Proroga del termine per l'attuazione delle prescrizioni del provvedimento n. 258 del 22 maggio 2014 in materia di mobile remote payment

Vedi anche provvedimento del 22maggio 2014

Proroga del termine per l'attuazione delleprescrizioni del provvedimento n. 258 del 22 maggio 2014 in materia di mobileremote payment

PROVVEDIMENTO DEL 20 NOVEMBRE 2014

(Pubblicatosulla Gazzetta Ufficiale n. 290 del 15 dicembre 2014)

Registrodei provvedimenti n. 546 del 20 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ild.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito il "Codice");

VISTO ilprovvedimento n. 258 del 22 maggio 2014 in materia di trattamento dei datipersonali nell'ambito dei servizi di mobile remote payment (pubblicato sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014, di seguito il "Provvedimento"), emanato all'esito di una consultazione pubblica con avviso pubblicato sulla GazzettaUfficiale Serie Generale n. 2 del 3 gennaio 2014 (provvedimento n. 561 del 12 dicembre 2013);

VISTE leprescrizioni impartite con il Provvedimento ai diversi soggetti coinvolti nelleoperazioni di pagamento tramite terminale mobile (fornitori di reti e servizidi comunicazione elettronica accessibili al pubblico, hub tecnologici emerchant), al fine di garantire il rispetto dei princìpi sanciti dal Codice inrelazione al trattamento dei dati personali che gli utenti devono fornire perfruire dei nuovi servizi di pagamento per l'acquisto di prodotti e servizidigitali;

VISTAl'istanza interpretativa e di riesame presentata da ASSTEL,l'Associazione rappresentativa, nel sistema di Confindustria, delle Imprese della filiera delle telecomunicazioni (di seguitol'"Associazione"), il 4 agosto 2014 in merito ad alcune delleprescrizioni presenti nel Provvedimento;

VISTA lanota di riscontro del Garante del 23 ottobre 2014 con la quale sono statiforniti chiarimenti in ordine a:

- le misure di sicurezza relative ai dati presentinella piattaforma tecnologica utilizzata per le operazioni di mobile remotepayment, nel senso che il mascheramento, mediante il ricorso ad un meccanismocrittografico, ha lo scopo di indicare un obiettivo di sicurezza del datopersonale che può essere raggiunto anche attraverso altri accorgimenti, qualead esempio la strong authentication basata altresì sul riconoscimento di undato biometrico, ovvero ogni più opportuna misura di salvaguardiadell'informazione purché in linea con tale obiettivo;

- la classificazione dei contenuti destinati ad unpubblico adulto e definiti "Adult" ai fini della previsione di un PINdispositivo obbligatorio, nel senso che tale richiamo risulta in linea con laclassificazione internazionale degli stessi;

- l'attribuzione, per la fruizione dei suddetticontenuti, di un PIN univoco associato di volta in volta alla tipologia diprodotto o servizio richiesto dall'utente, nel senso della possibilità diutilizzare anche misure alternative, purché idonee a garantire il rispetto deimedesimi obiettivi di sicurezza e di tutela del dato personale che l'Autoritàha inteso individuare con la suddetta prescrizione;

- la previsione di un periodo di conservazione deidati di sei mesi nel senso che la stessa debba intendersi riferita ai soli datidi traffico telefonico e telematico come previsto all'art. 123 del Codice,nonché del rispetto delle disposizioni dettate dal codice civile, in materia diprescrizione, per le altre tipologie di dati (come ad esempio i log diattivazione e disattivazione) e, per i dati che risultino associati a tipologiedi contenuti particolarmente delicati, a condizione che vengano adottate idoneecautele, quali il ricorso a forme di mascheramento del dato, ovvero altreidonee misure di sicurezza;

RILEVATOche le misure e gli accorgimenti di cui al Provvedimento devono essereimplementati entro e non oltre centottanta giorni dalla data di pubblicazionesulla Gazzetta Ufficiale e che tale termine scade il 15 dicembre 2014;

VISTA lasuccessiva istanza presentata dall'Associazione in data 14 novembre 2014 con laquale è stato chiesto all'Autorità di prorogare, con riguardo all'attività deifornitori di reti e servizi di comunicazione elettronica accessibili alpubblico (di seguito gli "Operatori"), il termine di attuazioneprevisto dal Provvedimento come sopra indicato, al prossimo giugno 2015,dovendosi ancora adottare significativi adeguamenti quali:

a. "la revisione ditutti i messaggi scambiati tra Operatori e Merchant di cui al punto 6.4del Provvedimento";

b. "la revisione dellaclassificazione dei servizi in abbonamento acquistati dai clienti di cui non sipotrà conoscere il contenuto (ä)";

c. gli altri adeguamentitecnici necessari anche con riferimento ai servizi Adult ;

TENUTOCONTO che l'Associazione ha motivato il differimento richiesto essenzialmentein ragione della complessità tecnica delle operazioni connesse all'attuazionedelle misure prescritte nel Provvedimento;

CONSIDERATOche l'Associazione medesima ha rappresentato che tali operazionirichiedono tempi di analisi, tempi e costi di sviluppo che gli Operatori hannopotuto più opportunamente individuare a seguito dei chiarimenti successivamenteforniti dall'Autorità nella menzionata nota del 23 ottobre 2014;

TENUTOCONTO che l'Associazione ha inoltre evidenziato che, per alcuni Operatori, gliadeguamenti richiesti risultano ulteriormente complessi sotto il profilooperativo, in quanto riguardano banche dati gestite da società controllanti;

RITENUTOche l'attività tecnologica da implementare risulta articolata anche in ragionedell'elevato numero di soggetti coinvolti e della delicatezza dei temi posti;

RITENUTOtuttavia congruo, in tale prospettiva, fissare il termine di proroga al 31marzo 2015 per il completamento dell'attuazione delle prescrizioni indicate conil provvedimento n. 258 del 22 maggio 2014;

VISTA ladocumentazione in atti;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

TUTTO CIO' PREMESSO, IL GARANTE

ai sensidell'art. 154, comma 1, lett. c) del Codice, a parziale modifica del provvedimenton. 258 del 22 maggio 2014, dispone di prorogare al 31 marzo 2015 il termineprecedentemente fissato al fine di consentire, a tutti i soggetti coinvoltinelle operazioni di mobile remote payment, l'attuazione delle prescrizionicontenute nel medesimo provvedimento.

Sidispone la trasmissione di copia del presente provvedimento al Ministero dellagiustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nellaGazzetta Ufficiale della Repubblica italiana.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 20 novembre 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia