Avviso pubblico di avvio della consultazione su "Schema di provvedimento generale in materia di trattamento di dati personali nell'ambito dei servizi di mobile remote payment"

Avviso pubblico di avvio dellaconsultazione su "Schema di provvedimento generale in materia ditrattamento di dati personali nell'ambito dei servizi di mobile remotepayment"

PROVVEDIMENTO DEL 12 DICEMBRE 2013 

Registro dei provvedimenti  n. 561 del 12 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla direttiva 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre2007, relativa ai servizi di pagamento nel mercato interno ("PaymentService Directive"), recante modifica delle direttive 97/7/CE; 2002/65/CE;2005/60/CE e 2006/48/CE che abroga la direttiva 97/5/CE (di seguito PSD);

VISTOil decreto legislativo del 27 gennaio 2010, n. 11 (pubblicato sul Supplementoordinario alla Gazzetta Ufficiale n. 36 del 13 febbraio 2010) direcepimento della PSD;

VISTIi provvedimenti della Banca d'Italia del 5 luglio 2011 di "Attuazione delTitolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizidi pagamento (Diritti e obblighi delle parti)" e del 15 febbraio 2010recante le "Disposizioni di vigilanza per gli istituti di pagamento";

VISTAla direttiva 2009/110/CE, del Parlamento europeo e del Consiglio concernentel'avvio, l'esercizio e la vigilanza prudenziale dell'attività degli istituti dimoneta elettronica, ("e-Money Directive") recante modifica delledirettive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE (diseguito EMD);

VISTOil decreto legislativo 16 aprile 2012, n. 45, pubblicato nella GazzettaUfficiale 24 aprile 2012 n. 99, di recepimento della EMD;

VISTOil Libro verde della Commissione europea dell'11 gennaio 2012 "Verso unmercato europeo integrato dei pagamenti tramite carte, internet e telefonomobile";

VISTAla Proposta di risoluzione del 20 novembre 2012 del Parlamento europeo sulLibro verde della Commissione europea;

VISTO il decreto-legge 6 dicembre 2011, n. 201 recante ''Disposizioni urgentiper la crescita, l'equità e il consolidamento dei conti pubblici'' (pubblicatosulla Gazzetta Ufficiale n. 284 del 6 dicembre 2011 – Suppl. Ordinario n.251) c.d. "Decreto SalvaItalia", convertito con modificazioni dallal. 22 dicembre 2011, n. 214, (pubblicata sulla Gazzetta Ufficiale n. 300 del 27dicembre 2011 - Suppl. Ordinario n. 276) e, in particolare, l'art12 (comma 4) "Riduzione del limite per la tracciabilità dei pagamenti a1.000 euro e contrasto all'uso del contante" con riguardo ai nuoviprestatori di servizi di pagamento;

VISTOil decreto-legge 18 ottobre 2012, n. 179 recante "Ulteriori misure urgentiper la crescita del Paese" (pubblicato sulla Gazzetta Ufficiale n. 245 del19 ottobre 2012 – Suppl. Ordinario n. 194/L) c.d. "Decretosviluppo-bis", convertito con modificazioni dalla l. 17 dicembre 2012, n.221 (pubblicata sulla Gazzetta Ufficiale n. 294 del 18 dicembre 2012 –Suppl. Ordinario n. 208) e, in particolare, l'art. 8 "Misure perl'innovazione dei sistemi di trasporto" e l'art. 15 "Pagamentielettronici" che, tra l'altro, ha sostituito, al comma 1, l'art. 5 deldecreto legislativo 7 marzo 2005, n. 82 recante il "Codicedell'amministrazione digitale ";

VISTOil dm n. 145 del 2 marzo 2006, "Regolamento recante la disciplina deisevizi a sovrapprezzo", (pubblicato sulla Gazzetta Ufficiale n. 84 del 10aprile 2006);

VISTOil Libro bianco dell'European Payments Council del 19 giugno 2013 sui sistemi mobili di pagamento (mobile wallet payments);

VISTAla "Proposta di Direttiva del Parlamento Europeo e del Consiglio relativaai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2013/36/UE e 2009/110/CE e che abroga la direttiva 2007/64/CE" della Commissione Europea del 24 luglio 2013;

RITENUTONECESSARIO fornire primi orientamenti ed indicazioni rispetto al trattamentodei dati personali degli utenti che si avvalgono di servizi di mobileremote payment;

RILEVATAl'opportunità che la prescrizione di alcune misure ed adempimenti, allo statoindividuati nell'unito schema di provvedimento generale, sia preceduta da unaconsultazione pubblica diretta ai soggetti coinvolti nelle operazioni di mobileremote payment e, in particolare, ai fornitori di reti e servizi dicomunicazione elettronica accessibili al pubblico, agli hub-tecnologici ed aimerchant, al fine di acquisire ulteriori riscontri sull'adeguatezza delleprescrizioni e sulle relative modalità di attuazione, anche in considerazionedell'evoluzione che il fenomeno dei pagamenti tramite telefono mobile staregistrando negli ultimi tempi;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000;

RELATOREil dott. Antonello Soro;

DELIBERA

aisensi dell'art. 154, comma 1, lett. c), del Codice:

a.di adottare l'allegato schema di provvedimento recante "Provvedimentogenerale in materia di trattamento di dati personali nell'ambito dei servizi dimobile remote payment" che forma parte integrante della presentedeliberazione (Allegato 1);

b.di avviare una consultazione pubblica sul documento di cui allalett. a) e, a tal fine, invitare tutti i soggetti interessati – ancheeventualmente attraverso le associazioni di categoria rappresentative deisettori di appartenenza quali, ad esempio, quelle imprenditoriali e deiconsumatori ove presenti – e quelli qualificati, in particolare Universitàe centri di ricerca, a far pervenire le osservazioni, i commenti, leinformazioni, le proposte e tutti gli elementi ritenuti utili sull'adeguatezzadelle misure ipotizzate e sulle relative modalità di attuazione. I contributi,così individuati, dovranno pervenire, entro il termine di 60 giorni dallapubblicazione dell'avviso pubblico di avvio della consultazione sulla GazzettaUfficiale della Repubblica italiana, all'indirizzo dell'Autorità di Piazza diMonte Citorio n. 121, 00186 Roma, ovvero all'indirizzo di posta elettronicaconsultazionemp@gpdp.it, indicando nell'oggetto il tema di riferimento.

Icontributi, inviati dai partecipanti alla consultazione, non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successivedeterminazioni del Garante.

Lapresente deliberazione verrà pubblicata sul sito web dell'Autoritàwww.garanteprivacy.it e sarà inviato un avviso all'Ufficio pubblicazione leggie decreti del Ministero della giustizia affinché sia riportato sulla GazzettaUfficiale della Repubblica italiana.

Roma, 12 dicembre 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia

___________

ALLEGATO 1

  Schema di provvedimento generale in materia ditrattamento di dati personali nell'ambito dei servizi di mobile remote payment

Provvedimento del 12 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTOil decreto legislativo n. 11 del 27 gennaio 2010 (pubblicato sul Supplementoordinario alla Gazzetta Ufficiale n. 36 del 13 febbraio 2010), di recepimentodella PSD;

VISTOil decreto legislativo n. 45 del 16 aprile 2012 (pubblicato sulla GazzettaUfficiale n. 99 del 24 aprile 2012), di recepimento della EMD;

VISTOil Libro verde della Commissione europea dell'11 gennaio 2012 "Verso unmercato europeo integrato dei pagamenti tramite carte, internet e telefonomobile";

VISTAla Proposta di risoluzione del 20 novembre 2012 del Parlamento europeo sulLibro verde della Commissione europea;

VISTOil decreto-legge n. 201 del 6 dicembre 2011, recante ''Disposizioni urgenti perla crescita, l'equità e il consolidamento dei conti pubblici'' (pubblicatosulla Gazzetta Ufficiale n. 284 del 6 dicembre 2011 – Suppl. Ordinario n.251) c.d. "Decreto SalvaItalia", convertito con modificazioni dallal. 22 dicembre 2011, n. 214 (pubblicata sulla Gazzetta Ufficiale n. 300 del 27dicembre 2011 - Suppl. Ordinario n. 276), in particolare, l'art 12 (comma 4)"Riduzione del limite per la tracciabilità dei pagamenti a 1.000 euro econtrasto all'uso del contante" con riguardo ai nuovi prestatori diservizi di pagamento;

VISTOil decreto-legge n. 179 del 18 ottobre 2012, recante "Ulteriori misureurgenti per la crescita del Paese" (pubblicato sulla Gazzetta Ufficiale n.245 del 19 ottobre 2012 – Suppl. Ordinario n. 194/L), c.d. "Decretosviluppo-bis", convertito con modificazioni dalla l. n. 221 del 17dicembre 2012 (pubblicata sulla Gazzetta Ufficiale n. 294 del 18 dicembre 2012 –Suppl. Ordinario n. 208) e, in particolare, l'art. 8 "Misure perl'innovazione dei sistemi di trasporto" e l'art. 15 "Pagamentielettronici" che, tra l'altro, ha sostituito, al comma 1, l'art. 5 deldecreto legislativo 7 marzo 2005, n. 82 recante il "Codicedell'amministrazione digitale";

VISTOil dm n. 145 del 2 marzo 2006, "Regolamento recante la disciplina deisevizi a sovrapprezzo" (pubblicato sulla Gazzetta Ufficiale n. 84 del 10aprile 2006);

VISTOil Libro bianco dell'European Payments Council del 19 giugno 2013 sui sistemi mobili di pagamento (mobile wallet payments);

VISTAla direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio2002 "relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche (direttiva relativa allavita privata e alle comunicazioni elettroniche)";

VISTAla direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo2006 "riguardante la conservazione di dati generati o trattati nell'ambitodella fornitura di servizi di comunicazione elettronica accessibili al pubblicoo di reti pubbliche di comunicazione e che modifica la direttiva2002/58/CE";

VISTOil provvedimento del Garante del 15 maggio 2013 sul "Consenso altrattamento dei dati personali per finalità di "marketing diretto"attraverso strumenti tradizionali e automatizzati di contatto" (pubblicatosulla Gazzetta Ufficiale n. 174 del 26 luglio 2013);

VISTOil provvedimento del Garante in materia di attuazione della disciplina sullacomunicazione delle violazioni di dati personali (c.d. data breach) del 4aprile 2013 (pubblicato sulla Gazzetta Ufficiale n. 97 del 4 aprile 2013);

RITENUTONECESSARIO fornire primi orientamenti ed indicazioni rispetto al trattamentodei dati personali degli utenti che si avvalgono di servizi di pagamento otrasferimento di denaro tramite telefono cellulare, c.d. mobile payment;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

Ilricorso alle potenzialità del mobile payment, ovvero dei servizi checonsentono di gestire gli acquisti ed i relativi pagamenti di beni sia digitaliche fisici tramite un terminale mobile, la cui diffusione ha negli ultimi anni,grazie alla continua evoluzione della tecnologia, radicalmente modificato ilsettore del commercio tradizionale ed elettronico ha aperto, anche nel nostroPaese, nuove prospettive. Ciò ha determinato un'accelerazione della conclusionedelle transazioni commerciali ed un'accentuazione dei processi di c.d.smaterializzazione dei trasferimenti di denaro, ampliando, altresì, latipologia dei prodotti e servizi fruibili attraverso il ricorso al mobilepayment e la platea dei soggetti che operano in questo ambito, nonché laquantità di dati personali trattati.

Iservizi di mobile payment, classificabili nel nostro Paese nelle due principalicategorie del mobile remote payment e del mobile proximity payment, riguardano,rispettivamente, le operazioni di pagamento di un bene o servizio tra esercentee cliente, attivate da quest'ultimo a distanza attraverso il telefono cellularee le operazioni di pagamento eseguite dal cliente avvicinando il dispositivomobile, dotato di tecnologia NFC (Near Field Communication che fornisceconnettività wireless (RF) bidirezionale a corto raggio), ad un appositolettore POS (point of sale) posto presso il punto vendita dell'esercente da cuisi acquista il bene.

Sitratta di passi importanti nel settore dei micropagamenti rispetto all'uso delcontante da cui discendono valutazioni che riguardano anche il trattamento deidati personali degli interessati.

Seinfatti, da un lato, si pongono le facilitazioni delle modalità di acquistoattraverso il terminale mobile ed il risparmio dei costi propri delletransazioni effettuate con carte di pagamento, dall'altro non possonotrascurarsi i profili che investono il corretto utilizzo e la sicurezza delleinformazioni di carattere personale che l'utente deve fornire per fruire deinuovi servizi di pagamento.

Ilmobile payment ed il conseguente ricorso sia a reti di comunicazioneelettronica, sia a nuove tecnologie come la NFC (che, con riguardo alla modalitàproximity, saranno richiamate in un apposito provvedimento dell'Autorità)implica, infatti, il trattamento di una serie di dati personali dell'utente nonsolo di carattere identificativo ma, in alcuni casi, anche di natura sensibile.Ciò con la conseguenza che tale trattamento, oltre a svolgersi nel rispettodella disciplina sulla protezione dei dati personali e, in particolare, deiprincipi generali di pertinenza e non eccedenza, di correttezza e buona fedesanciti dal Codice (cfr. art. 11 ), deve essere improntato anche al rispettodel presente provvedimento generale.

Ilprovvedimento dell'Autorità è difatti volto ad individuare le prescrizionidirette ai diversi soggetti coinvolti nelle operazioni di pagamento tramitetelefonia mobile, allo scopo di prevenire i rischi connessi ad un utilizzoimproprio dei dati personali degli utenti che intendono avvalersi del mobileremote payment.

1. Quadro normativo.

Ladirettiva 2007/64/CE, c.d. PSD (recepita a livello interno dal d.lg. n. 11/2010),ha aperto il mercato dei servizi di pagamento anche ad operatori di matrice nonbancaria nell'ottica, non solo di armonizzare il relativo quadro giuridico,superando la frammentazione normativa delle singole realtà nazionali, ma didefinire nuovi profili di efficienza, parità e sicurezza per tutti i portatoridi interessi in tale ambito.

LaPSD indica, tra l'altro, le condizioni per autorizzare i nuovi soggetti nonbancari all'esercizio di un servizio di pagamento all'interno dell'UE,prevedendo, in particolare, che i nuovi istituti di pagamento possano operarecome intermediari di pagamento, previa autorizzazione delle Autoritàcompetenti, nell'ambito di un "regime semplificato" rispetto a quellodegli istituti bancari.

Difatti,nella sua attuale configurazione, la direttiva, nel definire i "servizi dipagamento" rimandando alle attività commerciali elencate nel relativoallegato (cfr. art. 4, punto 3 che rinvia al punto 7 dell'Allegato) consenteagli operatori del sistema o della rete di telecomunicazioni o digitale oinformatica di agire nella veste di intermediari tra l'utilizzatore di servizidi pagamento che usa un dispositivo di telecomunicazione digitale oinformatico ed il fornitore di beni e servizi (cfr. anche l'art. 1, comma 1,lett. b), punto 7 del decreto interno di recepimento). Tale attività rientranell'ambito di quelle definite nel c.d. positive scope.

Dalperimetro di applicazione delle previsioni comunitarie e delle conseguentidisposizioni interne restano invece escluse le operazioni di pagamento,eseguite tramite il suddetto dispositivo che si riferiscono all'acquisto dibeni e servizi digitali, la cui consegna o il cui utilizzo sianoeffettuati mediante tale dispositivo gestito dall'operatore ditelecomunicazione digitale o informatico, quando quest'ultimo non agiscaesclusivamente come mero intermediario autorizzato del pagamento tra l'utenteed il fornitore di beni e servizi (cfr. l'art. 3, lett. l) della PSD e l'art.2, comma 2, lett. n) del d.lg. n. 11/2010, a sua volta richiamato al paragrafo2.2.9 del menzionato provvedimento della Banca d'Italia del 5 luglio 2011), masvolga una serie di ulteriori funzioni.

Taliulteriori funzioni possono rinvenirsi in quelle di accesso, ricerca edistribuzione del contenuto digitale e si atteggiano in modo tale che larelativa assenza non consentirebbe all'utente di fruirne con le medesimemodalità sopra descritte. Viene così a delinearsi il c.d. negative scope,ovvero lo spazio delle deroghe nel quale ricadono quelle attività non classificatecome servizi di pagamento che possono essere prestate dagli operatori delsistema o della rete di telecomunicazioni o digitale o informatica (daintendersi come fornitori di reti e servizi di comunicazione elettronicaaccessibili al pubblico), senza l'obbligo di diventare o agire come unintermediario di pagamento.

Taleesclusione consente quindi all'operatore, sotto un profilo di significativainnovazione, di intervenire nel settore dei pagamenti elettronici ancheprestando direttamente un servizio attraverso la propria rete ditelecomunicazione.

Inquesto senso la PSD (Considerando 6), nel precisare l'opportunità che il quadrogiuridico disciplinato non si applica quando l'attività dell'operatore va al dilà della semplice operazione di pagamento, richiama le menzionate funzioni diaccesso, distribuzione o consultazione proprio in termini di "valoreintrinseco" che tale soggetto può aggiungere al contenuto dei benidigitali offerti all'utente.

2. Futuri inquadramenti normativi.

Conriguardo al quadro normativo sopra delineato occorre dar conto dei recenticambiamenti previsti a livello europeo, rispetto al vigente acquis legislativoe regolamentare in materia di servizi di pagamento.

Cisi riferisce all'attuale proposta della Commissione europea del 24 luglio 2013di riesame della "e-Money Directive" e di inglobamento ed abrogazionedella "Service Payment Directive", al precipuo scopo di aggiornare l'assetto giuridico in materia di servizi di pagamentonell'ambito dell'UE, "in un'epoca in cui la distinzione tra istituti dipagamento e istituti di moneta elettronica è sempre meno netta e si assistealla convergenza delle tecnologie e dei modelli commerciali" e dirispondere al meglio alle esigenze di un vero e proprio mercato integrato chefavorisca la concorrenza, l'innovazione e la sicurezza.

Taliobiettivi erano del resto già emersi nel gennaio 2012, a seguito dellapubblicazione, da parte della Commissione, del Libro Verde "Verso unmercato europeo integrato dei pagamenti tramite carte, internet e telefonomobile", nonché degli esiti della successiva consultazione pubblica cheaveva registrato un ampio numero di contributi sulle possibili esigenze dimodifica del vigente quadro dei pagamenti.

Allaluce degli scopi e degli ostacoli individuati nel Libro verde, il Parlamentoeuropeo ha poi, con la risoluzione adottata il 20 novembre 2012,richiesto una riforma del modello di governance dell'area unica dei pagamentiin euro, in linea con l'agenda digitale e, in particolare, con la creazione diun mercato unico del digitale.

Inquesto quadro, l'analisi condotta nell'ambito della menzionata proposta diinglobamento ed abrogazione della PSD ha fatto emergere, tra l'altro,l'intenzione di ridefinire il dettato degli artt. 3 e 4 della direttiva tantosotto il profilo soggettivo, quanto sotto quello oggettivo, evidenziando unanuova, possibile, prospettiva che tende a delimitare l'esenzione relativa aicontenuti digitali esclusivamente ai servizi di pagamento accessori, prestatidai fornitori di reti o di servizi di comunicazione elettronica sullabase di determinate soglie di pagamento.

Ciònondimeno, in attesa di conoscere se e quali saranno gli effettivi esiti dellaproposta e che implicazioni essa comporterà nel nostro ordinamento interno,giova ribadire che lo scopo del presente provvedimento, il quale si basasull'attuale assetto normativo del settore, è quello di garantire, in unmercato dei pagamenti sempre più dinamico, un uso sicuro e al contempoefficace delle informazioni che riguardano gli utenti.

Inquest'ottica l'Autorità ha peraltro condotto una serie di attività ispettivenell'ambito della fornitura di servizi di mobile remote payment, così daindividuare eventuali profili di criticità e prevedere misure opportune esempre più mirate ad una tutela effettiva dei dati personali, fornendo altresìutili strumenti di intervento a tutti i soggetti coinvolti.

3. Il Mobile remote payment.

Attualmentele operazioni di mobile remote payment possono essere gestite, ricorrendo lecircostanze sopra menzionate, anche dai fornitori di reti e servizi dicomunicazione elettronica accessibili al pubblico per l'acquisto di contenutidigitali tramite terminale mobile, ovvero, anche a seguito degli interventinormativi di cui al citato "Decreto Sviluppo bis", di titolidigitalizzati che possono consentire all'utente l'accesso a servizi di utilitàsociale o a servizi in mobilità (con riguardo ai quali i profili legati altrattamento dei dati personali saranno oggetto di un apposito provvedimentodell'Autorità).

Proprioin questo contesto alcuni tra i maggiori fornitori di reti e servizi dicomunicazione elettronica del nostro Paese hanno sottoscritto un accordo voltoa definire una soluzione tecnica condivisa per lo sviluppo dell'offerta aipropri clienti di prodotti e di servizi digitali (singoli prodotti o servizi inabbonamento) fruibili tramite smartphone, tablet e PC, attraverso servizi dimicropagamento (importi non superiori ai 15 euro iva esclusa per singoloacquisto nei limiti di quanto previsto dal dm. n. 145/2006) mediante telefonomobile.

L'accordoha previsto la creazione, affidata a due società di system integration, di unaapposita piattaforma tecnologica che consente la gestione delle nuove modalitàdi pagamento attraverso l'addebito e la conseguente decurtazione del costo delcontenuto digitale richiesto, dal credito telefonico, per i clienti dotati diuna carta ricaricabile, ovvero l'addebito sul conto telefonico, per i clientiche abbiano sottoscritto un contratto di abbonamento.

Ilricorso al mobile remote payment offre inoltre all'utente la possibilità diacquistare contenuti digitali anche tramite quelle applicazioni che consentonol'accesso ad un mercato virtuale di determinati soggetti.

4. Ambito soggettivo.

Comegià evidenziato, nel contesto dei servizi di mobile remote payment attualmenteofferti agli utenti è emersa la figura del fornitore di reti e servizi dicomunicazione elettronica accessibili al pubblico (di seguito l'operatore) che,alla luce della disciplina comunitaria ed interna, può oggi fornire allapropria clientela un servizio di pagamento tramite telefono cellullareper l'acquisto di contenuti digitali, attraverso l'utilizzo di una cartatelefonica ricaricabile, ovvero sulla base di un abbonamento telefonico.

Accantoa tale soggetto, lo scenario si caratterizza per la presenza anche di altrefigure professionali come quella dell'aggregatore o hub- tecnologico ovvero delsoggetto che mette a disposizione e gestisce la piattaforma abilitante per lafruizione dei prodotti e servizi digitali (di seguito l'aggregatore) e quelladel merchant, ovvero del soggetto che, a vario titolo, offre i contenutidigitali che possono essere acquistati dagli utenti (di seguito il merchant). Utenteo cliente è invece il soggetto titolare una USIM prepagata o postpagata.

5. Tipologia dei dati trattati.

Rispettoalla tipologia dei dati trattati nell'ambito del mobile remote payment si èdetto che il pagamento dei contenuti digitali avviene attraverso il telefonomobile e che il cliente può fruirne sia direttamente sul proprio smartphone,sia su altri tipi di terminali (ad es. tablet e PC).

Attraversoil mobile remote payment vengono trattate numerose informazioni riferibiliall'utente che riguardano, in particolare, i dati relativi allanumerazione telefonica, i dati anagrafici, i dati legati alla tipologia delservizio o del prodotto digitale richiesto ed al relativo importo.

Adessi si aggiungono i dati inerenti alla sottoscrizione ed alla revoca delservizio, quelli relativi agli addebiti degli acquisti nella fattura o sullacarta prepagata e, eventualmente, quelli di posta elettronica richiesti per unamaggiore fruibilità del contenuto digitale nonché l'indirizzo IP dell'utente.

Isuddetti dati possono peraltro essere associati ad altri, anche di naturasensibile legati alle scelte di consumo dell'utente (contenuti riferiti ad unpubblico adulto o a specifici orientamenti politici o religiosi).

Stantela varietà e molteplicità dei dati suscettibili di trattamento nel quadro delleoperazioni sopra descritte possono, quindi, facilmente emergere profili dirischio per i diritti e le libertà fondamentali, nonché per la dignità deisoggetti interessati.

6. Gli adempimenti dell'"operatore".

6.1. Descrizione dell'attività.

Comegià rilevato nelle premesse del presente provvedimento, i principali fornitoridi reti e servizi di comunicazione elettronica accessibili al pubblico hannosottoscritto un accordo volto a promuovere, attraverso una piattaforma tecnologica,l'offerta di contenuti digitali fruibili dall'utente su smartphone, tablet,personal computer, notebook e laptop, tramite il proprio credito telefonico.

Ibeni e servizi digitali proposti sono diversi e riguardano, ad esempio, copiedi quotidiani on-line (one shot o in abbonamento), contenuti musicali e video,social games, contenuti riferiti ad un pubblico adulto.

Inbase al suddetto accordo la gestione della piattaforma abilitante è affidata adue soggetti tecnologici il cui ruolo consiste nella messa a punto diun'interfaccia tra i merchant e gli operatori che consente all'utente diacquistare il contenuto digitale e di portare a termine l'operazione dipagamento, previa decurtazione del costo dalla scheda prepagata, ovveroaddebito in abbonamento.

6.2. Informativa.

Conriguardo alle operazioni di acquisto di beni e servizi digitali attraverso ilmobile remote payment l'operatore deve rendere agli utenti un'informativachiara e completa degli elementi di cui all'art. 13 del Codice.

Inparticolare, oltre al richiamo alla finalità di erogazione del servizioattraverso la nuova modalità, l'informativa deve specificare se i datipersonali dell'utente sono trattati anche per scopi ulteriori, ovvero per finalità di marketing, quali invio di materiale pubblicitario o di venditadiretta o per il compimento di ricerche di mercato o di comunicazionecommerciale (ex artt. 7, comma 4, lett. b) e 140 del Codice), specificando, sele suddette attività vengono effettuate anche attraverso il ricorso a modalitàautomatizzate di contatto (quali, ad esempio, fax, email, sms o mms).

Unulteriore richiamo deve riguardare i trattamenti di profilazione, anchenell'ambito di eventuali programmi di fidelizzazione e di comunicazione deidati a soggetti terzi.

Rispettoa tale ultimo profilo l'informativa deve chiarire che la trasmissione delnumero di telefonia mobile dell'utente al merchant nell'ambito delle operazionidi mobile remote payment è effettuata esclusivamente per consentire aquest'ultimo un'efficace gestione del servizio con riferimento alle necessarieattività di assistenza alla clientela.

Sianel caso in cui vengano svolte attività di marketing sia in quello in cui sieffettui un'attività di profilazione o, ancora, di comunicazione dei dati aterzi, nell'informativa rilasciata dall'operatore dovrà risultare chiaramenteche dette attività possono svolgersi solo previa acquisizione del consenso espresso, libero e specifico dell'utente per ciascuna finalità del trattamento,sulla base di quanto dispone l'art. 23 del Codice e, nel caso in cui si ricorraa modalità automatizzate di contatto, sulla base dell'art. 130 del Codice,tenuto conto di quanto evidenziato dall'Autorità nel citato provvedimento del15 maggio 2013.

Un'ulteriore,espressa, indicazione deve poi riguardare l'esercizio da parte dell'utente deidiritti sanciti dall'art. 7 del Codice.

Nell'informativadeve inoltre emergere la chiara indicazione del titolare del trattamento e delsoggetto o dei soggetti designati responsabili ai sensi dell'art. 29 delCodice, in particolare avuto riguardo al ruolo svolto dall'hub tecnologico chepuò agire in veste di responsabile esterno del trattamento, nonché dei soggettiincaricati del trattamento ai sensi dell'art. 30 del Codice. Analogamente, deverisultare chiaro all'utente l'eventuale rapporto di co-titolarità tral'operatore ed il merchant.

L'informativadeve anche richiamare l'eventuale trattamento di dati sensibili da partedell'operatore e la necessità che tale trattamento si svolga, previaacquisizione di un consenso specifico ed espresso per iscritto da partedell'utente, e nel rispetto di quanto previsto dall'art. 26, comma 1, delCodice.

L'informativadeve essere rilasciata al momento dell'acquisto della scheda prepagata o dellasottoscrizione del contratto di abbonamento telefonico ed essere prevista anchenell'apposita modulistica predisposta per la number portability. L'informativadeve essere inoltre inserita all'interno di un'apposita sezione della pagina webdell'operatore, che contenga anche la richiesta dei consensi necessari pertrattamenti ulteriori rispetto a quello di mera erogazione del servizio, ovveronella landing page predisposta dall'aggregatore.

6.3. Consenso.

Ilconsenso al trattamento dei dati personali dell'utente che fruisce del serviziodi mobile remote payment non è necessario ai fini della relativafornitura, stante il disposto dell'art. 24, comma 1, lett. b) del Codice.

Investe di titolare autonomo del trattamento l'operatore deve invece acquisire ilconsenso dell'utente nel caso in cui i dati forniti da quest'ultimo venganoutilizzati per finalità di marketing diretto e/o per finalità di profilazione,anche nell'ambito di eventuali programmi di fidelizzazione. Il consensodell'utente deve essere richiesto anche nel caso di comunicazione dei dati asoggetti terzi.

Rispettoalle suddette finalità l'utente deve rilasciare specifici e distinti consensi,secondo quanto disposto dal citato art. 23 del Codice e dall'art. 130 nel casoin cui si ricorra a modalità automatizzate di contatto.

Ilconsenso dell'utente può essere espresso sia nell'apposita modulisticacartacea, sia tramite un flag da inserire in una specifica casellapresente in una sezione della pagina web dell'operatore, ovvero nella landingpage predisposta dall'aggregatore, oppure attraverso altre idonee applicazioniinformatiche.

Analogheprevisioni possono riguardare un eventuale trattamento di dati sensibili conriguardo al quale il consenso dell'interessato deve essere manifestato periscritto, ovvero con altra modalità telematica equiparabile allo scritto,sempre nel rispetto di quanto previsto dall'art. 26, comma 1, del Codice.

6.4. Dati trattati. Misure di sicurezza.

Aseguito dell'avvio dell'operazione di acquisto del bene digitale l'operatore,oltre al numero di telefonia mobile dell'utente, ai relativi dati anagrafici ea quelli legati al contratto di attivazione del servizio, acquisisce i datirelativi alla data e all'ora dell'operazione, nonché quelli che riguardano l'indicazionedel prodotto digitale richiesto ed il relativo importo.

Lecategorie merceologiche di riferimento dei prodotti digitali offerti sononormalmente definite dal merchant il quale, come si dirà meglio in seguito,deve limitarsi a trasmetterle all'operatore senza alcun riferimento allospecifico contenuto del prodotto o servizio fornito.

Intal senso, una misura che anche l'operatore deve adottare, al fine di garantireil corretto trattamento delle informazioni relative al prodotto o serviziorichiesto dall'utente è quella di adottare, in caso di trasmissione di datipuntuali da parte del merchant, tabelle interne di classificazione cheprevedano criteri di codificazione dei prodotti e servizi basati non sul lorospecifico contenuto, ma esclusivamente sull'individuazione di classi e/o genere(ad es. video sportivo, cronaca etc.).

L'operatoregestisce il numero di telefonia mobile dell'utente anche al fine di effettuarele necessarie verifiche sotto il profilo della sussistenza o meno di creditotelefonico, a tal fine invia al merchant un segnale di ok o ko a seconda chel'operazione sia andata o meno a buon fine. Generalmente, il segnale di korisulta accompagnato da un codice attraverso il quale il merchant può risalirealle cause che lo hanno generato (problemi di rete, credito insufficienteetc.). Un analogo segnale viene inviato anche all'aggregatore.

Quandol'operazione effettuata non va a buon fine l'operatore può inviare ancheall'utente un sms il quale, oltre a segnalare che si è verificato un erroredurante l'operazione, con l'invito a controllare le proprie informazionipersonali e ad effettuare un nuovo tentativo, evidenzia anche che il numerofornito non sembra essere abilitato a procedere all'acquisto.

Inoltre,se la causa del mancato acquisto è imputabile alla mancanza o insufficienza dicredito telefonico, all'utente può pervenire un ulteriore, specifico, messaggioche segnala l'insufficienza di credito sulla sim.

Orbene,i messaggi che, in presenza di cause ostative diverse da quelle tecniche o digestione della rete, in particolare di quelle legate all'indisponibilità odinsufficienza di credito telefonico, l'operatore trasmette all'aggregatorenonché al merchant ai fini dell'operazione di mobile payment, non devonocontenere alcuna specifica indicazione di tali motivazioni, né essereaccompagnati da un codice che consenta comunque di risalirvi puntualmente.

E'pertanto opportuna, in tali casi, l'adozione da parte dell'operatore di unamisura che preveda esclusivamente l'invio di un messaggio di tipo c.d.binario o booleano (quale ad esempio un messaggio del tenore ko o ok), senzaalcuna indicazione della motivazione, ovvero di un codice contrassegnato da unnumero al quale sia associato un testo più generico quale, ad esempio"richiesta rifiutata", oppure "status ko". Ciò al fine dievitare che sia l'aggregatore che il merchant vengano a conoscenza diinformazioni riferite ad un dato economico dell'utente che non ha alcun rilievosotto il profilo della gestione dell'operazione di mobile payment e che risultaultroneo rispetto alle finalità del trattamento che i menzionati soggetti sonochiamati a svolgere.

Conspecifico riguardo ai dati presenti nella piattaforma dell'operatore dedicataalle operazioni di mobile remote payment, quest'ultimo deve poi adottare, oltrealle misure di sicurezza dei dati e dei sistemi previste dall'art. 31 e segg.del Codice, ulteriori cautele.

Inparticolare, è necessario che l'operatore preveda una forma di mascheramentodei dati mediante applicazione di un meccanismo crittografico (c.d. hash) lecui chiavi di decifrazione siano nella disponibilità dei propri addettiesclusivamente con riguardo alle operazioni di customer care.

Gliaddetti all'attività di customer care, infatti, devono essere posti in grado di visualizzare, per finalità di assistenza alla clientela, lo storico di tutte leoperazioni di acquisto effettuate da un determinato numero telefonico, iriferimenti temporali ed i relativi importi, nonché la categoria merceologica ela classe di prodotto o servizio digitale acquistato.

Ciònondimeno, per l'accesso alle predette interrogazioni tali soggetti, che devonoessere nominati incaricati del trattamento ai sensi dell'art. 30 del Codice,devono essere sottoposti ad una procedura di autenticazione basata su token eaccount nominale, con attribuzione dello specifico profilo "operatore dicustomer care" (c.d. strong authentication). Gli stessi devonoessere altresì abilitati all'uso di un'unica chiave di interrogazione delsistema in merito alle operazioni da effettuare, costituita dal numero ditelefonia mobile del cliente, senza poter ricorrere ad altre chiavi di ricercacome il nome, il cognome o altri dati anagrafici dell'utente stesso. Leoperazioni di accesso al sistema devono inoltre essere sottoposte atracciamento analitico e dettagliato.

Taleultima misura risulta oltremodo necessaria laddove l'operatore utilizziun'unica piattaforma di provisioning sulla quale confluiscono tutti i datirelativi alle operazioni effettuate, non solo rispetto ai servizi di mobileremote payment, ma anche ad altri servizi erogati quali, ad esempio, quelli avalore aggiunto (c.d. VAS), con la conseguenza che il tracciamento deveestendersi a tutti i profili di autorizzazione impostati sulla predettapiattaforma.

Delresto, la previsione di una strong authentication e di file di log checonsentano di risalire all'incaricato che effettua gli accessi al sistema sirivela idonea ad offrire un'adeguata protezione alle informazioni personali,anche sensibili, dell'utente che effettua i propri acquisti tramite il telefonocellulare.

Dalmomento che i fornitori di reti e servizi di comunicazione elettronicaaccessibile al pubblico, oltre a trattare i dati relativi alle operazioni dimobile remote payment ed alle scelte di consumo dei contenuti digitali,trattano anche dati di consumo/traffico telefonico e dati relativi allafornitura di altre tipologie di beni digitali (quali ad esempio quelli legatialla c.d. Tv interattiva) per finalità di profilazione e marketing, risulta opportunoprevedere l'adozione di alcune misure ed accorgimenti anche al fine discongiurare i rischi di un'integrazione tra le diverse tipologie di dati e,quindi, di un'analisi incrociata delle abitudini, dei gusti e delle preferenzedi consumo della clientela nei diversi ambiti individuati.

Infatti,tra i dati che normalmente identificano l'utente nei sistemi degli operatorisono presenti, oltre ai dati relativi alla linea di rete fissa (c.d. CLI)anche altri dati, come il numero di telefonia mobile e l'indirizzo di postaelettronica i quali potrebbero essere facilmente utilizzati come chiave comunetra i diversi sistemi dedicati alle differenti attività di profilazionedell'utenza, proprio al fine di far emergere fenomeni di correlazione traconsumi telefonici e consumi di beni digitali, fruiti anche con modalità mobileremote payment.

Intal senso, il rischio di una c.d. profilazione incrociata dell'utenza puòessere contenuto attraverso l'individuazione di appositi "meccanismi dirotazione" che consentano di applicare allo stesso utente chiavi dicodifica differenti, destinate a mascherare i relativi dati all'interno deidiversi sistemi dedicati alle attività di profilazione che l'operatore puòsvolgere.

Conriguardo poi al trattamento dei dati che l'operatore può realizzare nell'ambitodi eventuali programmi di fidelizzazione proposti all'utente, è necessarioprecisare che tali programmi devono basarsi esclusivamente su dati cumulati dispesa e non riguardare il singolo dato relativo allo specifico evento diacquisto del prodotto digitale effettuato dallo stesso.

6.5. Dati sensibili. Misure di sicurezza.

Trai contenuti digitali che l'utente può acquistare con la modalità mobile remotepayment rientrano anche quelli destinati ad un pubblico adulto, i qualicomportano il trattamento di dati sensibili e, in particolare, di datipersonali idonei a rivelarne "la vita sessuale" ed i relativi gusti epreferenze di consumo (art. 4, comma 1, lett. d) del Codice).

Inquesto ambito è dunque opportuno prevedere una serie di misure volte agarantire il corretto uso di tali informazioni.

Inparticolare, si ritiene necessario che per la fruizione dei suddetti contenutil'operatore preveda l'attribuzione al cliente di un apposito codice numerico diaccesso, ovvero di un Pin dispositivo, univocamente ed esclusivamente associatoal bene digitale di cui intende fruire.

L'esplicitarichiesta del suddetto codice da parte dell'utente può peraltro essere intesacome espressione del consenso scritto, necessario per il trattamento dei datisensibili ai sensi dell'art. 26 del Codice.

Un'ulteriorecautela che deve essere comunque adottata è poi quella relativaall'implementazione di misure tecniche che garantiscano all'utente lapossibilità di disattivare ogni servizio destinato ad un pubblico adulto perdefault, nonché previo contatto con il servizio di customer caredell'operatore.

Rispettopoi al flusso di dati che può intercorrere tra l'operatore e il merchantnell'ambito della fruizione dei predetti contenuti è opportuno che il messaggioche quest'ultimo riceve dal primo per la verifica del dato relativo allamaggiore età dell'utente, sia ancora una volta di tipo binario (ovverovero/falso).

Conriguardo al trattamento dei dati sensibili è da ritenersi infine opportuno, al fine di limitare rischi di classificazione dell'utenza, escludereun siffatto trattamento per finalità di profilazione e di conseguentemarketing, lasciandolo ancorato alla specifica erogazione del serviziorichiesto dal cliente e, comunque, prevedendolo solo in presenza del consensoscritto dell'interessato e del rispetto di quanto previsto dall'art. 26, comma1 del Codice.

6.6. Conservazione.

Idati trattati nell'ambito delle operazioni di mobile remote payment devonoessere conservati per un limitato periodo di tempo, proporzionato allefinalità realizzate con il trattamento, le quali non si esauriscono con la definizionedel processo che conduce all'acquisto del contenuto digitale, ma si estendonoalla gestione di attività correlate quali la fatturazione, la reportistica el'attività di customer care.

Inconsiderazione di ciò, il periodo massimo di conservazione dei dati personalipuò essere individuato in sei mesi.

Allascadenza del suddetto periodo l'operatore deve pertanto provvedere allacancellazione dei dati dai propri sistemi, ferma restando l'ulteriore,specifica, conservazione necessaria in presenza di una contestazione anche insede giudiziale.

Aifini della decorrenza del previsto periodo di conservazione si ritiene inoltrenecessario differenziare gli acquisti di prodotti digitali c.d. on shot dagliabbonamenti, posto che per questi ultimi detto periodo deve cominciare adecorrere dalla scadenza dell'abbonamento stesso.

Restaaltresì inteso che i dati di traffico coinvolti nelle operazioni di mobileremote payment devono essere conservati nel rispetto di quanto previstodall'art. 132 del Codice.

Analogamente,in presenza di una violazione di dati personali, l'operatore sarà tenuto alrispetto di quanto espressamente sancito dall'art. 32 bis del Codice, nonchédal citato provvedimento dell'Autorità del 4 aprile 2013 in materia di c.d.data breach.

7. Adempimenti dell'"aggregatore".

7.1. Descrizione dell'attività.

Comesi è già evidenziato, all'aggregatore o hub tecnologico, con il quale è statosottoscritto l'accordo che ha previsto la creazione della piattaformaabilitante, è affidata la realizzazione di una serie di attività. Ciò anche inconsiderazione del fatto che detta piattaforma, definita"cross-operatore", può essere utilizzata nell'ambito degli accordiche l'aggregatore può sottoscrivere con i merchant interessati ad includere ipropri contenuti digitali tra quelli che la stessa rende disponibili attraversoil ricorso al mobile remote payment.

All'aggregatorespetta la gestione del processo di acquisto del bene digitale e del processo didisattivazione del servizio, la creazione dell'interfaccia di customerrelationship management destinata ai call center di ciascun operatore, l'attività di reportistica destinata alla funzione marketing, nonché lagestione del c.d. cruscotto self care attraverso il quale il singolo utente puòverificare, in ogni momento, il dettaglio dei propri acquisti e dei relativiaddebiti. Tale ultima modalità consente, inoltre, allo stesso utente di disattivareil servizio, nonché all'aggregatore di fornire un'apposita interconnessione chepermette anche ai customer care degli operatori la consultazione dello storicodegli acquisti effettuati dai clienti con i diversi merchant.

Nell'ambitodell'attività di gestione all'aggregatore è poi attribuita la funzione diconservazione di tutti gli sms di attivazione e disattivazione del servizio.

Conspecifico riguardo all'attività di reportistica l'aggregatore provvede anche arealizzare dei report di verifica che contengono, in forma aggregata, i datirelativi al totale delle transazioni effettuate dagli operatori in undeterminato lasso di tempo, nonché i dati inerenti alla spesa complessivarealizzata rispetto ad ogni singolo merchant. Detti report vengono poi inviati,generalmente con cadenza mensile o bimestrale, sia agli operatori che aimerchant. L'invio a questi ultimi permette infatti di valutare tutti i datirelativi agli acquisti, ai fini dell'emissione delle relative fatture e delladefinizione degli importi da percepire una volta detratte le royaltiesdestinate agli operatori.

Surichiesta dell'operatore, l'aggregatore produce anche un report dettagliato suiclienti che hanno effettuato degli acquisti sui siti web dei merchantattraverso il mobile remote payment, con indicazione del numero di telefoniamobile e del prodotto o servizio digitale acquistato.

Intal caso, le informazioni che l'aggregatore invia all'operatore, con riguardoal prodotto o servizio digitale, non devono riguardare lo specifico contenutorichiesto dall'utente, ma riferirsi esclusivamente alla classe o al genere diappartenenza del servizio o prodotto.

7.2. Informativa.

Tuttele attività connesse alla gestione della piattaforma tecnologica possono esseresvolte dall'aggregatore in veste di responsabile esterno del trattamento deidati personali, designato sia dall'operatore, sia dal merchant ai sensidell'art. 29 del Codice. Conseguentemente, i relativi estremi identificatividevono risultare nell'informativa che i suddetti soggetti sono tenuti arilasciare, in quanto titolari del trattamento, agli utenti (cfr. art. 13,comma 1, lett. f) del Codice).

Inquesta veste l'aggregatore può anche predisporre, per conto dell'operatore, lalanding page prevista per il rilascio dell'informativa e dei consensi darichiedere all'utente.

Inalcuni casi l'aggregatore, sulla base di specifici accordi contrattuali conl'operatore ed il merchant, ha la possibilità di rendere direttamentedisponibili i prodotti e i servizi normalmente offerti da quest'ultimosvolgendo, a tal fine, una serie di attività quali l'organizzazione e l'offertadel contenuto digitale al cliente, l'assistenza al medesimo (in genere previaattivazione di un apposito numero telefonico e/o un indirizzo e-mail), larealizzazione di eventuali campagne o iniziative di comunicazione promozionalesul contenuto digitale offerto.

Inquesto ambito l'aggregatore potrebbe agire sia in veste di responsabile esternodel trattamento dei dati, sia in qualità di titolare autonomo. In tale ultimaipotesi l'aggregatore deve provvedere direttamente a rilasciare all'utenteun'adeguata ed esaustiva informativa ai sensi dell'art. 13 del Codice anche aifini dell'esercizio dei diritti di cui all'art. 7 del Codice da partedell'interessato.

L'informativa,oltre a contenere tutti gli elementi già previsti con riguardo agli adempimentiindividuati in capo all'operatore, deve anche essere adeguatamente evidenziatasecondo le modalità già individuate.

7.3. Consenso.

Comegià evidenziato, il consenso al trattamento dei dati personali dell'utente chefruisce del servizio di mobile remote payment non è necessario ai finidella relativa fornitura, analogamente non deve essere richiestodall'aggregatore per altre finalità realizzate in veste di responsabile esternodel trattamento.

Laddove,invece, l'aggregatore rivesta il ruolo di titolare del trattamento la necessitàdi acquisire il consenso dell'utente sussiste nel caso in cui i dati forniti daquest'ultimo vengano utilizzati per finalità di marketing diretto e/o perfinalità di profilazione, anche nell'ambito di eventuali programmi difidelizzazione, o per comunicazioni a terzi. In questi casi operano tutte ledisposizioni già individuate con riguardo al trattamento svolto dall'operatore,anche in merito alle relative modalità di acquisizione.

7.4. Modalità di erogazione del servizio. Misure di sicurezza.

L'operazionedi acquisto tramite mobile remote payment comporta l'utilizzo da partedell''aggregatore di due modalità di riconoscimento del numero telefonicoassociato al cliente.

Laprima è considerata automatica e si attiva nel caso in cui l'utente, una voltaavuto accesso al sito del merchant (e, quindi, del medesimo hub che offrel'interfaccia tecnologica) per l'individuazione e la selezione del contenutodigitale di cui intende fruire, utilizzi per l'acquisto (mediante smartphone, tablet o dispositivo senza fili) la rete mobile di un operatoreaderente alla piattaforma abilitante.

Intal caso, l'associazione tra il terminale mobile ed il numero ditelefonia mobile avviene immediatamente e l'aggregatore acquisisce il numerodell'utente direttamente dall'operatore, il quale provvede anche alla verificadella disponibilità di credito. Al termine dell'operazione il cliente riceve unsms che conferma l'avvenuto acquisto del prodotto o l'attivazione del servizioin abbonamento.

Laseconda modalità si attiva, invece, qualora l'utente acceda al sito delmerchant, nonché dell'hub, da una rete diversa da quella dell'operatore (comeuna linea wi-fi, ADSL o una rete aziendale), poiché in tal caso deve essereegli stesso ad inserire, in un apposito form, nella pagina web del merchant, ilproprio numero di telefonia mobile e l'operatore telefonico di riferimento.

Terminataquesta fase, il sistema verifica la corretta associazione tra il numerotelefonico e l'operatore e reindirizza l'utente su una pagina web del soggettoaggregatore. Contestualmente, l'utente riceve un sms sul numero indicato,contenente un PIN che funge da password ed abilita all'acquisto, una voltainserito in un apposito form presente all'interno della suddetta pagina web.Eseguita tale operazione, l'utente riceve, anche in questo caso, un sms diconferma dell'acquisto.

Ildescritto processo, che ricade interamente sotto la gestione e la responsabilitàdell'aggregatore, consente di verificare il possesso della sim a cuicorrisponde il numero telefonico in capo all'utente che sta effettuandol'acquisto e, successivamente, di procedere al controllo della disponibilitàdel credito telefonico ai fini della fattibilità dell'operazione.

Comesi è detto, attraverso la piattaforma abilitante viene gestito anche il c.d.servizio "self care" che permette all'utente la consultazione dellostorico degli acquisti effettuati con i diversi merchant e consente, attraversoun'apposita interconnessione realizzata dall'aggregatore, un'analogainterrogazione anche ai customer care degli operatori.

Ilfunzionamento del servizio implica un flusso di dati tra i database dei due hubtecnologici che gestiscono- per aspetti diversi dell'operazione di mobileremote payment (ad esempio reportistica e fatturazione rispetto ad assistenzaalla clientela)- la piattaforma abilitante.

Ulterioriinterrogazioni tra le due banche dati sono inoltre previste nel caso in cui sialo stesso utente ad effettuare la disattivazione del servizio attraverso ilcruscotto self care, nonché per verificare il raggiungimento della sogliamassima di spesa prevista dalla normativa.

Inun quadro così delineato, posto che i due aggregatori operano in tempidifferenti, svolgendo funzioni diverse, si ritiene necessario, con specificoriguardo al corretto trattamento dei dati personali, dar conto di due esigenzee prevedere apposite misure di sicurezza.

Laprima, legata alla confidenzialità del dato, ovvero alla necessità di garantireche il trasferimento di dati da un soggetto all'altro avvenga secondoelevati standard di sicurezza, implica la cifratura del collegamento.

Laseconda esigenza, legata all'accuratezza del dato, implica la necessità che,anche in assenza di un allineamento real time tra le banche dati degliaggregatori, sia l'utente che i customer care degli operatori siano postisempre nella condizione di "ricostruire lo storico degli acquisti" entro un arco temporale non superiore alle 24 ore.

Inoltre,con riguardo alla verifica delle soglie di spesa relative agli acquistieffettuati dall'utente, gli aggregatori devono porre in essere un sistema dicontrolli idoneo a garantire un riscontro istantaneo sull'eventuale superamentodel tetto previsto.

7.5. Dati trattati. Misure di sicurezza.

Leinformazioni contenute nella piattaforma gestita dall'aggregatore riguardano ilnumero telefonico mobile dell'utente, il codice identificativo del prodottodigitale, la descrizione del prodotto digitale, la data e l'ora dell'operazionedi acquisto con il relativo importo, nonché l'esito (positivo-negativo) dellastessa. A tali dati si aggiungono, inoltre, quelli che ineriscono alladisattivazione del servizio, nonché tutti gli sms che riguardano la relativaattivazione e disattivazione.

Sullabase dell'accordo sottoscritto con gli operatori, l'aggregatore mantieneinoltre traccia di tutte le richieste di contenuti/servizi digitali comunqueeffettuate dai clienti, di tutti i contenuti digitali offerti dai merchant(ovvero direttamente se previsto) con indicazione del relativo destinatario,orario, stato di erogazione, oltre alla classe di costo associata a ciascuno diessi.

Rispettoai dati contenuti nella piattaforma tecnologica l'aggregatore deve quindiadottare le medesime misure già individuate con riguardo all'operatore, inparticolare prevedendo la menzionata procedura di strong authentication degli addetti che hanno accesso alla piattaforma e che devono essere nominatiincaricati del trattamento, l'abilitazione all'utilizzo di un'unica chiave diinterrogazione del sistema in merito alle operazioni da effettuare, nonché iltracciamento analitico e dettagliato delle operazioni di accesso.

Lemedesime misure individuate rispetto all'attività dell'operatore devonoprevedersi anche con riguardo ai messaggi di tipo binario che l'aggregatorericeve dallo stesso nel caso di mancato acquisto per insufficienza o carenza dicredito telefonico, ai fini della necessaria gestione dell'operazione e dellasuccessiva attività di reportistica.

Postoche all'aggregatore deve in tal caso pervenire, come già evidenziato,esclusivamente un codice contrassegnato da un numero al quale sia associato unmessaggio del tenore "richiesta rifiutata" oppure "statusko" analoghe indicazioni dovranno risultare nelle relative tabelle internedi ricodificazione, laddove tale soggetto disponga di dati più puntuali edettagliati.

Unasiffatta misura deve ritenersi estesa anche ai criteri di classificazioneinterna dei messaggi di tipo c.d. binario (vero/falso) che, sulla base diquanto rilevato, l'operatore deve inviare con riguardo al dato relativo allaverifica della maggiore età dell'utente che richiede la fruizione di uncontenuto destinato ad un pubblico adulto.

7.6. Conservazione.

Comegià rilevato, i dati personali trattati nell'ambito delle operazioni di mobileremote payment devono essere conservati per un limitato periodo di tempo,proporzionato alle finalità realizzate con il trattamento.

Allaluce di considerazioni del tutto analoghe a quelle già effettuate rispettoall'attività svolta dall'operatore, il periodo massimo di conservazione deidati trattati dall'aggregatore, ivi compresi gli sms di attivazione e didisattivazione del servizio, può quindi essere individuato in sei mesi altermine dei quali gli stessi devono essere cancellati dai relativi sistemi.

Restain ogni caso salva l'ulteriore, specifica, conservazione, necessaria inpresenza di una contestazione anche in sede giudiziale.

Aifini della decorrenza del previsto periodo di conservazione si ritiene inoltrenecessario, anche in questo caso, differenziare gli acquisti on shot dagliabbonamenti, posto che per questi ultimi detto periodo deve cominciare adecorrere dalla scadenza dell'abbonamento stesso.

8. Adempimenti del "merchant".

8.1. Descrizione dell'attività e modalità di erogazionedel servizio.

Attualmente,nell'ambito del mobile remote payment, i merchant che aderiscono al serviziotramite la piattaforma abilitante vendono servizi editoriali (singole copie delquotidiano o servizi in abbonamento anche in formato digitaledition ed e-book), contenuti multimediali in modalità streaming, broadcasting(serie tv e Film) e download, giochi, community e servizi inerenti, nonchéservizi dedicati ad un pubblico adulto.

Ilservizio offerto risulta fruibile dal cliente sia da web, sia da dispositivomobile. Talora, risulta obbligatoria la preventiva registrazione dell'utente alsito web del merchant.

Comesi è già evidenziato, attraverso l'uso del personal computer (ricorrendoalla linea ADSL o wireless) i prodotti possono essere acquistati dall'utentecollegandosi direttamente al sito del merchant e adottando la procedura giàrichiamata con riguardo alle modalità di erogazione del servizio nella sezionededicata al soggetto aggregatore.

Sesi utilizzano, invece, dispositivi mobili la procedura prevista perl'attivazione del servizio risulta essere più immediata in quanto, come visto,una volta che l'utente abbia inserito nella pagina web del merchant il numerodi telefonia mobile e l'operatore di riferimento è quest'ultimo ad effettuareimmediatamente l'associazione tra il terminale mobile ed il numero di telefono.

Inalcuni casi si è potuto constatare che l'utente può avvalersi anchedell'opzione c.d. "multicanale" che consiste nella possibilità difruire del contenuto digitale da più terminali. In tale ipotesi l'utente deveeffettuare una registrazione al sito del merchant, fornendo anche il proprioindirizzo di posta elettronica che viene utilizzato da quest'ultimo sia percomunicazioni di servizio, sia come chiave identificativa.

Nelcontesto delle suddette operazioni, pertanto, i dati trattati dal merchantrisultano essere molteplici e riguardano il numero di telefonia mobile indicatodall'utente all'atto dell'acquisto del contenuto digitale, ovvero comunicatodall'operatore, la data e l'ora dell'operazione, la descrizione del beneacquistato ed il relativo importo, l'identificativo della sessione el'indirizzo IP, nonché, in alcune ipotesi, l'indirizzo di posta elettronicadell'utente.

8.2. Informativa.

Analogamentea quanto già evidenziato, anche nell'informativa che il merchant deve rendereall'utente con riguardo all'acquisto di beni digitali attraverso il ricorso almobile remote payment, deve risultare chiaro il richiamo sia alla finalitàdella fornitura del prodotto o servizio, sia alle ulteriori finalità per lequali i dati personali possono essere trattati.

Intale ultima ipotesi l'informativa deve evidenziare tutti i profili già dettagliatamenteindividuati per l'operatore con riguardo ad eventuali attività di profilazionee marketing diretto, programmi di fidelizzazione, nonché trattamenti di datisensibili e di comunicazione a terzi.

Nell'informativadeve essere altresì presente il richiamo all'esercizio dei diritti sanciti dall'art. 7 del Codice ed il riferimento ai soggetti eventualmentedesignati responsabili del trattamento, con particolare riguardo al ruolosvolto dall'aggregatore, nonché di quelli designati incaricati.

L'informativadel merchant deve inoltre fare espressa menzione del trattamento del datorelativo sia al numero di telefonia mobile dell'utente, sia a quello relativoall'indirizzo di posta elettronica, nonché, se effettuato, del trattamento deldato riferibile all'indirizzo IP, specificando che tali informazioni possonoessere utilizzate, senza acquisire il consenso dell'utente, solo per finalitàdi erogazione del contenuto digitale e di migliore e più efficace gestione delservizio.

Inragione dei vincoli di spazio, legati alle dimensioni degli schermi deiterminali radiomobili normalmente utilizzati per la fruizione di serviziacquistati in modalità mobile payment, all'informativa del merchant deve esseredata idonea evidenza adottando, in particolare, una formula basatasull'approccio c.d. layed, ovvero a strati.

Intal senso, il merchant deve fornire all'utente una prima informativa breve,contenente il riferimento agli elementi essenziali del trattamento, al momentodell'acquisto del prodotto o servizio digitale prevedendone l'inserimentoall'interno di un'apposita sezione della pagina web ed un'ulterioreinformativa, più lunga e dettagliata, alla quale il cliente potrà accedereselezionando, nella suddetta pagina, uno specifico link.

8.3. Consenso.

Investe di titolare autonomo del trattamento il merchant deve acquisire ilconsenso dell'utente con riguardo a tutti i trattamenti, già individuatirispetto all'operatore eventualmente svolti per finalità di marketing direttoe/o per finalità di profilazione (anche nell'ambito di programmi difidelizzazione), ovvero di comunicazione dei dati a soggetti terzi, o, ancora,di dati sensibili.

Lemodalità di acquisizione del consenso possono essere analoghe a quelle giàindividuate con riguardo all'operatore anche rispetto a quello da fornire periscritto o con modalità telematica equiparabile allo scritto ove si trattinodati sensibili.

8.4. Dati trattati. Misure di sicurezza.

Comesi è evidenziato, i dati trattati dal merchant nell'ambito delle operazioni dimobile remote payment spaziano dal numero di telefonia mobile dell'utente,all'indirizzo IP sino, eventualmente, al relativo indirizzo di postaelettronica.

Ilmerchant detiene altresì un codice identificativo della causa della mancataerogazione del servizio sia per ragioni di ordine tecnico, che per mancanza oinsufficienza di credito telefonico. Anche con riguardo al trattamento dei datiche individuano tale ultima causa valgono le considerazioni già espresse perl'operatore cui incombe l'obbligo di inviare un messaggio privo di riferimentispecifici alle motivazioni di carattere economico per le quali l'operazione diacquisto non è andata a buon fine.

Ancherispetto alla fruizione di materiale destinato ad un pubblico adulto, almerchant che richiede all'operatore la verifica dell'età dell'utente, devepervenire un messaggio di tipo binario che si limiti all'indicazione delsuddetto dato senza alcun riferimento alle motivazioni della richiesta o allatipologia del contenuto.

Nellesituazioni sopra descritte anche il merchant dovrà adottare, in caso ditrasmissione di informazioni specifiche, criteri di codificazione interna chenon consentano di classificare in maniera puntuale le cause della mancataerogazione del servizio, ovvero della relativa richiesta nell'ipotesi dicontenuti sensibili.

Lamedesima ratio deve essere richiamata con riguardo al livello diprofondità e di dettaglio dei dati che il merchant trasmette a propria voltaall'operatore, nel senso che le tabelle inviate a quest'ultimo non devonocontenere dati immediatamente identificativi dello specifico contenuto digitaleacquistato dall'utente, essendo sufficiente la menzione della sola categoriamerceologica di appartenenza.

Ciòin quanto, giova ribadirlo, determinati beni digitali sono già di per sé idoneia rivelare dati sensibili dell'utente come può accadere, ad esempio, per queicontenuti editoriali da cui possono facilmente dedursi gli orientamentipolitici dell'utente, ovvero quando le peculiarità stesse dell'attività svoltadal merchant, risultano un chiaro indicatore di gusti e preferenze di consumodell'utenza, come nel caso di fornitura di materiale destinato solo ad unpubblico adulto.

Intal senso idonee misure di sicurezza sono costituite dall'applicazionesull'anagrafica del bene digitale, censito nella banca dati interna delmerchant, di un criterio di codificazione, nonchè dall'uso di report aggregatida inviare all'operatore.

Rispettoai dati presenti nel database del merchant ed al relativo accesso da parte deisoggetti addetti al relativo trattamento nell'ambito dell'attività dicustomer care, valgono tutte le indicazioni già individuate per l'operatore, e,in particolare, la nomina di tali soggetti ad incaricati ai sensi delmenzionato art. 30 del Codice, la disponibilità di chiavi di decifrazione deidati solo rispetto alla suddetta attività di assistenza alla clientela,l'adozione di una procedura di strong authentication ed il tracciamentoanalitico e dettagliato delle operazioni effettuate, nonché il ricorsoall'utilizzo di una sola chiave di interrogazione del sistema.

Conspecifico riguardo al dato costituito dal numero di telefonia mobiledell'utente, posto che il merchant ne dispone nell'ambito della sessione dinavigazione al proprio sito per la fase di pagamento immediatamente successivaalla scelta del bene, per eventuali contestazioni in merito alla relativafruizione, nonché per attività di customer care, occorre evidenziare che iltrattamento è ammissibile senza l'acquisizione del consenso dell'utente soloper tali specifiche finalità, proprio in quanto connesse all'erogazione delservizio e alla corretta gestione del medesimo.

Ancheil trattamento del dato relativo all'indirizzo di posta elettronica dell'utenteche alcuni fornitori di contenuti digitali richiedono di inserire nellarelativa pagina web implica analoghe considerazioni.

Taledato viene infatti utilizzato per inviare al cliente un messaggio diriscontro dell'avvenuta operazione di acquisto, nonché le istruzioni peraccedere al contenuto digitale, consentendo al merchant di gestire meglioil servizio ed il rapporto con l'utente, anche rispetto alla risoluzione dieventuali contestazioni legate alla mancata o insoddisfacente fruizione delbene.

Aciò si aggiunge inoltre la possibilità di garantire all'utente ildisaccoppiamento tra il canale di pagamento ed il canale di fruizione delcontenuto, consentendogli di pagare il bene digitale attraverso il propriocredito telefonico e di fruirne su qualsiasi altro terminale, in quanto ilcontenuto acquistato può essere recuperato in qualsiasi momento, accedendo allink indicato nell'e-mail che il merchant invia all'indirizzo di postaelettronica fornito dall'interessato.

Un'ulteriorepossibilità offerta è poi quella di arricchire nel tempo il contenutoacquistato attraverso aggiornamenti ed altre informazioni, che non sarebbealtrimenti possibile offrire all'utente se si vincolasse la fruizione delcontenuto al terminale con il quale quest'ultimo effettua il pagamento e almomento in cui lo stesso contenuto è scaricato.

Inun contesto come quello rappresentato anche l'utilizzo da parte del merchantdell'indirizzo di posta elettronica dell'utente deve essere limitato a talispecifiche finalità e alla migliore e più efficace gestione del servizio.

Anchecon riguardo all'eventuale utilizzo dell'indirizzo IP da parte del merchant,deve precisarsi che, se trattato, tale dato deve essere utilizzatoesclusivamente ai fini della navigazione dell'utente sul relativo sito, nonchédell'"instradamento" del bene digitale richiesto. I merchant nonrientrano, infatti, tra le categorie di soggetti che possono conservaretale dato ai sensi delle citate direttive del Parlamento europeo e delConsiglio 2002/58/CE del 12 luglio 2002 e 2006/24/CE del 15 marzo 2006.

8.5. Conservazione.

Conriguardo alla conservazione dei dati personali trattati nell'ambito delleoperazioni di mobile payment da parte del merchant anche per quest'ultimovalgono le medesime considerazioni e le conseguenti indicazioni individuaterispetto all'operatore. Pertanto il periodo massimo di conservazione deveindividuarsi in sei mesi al termine dei quali il merchant deve provvedere allacancellazione, ferma restando l'ulteriore specifica conservazione necessaria inpresenza di una contestazione anche in sede giudiziale.

Dettoperiodo per gli acquisti in abbonamento comincia poi a decorrere dalla scadenzadell'abbonamento stesso.

Conspecifico riguardo all'indirizzo IP dell'utente, tale dato deve, invece, essereimmediatamente cancellato dai sistemi del merchant, una volta terminata laprocedura di acquisto del contenuto digitale.

8.6. Notificazione del trattamento.

Restainteso che, laddove ne ricorrano i presupposti, i trattamenti effettuatinell'ambito delle operazioni di mobile remote payment dovranno esserenotificati ai sensi dell'art. 37 del Codice.

8.7. Richiesta di verifica preliminare.

Restaaltresì inteso che per ulteriori, specifici, trattamenti ed eventuali misure edaccorgimenti, previsti nell'ambito delle operazioni di mobile remote paymentdiversamente da quanto individuato nel presente provvedimento, sarà necessariopresentare al Garante una richiesta di verifica preliminare ai sensi dell'art.17 del Codice, indicando nel dettaglio i trattamenti da effettuare,specificando le relative finalità nonché le tipologie di dati che si intendautilizzare.

TUTTO CIO' PREMESSO, IL GARANTE

aisensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a tutti ititolari che effettuato trattamenti di dati personali nell'ambito delleoperazioni di mobile remote payment, nel rispetto dei principi generali dipertinenza, non eccedenza, correttezza e buona fede di cui all'art. 11 delCodice, l'adozione delle misure e degli accorgimenti individuati nel presenteprovvedimento e specificamente:

1)con riguardo agli adempimenti dell'operatore, ovvero del fornitore di reti eservizi di comunicazione elettronica accessibili al pubblico, tutte le misureindicate ai punti 6.2.; 6.3.; 6.4; 6.5. e 6.6.;

2)con riguardo agli adempimenti del soggetto aggregatore, ovvero del c.d. hub-tecnologico, tutte le misure indicate ai punti 7.2.; 7.3.; 7.4.; 7.5. e 7.6.;

3)con riguardo agli adempimenti del merchant, ovvero del fornitore di contenutidigitali, tutte le misure indicate ai punti 8.2.; 8.3.; 8.4. e 8.5.

Avversoil presente provvedimento può essere proposta opposizione ai sensi degli artt.152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autoritàgiudiziaria ordinaria, in particolare al tribunale del luogo ove risiede iltitolare del trattamento, da presentarsi entro il termine di trenta giornidalla data della sua comunicazione ovvero di sessanta giorni se il ricorrenterisiede all'estero.

Sidispone la trasmissione di copia del presente provvedimento al Ministero dellagiustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nellaGazzetta Ufficiale della Repubblica italiana.

Roma, 12 dicembre 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia