Diritti interna

Doveri interna

ricerca avanzata

Proroga del termine per l’attuazione delle prescrizioni del provvedimento n. 258 del 22 maggio 2014 in materia di mobile remote payment - 20 novembre 2014

Vedi anche provvedimento del 22 maggio 2014

[doc. web n. 3610915]

Proroga del termine per l´attuazione delle prescrizioni del provvedimento n. 258 del 22 maggio 2014 in materia di mobile remote payment - 20 novembre 2014
(Pubblicato sulla Gazzetta Ufficiale n. 290 del 15 dicembre 2014)

Registro dei provvedimenti
n. 546 del 20 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il "Codice");

VISTO il provvedimento n. 258 del 22 maggio 2014 in materia di trattamento dei dati personali  nell´ambito dei servizi di mobile remote payment  (pubblicato sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014 e sul sito www.garanteprivacy.it, doc. web n. 3161560, di seguito il "Provvedimento"), emanato all´esito di una consultazione pubblica con avviso pubblicato sulla Gazzetta Ufficiale Serie Generale n. 2 del 3 gennaio 2014 (provvedimento n. 561 del 12 dicembre 2013, doc. web n. 2830145); 

VISTE le prescrizioni impartite con il Provvedimento ai diversi soggetti coinvolti nelle operazioni di pagamento tramite terminale mobile (fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, hub tecnologici e merchant), al fine di garantire il rispetto dei princìpi sanciti dal Codice in relazione al trattamento dei dati personali che gli utenti devono fornire per fruire dei nuovi servizi di pagamento per l´acquisto di prodotti e servizi digitali;

VISTA l´istanza interpretativa e di riesame  presentata da ASSTEL, l´Associazione rappresentativa, nel sistema di Confindustria, delle  Imprese della filiera delle telecomunicazioni (di seguito l´"Associazione"), il 4 agosto 2014 in merito ad alcune delle prescrizioni presenti nel Provvedimento;

VISTA la nota di riscontro del Garante del 23 ottobre 2014 con la quale sono stati forniti chiarimenti in ordine a:

- le misure di sicurezza relative ai dati presenti nella piattaforma tecnologica utilizzata per le operazioni di mobile remote payment, nel senso che il mascheramento, mediante il ricorso ad un meccanismo crittografico, ha lo scopo di indicare un obiettivo di sicurezza del dato personale che può essere raggiunto anche attraverso altri accorgimenti, quale ad esempio la strong authentication basata altresì sul riconoscimento di un dato biometrico, ovvero ogni più opportuna misura di salvaguardia dell´informazione purché in linea con tale obiettivo;

- la classificazione dei contenuti destinati ad un pubblico adulto e definiti "Adult" ai fini della previsione di un PIN dispositivo obbligatorio, nel senso che tale richiamo risulta in linea con la classificazione internazionale degli stessi;

- l´attribuzione, per la fruizione dei suddetti contenuti, di un PIN univoco associato di volta in volta alla tipologia di prodotto o servizio richiesto dall´utente, nel senso della possibilità di utilizzare anche misure alternative, purché idonee a garantire il rispetto dei medesimi obiettivi di sicurezza e di tutela del dato personale che l´Autorità ha inteso individuare con la suddetta prescrizione;

- la previsione di un periodo di conservazione dei dati di sei mesi nel senso che la stessa debba intendersi riferita ai soli dati di traffico telefonico e telematico come previsto all´art. 123 del Codice, nonché del rispetto delle disposizioni dettate dal codice civile, in materia di prescrizione, per le altre tipologie di dati (come ad esempio i log di attivazione e disattivazione) e, per i dati che risultino associati a tipologie di contenuti particolarmente delicati, a condizione che vengano adottate idonee cautele, quali il ricorso a forme di mascheramento del dato, ovvero altre idonee misure di sicurezza;

RILEVATO che le misure e gli accorgimenti di cui al Provvedimento devono essere implementati entro e non oltre centottanta giorni dalla data di pubblicazione sulla Gazzetta Ufficiale e che tale termine scade il 15 dicembre 2014;

VISTA la successiva istanza presentata dall´Associazione in data 14 novembre 2014 con la quale è stato chiesto all´Autorità di prorogare, con riguardo all´attività dei fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico (di seguito gli "Operatori"), il termine di attuazione previsto dal Provvedimento come sopra indicato, al prossimo giugno 2015, dovendosi ancora adottare  significativi adeguamenti quali:

a. "la revisione di tutti i messaggi scambiati tra  Operatori e Merchant di cui al punto 6.4 del Provvedimento";

b. "la revisione della classificazione dei servizi in abbonamento acquistati dai clienti di cui non si potrà conoscere il contenuto (…)";

c. gli altri adeguamenti tecnici  necessari anche con riferimento ai servizi Adult ; 

TENUTO CONTO che l´Associazione ha motivato il differimento richiesto essenzialmente in ragione della complessità tecnica delle operazioni connesse all´attuazione delle misure prescritte nel Provvedimento;

CONSIDERATO che l´Associazione medesima  ha rappresentato che tali operazioni richiedono tempi di analisi, tempi e costi di sviluppo che gli Operatori hanno potuto più opportunamente individuare a seguito dei chiarimenti successivamente forniti dall´Autorità nella menzionata nota del 23 ottobre 2014;

TENUTO CONTO che l´Associazione ha inoltre evidenziato che, per alcuni Operatori, gli adeguamenti richiesti risultano ulteriormente complessi sotto il profilo operativo, in quanto riguardano banche dati gestite da società controllanti;

RITENUTO che l´attività tecnologica da implementare risulta articolata anche in ragione dell´elevato numero di soggetti coinvolti e della delicatezza dei temi posti;

RITENUTO tuttavia congruo, in tale prospettiva, fissare il termine di proroga al 31 marzo 2015 per il completamento dell´attuazione delle prescrizioni indicate con il provvedimento n. 258 del 22 maggio 2014;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell´art. 154, comma 1, lett. c) del Codice, a parziale modifica del provvedimento n. 258 del 22 maggio 2014, dispone di prorogare al 31 marzo 2015 il termine precedentemente fissato al fine di consentire, a tutti i soggetti coinvolti nelle operazioni di mobile remote payment, l´attuazione delle prescrizioni contenute nel medesimo provvedimento.

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 novembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia