Pagamenti con smartphone: il garante detta le regole per la privacy

smartphone payment

Il 16.06.2014 è stata pubblicata sulla Gazzetta ufficiale la delibera 22.05.2014 n° 258 del Garante della Privacy, in cui vengono definite le tutele del cittadino che decida di effettuare acquisti di beni digitali tramite smartphone, tablet ecc. il cosidetto

mobile remote payment

L’obiettivo è sempre quello di proteggere il cittadino dall’abuso di utilizzo delle informazioni che è costretto a dare per effettuare le transazioni/operazioni necessarie ad acquistare quanto desiderato.

Infatti la delibera dice chiaramente che NON è necessario richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment.

E’ una cosa data implicitamente in quanto se io voglio comprare qualcosa e per farlo serve il mio indirizzo mail è ovvio che ti autorizzo ad usarlo per inviarmi comunicazioni relative alla fornitura.

Il problema è cosa te ne fai dei miei dati DOPO che l’operazione di pagamento è stato effettuata e conclusa.

E infatti su quello il Garante chiarisce che:

Le varie informazioni dovranno essere conservate al massimo per 6 mesi ma l’indirizzo IP del’utente dovrà essere cancellato appena concluso l’acquisto del contenuto digitale.

Gli operatori dovranno adottare tutte le misure di sicurezza necessarie a proteggere l’archiviazione e l’accesso dei dati memorizzati, tracciando, ad esempio, gli accessi dei dipendenti agli archivi.

I dati, in seguito, potranno essere utilizzati per attività di marketing , profilazione oppure ceduti a terzi se e solo se è stato rilasciato un esplicito consenso a questo uso, al momento della loro raccolta.

Inoltre è vietato, a meno di specifico consenso informato da parte del cliente, fare profilazione incrociata tra gli acquisti e le altre informazioni in possesso del venditore (ad esempio i consumi telefonici piuttosto che i servizi utilizzati).

La cosa interessante da notare in queste regole, che sono in linea con gli obblighi di legge in materia di Privacy riguardanti altri settori, che viene chiaramente indicato che l’Indirizzo IP è un dato personale e che, come tale, deve essere considerato alla stregua degli altri dati.