Gazzetta n. 290 del 15 dicembre 2014 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 20 novembre 2014 Proroga del termine per l'attuazione delle prescrizioni del provvedimento n. 258 del 22 maggio 2014 in materia di mobile remote payment. (Provvedimento n. 546). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il decreto-legge 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il "Codice"); Visto il provvedimento n. 258 del 22 maggio 2014 in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment (pubblicato nella Gazzetta Ufficiale n. 137 del 16 giugno 2014 e sul sito www.garanteprivacy.it, doc. web n. 3161560, di seguito il "Provvedimento"), emanato all'esito di una consultazione pubblica con avviso pubblicato sulla Gazzetta Ufficiale Serie Generale n. 2 del 3 gennaio 2014 (provvedimento n. 561 del 12 dicembre 2013, doc. web n. 2830145); Viste le prescrizioni impartite con il Provvedimento ai diversi soggetti coinvolti nelle operazioni di pagamento tramite terminale mobile (fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, hub tecnologici e merchant), al fine di garantire il rispetto dei principi sanciti dal Codice in relazione al trattamento dei dati personali che gli utenti devono fornire per fruire dei nuovi servizi di pagamento per l'acquisto di prodotti e servizi digitali; Vista l'istanza interpretativa e di riesame presentata da ASSTEL, l'Associazione rappresentativa, nel sistema di Confindustria, delle Imprese della filiera delle telecomunicazioni (di seguito l'«Associazione»), il 4 agosto 2014 in merito ad alcune delle prescrizioni presenti nel Provvedimento; Vista la nota di riscontro del Garante del 23 ottobre 2014 con la quale sono stati forniti chiarimenti in ordine a: le misure di sicurezza relative ai dati presenti nella piattaforma tecnologica utilizzata per le operazioni di mobile remote payment, nel senso che il mascheramento, mediante il ricorso ad un meccanismo crittografico, ha lo scopo di indicare un obiettivo di sicurezza del dato personale che puo' essere raggiunto anche attraverso altri accorgimenti, quale ad esempio la strong authentication basata altresi' sul riconoscimento di un dato biometrico, ovvero ogni piu' opportuna misura di salvaguardia dell'informazione purche' in linea con tale obiettivo; la classificazione dei contenuti destinati ad un pubblico adulto e definiti "Adult" ai fini della previsione di un PIN dispositivo obbligatorio, nel senso che tale richiamo risulta in linea con la classificazione internazionale degli stessi; l'attribuzione, per la fruizione dei suddetti contenuti, di un PIN univoco associato di volta in volta alla tipologia di prodotto o servizio richiesto dall'utente, nel senso della possibilita' di utilizzare anche misure alternative, purche' idonee a garantire il rispetto dei medesimi obiettivi di sicurezza e di tutela del dato personale che l'Autorita' ha inteso individuare con la suddetta prescrizione; la previsione di un periodo di conservazione dei dati di sei mesi nel senso che la stessa debba intendersi riferita ai soli dati di traffico telefonico e telematico come previsto all'art. 123 del Codice, nonche' del rispetto delle disposizioni dettate dal codice civile, in materia di prescrizione, per le altre tipologie di dati (come ad esempio i log di attivazione e disattivazione) e, per i dati che risultino associati a tipologie di contenuti particolarmente delicati, a condizione che vengano adottate idonee cautele, quali il ricorso a forme di mascheramento del dato, ovvero altre idonee misure di sicurezza; Rilevato che le misure e gli accorgimenti di cui al Provvedimento devono essere implementati entro e non oltre centottanta giorni dalla data di pubblicazione sulla Gazzetta Ufficiale e che tale termine scade il 15 dicembre 2014; Vista la successiva istanza presentata dall'Associazione in data 14 novembre 2014 con la quale e' stato chiesto all'Autorita' di prorogare, con riguardo all'attivita' dei fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico (di seguito gli "Operatori"), il termine di attuazione previsto dal Provvedimento come sopra indicato, al prossimo giugno 2015, dovendosi ancora adottare significativi adeguamenti quali: a. "la revisione di tutti i messaggi scambiati tra Operatori e Merchant di cui al punto 6.4 del Provvedimento"; b. "la revisione della classificazione dei servizi in abbonamento acquistati dai clienti di cui non si potra' conoscere il contenuto (...)"; c. gli altri adeguamenti tecnici necessari anche con riferimento ai servizi Adult; Tenuto conto che l'Associazione ha motivato il differimento richiesto essenzialmente in ragione della complessita' tecnica delle operazioni connesse all'attuazione delle misure prescritte nel Provvedimento; Considerato che l'Associazione medesima ha rappresentato che tali operazioni richiedono tempi di analisi, tempi e costi di sviluppo che gli Operatori hanno potuto piu' opportunamente individuare a seguito dei chiarimenti successivamente forniti dall'Autorita' nella menzionata nota del 23 ottobre 2014; Tenuto conto che l'Associazione ha inoltre evidenziato che, per alcuni Operatori, gli adeguamenti richiesti risultano ulteriormente complessi sotto il profilo operativo, in quanto riguardano banche dati gestite da societa' controllanti; Ritenuto che l'attivita' tecnologica da implementare risulta articolata anche in ragione dell'elevato numero di soggetti coinvolti e della delicatezza dei temi posti; Ritenuto tuttavia congruo, in tale prospettiva, fissare il termine di proroga al 31 marzo 2015 per il completamento dell'attuazione delle prescrizioni indicate con il provvedimento n. 258 del 22 maggio 2014; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Antonello Soro; Tutto cio' premesso, il Garante ai sensi dell'art. 154, comma 1, lett. c) del Codice, a parziale modifica del provvedimento n. 258 del 22 maggio 2014, dispone di prorogare al 31 marzo 2015 il termine precedentemente fissato al fine di consentire, a tutti i soggetti coinvolti nelle operazioni di mobile remote payment, l'attuazione delle prescrizioni contenute nel medesimo provvedimento. Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Ai sensi degli artt. 152 del Codice e 10 del decreto-legge n. 150/2011, avverso il presente provvedimento puo' essere proposta opposizione all'autorita' giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Roma, 20 novembre 2014 Il presidente: Soro Il relatore: Soro Il segretario generale: Busia