); consenso: l eventuale trattamento di dati sensibili sarebbe da considerare strumentale alla richiesta del Cliente e quindi andrebbero semplificati i relativi adempimenti (eccessiva la 15 previsionedelpin oneshot );

16 Punti di attenzione misure di sicurezza: -poco comprensibile il meccanismo di rotazione dei dati prescritto agli Operatori; -non chiaro se eventuali data breach riguardino solo gli Operatori TLC o le prescrizioni siano da considerare estese anche a Merchant ed Aggregatore; -eccessiva la prescrizione di dover "ricostruire lo storico degli acquisti entro un arco temporale non superiore alle 24 ore visto i valori economici delle transazioni; 16 Privacy Officie

17 Punti di attenzione misure di sicurezza: -non condivisibile la forma di sottoscrizione di prodotti a contenuto adult e, più in generale, contenuti dai quali sia possibile dedurre un orientamento dell'utente che implichi il trattamento di dati di natura sensibile ; - di difficile implementazione la misura di controllo sul superamento del tetto complessivo di spesa previsto poiché il Cliente potrebbe effettuare acquisti utilizzando differenti Merchant non necessariamente interconnessi. 17

18 Any questions Grazie per l attenzione Luciano Delli Veneri Compliance organizzativa e privacy e e Consulente della Privacy luciano.delliveneri@gmail.com Tel.: Privacy & Compliance Srls privacyecompliancesrls@legalmail.it Tel.: