di Armando Gabrielli e Luigi Mauro
Garante della Privacy – Provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment – 22 maggio 2014
Il Garante della privacy ha definitivamente adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.
I servizi di mobile payment, classificabili nelle due principali categorie del mobile remote payment e del mobile proximity payment, identificano oggigiorno l’ultima frontiera del settore dei micropagamenti che cerca sempre più di disincentivare l’uso del contante, implicando, tuttavia, valutazioni che riguardano anche il trattamento di dati personali. Se infatti, da un lato, si pongono le facilitazioni delle modalità di acquisto attraverso il terminale mobile ed un possibile risparmio dei costi legati alle transazioni effettuate con carte di pagamento, dall’altro non possono trascurarsi gli aspetti di sicurezza che investono il corretto utilizzo dei dati personali, potenzialmente anche quelli di natura sensibile, che l’utente deve fornire per fruire di questi nuovi servizi di pagamento. Alla luce, quindi, del crescente interesse e sviluppo delle nuove tecnologie e delle possibili problematiche privacy, il Garante per la Protezione dei dati personali, al termine di una consultazione pubblica promossa nell’autunno 2013, ha adottato un Provvedimento generale in materia di MRP – mobile remote payment(1).
Nello specifico, il provvedimento in esame si rivolge a tutta la filiera di soggetti coinvolti nella fornitura del servizio di micropagamento: gli operatori di comunicazione elettronica (ovvero gli operatori telefonici che forniscono il servizio di pagamento tramite dispositivi mobili), gli aggregatori (le società che forniscono l’interfaccia tecnologica), i venditori (le aziende che offrono contenuti digitali e servizi) e tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite “APP”, l’accesso al mercato digitale). In questo provvedimento Il Garante si è concentrato solo sul mobile remote payment (operazioni di pagamento di un bene o servizio tra esercente e cliente, attivate da quest’ultimo a distanza attraverso i dispositivi mobili) e non anche sulle regole del mobile proximity payment (operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia NFC- Near Field Communication, ad un apposito lettore POS, posto presso il punto vendita dell’esercente da cui si acquista il bene) che invece saranno richiamate in un diverso e apposito provvedimento.
Il provvedimento inizialmente si sofferma sull’analisi della vigente normativa di merito a livello comunitario e nazionale(2,3,4) sottolineando poi come attraverso il mobile remote payment sono trattati molteplici tipologie di dati: quelli relativi alla numerazione telefonica, i dati anagrafici, i dati legati alla tipologia del servizio o del prodotto digitale richiesto ed al relativo importo, i dati inerenti la sottoscrizione e revoca del servizio, i dati relativi agli acquisti, i dati di posta elettronica richiesti per una maggiore fruibilità del contenuto digitale e/o indirizzo IP dell’utente e possibili dati di natura sensibile, in relazione anche alla fruizione del contenuto o del servizio digitale(1). Alla luce della quantità e della qualità di dati trattati esistono reali profili di rischio per i diritti e le libertà fondamentali, nonché per la dignità dei soggetti interessati: il Garante ha pertanto prescritto a tutti i titolari che effettuano trattamenti di dati personali nell’ambito delle operazioni di MRP, nel rispetto dei principi generali di liceità, pertinenza, non eccedenza e correttezza (ex. Art.11 del Codice Privacy), l’adozione di specifiche misure e adempimenti entro 180 giorni dalla pubblicazione del provvedimento sulla Gazzetta ufficiale (quindi entro il 16 dicembre 2014).
Gli adempimenti prescritti riguardano la gestione dell’informativa privacy, il consenso al trattamento, la conservazione dei dati, le misure di sicurezza e le ulteriori misura a tutela della privacy; il Garante ha anche identificato un contesto operativo, un’architettura tecnico-organizzativa di riferimento ed i possibili ruoli dei soggetti coinvolti nel processo di erogazione del servizio di mobile remote payment:
l’operatore: gestore dell’offerta di contenuti digitali, fruibili dall’utente su smartphone, tablet, personal computer, notebook e laptop, tramite il credito telefonico e resi disponibili attraverso un’apposita piattaforma tecnologica;
l’aggregatore: o hub tecnologico, è normalmente il soggetto (o i soggetti) cui è affidata la realizzazione di una serie di attività legate alla operatività della piattaforma tecnica che rende disponibili contenuti digitali attraverso il ricorso al MRP;
il merchant: attualmente, nell’ambito del MRP, i merchant che aderiscono al servizio vendono prodotti editoriali (singole copie del quotidiano o servizi in abbonamento anche in formato digital edition ed e-book), contenuti multimediali in modalità streaming, broadcasting (serie tv e Film) e download, giochi, community e servizi inerenti, nonché servizi relativi a materiale a carattere sessuale.
Naturalmente per utente o cliente si identifica il soggetto titolare di una USIM prepagata o postpagata che fruisce dei servizi di MRP.
…continua su EDICOLeA e sull’APP gratuita (iOS – Android)
Altri articoli di Armando Gabrielli
- NUOVE CARATTERISTICHE E ARCHITETTURE DI SICUREZZA DELLE INFRASTRUTTURE E DEI SERVIZI DELLE RETI 5G -
di Armando Gabrielli e Luigi Mauro (n.III_MMXVII)
La tecnologia 5G porterà una forte trasformazione della rete fissa e mobile con prestazioni superiori a quelle attuali, introducendo tuttavia ulteriori requisiti in materia di Sicurezza e Privacy. - ITALIAN CYBER SECURITY REPORT 2014 -
di Armando Gabrielli e Luigi Mauro (n.I_MMXV)
Il Centro di Ricerca in Cyber Intelligence e Information Security dell’Università degli Studi di Roma “La Sapienza”, in collaborazione con AgID e la Presidenza del Consiglio dei Ministri, ha svolto una ricerca volta a capire più in profondità la consapevolezza della minaccia cibernetica e l’attuale capacità difensiva della PA italiana. - La tecnologia “NFC” per le comunicazioni radio a breve distanza tra cellulari e vulnerabilità note -
di Armando Gabrielli e Luigi Mauro (III_MMXIV)
La Near Field Communication (NFC) è un insieme di standard per dispositivi mobili progettati per stabilire la comunicazione radio a breve distanza, basandosi su protocolli di comunicazione diversi. Grazie alla notevole interoperabilità tra i diversi standard di riferimento, questa tecnologia è utilizzata in diversi ambiti applicativi, con conseguenti svantaggi legati alla forte esposizione verso diverse vulnerabilità ed annessi scenari di attacco. - CALEA II: i rischi delle intercettazioni sui “punti finali” delle comunicazioni -
di Armando Gabrielli e Luigi Mauro
CALEA II: Risks of Wiretap Modifications to Endpoints. Il 17 marzo 2013 è stato pubblicato uno studio di 19 esperti mondiali di comunicazioni, cifratura e intercettazioni circa i rischi derivanti dalle modifiche che si vorrebbero introdurre nel CALEA Act. In sintesi lo studio afferma che obbligare i creatori di software, i service provider e tutti gli attori responsabili per i “punti finali” delle comunicazioni digitali (su PC o smartphone) a riscrivere il codice e riprogettare l’hardware per facilitare le intercettazioni (legali) non farebbe altro che rendere più facile il lavoro dei cyber-criminali. - Valutazione della qualità della connessione a internet in mobilità - di Armando Gabrielli e Luigi Mauro
- MIS REPORT 2013: LO SVILUPPO DELL’ICT - di Armando Gabrielli e Luigi Mauro ( n.IV_MMXIII )
Altri articoli di Luigi Mauro
- NUOVE CARATTERISTICHE E ARCHITETTURE DI SICUREZZA DELLE INFRASTRUTTURE E DEI SERVIZI DELLE RETI 5G -
di Armando Gabrielli e Luigi Mauro (n.III_MMXVII)
La tecnologia 5G porterà una forte trasformazione della rete fissa e mobile con prestazioni superiori a quelle attuali, introducendo tuttavia ulteriori requisiti in materia di Sicurezza e Privacy. - ITALIAN CYBER SECURITY REPORT 2014 -
di Armando Gabrielli e Luigi Mauro (n.I_MMXV)
Il Centro di Ricerca in Cyber Intelligence e Information Security dell’Università degli Studi di Roma “La Sapienza”, in collaborazione con AgID e la Presidenza del Consiglio dei Ministri, ha svolto una ricerca volta a capire più in profondità la consapevolezza della minaccia cibernetica e l’attuale capacità difensiva della PA italiana. - La tecnologia “NFC” per le comunicazioni radio a breve distanza tra cellulari e vulnerabilità note -
di Armando Gabrielli e Luigi Mauro (III_MMXIV)
La Near Field Communication (NFC) è un insieme di standard per dispositivi mobili progettati per stabilire la comunicazione radio a breve distanza, basandosi su protocolli di comunicazione diversi. Grazie alla notevole interoperabilità tra i diversi standard di riferimento, questa tecnologia è utilizzata in diversi ambiti applicativi, con conseguenti svantaggi legati alla forte esposizione verso diverse vulnerabilità ed annessi scenari di attacco. - CALEA II: i rischi delle intercettazioni sui “punti finali” delle comunicazioni -
di Armando Gabrielli e Luigi Mauro
CALEA II: Risks of Wiretap Modifications to Endpoints. Il 17 marzo 2013 è stato pubblicato uno studio di 19 esperti mondiali di comunicazioni, cifratura e intercettazioni circa i rischi derivanti dalle modifiche che si vorrebbero introdurre nel CALEA Act. In sintesi lo studio afferma che obbligare i creatori di software, i service provider e tutti gli attori responsabili per i “punti finali” delle comunicazioni digitali (su PC o smartphone) a riscrivere il codice e riprogettare l’hardware per facilitare le intercettazioni (legali) non farebbe altro che rendere più facile il lavoro dei cyber-criminali. - Valutazione della qualità della connessione a internet in mobilità - di Armando Gabrielli e Luigi Mauro
- MIS REPORT 2013: LO SVILUPPO DELL’ICT - di Armando Gabrielli e Luigi Mauro ( n.IV_MMXIII )