Acquisti con smartphone e tablet: le regole per tutelare la privacy
Il 3 gennaio 2014 il Garante privacy ha emanato un avviso per l’avvio di una consultazione pubblica che ha l’obiettivo di tutelare la privacy degli utenti di prodotti e servizi online via mobile.
Il documento si rivolge a tre categorie di operatori:
- gli operatori di comunicazione elettronica che forniscono un servizio di pagamento elettronico con l’uso di carta prepagata o attraverso abbonamento telefonico
- gli aggregatori (hub) che gestiscono la piattaforma tecnologica per l’offerta di prodotti e servizi
- i venditori, cioè le aziende che offrono contenuti e servizi
Di seguito le 4 misure oggetto dell’avviso.
Informativa
I provider e i venditori dovranno specificare quali dati personali utilizzano e per quali scopi, rilasciando l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico. L’informativa dovrà essere inserita nel modulo per la portabilità del numero. Gli aggregatori predisporranno una pagina per scaricare l’informativa e il consenso al trattamento dei dati.
Consenso
I provider e gli aggregatori non dovranno richiedere il consenso per la fornitura del servizio di mobile payment, che resterà obbligatorio per gli operatori e per i venditori che svolgono attività di marketing, profilazione, o comunicazione di dati a terzi. Per i dati sensibili occorrerà uno specifico consenso.
Misure di sicurezza
Saranno obbligatori sistemi di autenticazione sicura per l’acceso ai dati da parte del personale addetto con procedure di tracciamento degli accessi e delle operazioni; criteri di codificazione di prodotti e servizi; utilizzo di sistemi crittografici. Inoltre si dovrà prevenire il rischio di incrocio di dati diversi ed evitare la profilazione incrociata dell’utenza in base a abitudini, gusti e preferenze.
Conservazione
I dati degli utenti, compresi gli sms di attivazione e disattivazione di un servizio, dovranno essere cancellati dopo 6 mesi. L’indirizzo Ip dell’utente dovrà essere cancellato dal venditore al termine della procedura di acquisto del contenuto digitale.