top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

La tutela dei dati personali nell’acquisto di contenuti digitali


Il Garante della Privacy ha recentemente definito il Provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment, provvedimento pubblicato in Gazzetta Ufficiale il 16 giugno 2014 con entrata in vigore prevista entro 180 giorni dalla data di pubblicazione.

 

Il Provvedimento definisce le misure per tutela dei dati personali nell’acquisto e pagamento di beni, sia digitali che fisici, tramite un terminale mobile, classificando il mobile payment secondo le due principali tipologie di operazioni di pagamento effettuabili:

 

  • Mobile remote payment, pagamento a distanza tra esercente e cliente attraverso il telefono cellulare;
  • Mobile proximity payment, pagamento eseguito dal cliente avvicinando il dispositivo mobile (dotato di NFC, Near Field Communication1) ad un apposito lettore posto nel punto vendita dell’esercente.

 

Se da un lato con questa tecnologia si favoriscono i micro pagamenti, sottraendosi agli oneri aggiunti dalle carte di pagamento, dall’altro vi è la condivisione e diffusione di dati personali non solo di carattere identificativo, ma potenzialmente anche di natura sensibile2.

 

QUADRO NORMATIVO

Il D.Lgs. n. 11 del 2010, quale recepimento della direttiva europea 2007/64/CE (Payment Services Directive – PSD) ha aperto il mercato dei servizi di pagamento anche ad operatori di matrice non bancaria, consentendo a questi soggetti di operare come intermediari di pagamento ma con minori adempimenti rispetto agli istituti bancari. Ma non rientrano in questa categoria i fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico (tipicamente i gestori del servizio telefonico mobile, definiti operatori nel provvedimento qui esaminato) poiché possono tuttavia operare senza rientrare negli adempimenti della PSD purché non si limitino ad agire quale intermediario autorizzato del pagamento tra utente ed esercente ma svolgano una serie di altre funzioni3 (quali ad esempio quelle di accesso, ricerca, distribuzione e consultazione dei contenuti).  

 

La PSD specifica quindi che tale quadro non si applica quando l’attività dell’operatore si estende a funzioni aggiuntive e non si limita alle sole operazioni di pagamento, ma aggiunge quindi “valore intrinseco” al servizio prestato.

 

SOGGETTI COINVOLTI

Oltre all’utente (il consumatore finale) e al fornitore di reti e servizi di comunicazione elettronica accessibili al pubblico (in seguito operatore) il provvedimento ha ritenuto quindi opportuno individuare altri soggetti in questa architettura tecnico-organizzativa.

 

In particolare:

 

  • il merchant, il soggetto preposto alla fornitura dei contenuti o servizi digitali;
  • l’aggregatore, il soggetto con ruolo di “interfaccia” che predispone la piattaforma tecnologica destinata alla gestione delle nuove modalità di pagamento, cioè la decurtazione dal credito telefonico in caso di carta ricaricabile o l’addebito sul conto telefonico in abbonamento.

 

Soggetti coinvolti e fasi principali del processo di mobile remote payment

Figura 1 – Soggetti coinvolti e fasi principali del processo di mobile remote payment

 

Tuttavia il provvedimento non ne limita l’applicabilità ai soggetti indicati, ma poiché si pone il primario obiettivo di tutelare i dati personali dei consumatori, considera ricompresi nelle misure espresse anche altri soggetti, i quali potranno consentire al consumatore l’accesso ad un mercato ben più vasto di beni digitali (ad es. produttori e rivenditori di giochi, programmi informatici, ecc.).

 

TIPOLOGIA DI DATI TRATTATI

Nell’ambito del mobile remote payment il pagamento dei contenuti o servizi avviene tipicamente mediante smartphone, ma anche con altri tipi di terminali, quali ad esempio tablet e PC.

 

Numerose informazioni riferibili all’utente sono veicolate durate il processo, come detto talune potenzialmente anche relative a dati sensibili quando ad esempio l’acquisto si riferisce a servizi per adulti.

 

In particolare, il provvedimento considera il trattamento delle seguenti principali informazioni:

 

  • numerazione telefonica e dati anagrafici;
  • data e ora dell’operazione;
  • tipologia del servizio o prodotto acquistato (contenuti musicali e video, social games, o contenuti per un “pubblico adulto”);
  • importo dell’acquisto;
  • elenco degli addebiti sulla carta prepagata o nella fattura;
  • IP dell’utente.

MISURE PER LA PROTEZIONE DEI DATI PERSONALI

Diverse sono le misure per la protezione dei dati personali che il Garante ricomprende nel provvedimento. In generale, si tratta di misure già individuate ed applicate ad altri ambiti di trattamento previsti dal D.Lgs. 196/03, ora indirizzate anche al processo di mobile remote payment e relative ad aspetti di carattere sia organizzativo, sia tecnologico.

 

In particolare, riassumendo nei punti seguenti tutte le prescrizioni assegnabili al merchant, aggregatori ed operatori:

 

  • le informative rese agli interessati dovrebbero:
    • oltre ai trattamenti necessari per le finalità di erogazione del servizio (per i quali non è necessario alcun consenso da parte dell’utente) i trattamenti effettuati per scopi ulteriori, quali marketing, invio di materiale pubblicitario, vendita diretta, ricerche di mercato, programmi di profilazione e fidelizzazione ecc., dovrebbero esser svolti solo in seguito all’acquisizione del consenso espresso, libero e specifico dell’utente (interessato);
    • chiarire che la trasmissione del numero telefonico dell’utente al merchant e/o ad altri soggetti è effettuata esclusivamente per garantire un’efficace gestione del servizio di assistenza alla clientela;
    • richiamare l’eventuale acquisizione e utilizzo di informazioni di natura sensibile e le relative modalità di trattamento intraprese;
    • riportare una chiara indicazione del titolare o co-titolare del trattamento e dei soggetti che possono agire quali responsabili esterni del trattamento (ad es. aggregatore) e che l’interessato gode dei diritti di cui all’Art. 7 del D.Lgs. 196/03.

 

  • le misure organizzative e tecniche atte a garantire un adeguato livello di riservatezza dovrebbero:
    • consentire all’aggregatore di trasmettere all’operatore e/o al merchant le sole categorie merceologiche dei prodotti digitali acquistati, senza alcun riferimento allo specifico contenuto del prodotto o servizio (ad es. mediante tabelle di codifica);
    • nel caso di transazioni non andate a buon fine, i messaggi inoltrati al merchant, all’aggregatore e in taluni casi all’operatore non dovrebbero consentire di risalire puntualmente alle motivazioni per cui la transazione è stata respinta  (ad es. mancanza di credito nelle schede ricaricabili);
    • prevedere l’adozione le misure di sicurezza, per i dati e i sistemi, previste dal Art. 31 e seguenti del D.Lgs. 196/03 e dall’Allegato B del medesimo decreto (ovviamente al netto delle abrogazioni introdotte);
    • prevedere forme di mascheramento nella trasmissione e visualizzazione dei dati mediante meccanismi di cifratura;
    • introdurre misure di strong authentication4 e di tracciamento5 per le attività svolte dall’operatore di customer care e dall’aggregatore;
    • prevedere un periodo di conservazione per i dati trattatiche non superi i 6 mesi. Terminato questo periodo di retention, i dati dovrebbero essere cancellati dai sistemi;
    • prevedere la disponibilità dei dati, in quanto sia l’utente che l’operatore di customer care devono essere in grado di ricostruire lo storico degli acquisti del singolo utente entro e non oltre le 24 ore;
    • cancellare l’indirizzo IP dell’utente una volta conclusa l’operazione di acquisto.

 

Il Garante specifica inoltre che per ulteriori specifici trattamenti ed eventuali misure ed accorgimenti sarà necessario presentare al suo Ufficio una richiesta di verifica preliminare ai sensi del Art. 17 del D.Lgs. 196/03.

 

Consideriamo comunque che queste misure costituiscono elementi di sensibilizzazione e un punto di partenza per la protezione dei dati personali degli utenti per le attività svolte con i dispositivi mobili, poiché da un recente studio interno condotto da @ Mediaservice.net S.r.l. emerge che i dati trasmessi e condivisi con terzi dai dispositivi mobili, in primis smartphone Android (Google) e iPhone (Apple), possono potenzialmente essere i seguenti:

 

  • numero telefonico, IP number, MAC address e identificativo IMEI;
  • rubrica, agenda, foto, messaggi, e-mail, chiamate e documenti;
  • cronologia delle attività svolte, della navigazione, degli accessi al play store (Android) e delle ricerche fatte con Google;
  • informazioni di geolocalizzazione (A-Gps).

 

01/09/2014 - Angelo Chiarot, PCI DSS QSA, Security Advisory Team @ Mediaservice.net

 

Per approfondimenti:

- www.nearfieldcommunication.org

- www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3161560

 


1 Si tratta di autenticazione e più fattori, in questo caso due: token (qualcosa che si ha) e password (qualcosa che si sa).

2 Tipicamente l’acquisizione e la gestione di log che traccino gli accessi ai sistemi.

3 Gli utenti potrebbero acquistare contenuti per adulti, quindi si potrebbero desumere i loro gusti sessuali.

4 Tale esclusione è prevista dall'Art. 3, lett. L) della PSD e l'Art. 2, comma 2, lett. N) del D.Lgs. n. 11/2010, a sua volta richiamato al par. 2.2.9 del provvedimento della Banca d'Italia del 5 luglio 2011.

5 Letteralmente “comunicazione in prossimità”, è una tecnologia che fornisce connettività wireless bidirezionale utilizzando campi elettromagnetici e sviluppata sulle specifiche degli standard ISO/IEC 14443 e ISO/IEC 18000-3 per garantire l’interoperabilità dei dispositivi.