| Garante per la protezione dei dati personali
Provvedimento generale in materia ditrattamento dei dati personali nell'ambito dei servizi di mobile remote payment PROVVEDIMENTO DEL 22 MAGGIO 2014 (Pubblicato sulla Gazzetta Ufficiale n. 137 del 16giugno 2014) Registro dei provvedimenti n. 258 del 22 maggio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice"); VISTAla direttiva 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre2007, relativa ai servizi di pagamento nel mercato interno ("PaymentService Directive"), recante modifica delle direttive 97/7/CE; 2002/65/CE;2005/60/CE e 2006/48/CE che abroga la direttiva 97/5/CE (di seguito PSD); VISTOil decreto legislativo n. 11 del 27 gennaio 2010 (pubblicato sul Supplementoordinario alla Gazzetta Ufficiale n. 36 del 13 febbraio 2010), di recepimentodella PSD; VISTAla direttiva 2009/110/CE, del Parlamento europeo e del Consiglio concernentel'avvio, l'esercizio e la vigilanza prudenziale dell'attività degli istituti dimoneta elettronica, ("e-Money Directive") recante modifica delledirettive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE (diseguito EMD); VISTOil decreto legislativo n. 45 del 16 aprile 2012 (pubblicato sulla GazzettaUfficiale n. 99 del 24 aprile 2012), di recepimento della EMD; VISTIi provvedimenti della Banca d'Italia del 5 luglio 2011 di "Attuazione delTitolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizidi pagamento (Diritti e obblighi delle parti)" e del 15 febbraio 2010recante le "Disposizioni di vigilanza per gli istituti di pagamento"; VISTOil Libro verde della Commissione europea dell'11 gennaio 2012 "Verso unmercato europeo integrato dei pagamenti tramite carte, internet e telefonomobile"; VISTAla Proposta di risoluzione del 20 novembre 2012 del Parlamento europeo sulLibro verde della Commissione europea; VISTOil decreto legge n. 201 del 6 dicembre 2011, recante ''Disposizioni urgenti perla crescita, l'equità e il consolidamento dei conti pubblici'' (pubblicatosulla Gazzetta Ufficiale n. 284 del 6 dicembre 2011 – Suppl. Ordinario n.251) c.d. "Decreto SalvaItalia", convertito con modificazioni dallal. 22 dicembre 2011, n. 214 (pubblicata sulla Gazzetta Ufficiale n. 300 del 27dicembre 2011 - Suppl. Ordinario n. 276) e, in particolare, l'art 12 (comma 4)"Riduzione del limite per la tracciabilità dei pagamenti a 1.000 euro econtrasto all'uso del contante" con riguardo ai nuovi prestatori diservizi di pagamento; VISTOil decreto legge n. 179 del 18 ottobre 2012, recante "Ulteriori misureurgenti per la crescita del Paese" (pubblicato sulla Gazzetta Ufficiale n.245 del 19 ottobre 2012 – Suppl. Ordinario n. 194/L), c.d. "Decretosviluppo-bis", convertito con modificazioni dalla l. n. 221 del 17dicembre 2012 (pubblicata sulla Gazzetta Ufficiale n. 294 del 18 dicembre 2012 –Suppl. Ordinario n. 208) e, in particolare, l'art. 8 "Misure perl'innovazione dei sistemi di trasporto" e l'art. 15 "Pagamentielettronici" che, tra l'altro, ha sostituito, al comma 1, l'art. 5 deldecreto legislativo 7 marzo 2005, n. 82 recante il "Codicedell'amministrazione digitale"; VISTOil decreto ministeriale n. 145 del 2 marzo 2006, "Regolamento recante ladisciplina dei sevizi a sovrapprezzo" (pubblicato sulla Gazzetta Ufficialen. 84 del 10 aprile 2006); VISTOil Libro bianco dell'European Payments Council del 19 giugno 2013 sui sistemi mobili di pagamento (mobile wallet payments); VISTAla "Proposta di Direttiva del Parlamento Europeo e del Consiglio relativaai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2013/36/UE e 2009/110/CE e che abroga la direttiva 2007/64/CE" della Commissione europea del 24 luglio 2013; VISTIgli emendamenti del Parlamento Europeo alla suddetta proposta di direttiva,approvati il 3 aprile 2014; VISTOil parere del Garante europeo della protezione dei dati sulla medesimaproposta, pubblicato sulla Gazzetta ufficiale dell'Unione europea dell'8febbraio 2014 (2014/C38/07) e sul sito del GEPD http://www.edps.europa.eu; VISTAla direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio2002 "relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche (direttiva relativa allavita privata e alle comunicazioni elettroniche)"; VISTAla direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo2006 "riguardante la conservazione di dati generati o trattati nell'ambitodella fornitura di servizi di comunicazione elettronica accessibili al pubblicoo di reti pubbliche di comunicazione e che modifica la direttiva2002/58/CE"; VISTAla decisione della Corte di Giustizia dell'Unione Europea dell'8 aprile2014 n. 54/2014, in riferimento alle cause riunite C-293/12 e C-594/12,che ha dichiarato l'invalidità della direttiva 2006/24/CE; VISTOil provvedimento del Garante del 15 maggio 2013 sul VISTOil VISTOil d.P.R. del 28 dicembre 2000, n. 445, recante il Testo unico delledisposizioni legislative e regolamentari in materia di documentazioneamministrativa (pubblicato sulla Gazzetta Ufficiale n. 42 del 20 febbraio2001); RITENUTOOPPORTUNO fornire le necessarie indicazioni rispetto al trattamento dei datipersonali degli utenti che si avvalgono di servizi di pagamento o trasferimentodi denaro tramite telefono cellulare, c.d. mobile payment; VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO Ilricorso alle potenzialità del mobile payment, ovvero dei servizi checonsentono di gestire gli acquisti ed i relativi pagamenti di beni sia digitaliche fisici tramite un terminale mobile, la cui diffusione ha negli ultimi anni,grazie alla continua evoluzione della tecnologia, radicalmente modificato ilsettore del commercio tradizionale ed elettronico ha aperto, anche nel nostroPaese, nuove prospettive. Ciò ha determinato un'accelerazione della conclusionedelle transazioni commerciali ed un'accentuazione dei processi dismaterializzazione dei trasferimenti di denaro, ampliando, altresì, latipologia dei prodotti e servizi fruibili attraverso il ricorso al mobilepayment e la platea dei soggetti che operano in questo ambito, nonché laquantità di dati personali trattati. Iservizi di mobile payment, classificabili nelle due principali categorie delmobile remote payment e del mobile proximity payment, riguardano,rispettivamente, le operazioni di pagamento di un bene o servizio tra esercentee cliente, attivate da quest'ultimo a distanza attraverso il telefono cellularee le operazioni di pagamento eseguite dal cliente avvicinando il dispositivomobile, dotato di tecnologia NFC (Near Field Communication che fornisceconnettività wireless bidirezionale a corto raggio) ad un apposito lettore POS(point of sale), posto presso il punto vendita dell'esercente da cui siacquista il bene. Sitratta di passi importanti nel settore dei micropagamenti rispetto all'uso delcontante, da cui discendono valutazioni che riguardano anche il trattamento deidati personali degli interessati. Seinfatti, da un lato, si pongono le facilitazioni delle modalità di acquistoattraverso il terminale mobile ed un possibile risparmio dei costi propri delletransazioni effettuate con carte di pagamento, dall'altro non possonotrascurarsi i profili che investono il corretto utilizzo e la sicurezza delleinformazioni di carattere personale che l'utente deve fornire per fruire deinuovi servizi di pagamento. Ilmobile payment ed il conseguente ricorso sia a reti di comunicazioneelettronica, sia a tecnologie come la NFC (che, con riguardo alla modalitàproximity, saranno richiamate in un apposito provvedimento dell'Autorità)implica, infatti, il trattamento di una serie di dati personali dell'utente nonsolo di carattere identificativo ma, potenzialmente, anche di natura sensibile.Ciò con la conseguenza che tale trattamento, oltre a svolgersi nel rispettodella disciplina sulla protezione dei dati personali e, in particolare, deiprincipi generali di liceità, pertinenza e non eccedenza, di correttezza ebuona fede sanciti dal Codice (cfr. art. 11 ), deve essere improntato anche alrispetto del presente provvedimento generale. Ilprovvedimento dell'Autorità è difatti volto ad individuare le prescrizionidirette ai diversi soggetti coinvolti nelle operazioni di pagamento tramitetelefonia mobile, allo scopo di prevenire i rischi connessi ad un utilizzoimproprio dei dati personali degli utenti che intendono avvalersi del mobileremote payment. Ladirettiva 2007/64/CE, c.d. PSD (recepita a livello interno dal d.lg. n.11/2010), ha aperto il mercato dei servizi di pagamento anche ad operatori dimatrice non bancaria nell'ottica, non solo di armonizzare il relativo quadrogiuridico, superando la frammentazione normativa delle singole realtànazionali, ma di definire nuovi profili di efficienza, parità e sicurezza pertutti i portatori di interessi in tale ambito. LaPSD indica, tra l'altro, le condizioni per autorizzare i nuovi soggetti nonbancari all'esercizio di un servizio di pagamento all'interno dell'UE,prevedendo, in particolare, che i nuovi istituti di pagamento possano operarecome intermediari di pagamento, previa autorizzazione delle Autoritàcompetenti, nell'ambito di un "regime semplificato" rispetto a quellodegli istituti bancari. Difatti,nella sua attuale configurazione, la direttiva, nel definire i "servizi dipagamento" rimandando alle attività commerciali elencate nel relativoallegato (cfr. art. 4, punto 3 che rinvia al punto 7 dell'Allegato) consenteagli operatori del sistema o della rete di telecomunicazioni o digitale o informaticadi agire nella veste di intermediari tra l'utilizzatore di servizi di pagamentoche usa un dispositivo di telecomunicazione digitale o informatico ed ilfornitore di beni e servizi (cfr. anche l'art. 1, comma 1, lett. b), punto 7del decreto interno di recepimento). Tale attività rientra nell'ambito diquelle definite nel c.d. positive scope. Dalperimetro di applicazione delle previsioni comunitarie e delle conseguentidisposizioni interne restano invece escluse le operazioni di pagamento, eseguitetramite il suddetto dispositivo, che si riferiscono all'acquisto di beni eservizi digitali, la cui consegna o il cui utilizzo siano effettuatimediante tale dispositivo gestito dall'operatore di telecomunicazione digitaleo informatico, quando quest'ultimo non agisca esclusivamente come merointermediario autorizzato del pagamento tra l'utente ed il fornitore di beni eservizi (cfr. l'art. 3, lett. l) della PSD e l'art. 2, comma 2, lett. n) deld.lg. n. 11/2010, a sua volta richiamato al par. 2.2.9 del menzionatoprovvedimento della Banca d'Italia del 5 luglio 2011), ma svolga una serie diulteriori funzioni. Talifunzioni possono rinvenirsi in quelle di accesso, ricerca e distribuzione delcontenuto digitale e si atteggiano in modo tale che la relativa assenza nonconsentirebbe all'utente di fruirne con le medesime modalità sopra descritte.Viene così a delinearsi il c.d. negative scope, ovvero lo spazio delle deroghenel quale ricadono quelle attività non classificate come servizi di pagamentoche possono essere prestate dagli operatori del sistema o della rete ditelecomunicazioni o digitale o informatica (da intendersi come fornitori direti e servizi di comunicazione elettronica accessibili al pubblico), senzal'obbligo di diventare o agire come un intermediario di pagamento. Taleesclusione consente quindi all'operatore, sotto un profilo di significativainnovazione, di intervenire nel settore dei pagamenti elettronici ancheprestando direttamente un servizio attraverso la propria rete di telecomunicazione. Inquesto senso la PSD (Considerando 6), nel precisare l'opportunità che il quadrogiuridico disciplinato non si applica quando l'attività dell'operatore va al dilà della semplice operazione di pagamento, richiama le menzionate funzioni diaccesso, distribuzione o consultazione proprio in termini di "valoreintrinseco" che tale soggetto può aggiungere al contenuto dei benidigitali offerti all'utente. Conriguardo al quadro normativo sopra delineato occorre dar conto dei recenticambiamenti previsti a livello europeo, rispetto al vigente acquis legislativoe regolamentare in materia di servizi di pagamento. Cisi riferisce alla proposta della Commissione europea del 24 luglio 2013 diriesame della "e-Money Directive" e di inglobamento ed abrogazionedella "Service Payment Directive", al precipuo scopo di aggiornare l'assetto giuridico in materia di servizi di pagamento nell'ambitodell'UE, "in un'epoca in cui la distinzione tra istituti di pagamento eistituti di moneta elettronica è sempre meno netta e si assiste allaconvergenza delle tecnologie e dei modelli commerciali" e di rispondere almeglio alle esigenze di un vero e proprio mercato integrato che favorisca laconcorrenza, l'innovazione e la sicurezza. Taliobiettivi erano del resto già emersi nel gennaio 2012, a seguito dellapubblicazione, da parte della Commissione, del Libro Verde "Verso unmercato europeo integrato dei pagamenti tramite carte, internet e telefonomobile", nonché degli esiti della successiva consultazione pubblica cheaveva registrato un ampio numero di contributi sulle possibili esigenze dimodifica del vigente quadro dei pagamenti. Allaluce degli scopi e degli ostacoli individuati nel Libro verde, il Parlamentoeuropeo ha poi, con la risoluzione adottata il 20 novembre 2012,richiesto una riforma del modello di governance dell'area unica dei pagamentiin euro, in linea con l'agenda digitale e, in particolare, con la creazione diun mercato unico del digitale. Inquesto quadro, l'analisi condotta nell'ambito della menzionata proposta diinglobamento ed abrogazione della PSD ha fatto emergere, tra l'altro,l'intenzione di ridefinire il dettato degli artt. 3 e 4 della direttiva tantosotto il profilo soggettivo, quanto sotto quello oggettivo, evidenziando unanuova, possibile, prospettiva che tende a delimitare l'esenzione relativa aicontenuti digitali esclusivamente ai servizi di pagamento accessori, prestatidai fornitori di reti o di servizi di comunicazione elettronica sulla base di determinatesoglie di pagamento. Ciònondimeno, in attesa di conoscere se e quali saranno gli effettivi esiti dellaproposta e che implicazioni essa comporterà nel nostro ordinamento interno,giova ribadire che lo scopo del presente provvedimento, il quale si basasull'attuale assetto normativo del settore, è quello di garantire, in unmercato dei pagamenti sempre più dinamico, un uso sicuro e al contempoefficace delle informazioni che riguardano gli utenti. Inquest'ottica l'Autorità ha peraltro condotto una serie di attività ispettivenell'ambito della fornitura di servizi di mobile remote payment, così daindividuare eventuali profili di criticità e prevedere misure opportune esempre più mirate ad una tutela effettiva dei dati personali, fornendo altresìutili strumenti di intervento a tutti i soggetti coinvolti. Attualmentele operazioni di mobile remote payment, ricorrendo le circostanze sopramenzionate, vedono coinvolti diversi soggetti, tra cui i fornitori di reti eservizi di comunicazione elettronica accessibili al pubblico, per l'acquisto dicontenuti digitali tramite terminale mobile, ovvero, anche a seguito degliinterventi normativi di cui al citato "Decreto Sviluppo bis", dititoli digitalizzati che possono consentire all'utente l'accesso a servizi diutilità sociale o a servizi in mobilità. Rispetto a questi ultimi iprofili legati al trattamento dei dati personali saranno oggetto di un appositoprovvedimento del Garante, così come altre considerazioni dell'Autoritàpotranno investire ambiti di utilizzo di dati personali che prevedono ilricorso a tecnologie diverse e tradizionali e altri servizi di pagamento. Pertanto,proprio in uno scenario così in evoluzione, si è ritenuto opportunoindividuare, nell'ambito del presente provvedimento, un contesto operativo,un'architettura tecnico-organizzativa di riferimento ed i possibiliruoli dei soggetti coinvolti nel processo di erogazione del servizio di mobileremote payment. Inparticolare, l'ambito individuato riguarda l'offerta da parte dei fornitori direti e servizi di comunicazione elettronica accessibili al pubblico (di seguitooperatori) di prodotti e di servizi digitali (singoli prodotti o servizi inabbonamento) fruibili dall'utente tramite smartphone, tablet e PC, attraversoservizi di micropagamento (secondo quanto previsto dal d.m. n. 145/2006)mediante terminale mobile. Lamenzionata architettura prevede la costituzione di una apposita piattaformatecnologica destinata alla gestione delle nuove modalità di pagamentoattraverso l'addebito e la conseguente decurtazione del costo del contenutodigitale richiesto dal credito telefonico, per gli utenti dotati di una cartaricaricabile, ovvero l'addebito sul conto telefonico, per quelli che abbianosottoscritto un contratto di abbonamento con l'operatore di riferimento. Iprocessi gestionali legati all'operatività della piattaforma implicano, infine,sotto il profilo soggettivo, l'intervento, oltre che degli operatori e deifornitori dei contenuti digitali disponibili (di seguito merchant), di appositihub preposti a svolgere generalmente, tra gli uni e gli altri, il ruolo di"interfaccia" tecnologica (di seguito aggregatori). Lesuddette considerazioni non intendono, tuttavia, limitare l'applicazione delpresente provvedimento, il quale si rivolge all'intero contesto in cui puòrealizzarsi un'operazione di mobile remote payment volta all'acquisto di beni eservizi digitali, quindi anche attraverso altri scenari tecnologici ed altreconfigurazioni soggettive. Difatti sono da considerarsi ricompresi, nell'ambitodi riferimento delle misure che vengono indicate dall'Autorità, anche altrisoggetti diversi dagli operatori telefonici, dai merchant e dagli aggregatori,i quali, tramite proprie applicazioni ovvero applicazioni sviluppate da terzeparti abilitate, consentono l'accesso ad un mercato di beni digitali, offrendoall'utente la possibilità di acquistare contenuti, giochi o programmiinformatici di varia natura mediante l'utilizzo del credito telefonico. Comeevidenziato, nel contesto dei servizi di mobile remote payment attualmenteofferti agli utenti può individuarsi la figura dell'operatore che, alla lucedella disciplina comunitaria ed interna, è in grado di fornire alla propriaclientela un servizio di pagamento tramite telefono cellullare per l'acquistodi contenuti digitali attraverso l'utilizzo di una carta telefonicaricaricabile, ovvero sulla base di un abbonamento telefonico. Accantoa tale soggetto, lo scenario si può arricchire, come detto, della presenza dialtri player come l'aggregatore, ovvero il soggetto o i soggetti che mettono adisposizione e gestiscono la piattaforma abilitante per la fruizione deiprodotti e servizi digitali ed il merchant, ovvero il fornitore deicontenuti digitali offerti a vario titolo all'utente. Utenteo cliente è invece il soggetto titolare di una USIM prepagata o postpagata. Rispettoalla tipologia dei dati trattati nell'ambito del mobile remote payment si èdetto che il pagamento dei contenuti digitali avviene attraverso il telefonomobile e che il cliente può fruirne sia direttamente sul proprio smartphone,sia su altri tipi di terminali (ad es. tablet e PC). Attraversoil mobile remote payment vengono trattate numerose informazioni riferibiliall'utente che riguardano, in particolare, i dati relativi allanumerazione telefonica, i dati anagrafici, i dati legati alla tipologia delservizio o del prodotto digitale richiesto ed al relativo importo. Adessi si aggiungono i dati inerenti alla sottoscrizione ed alla revoca delservizio, quelli relativi agli addebiti degli acquisti nella fattura o sullacarta prepagata e, eventualmente, quelli di posta elettronica richiesti per unamaggiore fruibilità del contenuto digitale, nonché l'indirizzo IP dell'utente. Aisuddetti dati se ne possono peraltro aggiungere altri, anche di naturasensibile (cfr art. 4 comma 1, lett. d) del Codice), legati alla fruizione delcontenuto o del servizio digitale. Stantela varietà e molteplicità dei dati suscettibili di trattamento nel quadro delleoperazioni sopra descritte possono, quindi, facilmente emergere profili dirischio per i diritti e le libertà fondamentali, nonché per la dignità deisoggetti interessati. Comegià rilevato nelle premesse del presente provvedimento l'offerta di contenutidigitali, fruibili dall'utente su smartphone, tablet, personal computer,notebook e laptop, tramite il proprio credito telefonico può essere resadisponibile da parte dell'operatore, attraverso un'apposita piattaformatecnologica. Ibeni e servizi digitali proposti possono essere diversi e, riguardare adesempio, copie di quotidiani on-line (one shot o in abbonamento), contenutimusicali e video, social games, contenuti riferiti ad un "pubblicoadulto". Lagestione della piattaforma abilitante può essere affidata ad uno o più soggettitecnologici il cui ruolo consiste nella messa a punto di un'interfaccia tra imerchant e gli operatori che consente all'utente di acquistare il contenutodigitale e di portare a termine l'operazione di pagamento, previa decurtazionedel costo dalla scheda prepagata, ovvero addebito in abbonamento. Conriguardo alle operazioni di acquisto di beni e servizi digitali attraverso ilmobile remote payment l'operatore deve rendere agli utenti un'informativachiara e completa degli elementi di cui all'art. 13 del Codice. Inparticolare, oltre al richiamo alla finalità di erogazione del servizioattraverso la nuova modalità, l'informativa deve specificare se i datipersonali dell'utente sono trattati anche per scopi ulteriori, ovvero per finalità di marketing, quali invio di materiale pubblicitario o di venditadiretta o per il compimento di ricerche di mercato o di comunicazionecommerciale (ex artt. 7, comma 4, lett. b) e 140 del Codice), specificando, sele suddette attività vengono effettuate anche attraverso il ricorso a modalitàautomatizzate di contatto (quali, ad esempio, fax, email, sms o mms). Unulteriore richiamo deve riguardare i trattamenti di profilazione, anchenell'ambito di eventuali programmi di fidelizzazione e di comunicazione deidati a soggetti terzi. Rispettoa tale ultimo profilo l'informativa deve chiarire che la trasmissione delnumero di telefonia mobile dell'utente al merchant nell'ambito delle operazionidi mobile remote payment è effettuata esclusivamente per consentire aquest'ultimo un'efficace gestione del servizio con riferimento alle necessarieattività di assistenza alla clientela. Sianel caso in cui vengano svolte attività di marketing, sia in quello in cui sieffettui un'attività di profilazione o, ancora, di comunicazione dei dati aterzi, nell'informativa rilasciata dall'operatore dovrà risultare chiaramenteche dette attività possono svolgersi solo previa acquisizione del consenso espresso, libero e specifico dell'utente per ciascuna finalità del trattamento,sulla base di quanto dispone l'art. 23 del Codice e, nel caso in cui si ricorraa modalità automatizzate di contatto, sulla base dell'art. 130 del Codice,tenuto conto di quanto evidenziato dall'Autorità nel citato provvedimento del15 maggio 2013 (pubblicato anche sul sito istituzionale www.garanteprivacy.it, doc. web. n. 2543820). Un'ulteriore,espressa, indicazione deve poi riguardare l'esercizio da parte dell'utente deidiritti sanciti dall'art. 7 del Codice. Nell'informativadeve inoltre emergere la chiara indicazione del titolare del trattamento e delsoggetto o dei soggetti designati responsabili ai sensi dell'art. 29 delCodice, in particolare avuto riguardo al ruolo dell'hub tecnologico che puòanche agire in veste di responsabile esterno del trattamento, nonché deisoggetti incaricati del trattamento ai sensi dell'art. 30 del Codice.Analogamente, deve risultare chiaro all'utente l'eventuale rapporto dico-titolarità tra l'operatore ed il merchant. L'informativadeve anche richiamare l'eventuale utilizzo di dati di natura sensibile da partedell'operatore e le relative modalità di trattamento. L'informativadeve essere rilasciata al momento dell'iscrizione o adesione dell'utente aiservizi fruibili tramite mobile remote payment. Postii vincoli di spazio, legati alle dimensioni degli schermi dei terminali mobilinormalmente utilizzati per la fruizione di tali servizi, all'informativa deveessere data idonea evidenza adottando, in particolare, una formula basatasull'approccio c.d. layered, ovvero a strati. Intal senso, all'utente dovrà essere fornita una prima informativa breve,contenente il riferimento agli elementi essenziali del trattamento (tra i qualialmeno, l'indicazione delle finalità e gli estremi identificativi deltitolare), da inserirsi all'interno di un'apposita sezione della pagina webdell'operatore, ovvero nella landing page predisposta dall'aggregatore ed un'ulteriore informativa, più lunga e dettagliata, alla quale il cliente potràaccedere selezionando, nella suddetta pagina, uno specifico link. Ilconsenso al trattamento dei dati personali dell'utente che fruisce del serviziodi mobile remote payment non è necessario ai fini della relativafornitura, stante il disposto dell'art. 24, comma 1, lett. b) del Codice. Investe di titolare del trattamento l'operatore deve invece acquisire il consensodell'utente nel caso in cui i dati forniti da quest'ultimo, riferibili agliacquisti effettuati, vengano utilizzati per finalità di marketing diretto e/oper finalità di profilazione, anche nell'ambito di eventuali programmi difidelizzazione. Il consenso dell'utente deve essere richiesto anche nel caso dicomunicazione dei dati a soggetti terzi. Rispettoalle suddette finalità l'utente deve rilasciare specifici e distinti consensi,secondo quanto disposto dal citato art. 23 del Codice e dall'art. 130 nel casoin cui si ricorra a modalità automatizzate di contatto. Ilconsenso dell'utente può essere espresso tramite un flag da inserire in unaspecifica casella presente in una apposita sezione della pagina webdell'operatore, ovvero nella landing page predisposta dall'aggregatore, oppureattraverso altre idonee modalità informatiche. Laddovedalla fruizione del contenuto o del servizio digitale sia possibile dedurre unorientamento dell'utente che implichi il trattamento di dati di naturasensibile, il consenso dell'interessato deve essere manifestato per iscritto,ovvero con altra modalità telematica equiparabile allo scritto, nel rispetto diquanto previsto dall'art. 26, comma 1, del Codice. In tal senso lamodalità telematica equiparabile allo scritto può implicare, oltre al ricorsoad un documento sottoscritto con firma elettronica qualificata o digitale,anche il ricorso a forme alternative più diffuse, secondo quanto previsto dalmenzionato d.P.R. n. 445/2000. Inogni caso resta ferma la possibilità, per il titolare del trattamento, diindividuare forme alternative di manifestazione del consenso che possanosupplire alle modalità previste dalla normativa e che l'Autorità si riserva divalutare ai sensi dell'art. 17 del Codice. Aseguito dell'avvio dell'operazione di acquisto del bene digitale l'operatore,oltre al numero di telefonia mobile dell'utente, ai relativi dati anagrafici ea quelli legati al contratto di attivazione del servizio, acquisisce i datirelativi alla data e all'ora dell'operazione, nonché quelli che riguardanol'indicazione del prodotto digitale richiesto ed il relativo importo. Lecategorie merceologiche di riferimento dei prodotti digitali offerti sononormalmente definite dal merchant il quale deve limitarsi a trasmetterleall'operatore senza alcun riferimento allo specifico contenuto del prodotto oservizio fornito. Intal senso, una misura che anche l'operatore deve adottare, al fine di garantireil corretto trattamento delle informazioni relative al prodotto o serviziorichiesto dall'utente è quella di utilizzare tabelle interne di classificazioneche prevedano criteri di codifica dei prodotti e servizi basati non sul lorospecifico contenuto, ma esclusivamente sull'individuazione di classi e/o genere(ad es. video sportivo, cronaca etc.). Tuttavia,nel caso di servizi in abbonamento, l'operatore può conoscere il nome delservizio acquistato dall'utente al fine di poter distinguere tra piùabbonamenti dello stesso tipo e fornirgli informazioni, effettuaredisattivazioni dal servizio stesso, nonché effettuare una corretta attività difatturazione. L'operatoregestisce il numero di telefonia mobile dell'utente anche per effettuare lenecessarie verifiche sotto il profilo della sussistenza o meno di creditotelefonico, a tal fine invia al merchant un messaggio di ok o ko a seconda chel'operazione sia andata o meno a buon fine. Talemessaggio non deve tuttavia risultare accompagnato da codici che consentano dirisalire puntualmente a cause ostative, diverse da quelle tecniche (ad esempioproblemi di rete), legate all'indisponibilità od insufficienza di credito telefonico.Ciò al fine di evitare che sia il merchant che l'aggregatore vengano aconoscenza di informazioni riferite ad un dato economico dell'utente che non haalcun rilievo sotto il profilo della gestione dell'operazione di mobile paymente che risulta ultroneo rispetto alle finalità del trattamento che i menzionatisoggetti sono chiamati a svolgere. Pertanto,il segnale di ko che l'operatore invia può essere accompagnato, da un codiceche permetta solo di distinguere, tra le diverse causali di errore, quelle chedanno luogo ad un retry da quelle che, invece, non prevedono la ripetizionedella transazione. Generalmentequando l'operazione effettuata non va a buon fine l'operatore può inviareall'utente un sms il quale, oltre a segnalare che si è verificato un erroredurante l'operazione, con l'invito a controllare le proprie informazionipersonali e ad effettuare un nuovo tentativo, evidenzia anche che il numerofornito non sembra essere abilitato a procedere all'acquisto. Inoltre,se la causa del mancato acquisto è imputabile alla mancanza o insufficienza dicredito telefonico, all'utente può pervenire un ulteriore messaggio che segnalil'insufficienza di credito sulla sim. Conspecifico riguardo ai dati presenti nella piattaforma dell'operatore utilizzataper le operazioni di mobile remote payment, quest'ultimo deve poi adottare,oltre alle misure di sicurezza dei dati e dei sistemi previste dall'art. 31 esegg. del Codice, nonchè dal Disciplinare tecnico in materia di misure minimedi sicurezza di cui all'All. B) dello stesso, ulteriori cautele. Inparticolare, è necessario che l'operatore preveda una forma di mascheramentodei dati, ad esempio mediante applicazione di un meccanismo crittografico (c.d.hash) le cui chiavi di decifrazione siano nella disponibilità dei propriaddetti esclusivamente con riguardo alle operazioni di customer care. Gliaddetti all'attività di customer care, infatti, devono essere posti in grado di visualizzare, per finalità di assistenza alla clientela, lo storico di tutte leoperazioni di acquisto effettuate da un determinato numero telefonico, iriferimenti temporali ed i relativi importi, nonché la categoria merceologica ela classe di prodotto o servizio digitale acquistato. Ciònondimeno, per l'accesso alle predette interrogazioni tali soggetti, che devonoessere nominati incaricati del trattamento ai sensi dell'art. 30 del Codice,devono essere sottoposti ad una procedura di autenticazione basata su token eaccount nominale, con attribuzione dello specifico profilo "operatore dicustomer care" (c.d. strong authentication). Gli stessi devonoessere altresì abilitati all'uso di un numero limitato di chiavi diinterrogazione del sistema in merito alle operazioni da effettuare, costituito,recependo i contributi pervenuti a seguito della consultazione pubblica, esclusivamente dal numero di telefonia mobile del cliente, dal codice fiscale odalla partita Iva, escludendo in tal modo forme di "ricerca inversa"che utilizzino come chiave i dati identificativi del bene digitale. Leoperazioni di accesso al sistema devono inoltre essere sottoposte atracciamento analitico e dettagliato. Taleultima misura risulta oltremodo necessaria laddove l'operatore utilizziun'unica piattaforma di provisioning sulla quale confluiscono tutti i datirelativi alle operazioni effettuate, non solo rispetto ai servizi di mobileremote payment, ma anche ad altri servizi erogati quali, ad esempio, quelli avalore aggiunto (c.d. VAS), con la conseguenza che il tracciamento deveestendersi a tutti i profili di autorizzazione impostati sulla predettapiattaforma. Delresto, la previsione di una strong authentication e di file di log checonsentano di risalire all'incaricato che effettua gli accessi al sistema sirivela idonea ad offrire un'adeguata protezione anche a quelle informazionipersonali, dalle quali si possa dedurre un orientamento dell'utente cheimplichi un trattamento di dati di natura sensibile. Dalmomento che i fornitori di reti e servizi di comunicazione elettronicaaccessibili al pubblico, oltre a trattare i dati relativi alle operazioni dimobile remote payment ed alle scelte di consumo dei contenuti digitali,trattano anche dati di consumo/traffico telefonico e dati relativi alla fornituradi altre tipologie di beni digitali (quali ad esempio quelli legati alla c.d.Tv interattiva) per finalità di profilazione e marketing, risulta opportunoprevedere l'adozione di alcune misure ed accorgimenti anche nell'ottica diun'eventuale integrazione tra le diverse tipologie di dati e, quindi, diun'analisi incrociata delle abitudini, dei gusti e delle preferenze di consumodella clientela nei diversi ambiti individuati. Infatti,tra i dati che normalmente identificano l'utente nei sistemi degli operatorisono presenti, oltre ai dati relativi alla linea di rete fissa, anchealtri dati come il numero di telefonia mobile e l'indirizzo di postaelettronica, i quali potrebbero essere facilmente utilizzati come chiave comunetra i diversi sistemi dedicati alle differenti attività di profilazionedell'utenza, proprio al fine di far emergere fenomeni di correlazione traconsumi telefonici e consumi di beni digitali, fruiti anche con modalità mobileremote payment. Intal senso, al fine di impedire un'eventuale profilazione incrociatadell'utenza, devono essere individuati appositi "meccanismi dirotazione" che consentano di applicare allo stesso utente chiavi dicodifica differenti, destinate a mascherare i relativi dati all'interno deidiversi sistemi dedicati alle attività di profilazione che l'operatore puòsvolgere. Conriguardo poi al trattamento dei dati che l'operatore può realizzare nell'ambitodi eventuali programmi di fidelizzazione proposti all'utente, è necessarioprecisare che tali programmi devono basarsi esclusivamente su dati cumulati dispesa e non riguardare il singolo dato relativo allo specifico evento diacquisto del prodotto digitale effettuato dallo stesso. Trai contenuti e i servizi digitali che l'utente può acquistare con la modalitàmobile remote payment possono rientrare anche quelli, ad esempio destinati adun pubblico adulto, per la cui fruizione risulta necessaria la previsione diapposite misure di sicurezza, come, ad esempio, l'attribuzione da partedell'operatore al cliente, di cui abbia verificato la maggiore età, di unapposito codice numerico di accesso, ovvero di un Pin dispositivo, univocamenteed esclusivamente associato di volta in volta alla particolare tipologia diprodotto o servizio di cui l'utente intende fruire. Un'ulteriorecautela di cui prevedere l'adozione è quella relativa all'implementazione dimisure tecniche che garantiscano all'utente la possibilità di disattivare ogniservizio, destinato ad esempio ad un pubblico adulto, per default, nonchéprevio contatto con il servizio di customer care dell'operatore. Idati trattati nell'ambito delle operazioni di mobile remote payment devonoessere conservati per un limitato periodo di tempo, proporzionato allefinalità realizzate con il trattamento, le quali non si esauriscono con ladefinizione del processo che conduce all'acquisto del contenuto digitale, ma siestendono alla gestione di attività correlate quali la fatturazione e quelle di carattere amministrativo e contabile. In considerazione di ciò, ilperiodo massimo di conservazione dei dati personali è individuato in sei mesi. Allascadenza del suddetto periodo l'operatore deve pertanto provvedere allacancellazione dei dati dai propri sistemi, ferma restando l'ulteriore,specifica, conservazione necessaria in presenza di una contestazione anche insede giudiziale e avuto riguardo alla disciplina sulla conservazione deidati di traffico per fini di giustizia. Aifini della decorrenza del previsto periodo di conservazione si ritiene inoltrenecessario differenziare gli acquisti di prodotti digitali c.d. one shot dagliabbonamenti, posto che per questi ultimi detto periodo deve cominciare adecorrere dalla scadenza dell'abbonamento stesso. Analogamente,in presenza di una violazione di dati personali, l'operatore sarà tenuto alrispetto di quanto espressamente sancito dall'art. 32 bis del Codice, nonchédal citato provvedimento dell'Autorità del 4 aprile 2013 in materia di c.d.data breach (in www.garanteprivacy.it, doc. web n. 2388260). Comesi è già evidenziato, l'aggregatore o hub tecnologico, è normalmente ilsoggetto (o i soggetti) cui è affidata la realizzazione di una serie di attivitàlegate alla operatività della piattaforma tecnica che rende disponibilicontenuti digitali attraverso il ricorso al mobile remote payment. All'aggregatorepuò competere infatti, tra le possibili attività da svolgere, la gestione delprocesso di acquisto del bene digitale e del processo di disattivazione delservizio, la creazione dell'interfaccia di customer relationship managementdestinata ai call center di ciascun operatore, l'eventuale attività di reportisticadestinata alla funzione marketing, nonché la gestione di un cruscotto self careattraverso il quale il singolo utente può verificare, in ogni momento, ildettaglio dei propri acquisti e dei relativi addebiti. Tale ultima modalità puòconsentire inoltre, allo stesso utente di disattivare il servizio, nonchéall'aggregatore di fornire un'apposita interconnessione che permette anche aicustomer care degli operatori la consultazione dello storico degli acquistieffettuati dai clienti con i diversi merchant. Nell'ambitodell'attività di gestione all'aggregatore è poi generalmente attribuita lafunzione di conservazione di tutti gli sms di attivazione e disattivazione delservizio. Conspecifico riguardo all'attività di reportistica l'aggregatore può provvedereanche alla realizzazione dei report di verifica che contengono, in formaaggregata, i dati relativi al totale delle transazioni effettuate daglioperatori in un determinato lasso di tempo, nonché i dati inerenti alla spesacomplessiva realizzata rispetto ad ogni singolo merchant. Detti report vengononormalmente inviati sia agli operatori che ai merchant. L'invio a questiultimi permette infatti di valutare tutti i dati relativi agli acquisti, aifini dell'emissione delle relative fatture e della definizione degli importi dapercepire una volta detratte le royalties destinate agli operatori. Surichiesta dell'operatore, l'aggregatore può produrre anche un reportdettagliato sui clienti che hanno effettuato degli acquisti sui siti web deimerchant attraverso il mobile remote payment, con indicazione del numero ditelefonia mobile e del prodotto o servizio digitale acquistato. Intal caso, le informazioni che l'aggregatore invia all'operatore, con riguardoal prodotto o servizio digitale, non devono riguardare lo specifico contenutorichiesto dall'utente, ma riferirsi esclusivamente alla classe o al genere diappartenenza del servizio o prodotto, ovvero al servizio in abbonamento. Tuttele attività connesse alla gestione della piattaforma tecnologica possono esseresvolte dall'aggregatore in veste di responsabile esterno del trattamento deidati personali, designato sia dall'operatore, sia dal merchant ai sensidell'art. 29 del Codice. Conseguentemente, i suddetti soggetti sono tenuti adindicare, nell'informativa da rilasciare agli utenti in qualità di titolari deltrattamento, gli estremi identificativi dell'aggregatore che agisca comeresponsabile esterno del trattamento stesso (cfr. art. 13, comma 1, lett. f)del Codice). Inquesta veste l'aggregatore può anche predisporre, per conto dell'operatore, lalanding page prevista per il rilascio dell'informativa e dei consensi darichiedere all'utente. Inalcuni casi all'aggregatore può essere riconosciuta, sulla base di specificiaccordi contrattuali con l'operatore ed il merchant, la possibilità di renderedirettamente disponibili i prodotti e i servizi normalmente offerti daquest'ultimo. A tal fine l'aggregatore può svolgere una serie di attivitàquali l'organizzazione e l'offerta del contenuto digitale al cliente,l'assistenza al medesimo (in genere previa attivazione di un apposito numerotelefonico e/o di un indirizzo e-mail), la realizzazione di eventuali campagneo iniziative di comunicazione promozionale sul contenuto digitale offerto. Intale veste l'aggregatore opera come titolare autonomo del trattamento e deveprovvedere a rilasciare all'utente un'adeguata ed esaustiva informativaai sensi dell'art. 13 del Codice anche ai fini dell'esercizio dei diritti dicui all'art. 7 del Codice da parte dell'interessato. L'informativa,oltre a contenere tutti gli elementi già previsti con riguardo agli adempimentiindividuati in capo all'operatore, deve anche essere adeguatamente evidenziatasecondo le modalità già individuate. Comegià evidenziato, il consenso al trattamento dei dati personali dell'utente chefruisce del servizio di mobile remote payment non è necessario ai finidella relativa fornitura, analogamente non deve essere richiestodall'aggregatore per altre finalità realizzate in veste di responsabile esternodel trattamento. Laddove,invece, l'aggregatore rivesta il ruolo di titolare del trattamento la necessitàdi acquisire il consenso dell'utente sussiste nel caso in cui i dati forniti daquest'ultimo vengano utilizzati per finalità di marketing diretto e/o perfinalità di profilazione, anche nell'ambito di eventuali programmi difidelizzazione, o per comunicazioni a terzi, cosi come nell'ipotesi in cuidalla fruizione del contenuto si possa dedurre un orientamento dell'utente cheimplichi un trattamento di dati di natura sensibile. In questi casi operano,con riguardo al consenso ed alle relative modalità di rilascio, tutte ledisposizioni già individuate rispetto al trattamento svolto dall'operatore,nonché tutte le considerazioni espresse dall'Autorità. L'operazionedi acquisto tramite mobile remote payment può comportare l'utilizzo da partedell'aggregatore di diverse modalità di riconoscimento del numero telefonicoassociato al cliente. Unamodalità automatica che si attiva nel caso in cui l'utente, una volta avutoaccesso al sito del merchant (e, quindi, del medesimo hub che offrel'interfaccia tecnologica) per l'individuazione e la selezione del contenutodigitale di cui intende fruire, utilizzi per l'acquisto (mediante smartphone, tablet o dispositivo senza fili) la rete mobile di un operatorecollegato alla piattaforma abilitante. Intal caso, l'associazione tra il terminale mobile ed il numero ditelefonia mobile avviene immediatamente e l'aggregatore acquisisce il numerodell'utente direttamente dall'operatore, il quale provvede anche alla verificadella disponibilità di credito. Al termine dell'operazione il cliente riceve unsms che conferma l'avvenuto acquisto del prodotto o l'attivazione del servizioin abbonamento. Un'ulterioremodalità che si attiva, invece, qualora l'utente acceda al sito del merchant,nonché dell'hub, da una rete diversa da quella dell'operatore (come una lineawi-fi, ADSL o una rete aziendale), poiché in tal caso deve essere egli stessoad inserire, in un apposito form, nella pagina web del merchant, il proprionumero di telefonia mobile e l'operatore telefonico di riferimento. Terminataquesta fase, il sistema verifica la corretta associazione tra il numerotelefonico e l'operatore e reindirizza l'utente su una pagina web del soggettoaggregatore. Contestualmente, l'utente riceve un sms sul numero indicato,contenente un PIN che funge da password ed abilita all'acquisto, una voltainserito in un apposito form presente all'interno della suddetta pagina web.Eseguita tale operazione, l'utente riceve, anche in questo caso, un sms diconferma dell'acquisto. Il descritto processo, che ricade interamente sotto lagestione e la responsabilità dell'aggregatore, consente di verificare ilpossesso della sim a cui corrisponde il numero telefonico in capo all'utenteche sta effettuando l'acquisto e, successivamente, di procedere al controllodella disponibilità del credito telefonico ai fini della fattibilitàdell'operazione. Comesi è detto, attraverso la piattaforma abilitante può essere gestito anche unservizio "self care" che permette all'utente la consultazione dellostorico degli acquisti effettuati con i diversi merchant e consente, attraversoun'apposita interconnessione realizzata dall'aggregatore, un'analogainterrogazione anche ai customer care degli operatori. Qualorala piattaforma sia gestita, per aspetti diversi dell'operazione di mobileremote payment (ad esempio reportistica e fatturazione rispetto ad assistenzaalla clientela) da più aggregatori, il funzionamento del servizio può implicareun flusso di dati tra database dei differenti hub tecnologici. Ulterioriinterrogazioni tra le banche dati possono essere inoltre previste nel caso incui sia lo stesso utente ad effettuare la disattivazione del servizioattraverso un cruscotto self care, nonché per verificare il raggiungimentodella soglia massima di spesa prevista dalla normativa. Inun quadro così delineato, posto che gli aggregatori operano in tempidifferenti, svolgendo funzioni diverse, si ritiene necessario, con specificoriguardo al corretto trattamento dei dati personali, dar conto di due esigenzee prevedere apposite misure di sicurezza. Laprima, legata alla confidenzialità del dato, ovvero alla necessità di garantireche il trasferimento di dati da un soggetto all'altro avvenga secondo elevatistandard di sicurezza, implica la cifratura del collegamento. Laseconda esigenza, legata all'accuratezza del dato, implica la necessità che,anche in assenza di un allineamento real time tra le banche dati degliaggregatori, sia l'utente che i customer care degli operatori siano postisempre nella condizione di "ricostruire lo storico degli acquisti"entro un arco temporale non superiore alle 24 ore. Inoltre,con riguardo alla verifica delle soglie di spesa relative agli acquistieffettuati dall'utente, gli aggregatori devono porre in essere un sistema dicontrolli idoneo a garantire un riscontro istantaneo sull'eventuale superamentodel tetto previsto. Leinformazioni contenute nella piattaforma gestita dall'aggregatore riguardanonormalmente il numero telefonico mobile dell'utente, il codice identificativodel prodotto digitale, la descrizione del prodotto digitale, la data e l'oradell'operazione di acquisto con il relativo importo, nonché l'esito(positivo-negativo) della stessa. A tali dati si aggiungono, inoltre, quelliche ineriscono alla disattivazione del servizio, nonché tutti gli sms cheriguardano la relativa attivazione e disattivazione. L'aggregatorepuò inoltre mantenere traccia di tutte le richieste di contenuti/servizidigitali comunque effettuate dai clienti, di tutti i contenuti digitali offertidai merchant (ovvero direttamente se previsto) con indicazione del relativodestinatario, orario, stato di erogazione, oltre alla classe di costo associataa ciascuno di essi. Rispettoai dati contenuti nella piattaforma tecnologica l'aggregatore deve quindiadottare le medesime misure già individuate con riguardo all'operatore, inparticolare prevedendo la menzionata procedura di strong authentication degliaddetti che hanno accesso alla piattaforma e che devono essere nominatiincaricati del trattamento, nonché il tracciamento analitico e dettagliatodelle operazioni di accesso, per le quali opera, tuttavia, l'abilitazionetramite l'utilizzo di un'unica chiave di interrogazione del sistema, costituitadal numero di telefonia mobile dell'utente. Allaluce delle misure individuate rispetto all'attività dell'operatore, conriguardo ai messaggi sull'esito delle transazioni che vengono inviatiall'aggregatore, ai fini della necessaria gestione dell'operazione di mobilepayment e della successiva attività di reportistica, quest'ultimo deve, nelleproprie tabelle interne di codifica, disporre solo di indicazioni relative amessaggi e codici che non consentano di risalire puntualmente a dati legatialla mancanza od insufficienza di credito telefonico. Comegià rilevato, i dati personali trattati nell'ambito delle operazioni di mobileremote payment devono essere conservati per un limitato periodo di tempo,proporzionato alle finalità realizzate con il trattamento. Allaluce di considerazioni del tutto analoghe a quelle già effettuate rispettoall'attività svolta dall'operatore ed alle relative finalità, il periodomassimo di conservazione dei dati trattati dall'aggregatore, ivi compresi glisms di attivazione e di disattivazione del servizio, è quindi individuato insei mesi al termine dei quali gli stessi devono essere cancellati dai relativisistemi. Restain ogni caso salva l'ulteriore, specifica, conservazione, necessaria inpresenza di una contestazione anche in sede giudiziale. Aifini della decorrenza del previsto periodo di conservazione si ritiene inoltrenecessario, anche in questo caso, differenziare gli acquisti one shot dagliabbonamenti, posto che per questi ultimi detto periodo deve cominciare adecorrere dalla scadenza dell'abbonamento stesso. Restaaltresì inteso che, laddove l'aggregatore, in veste di titolare deltrattamento, effettui attività che, al pari del merchant, implicano l'utilizzodell'indirizzo IP dell'utente, detto dato dovrà essere immediatamentecancellato dai relativi sistemi una volta conclusa l'operazione di acquisto delcontenuto digitale. Attualmente,nell'ambito del mobile remote payment, i merchant che aderiscono al serviziovendono prodotti editoriali (singole copie del quotidiano o servizi inabbonamento anche in formato digital edition ed e-book), contenuti multimedialiin modalità streaming, broadcasting (serie tv e Film) e download, giochi,community e servizi inerenti, nonché servizi relativi a materiale acarattere sessuale. Ilservizio offerto risulta fruibile dal cliente sia da web, sia da dispositivomobile. Talora, risulta obbligatoria la preventiva registrazione dell'utente alsito web del merchant. Comesi è già evidenziato, attraverso l'uso del personal computer (ricorrendoalla linea ADSL o wireless) i prodotti possono essere acquistati dall'utentecollegandosi direttamente al sito del merchant e adottando la procedura giàrichiamata con riguardo alle modalità di erogazione del servizio nella sezionededicata al soggetto aggregatore. Sesi utilizzano, invece, dispositivi mobili la procedura prevista perl'attivazione del servizio risulta essere più veloce in quanto, come visto, unavolta che l'utente abbia inserito nella pagina web del merchant il numero ditelefonia mobile e l'operatore di riferimento è quest'ultimo ad effettuareimmediatamente l'associazione tra il terminale mobile ed il numero di telefono. Inalcuni casi l'utente può avvalersi anche di un'opzione "multicanale"che consiste nella possibilità di fruire del contenuto digitale da piùterminali. In tale ipotesi l'utente deve effettuare una registrazione al sito delmerchant, fornendo anche il proprio indirizzo di posta elettronica che puòessere utilizzato da quest'ultimo sia per comunicazioni di servizio, sia comechiave identificativa. Nelcontesto delle suddette operazioni, pertanto, i dati trattati dal merchantrisultano essere molteplici e riguardano il numero di telefonia mobile indicatodall'utente all'atto dell'acquisto del contenuto digitale, ovvero comunicatodall'operatore, la data e l'ora dell'operazione, la descrizione del beneacquistato ed il relativo importo, l'identificativo della sessione el'indirizzo IP, nonché, in alcune ipotesi, l'indirizzo di posta elettronicadell'utente. Analogamentea quanto già evidenziato, anche nell'informativa che il merchant deve rendereall'utente con riguardo all'acquisto di beni digitali attraverso il ricorso almobile remote payment, deve risultare chiaro il richiamo sia alla finalitàdella fornitura del prodotto o servizio, sia alle ulteriori finalità per lequali i dati personali possono essere trattati. Intale ultima ipotesi l'informativa deve evidenziare tutti i profili giàindividuati per l'operatore con riguardo ad eventuali attività di profilazionee marketing diretto, programmi di fidelizzazione, nonché trattamenti dicomunicazione a terzi e fruizione di contenuti digitali da cui possa dedursi unorientamento dell'utente che implichi un trattamento di dati di naturasensibile. Nell'informativadeve essere altresì presente il richiamo all'esercizio dei diritti sanciti dall'art. 7 del Codice ed il riferimento ai soggetti eventualmentedesignati responsabili del trattamento, con particolare riguardo al ruolo chepuò essere svolto dall'aggregatore, nonché di quelli designati incaricati. L'informativadel merchant deve inoltre fare espressa menzione del trattamento del datorelativo sia al numero di telefonia mobile dell'utente, sia a quelloeventualmente relativo all'indirizzo di posta elettronica, nonché, seeffettuato, del trattamento del dato riferibile all'indirizzo IP, specificandoche tali informazioni possono essere utilizzate, senza acquisire il consensodell'utente, solo per finalità di erogazione del contenuto digitale e dimigliore e più efficace gestione del servizio. Inragione dei vincoli di spazio, legati alle dimensioni degli schermi deiterminali anche all'informativa del merchant deve essere data idonea evidenzaadottando le medesime modalità già descritte con riguardo al trattamento svoltodall'operatore, in particolare, rispetto al cd. approccio layered. Investe di titolare autonomo del trattamento il merchant deve acquisire ilconsenso dell'utente con riguardo a tutti i trattamenti, già individuatirispetto all'operatore eventualmente svolti per finalità di marketing direttoe/o per finalità di profilazione (anche nell'ambito di programmi difidelizzazione), ovvero di comunicazione dei dati a soggetti terzi, o ancora difruizione di contenuti digitali da cui possa dedursi un orientamentodell'utente che implichi un trattamento di dati di natura sensibile. Conriguardo alle modalità di acquisizione del consenso, anche in questocaso, operano tutte le disposizioni già individuate rispetto al trattamentosvolto dall'operatore, nonché tutte le considerazioni espresse dall'Autorità. Comesi è evidenziato, i dati trattati dal merchant nell'ambito delle operazioni dimobile remote payment spaziano dal numero di telefonia mobile dell'utente,all'indirizzo IP sino, eventualmente, al relativo indirizzo di postaelettronica. Al merchant può essere altresì inviato unmessaggio o un codice identificativo della causa della mancata erogazione delservizio da cui, tuttavia, per le considerazioni già svolte rispettoall'operatore, non deve essere possibile risalire alle motivazioni di carattereeconomico per le quali l'operazione di acquisto non è andata a buon fine. Conseguentemente,anche il merchant nelle proprie tabelle interne di codifica, deve disporre solodi indicazioni relative a messaggi e codici che non consentano di risalire puntualmentea dati legati alla mancanza od insufficienza di credito telefonico. Lamedesima ratio deve essere richiamata con riguardo al livello di profondità edi dettaglio dei dati che il merchant trasmette a propria volta all'operatore,nel senso che le tabelle inviate a quest'ultimo non devono contenere datiimmediatamente identificativi dello specifico contenuto digitale acquistatodall'utente, essendo sufficiente la menzione della sola categoria merceologicadi appartenenza, o del solo servizio in abbonamento. Ciòin quanto determinati beni digitali possono risultare idonei a rivelareorientamenti dell'utente che possono implicare un trattamento di dati di naturasensibile, ovvero in quanto le peculiarità stesse dell'attività svolta dalmerchant, risultino un chiaro indicatore di gusti e preferenze di consumodell'utenza. In tal senso idonee misure di sicurezza sono costituitedall'applicazione sull'anagrafica del bene digitale, censito nella banca datiinterna del merchant, di un criterio di codificazione del dato, nonché dall'usodi report aggregati da inviare all'operatore. Rispetto ai dati presentinel database del merchant ed al relativo accesso da parte dei soggetti addettial trattamento nell'ambito dell'attività di customer care, valgonotutte le indicazioni già individuate per l'operatore, e, in particolare, lanomina di tali soggetti ad incaricati ai sensi del menzionato art. 30 delCodice, la disponibilità di chiavi di decifrazione dei dati solo rispetto allasuddetta attività di assistenza alla clientela, l'adozione di una procedura distrong authentication ed il tracciamento analitico e dettagliato delleoperazioni effettuate, nonché, in questo caso, il ricorso all'utilizzo di unasola chiave di interrogazione del sistema, costituita dal numero di telefoniamobile dell'utente. Conspecifico riguardo al dato costituito dal numero di telefonia mobiledell'utente, posto che il merchant ne dispone nell'ambito della sessione dinavigazione al proprio sito per la fase di pagamento immediatamente successivaalla scelta del bene, per eventuali contestazioni in merito alla relativafruizione, nonché per attività di customer care, occorre evidenziare che iltrattamento è ammissibile senza l'acquisizione del consenso dell'utente soloper tali specifiche finalità, proprio in quanto connesse all'erogazione delservizio e alla corretta gestione del medesimo. Ancheil trattamento del dato relativo all'indirizzo di posta elettronicadell'utente, talvolta inserito nella pagina web del merchant, implica analoghe considerazioni. Taledato può essere infatti utilizzato per inviare al cliente un messaggio diriscontro dell'avvenuta operazione di acquisto, nonché le istruzioni peraccedere al contenuto digitale, consentendo al merchant di gestire meglioil servizio ed il rapporto con l'utente, anche rispetto alla risoluzione dieventuali contestazioni legate alla mancata o insoddisfacente fruizione delbene. Aciò può aggiungersi la possibilità di garantire all'utente il disaccoppiamentotra il canale di pagamento ed il canale di fruizione del contenuto,consentendogli di pagare il bene digitale attraverso il proprio creditotelefonico e di fruirne su qualsiasi altro terminale, in quanto il contenutoacquistato può essere recuperato in qualsiasi momento, accedendo al linkindicato nell'e-mail che il merchant invia all'indirizzo di posta elettronicafornito dall'interessato. Un'ulteriorepossibilità offerta è poi quella di arricchire nel tempo il contenutoacquistato attraverso aggiornamenti ed altre informazioni, che non sarebbealtrimenti possibile offrire all'utente se si vincolasse la fruizione delcontenuto al terminale con il quale quest'ultimo effettua il pagamento e almomento in cui lo stesso contenuto è scaricato. Inun contesto come quello rappresentato anche l'utilizzo da parte del merchantdell'indirizzo di posta elettronica dell'utente deve essere limitato a talispecifiche finalità e alla migliore e più efficace gestione del servizio. Anchecon riguardo all'eventuale utilizzo dell'indirizzo IP da parte del merchant,deve precisarsi che, se trattato, tale dato deve essere utilizzatoesclusivamente ai fini della navigazione dell'utente sul relativo sito, nonchédell'"instradamento" del bene digitale richiesto. I merchant nonrientrano, infatti, tra le categorie di soggetti che possono conservaretale dato ai sensi delle citate direttive del Parlamento europeo e delConsiglio 2002/58/CE del 12 luglio 2002 e 2006/24/CE del 15 marzo 2006. Conriguardo alla conservazione dei dati personali trattati nell'ambito delleoperazioni di mobile payment da parte del merchant anche per quest'ultimovalgono le medesime considerazioni e le conseguenti prescrizioni individuaterispetto all'operatore. Con specifico riguardo all'indirizzo IP dell'utente,tale dato deve, invece, essere immediatamente cancellato dai sistemi delmerchant, una volta terminata la procedura di acquisto del contenuto digitale. Laddovene ricorrano i presupposti, i trattamenti effettuati nell'ambito delleoperazioni di mobile remote payment dovranno essere notificati ai sensidell'art. 37 del Codice. Restaaltresì inteso che per ulteriori, specifici, trattamenti ed eventuali misure edaccorgimenti, previsti nell'ambito delle operazioni di mobile remote paymentdiversamente da quanto individuato nel presente provvedimento, sarà necessariopresentare al Garante una richiesta di verifica preliminare ai sensi dell'art.17 del Codice, indicando nel dettaglio i trattamenti da effettuare,specificando le relative finalità nonché le tipologie di dati che si intendautilizzare. TUTTO CIO' PREMESSO, IL GARANTE aisensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a tutti ititolari che effettuato trattamenti di dati personali nell'ambito delleoperazioni di mobile remote payment, nel rispetto dei principi generali diliceità, pertinenza, non eccedenza, correttezza e buona fede di cui all'art. 11del Codice: Roma, 22 maggio 2014
|