Mobile payment: scattano gli obblighi imposti dal Garante privacy

images1° aprile 2015

Da oggi più tutele per i consumatori e regole certe per le società del settore 

Tempo scaduto per le società che operano nel settore del mobile payment per adeguarsi alle prescrizioni dettate dal Garante privacy.

Come anticipato nel SMPost Pagamenti con smartphone e tablet: più tutele per gli utenti, da oggi, mercoledì 1° aprile 2015, le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) dovranno essere in regola con il Provvedimento generale varato dal Garante privacy nel maggio 2014.

Grazie alle nuove regole, chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, potrà acquistare in sicurezza prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.

Da oggi, quindi:

  • gli utenti che acquistano beni digitali dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto;
  • i loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati al massimo per 6 mesi e non potranno essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini senza uno specifico consenso;
  • l‘indirizzo IP degli utenti dovrà essere cancellato dal venditore una volta terminata la procedura di acquisto.

Precise misure di sicurezza dovranno essere adottate per:

  • garantire la riservatezza delle persone e
  • impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione “incrociata” dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.

I venditori a garanzia della riservatezza delle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

 

Annunci

Pagamenti con smartphone e tablet: più tutele per gli utenti

o2wallet-awards2Al via le nuove regole del Garante privacy: tutele per i minori, profilazione solo con consenso, dati protetti

Maggiori tutele per gli utenti che decideranno di effettuare acquisti di beni e servizi digitali utilizzando nuove forme di pagamento elettronico. Regole certe per le società del settore.

Il Garante privacy ha definitivamente adottato il Provvedimento [doc. web n. 3161560] (pubblicato ieri, 16 giugno 2014, sulla Gazzetta Ufficiale), che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

Grazie alle nuove regole, che tengono conto anche delle indicazioni pervenute in sede di consultazione pubblica, gli utenti telefonici, sia in abbonamento sia con carta prepagata, potranno acquistare in sicurezza servizi, abbonarsi a quotidiani on line, comprare e-book, video e giochi con il proprio telefono o altri strumenti elettronici. I dati personali acquisiti per la transazione (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) non potranno poi essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini, senza lo specifico consenso degli utenti, e dovranno essere adeguatamente protetti dai rischi di uso fraudolento.

Le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento:

  • gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare),
  • gli aggregatori (le società che forniscono l’interfaccia tecnologica),
  • i venditori (le aziende che offrono contenuti digitali e servizi);
  • nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite app, l’accesso al mercato digitale).

Ecco, in sintesi, le prescrizioni del Garante.

Informativa
Gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.

Consenso
Le società non dovranno richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment.

Il consenso è invece obbligatorio per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, potranno essere conservati al massimo per 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Ulteriori misure a tutela della privacy
Dovranno essere adottate misure al fine di impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sull’uso della tv interattiva) e di evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.

I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Dovranno essere previsti anche accorgimenti tecnici per disattivare servizi destinati ad un “pubblico adulto” e per inibirne l’accesso a minorenni.

Il Garante si riserva di intervenire nuovamente sui servizi di mobile payment tenendo conto di eventuali innovazioni, anche normative, di un settore in continua evoluzione.

Lotta alle violazioni della privacy: cresce l’attività ispettiva del Garante

Per il 2014 programmati controlli su call center all’estero e mobile payment

privacy_professionalsA che punto è il rispetto della privacy in Italia?

Una risposta può venire dal resoconto sull’attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che

  • utenti e cittadini vengono  ancora poco informati da aziende e Pa sull’uso dei loro dati personali,  
  • sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati
  • c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce.

 

garanteBilancio dei controlli del Garante

Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71.

Settori più controllati

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione:

  • call center e telefonate promozionali indesiderate
  • banche dati del fisco
  • credito al consumo
  • “centrali rischi”
  • sistema informativo dell’Inps
  • sanità.
  • reti telematiche con ispezioni sull’uso dei sistemi di localizzazione satellitare (gps) nell’ambito del rapporto di lavoro
  • nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment),
  • sulle violazioni delle banche dati dei gestori tlc (data breaches)

 

pro_civProcedimenti e sanzioni

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%).

Le sanzioni hanno riguardato, innanzitutto,

  • la omessa o inidonea informativa (476)
  • il trattamento illecito dei dati (277), legato principalmente al telemarketing e all’uso dei dati personali senza consenso

Ma i procedimenti avviati sono relativi anche :

  • alla mancata adozione di misure di sicurezza
  • alle violazioni connesse alla conservazione dei dati di traffico telefonico
  • all’omessa notificazione al Garante
  • all’inosservanza dei provvedimenti dell’Autorità

Sono aumentate in maniera rilevante le segnalazioni all’Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell’Authority.

 

open-data-120214180002_mediumIl piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014.

Il piano prevede  la prosecuzione di controlli avviati lo scorso anno:

  • grandi banche dati pubbliche, in particolare di enti previdenziali e dell’amministrazione finanziaria
  • gestione delle reti pubbliche di accesso a Internet in  wi-fi
  • marketing telefonico
  • mobile payment

Il piano prevede anche  l’avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati:

  • i call center delocalizzati in Paesi extra Ue
  • i sistemi di profilazione dei consumatori
  • le aziende farmaceutiche
  • i centri di assistenza tecnica e recupero dati

Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti.

article-1350709-0CBA01E6000005DC-786_634x427Informativa sull’uso dei dati, misure di sicurezza forti, conservazione a tempo: chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare  e-book, scaricare  a pagamento film o giochi sarà più garantito.

Arrivano le regole del Garante per proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.

L’uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile.

Obiettivo del provvedimento generale dell’Autorità, dunque, è quello di garantire in un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti  e prevenire i rischi di un loro uso improprio.

Le direttive del Garante sono rivolte ai tre principali soggetti che offrono servizi di mobile payment:

  • operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l’uso di una carta prepagata oppure mediante un abbonamento telefonico;
  • gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l’offerta di prodotti e servizi digitali;
  • i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi,  servizi destinati ad un pubblico adulto.

Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie di operatori coinvolti.

Informativa
I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando quali dati personali  utilizzano  e per quali scopi.

Per tale motivo dovranno rilasciare l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell’apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell’operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l’informativa e la richiesta del consenso al trattamento dei dati.

Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.

Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare  precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini,  gusti e  preferenze. Da prevedere anche accorgimenti tecnici per  disattivare servizi destinati ad un pubblico adulto.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi.

L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy (… i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione)

Prima del varo definitivo del provvedimento, l’Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it

 

 

L’attività ispettiva del Garante privacy: telemarketing e profilazione a rischio

GaranteVarato anche il piano ispettivo per il primo semestre 2013

395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l’attività ispettiva svolta dal Garante privacy nel 2012.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato:

  • il telemarketing,
  • l’uso dei sistemi di localizzazione (gps)  nell’ambito del rapporto di lavoro,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), 
  • il credito al consumo e le “centrali rischi”,
  • le banche dati del fisco,
  • l’attività di profilazione dei clienti da parte delle aziende.

 

cloud-privacy_tLe sanzioni

Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte:

  • la omessa informativa,
  • il trattamento illecito dei dati,
  • il mancato rispetto delle norme in materia di telemarketing,
  • la conservazione eccessiva dei dati di traffico telefonico e telematico,
  • la mancata adozione di misure di sicurezza,
  • l’omessa o mancata notificazione al Garante,
  • l’inosservanza dei provvedimenti dell’Autorità.

L’incremento è dovuto, in particolare, all’attività di contrasto delle violazioni nel settore del telemarketing.

56 sono state le segnalazioni all’autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse:

  • al controllo a distanza dei lavoratori,
  • all’accesso abusivo a banche dati,
  • alle misure di sicurezza,
  • alla falsità nelle dichiarazioni al Garante.

Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.

Le somme riscosse dall’erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all’anno precedente del 22%.

 

2815884-16x9-340x191Il piano ispettivo del primo semestre 2013

Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza:

  • le banche dati pubbliche in particolare di enti previdenziali e dell’amministrazione finanziaria,
  • l’attività di telemarketing da parte dei call center operanti all’estero,
  • il trattamento dei dati per il fascicolo sanitario elettronico,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),
  • le “centrali rischi”.

 

privacy_alertGli accertamenti delle GdF e i principali Adempimenti privacy

200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza.

A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali:

  • le informative da fornire ai cittadini sull’uso dei loro dati personali,
  • la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge,
  • l’adozione delle misure di sicurezza,
  • il rispetto dell’obbligo di notificazione al Garante.