l'analisi

Cashback di Stato, che cosa chiede il Garante Privacy e perché è importante

Il Garante ha dato parere favorevole allo schema di provvedimento su cashback di Stato (fino a 300 euro di rimborso annuale ai clienti che pagano in elettronico nei negozi). Ma non è il via libera alla misura, il che richiederà alcuni interventi a tutela della privacy degli utenti. Ecco i dettagli

16 Ott 2020
Francesco Maldera

Data Protection Officer e Data Specialist


Il cashback di Stato avrà bisogno ancora di qualche limatura privacy per il via libera definitivo, da parte del Garante. La misura del Governo –  fino a 300 euro di bonus annuale agli utenti per i pagamenti elettronici nei negozi, dal primo dicembre – prevede infatti un trattamento dati su larga scala.

Analizziamo infatti il parere favorevole dato dal Garante Privacy il 13 ottobre (provvedimento n. 179) alla misura cashback di Stato.

Non è un via libera definitivo, attenzione. 

Cashback di Stato e garanzie privacy per i cittadini: in attesa del via libera del Garante

In particolare, il parere favorevole del Garante riguarda quindi lo schema di decreto del MEF (ancora in via di pubblicazione) e non l’avvio del trattamento. Infatti, il vero “via libera” al trattamento arriverà solo quando il Ministero dell’Economia e delle Finanze eseguirà la valutazione d’impatto sulla protezione dei dati personali (richiamata al punto i) del parere) prevista dall’art. 35 del GDPR (DPIA).

Il Garante, peraltro, ha precisato che sta ancora esaminando la DPIA che PagoPA S.p.A. ha trasmesso con riguardo all’uso generale dell’app IO. Le risultanze di questo esame potrebbero condizionare fortemente la DPIA relativa al cashback.

L’importanza del via libera del Garante

Il via libera del Garante Privacy è stato richiesto data la natura di questo provvedimento.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Oltre alle misure di sicurezza (tecniche ed organizzative) sarà importante individuare, nella dinamica dell’interazione dell’utente con l’app, infatti:

  • quali garanzie di trasparenza (p.e. come viene fornita l’informativa)
  • e di correttezza (p.e. come viene acquisito il consenso o come può essere revocato) sono offerte all’interessato.

Il meccanismo del cashback, apparentemente semplice, richiede in realtà un trattamento di dati personali piuttosto articolato e, soprattutto, “su larga scala”.

Trattamenti dati personali

Il primo elemento sul quale si concentra il parere del Garante è la finalità del trattamento dei dati personali che, è bene sottolinearlo, è diversa dallo scopo politico che, indirettamente, come abbiamo detto in precedenza, è l’”emersione della base imponibile dei soggetti che vendono”; la finalità del trattamento è, quindi, l’”erogazione dei rimborsi a fronte di un determinato ammontare di pagamenti elettronici effettuati in uno specifico arco temporale”. Perché questo focus sulla finalità? Esistono due ragioni per le quali il Garante si concentra sulla finalità:

  • la prima, più generale, corrisponde alla necessità di attenersi all’impianto implicito previsto GDPR che vuole l’esatta definizione della finalità del trattamento quale l’elemento centrale da cui il titolare deve partire per poter rispettare tutti gli altri princìpi del trattamento (minimizzazione dei dati, limitazione della conservazione, ecc.);
  • la seconda, più specifica e più critica, tendente ad allontanare la tentazione di impiegare i dati personali per finalità differenti (per esempio, come elementi informativi per innescare accertamenti fiscali nei confronti degli acquirenti); i dati raccolti, dunque, saranno impiegati solo per i rimborsi da cashback e utilizzati, successivamente, dal Ministero solo per finalità statistiche.0

I soggetti coinvolti

Il parere prosegue considerando con attenzione quali sono i soggetti coinvolti nel trattamento e come lo schema di decreto ne individua i ruoli operativi e, quindi, le rispettive responsabilità rispetto al GDPR.

Il titolare del trattamento è il Ministero dell’Economia e delle Finanze che si avvale di due responsabili del trattamento, PagoPA S.p.A. e Consap S.p.A., rispettivamente per le due fasi del trattamento: “individuazione dei soggetti destinatari dei rimborsi” (ovvero i soggetti che hanno totalizzato un ammontare di pagamenti cashless per almeno 1.500 euro in un semestre solare) ed “erogazione materiale del rimborso” (pari al 10% della spesa per un massimo di 150 euro a semestre solare). PagoPA S.p.A. si avvale a sua volta di subresponsabili, noti nel mondo dei pagamenti come issuer ed acquirer, i quali non sono altro che, rispettivamente, gli emittenti di carte di credito/debito e gli intermediari finanziari (tipicamente istituti di credito). Invece, non rivestono alcun ruolo rispetto alla finalità del trattamento le singole attività commerciali/professionali/artigianali alle quali il cittadino (l’interessato secondo il GDPR) corrisponde la somma di denaro; questi, infatti, non verranno in possesso dei dati identificativi dell’acquirente se non per finalità sottostanti il contratto che pongono in essere (ovvero la vendita di beni o servizi).

Gli strumenti

Lo strumento centrale impiegato nel trattamento è l’app IO prodotta, gestita e manutenuta da PagoPA S.p.A.. Per poter partecipare al programma di cashback previsto dal Ministero dell’Economia e delle Finanze, il cittadino deve installare l’app ed esprimere esplicitamente la sua volontà.

L’app IO è l’applicazione per dispositivi mobili della piattaforma prevista dal comma 2, art. 5 del D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale).

Naturalmente, oltre a questo strumento, i responsabili (PagoPA S.p.A. e Consap S.p.A.) che impiegheranno ulteriori ed adeguati strumenti di trattamento (dispositivi di elaborazione e di memorizzazione oltre che apposite soluzioni software) ai quali, naturalmente, lo schema di decreto non può riferirsi.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 4