Mobile ticketing e servizi per la mobilità: lo schema del Garante per la tutela della riservatezza degli utenti

L’Autorità Garante per la protezione dei dati personali ha avviato una consultazione pubblica in relazione ad uno schema di Provvedimento generale in materia di trattamento dei dati personali nell’ambito del servizio di mobile ticketing, pubblicato il 10 settembre scorso sul sito web istituzionale della stessa Autorità, consultazione che si concluderà alla fine di gennaio 2016.

La previsione dell’istituto della consultazione richiamata, parimenti ad altri strumenti di democrazia partecipativa conosciuti dal nostro sistema giuridico, nasce dalla esigenza di acquisire, nel contesto di un settore in continua evoluzione come quello degli e-payment, ogni contributo, commento ed osservazione da parte dei soggetti che forniscono servizi per la mobilità ed il trasporto attraverso la fruizione da parte degli utenti del servizio di “mobile ticketing”, definito dal medesimo Provvedimento richiamato quale “processo grazie al quale i consumatori possono ordinare e pagare biglietti senza vincoli di tempo o luogo” attraverso l’utilizzo, a titolo esemplificativo, del credito telefonico disponibile o della carta di credito.

Tale nuova modalità di pagamento ha di fatto ampliato la platea dei soggetti coinvolti nell’erogazione del servizio richiamato, ricomprendendo, oltre ai tradizionali fornitori di servizi di mobilità e trasporto, altresì alcuni nuovi players quali ad esempio i fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, già previsti nella lettera della Direttiva 2007/64/CE (recepita a livello nazionale dal D.Lgs. n. 11 del 27 gennaio 2010) nella qualità di operatori di matrice non bancaria, i Web Application Service Provider (WASP) e i cc.dd. HUB tecnologici, intesi quali soggetti che, in veste di “aggregatori”, forniscono la piattaforma tecnologica destinata alla distribuzione dei titoli di trasporto digitali ed alla gestione dei relativi pagamenti.

Stante la varietà e la molteplicità di dati suscettibili di trattamento da parte di tali soggetti nel quadro delle operazioni che sottendono alla realizzazione del servizio di mobile ticketing, l’Autorità Garante è opportunamente intervenuta al fine di arginare l’emergere di potenziali rischi per i diritti, le libertà fondamentali e la dignità degli utenti interessati.

Il trattamento in questione, infatti, spazia dal dato anagrafico dell’utente al numero di utenza cellulare ad esso riferibile, dalla email personale all’esito dell’operazione di mobile ticketing. In merito a quest’ultimo, in particolare, l’Autorità ha previsto che nessun riferimento alle cause eventualmente ostative al pagamento, riferibili ad indisponibilità o insufficienza del credito, dovrà essere comunicato dall’operatore, ciò al fine di evitare che il soggetto che offre il servizio per la mobilità ed il trasporto e gli altri soggetti coinvolti vengano a conoscenza di informazioni riferite ad un dato economico dell’utente, risultante tale dato ultroneo rispetto alle finalità del trattamento che tali soggetti sono chiamati a svolgere. Per le ragioni esposte, la comunicazione dovrà far riferimento unicamente a sopravvenute problematiche tecniche occorse riconducibili, ad esempio, ad un eventuale problema di rete.

Il recente intervento del Garante, inoltre, richiamando i contenuti prescrittivi del Provvedimento emanato in data 22 maggio 2014 in tema di mobile remote payment, ha individuato tra le attribuzioni proprie del fornitore di servizi di mobilità e di trasporto, nella sua veste di Titolare del trattamento, l’onere di fornire all’utente una informativa (ex art. 13 del D.Lgs. 196/2003) chiara, completa e agevolmente fruibile da parte di quest’ultimo, secondo le modalità indicate nel corpo dello stesso Provvedimento. Esplicito riferimento dovrà essere presente altresì all’interno della informativa in merito all’HUB tecnologico o aggregatore, nominato responsabile del trattamento (art. 29 del medesimo D.Lgs. 196/2003) nel contesto del servizio di mobile ticketing.

In ottemperanza a quanto dettato dall’art. 23 e dal successivo art. 130 del Codice in materia di protezione dei dati personali, viene prescritto, mediante il Provvedimento in questione, che ogni trattamento ulteriore dei dati raccolti per attività destinate rispettivamente alla profilazione dell’utente, al marketing ed alla comunicazione a terzi soggetti dei dati detenuti, queste ultime devono essere sottoposte a preventiva informativa, oltreché successiva esplicita e separata manifestazione del consenso da parte dell’utente.

Infine, i dati personali trattati nell’ambito delle operazioni di mobile ticketing, compresi i “file di log” relativi agli accessi ai database contenenti i medesimi dati, dovranno essere conservati per un periodo massimo di sei mesi, al termine del quale tali specifiche informazioni dovranno essere cancellate sia dal titolare del trattamento sia dagli eventuali responsabili del trattamento da esso nominati nel contesto del servizio di ticketing predisposto.  Il limite temporale previsto potrà essere evenntualmente derogato esclusivamente in ragione di specifiche disposizioni normative.

Nelle more della concreta applicazione delle nuove misure individuate dal Garante, lo schema di Provvedimento, oggetto del presente contributo, a bene vedere, rappresenta un decisivo passo in avanti verso l’innovazione dei sistemi di trasporto e dei pagamenti elettronici anzitempo individuate quali concrete necessità dal c.d. “Decreto sviluppo-bis”, convertito con modificazioni dalla Legge n. 221 del 17 dicembre 2012. 

 

Eduardo Iacona

 

Garante per la protezione dei dati personali

Registro dei Provvedimenti n. 467 del 10 settembre 2015

[ doc. web n. 4273074]

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4273074#allegato


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it