DELIBERA 22 maggio 2014 - Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment. (Delibera n. 258). (14A04553)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»);

Vista la direttiva 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno («Payment Service Directive»), recante modifica delle direttive 97/7/CE;

2002/65/CE;

2005/60/CE e 2006/48/CE che abroga la direttiva 97/5/CE (di seguito PSD);

Visto il decreto legislativo n. 11 del 27 gennaio 2010 (pubblicato sul supplemento ordinario alla Gazzetta Ufficiale n. 36 del 13 febbraio 2010), di recepimento della PSD;

Vista la direttiva 2009/110/CE, del Parlamento europeo e del Consiglio concernente l'avvio, l'esercizio e la vigilanza prudenziale dell'attivita' degli istituti di moneta elettronica, («e-Money Directive») recante modifica delle direttive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE (di seguito EMD);

Visto il decreto legislativo n. 45 del 16 aprile 2012 (pubblicato nella Gazzetta Ufficiale n. 99 del 24 aprile 2012), di recepimento della EMD;

Visti i provvedimenti della Banca d'Italia del 5 luglio 2011 di «Attuazione del titolo II del decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento (Diritti e obblighi delle parti)» e del 15 febbraio 2010 recante le «Disposizioni di vigilanza per gli istituti di pagamento»;

Visto il Libro verde della Commissione europea dell'11 gennaio 2012 «Verso un mercato europeo integrato dei pagamenti tramite carte, internet e telefono mobile»;

Vista la Proposta di risoluzione del 20 novembre 2012 del Parlamento europeo sul Libro verde della Commissione europea;

Visto il decreto-legge n. 201 del 6 dicembre 2011, recante «Disposizioni urgenti per la crescita, l'equita' e il consolidamento dei conti pubblici» (pubblicato nella Gazzetta Ufficiale n. 284 del 6 dicembre 2011 - supplemento ordinario n. 251) c.d. «Decreto SalvaItalia», convertito con modificazioni dalla legge 22 dicembre 2011, n. 214 (pubblicata nella Gazzetta Ufficiale n. 300 del 27 dicembre 2011 - supplemento ordinario n. 276) e, in particolare, l'art. 12 (comma 4) «Riduzione del limite per la tracciabilita' dei pagamenti a 1.000 euro e contrasto all'uso del contante» con riguardo ai nuovi prestatori di servizi di pagamento;

Visto il decreto-legge n. 179 del 18 ottobre 2012, recante «Ulteriori misure urgenti per la crescita del Paese» (pubblicato nella Gazzetta Ufficiale n. 245 del 19 ottobre 2012 - supplemento ordinario n. 194/L), c.d. «Decreto sviluppo-bis», convertito con modificazioni dalla legge n. 221 del 17 dicembre 2012 (pubblicata nella Gazzetta Ufficiale n. 294 del 18 dicembre 2012 - supplemento ordinario n. 208) e, in particolare, l'art. 8 «Misure per l'innovazione dei sistemi di trasporto» e l'art. 15 «Pagamenti elettronici» che, tra l'altro, ha sostituito, al comma 1, l'art. 5 del decreto legislativo 7 marzo 2005, n. 82 recante il «Codice dell'amministrazione digitale»;

Visto il decreto ministeriale n. 145 del 2 marzo 200 «Regolamento recante la disciplina dei sevizi a sovrapprezzo» (pubblicato nella Gazzetta Ufficiale n. 84 del 10 aprile 2006);

Visto il Libro bianco dell'European Payments Council del 19 giugno 2013 sui sistemi mobili di pagamento (mobile wallet payments);

Vista la «Proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2013/36/UE e 2009/110/CE e che abroga la direttiva 2007/64/CE» della Commissione europea del 24 luglio 2013;

Visti gli emendamenti del Parlamento europeo alla suddetta proposta di direttiva, approvati il 3 aprile 2014;

Visto il parere del Garante europeo della protezione dei dati sulla medesima proposta, pubblicato nella Gazzetta Ufficiale dell'Unione europea dell'8 febbraio 2014 (2014/C38/07) e sul sito del GEPD http://www.edps.europa.eu;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 «relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)»;

Vista la direttiva 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006 «Riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE»;

Vista la decisione della Corte di giustizia dell'Unione Europea dell'8 aprile 2014, n. 54/2014, in riferimento alle cause riunite C-293/12 e C-594/12, che ha dichiarato l'invalidita' della direttiva 2006/24/CE;

Visto il provvedimento del Garante del 15 maggio 2013 sul «Consenso al trattamento dei dati personali per finalita' di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto» (pubblicato nella Gazzetta Ufficiale n. 174 del 26 luglio 2013);

Visto il provvedimento del Garante in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) del 4 aprile 2013 (pubblicato nella Gazzetta Ufficiale n. 97 del 4 aprile 2013);

Visto il decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, recante il Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (pubblicato nella Gazzetta Ufficiale n. 42 del 20 febbraio 2001);

Ritenuto opportuno fornire le necessarie indicazioni rispetto al trattamento dei dati personali degli utenti che si avvalgono di servizi di pagamento o trasferimento di denaro tramite telefono cellulare, c.d. mobile payment;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

Relatore il dott. Antonello Soro;

Premesso Il ricorso alle potenzialita' del mobile payment, ovvero dei servizi che consentono di gestire gli acquisti ed i relativi pagamenti di beni sia digitali che fisici tramite un terminale mobile, la cui diffusione ha negli ultimi anni, grazie alla continua evoluzione della tecnologia, radicalmente modificato il settore del commercio tradizionale ed elettronico ha aperto, anche nel nostro Paese, nuove prospettive. Cio' ha determinato un'accelerazione della conclusione delle transazioni commerciali ed un'accentuazione dei processi di smaterializzazione dei trasferimenti di denaro, ampliando, altresi', la tipologia dei prodotti e servizi fruibili attraverso il ricorso al mobile payment e la platea dei soggetti che operano in questo ambito, nonche' la quantita' di dati personali trattati. I servizi di mobile payment, classificabili nelle due principali categorie del mobile remote payment e del mobile proximity payment, riguardano, rispettivamente, le operazioni di pagamento di un bene o servizio tra esercente e cliente, attivate da quest'ultimo a distanza attraverso il telefono cellulare e le operazioni di pagamento eseguite dal cliente avvicinando il dispositivo mobile, dotato di tecnologia NFC (Near Field Communication che fornisce connettivita' wireless bidirezionale a corto raggio) ad un apposito lettore POS (point of sale), posto presso il punto vendita dell'esercente da cui si acquista il bene. Si tratta di passi importanti nel settore dei micropagamenti rispetto all'uso del contante, da cui discendono valutazioni che riguardano anche il trattamento dei dati personali degli interessati. Se infatti, da un lato, si pongono le facilitazioni delle modalita' di acquisto attraverso il terminale mobile ed un possibile risparmio dei costi propri delle transazioni effettuate con carte di pagamento, dall'altro non possono trascurarsi i profili che investono il corretto utilizzo e la sicurezza delle informazioni di carattere personale che l'utente deve fornire per fruire dei nuovi servizi di pagamento. Il mobile payment ed il conseguente ricorso sia a reti di comunicazione elettronica, sia a tecnologie come la NFC (che, con riguardo alla modalita' proximity, saranno richiamate in un apposito provvedimento dell'Autorita') implica, infatti, il trattamento di una serie di dati personali dell'utente non solo di carattere identificativo ma, potenzialmente, anche di natura sensibile. Cio' con la conseguenza che tale trattamento, oltre a svolgersi nel rispetto della disciplina sulla protezione dei dati personali e, in particolare, dei principi generali di liceita', pertinenza e non eccedenza, di correttezza e buona fede sanciti dal Codice (cfr. art. 11), deve essere improntato anche al rispetto del presente provvedimento generale. Il provvedimento dell'Autorita' e' difatti volto ad individuare le prescrizioni dirette ai diversi soggetti coinvolti nelle operazioni di pagamento tramite telefonia mobile, allo scopo di prevenire i rischi connessi ad un utilizzo improprio dei dati personali degli utenti che intendono avvalersi del mobile remote payment. 1. Quadro normativo. La direttiva 2007/64/CE, c.d. PSD (recepita a livello interno dal decreto legislativo n. 11/2010), ha aperto il mercato dei servizi di pagamento anche ad operatori di matrice non bancaria nell'ottica, non solo di armonizzare il relativo quadro giuridico, superando la frammentazione normativa delle singole realta' nazionali, ma di definire nuovi profili di efficienza, parita' e sicurezza per tutti i portatori di interessi in tale ambito. La PSD indica, tra l'altro, le condizioni per autorizzare i nuovi soggetti non bancari all'esercizio di un servizio di pagamento all'interno dell'UE, prevedendo, in particolare, che i nuovi istituti di pagamento possano operare come intermediari di pagamento, previa autorizzazione delle Autorita'...