Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gdpr

Pagamenti digitali, i problemi privacy: ecco le regole (e chi non le rispetta)

Quando aderiamo ai servizi di pagamento digitali forniamo alle società che li gestiscono alcuni dei nostri dati personali. Vediamo quali tutele sono previste dal Gdpr, le indicazioni del Garante e quattro consigli per evitare truffe o usi impropri

11 Apr 2019

Marco Martorana

avvocato, studio legale Martorana

Victoria Parise

avvocato, studio legale Martorana


I pagamenti digitali si stanno diffondendo a macchia d’olio in molti paesi del mondo con servizi mirati a semplificare la vita degli utenti. Ma come vengono trattati i nostri dati personali quando aderiamo a questi servizi?

Ecco le previsioni di legge e del Garante e quattro utili consigli per evitare violazioni della privacy, truffe o altri usi impropri dei nostri dati.

Cosa sono i pagamenti digitali

Si definiscono pagamenti digitali quei pagamenti effettuati per l’acquisto di beni o servizi con carte di pagamento, credito telefonico, borsellino elettronico o addebito diretto su conto corrente.

Esistono diverse tipologie di pagamenti digitali.

Possiamo distinguerne due principali: Old Digital Payment e New Digital Payment[1].

I primi sono quelli tradizionali (es. carte di credito tramite POS tradizionale[2]); i secondi, i New Digital Payment, sono i pagamenti che avvengono tramite PC e Tablet, Telefono e carta su POS virtuale[3].

Categorie di pagamenti digitali

Quando il device di attivazione è lo smartphone parliamo della categoria Mobile Payment & Commerce[4], che include l’acquisto di prodotti e servizi (esclusi i contenuti digitali) attraverso il telefono cellulare.

La categoria dei pagamenti su smartphone è a sua volta suddivisibile in:

  • Mobile Remote Commerce: include gli acquisti tramite Mobile site o Mobile app di beni e servizi attraverso addebito su carta di pagamento o portafoglio elettronico;
  • Mobile Remote Payment: include i pagamenti di ricariche telefoniche, bollette, bollettini, parcheggi, biglietti del trasporto, noleggi auto, taxi, etc. attraverso il telefono cellulare con addebito su carta di pagamento o credito telefonico o portafoglio elettronico;
  • Mobile Proximity Payment: sono i pagamenti presso i punti vendita attraverso il cellulare (attraverso tecnologie di c.d. prossimità come i QRcode o la tecnologia NFC) con addebito su carta di pagamento o  direttamente sul conto corrente.

Con le più nuove tecnologie lo smartphone si è di fatto trasformato in un portafoglio digitale dando la possibilità di accedere a servizi per l’invio, l’aggregazione o la condivisione del denaro[5] anche tramite soggetti diversi da istituti bancari e finanziari, ossia attraverso i cosiddetti servizi OTT (over-the-top) e Fintech.

Come vengono trattati i nostri dati personali

Quando aderiamo a questi nuovi “servizi di pagamento” forniamo alle società che li gestiscono alcuni dei nostri dati personali.

Ai sensi del Gdpr e della vigente normativa italiana il titolare del trattamento (ossia chi tratta i nostri dati per una determinata finalità) può utilizzare i nostri dati personali, e solo quelli, necessari all’erogazione del servizio richiesto.

In particolare la normativa prevede che sia legittimo quel trattamento che trovi la propria base giuridica nel contratto fra interessato (l’utente che richiede il servizio) e il Titolare del trattamento (colui che lo presta), conseguentemente qualunque ulteriore fine il Titolare voglia perseguire o ulteriore dato voglia raccogliere o trattare potrà farlo legittimamente soltanto secondo quanto previsto dagli artt. 6, 7, 9 o 10 del Reg. UE 2016/679.

Un esempio classico di base giuridica alternativa è il consenso al trattamento da parte dell’interessato. Ecco la ragione del perché agli utenti viene spesso richiesto di prestare il proprio consenso per ulteriori finalità, ad esempio per: attività di profilazione, marketing, etc.

Si tenga presente che il consenso è base giuridica sempre revocabile e se prestato deve essere informato, esplicito e libero.

Le criticità dei servizi gratuiti

La vera criticità sorge in presenza dei servizi gratuiti, si pensi alle cosiddette app che vengono installate senza alcun costo ma che di fatto trattano i nostri dati personali.

E’ inoltre prassi frequente, purtroppo, che all’interessato (nel nostro caso l’utente che fruisce del servizio Mobile Remote Payment) venga richiesto dal Titolare del trattamento (società che eroga il servizio, quale ad esempio Google, Amazon, Facebook, Samsung, Apple, etc.) il consenso alla profilazione, al monitoraggio, o per azioni di marketing diretto e/o alla cessione dei dati a terze parti (relative anche alle abitudini di acquisto) quale condicio sine qua non per accedere al servizio di pagamento digitale.

In realtà questa richiesta, secondo le disposizioni del Gdpr, non è legittima.

Qualcuno potrebbe osservare che non c’è nulla di diverso dai tempi in cui recandosi in un negozio una brava commessa, attenta, si ricordava il nostro nome, i nostri gusti, i nostri precedenti acquisti e le forme di pagamento da noi preferite. Servizio a cui oggi provvede un algoritmo.

Invece una differenza c’è e si tratta peraltro anche di una violazione alle norme in materia di privacy.

Infatti l’art. 7 comma 4 del GDPR prevede espressamente che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio sia condizionata alla prestazione del consenso al trattamento di dati personali non necessari all’esecuzione ditale contratto”.

L’obiettivo primo della nuova normativa europea è quello di diffondere una nuova sensibilità nelle persone: quella del valore e del diritto alla privacy. Le nostre abitudini, i nostri gusti e il nostro profilo hanno un valore di mercato e influenzano il mondo economico e del marketing.

Valutazione d’impatto, le indicazioni dei Garanti

In ragione della congenita inconsapevolezza dell’interessato che a causa del “mezzo” non può comprendere pienamente l’utilizzo dei suoi dati personali da parte del Titolare è previsto dal Regolamento Europeo che l’interessato non solo sia informato, ma che quando un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), i titolari siano onerati di svolgere una cosiddetta valutazione di impatto prima di iniziare il trattamento, consultando se del caso anche l’autorità di controllo (Garante).

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Le linee guida del WP29 offrono alcuni chiarimenti sul punto, in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua. La valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione cosiddetta data protection by design.

L’ allegato n. 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979] (Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018) Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto indica quali siano i trattamenti soggetti alla PIA, riportandovi i “Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).”

Pertanto non sarà possibile per le società dei servizi Mobile Payment sfuggire alla redazione di un DPIA.

La responsabilità della PIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo – se i trattamenti lo richiedono – il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile IT.

In questo modo i rischi che l’utente corre dovrebbero essere costantemente monitorati e i dati personali protetti da furti, hackeraggio, etc.

Informarsi per proteggersi

Alla luce di tali considerazione dobbiamo porci alcune domande chiave ogni volta che effettuiamo un acquisto on line: ci curiamo di leggere l’informativa? Sappiamo quali informazioni possiamo avere dalla stessa? Ci preoccupiamo di capire a cosa serva il nostro consenso? O di fornire soltanto il consenso solo per finalità di nostro interesse?

Probabilmente no. La mancata conoscenza della reale utilità dell’informativa ex art 13 del GDPR e dello strumento di conoscenza che rappresenta, rende gli interessati estremamente vulnerabili e molte volte inconsapevoli di essere oggetto di un monitoraggio continuo da parte di molte società.

Come sopra ricordato un fenomeno oggi presente, ancorché contrastato dall’Autorità Garante, è quello che la fornitura di un bene o di un servizio sia accessibile solo previo consenso al trattamento dei dati personali dell’interessato per fini promozionali.

In questi casi il consenso prestato non può dirsi veramente “libero” (Provv. 24.2.2007; 20.12.2012; 1.10.2015 n. 508). Pertanto il trattamento che ne dovesse derivare sarebbe illegittimo[6].

Anche se i tempi non sono ancora certi, nei prossimi mesi dovrebbe intervenire la riforma della direttiva ePrivacy (2002/58/CE), che si occupa specificamente della tutela delle comunicazioni elettroniche, della sicurezza dei dispositivi digitali e della protezione dei dati personali nel mondo online. La riforma si presenta quindi come una normativa di dettaglio rispetto al  GDPR che, invece, pone le regole generali per la protezione dei dati personali.[7]

Il tutto nella speranza di rendere l’interessato consapevole del valore dei propri dati personali e della propria privacy.

Quattro utili consigli

Gli utenti prima di tutto devono, per evitare violazioni della privacy, possibili truffe, furti di identità o di denaro o più in generale l’utilizzo improprio dei loro dati personali:

  • Prestare attenzione al fatto che chiunque raccolga o tratti dati personali è tenuto a rendere un’idonea informativa, art 13 o 14 del GDPR grazie alla quale è possibile comprendere il trattamento. Grazie all’informativa è possibile infatti comprendere chi sia l’effettiva società titolare, per quali finalità raccoglie e tratta i dati personali degli utenti, a chi li comunica e per quali ragioni, per quanto tempo potrà conservarli e quali sono gli effettivi diritti esercitabili;
  • Leggere attentamente le finalità per le quali sia richiesto il consenso dell’interessato. Ricordano in particolare che nell’ambito di un rapporto contrattuale i dati personali possono essere trattati dal Titolare senza il consenso dell’interessato in quanto esiste già un consenso al rapporto contrattuale (stipula) che costituisce la base giuridica di un trattamento legittimo dei dati. Pertanto nel caso in cui sia richiesto all’interessato un consenso, questo sarà per poter realizzare finalità diverse da quelle relative all’esecuzione del contratto e di conseguenza il consenso sarà facoltativo e non obbligatorio.
  • Contestare l’eventuale richiesta di un consenso obbligatorio per attività di promozione e marketing che condizioni l’accesso al servizio (o contratto) che vi interessa.E’ infatti illegittimo costringere l’utente a prestare un consenso per poter acquistare o fruire di un bene o servizio.
  • Porre particolare attenzione a consensi richiesti per la profilazione degli utenti, che debbono essere richiesti separatamente dagli altri e indicare in modo specifico le logiche utilizzate e le conseguenze previste per l’interessato.

_______________________________________________________________

  1. https://blog.osservatori.net/it_it/pagamenti-digitali-cosa-sono
  2. POS tradizionale, collegato con cavo alla linea telefonica fissa
  3. Il POS virtuale non necessita di alcuna componente hardware e può essere utilizzato attraverso qualsiasi device (smartphone, tablet o pc) che abbia una connessione internet (WiFi o 3G/4G) accedendo tramite qualsiasi browser al proprio back office.
  4. eCommerce, che include gli acquisti online (tramite PC o Tablet appunto) di prodotti e servizi da parte di consumatori, in cui il pagamento è concluso con carta di pagamento o wallet elettronico;ePayment, che include i pagamenti di ricariche (abbonamenti, credito telefonico, etc.), tasse e multe attraverso sistemi online pagati con carte di pagamento o protafoglio elettronico.
  5. https://smartmoney.startupitalia.eu/senza-categoria/64902-20190119-adesso-turisti-cinesi-italia-possono-pagare-taxi-app
  6. Recentemente, in data 20 luglio 2017, il Garante con il provvedimento n. 324 ha statuito in materia di e-commerce che la richiesta di acconsentire con un’unica spunta al trattamento dei dati personali dell’utente per le finalità di acquisto e promozionali fosse attività illegittima ai sensi del Codice Privacy.
  7. https://protezionedatipersonali.it/regolamento-eprivacy

@RIPRODUZIONE RISERVATA

Articolo 1 di 4