Lotteria degli scontrini e programma cashback prevedono il trattamento dei dati personali dei partecipanti da parte di diversi enti: di conseguenza non mancano gli impatti privacy. Questi processi dunque non sono privi di rischi per i diritti e le libertà degli interessati, alla luce del GDPR , e sono stati anche segnalati dal Garante privacy. Vediamo nel dettaglio quali sono e in cosa consistono.
La gestione dei dati nella Lotteria degli scontrini
Nell’ambito della Lotteria degli scontrini, dopo aver ricevuto i dati dall’esercente, l’Agenzia delle entrate a seguito di un’apposita estrapolazione, comunicherà i dati all’Agenzia delle dogane e dei monopoli. A sua volta, quest’ultima farà confluire i dati in una banca dati denominata “Sistema Lotteria”, da lei stessa gestito con il supporto di Sogei S.p.A. (controllata al 100% dal Ministero dell’economia e delle finanze).
Le informazioni così raccolte all’interno del Sistema Lotteria saranno trattate dall’Agenzia delle dogane e dei monopoli per le finalità relative alla Lotteria degli scontrini, in qualità di Titolare del trattamento. Sogei S.p.A. opererà in qualità di Responsabile del trattamento, mentre ciascun singolo esercente e l’Agenzia dell’entrate opereranno in qualità di autonomi Titolari del trattamento. È previsto poi che l’Agenzia delle dogane e dei monopoli, in qualità di Titolare, metta a disposizione di ciascun esercente, tramite un’apposita sezione, i dati sugli acquisti che gli stessi avranno comunicato, ad esclusione dei codici lotteria, per consentire loro la verifica degli adempimenti connessi all’iniziativa. Per tale attività l’Agenzia delle entrate opererà in qualità di Responsabile del trattamento, gestendo il portale Fatture e Corrispettivi su cui sarà presente la sezione dedicata agli esercenti.
Sta di fatto che tramite la Lotteria degli scontrini verranno raccolti dati personali su larga scala. Infatti, all’interno della banca dati Sistema lotteria per ogni singolo acquisto confluiranno diverse categorie di dati: dati relativi all’acquisto effettuato, metodo di pagamento e il codice lotteria del consumatore. In considerazione dell’elevato rischio per i diritti e le libertà delle persone fisiche, che può derivare dalla raccolta di un tale quantitativo di dati su una così larga scala, le due Agenzie pubbliche coinvolte (Agenzia delle dogane e dei monopoli e Agenzia delle entrate) hanno predisposto apposite Valutazioni di impatto sulla protezione dei dati personali e hanno consultato il Garante, ai sensi dell’art. 36 del GDPR e dell’art. 2 quinquiesdecies del Codice privacy novellato. Quindi, il Garante ha avuto modo di esprimere raccomandazioni sull’adeguatezza delle misure tecniche ed organizzative previste e di definire ulteriori accorgimenti per ridurre gli impatti privacy dell’iniziativa.
Perché il codice lotteria serve alla minimizzazione
Uno degli elementi cardine per garantire la protezione dei dati personali trattati per la Lotteria degli scontrini ed impedire tracciamenti o controlli sugli acquisti effettuati dai consumatori, su cui il Garante si è soffermato in diverse occasioni, è il codice lotteria. Il codice lotteria è stato indicato quale misura adeguata che consentirà di rispettare il principio di minimizzazione, evitando così agli esercenti e all’Agenzia delle entrate la raccolta del codice fiscale degli interessati, da cui si possono ricavare con estrema facilità ulteriori dati quali il sesso, la data e il luogo di nascita.
Inoltre gli abbinamenti tra il codice fiscale e i codici lotteria saranno conservati separatamente rispetto ai dati relativi ai singoli acquisti in un’apposita banca dati, gestita dall’Agenzia delle dogane e dei monopoli. In questo modo l’accesso ad entrambe le categorie di dati potrà essere limitato esclusivamente a soggetti autorizzati al trattamento e solo ai fini della comunicazione della vincita. Le operazioni di consultazione saranno poi registrate in appositi file di log conservati per 24 mesi.
Il rischio legato agli esercenti
Essendo uno pseudonimo, il codice lotteria è pur sempre un dato personale. Considerato che ogni singolo esercente dovrà operare come Titolare e dovrà mettere in campo tutte le adeguate misure di sicurezza tecniche ed organizzative necessarie ad assicurare il rispetto del GDPR, sarebbe opportuno che il Garante desse indicazioni puntuali anche agli esercenti. In questo modo si attenuerebbe il rischio di utilizzi impropri del codice lotteria, che possano comportare il tracciamento degli interessati. Inoltre, si aiuterebbero gli esercenti nel rispetto degli adempimenti in materia di protezione dei dati personali di cui, a causa di questa iniziativa, sono aggravati.
Astrattamente, un utilizzo dei codici lotteria in violazione del GDPR permetterebbe agli esercenti di ricostruire la cronologia degli acquisiti effettuati con quel determinato codice, facilitando così la creazione di profili dei propri clienti. Così, pur non avendo i dati identificativi e di contatto dei singoli consumatori, un esercente, tramite ad esempio i sistemi di casse automatiche per i pagamenti, riconoscendo al momento dell’acquisto un determinato codice lotteria potrebbe facilmente risalire all’identità del cliente. Questo gli permetterebbe di proporre offerte commerciali personalizzate sulla base della cronologia degli acquisti effettuati con quel determinato codice, mettendo così in pericolo la capacità di autodeterminazione informativa del consumatore.
Al momento, per attenuare tale rischio è stata prevista solo la possibilità per i consumatori di poter ottenere ed utilizzare più codici lotteria associati al loro codice fiscale. Tuttavia, ad avviso di chi scrive, sarebbe opportuno che il Garante individuasse le misure organizzative e tecniche di cui ciascun esercente debba dotarsi per evitare che tale rischio possa concretizzarsi.
Il caso degli acquisti in farmacia
Attualmente, in base alle norme transitorie del provvedimento adottato dal direttore dell’Agenzia delle dogane e dei monopoli d’intesa con l’Agenzia delle entrate, non sarà possibile partecipare alla lotteria degli scontrini con gli acquisti tramessi al sistema Tessera Sanitaria e con quelli per i quali il consumatore, fornendo il proprio codice fiscale all’esercente, opti per la detrazione o la deduzione fiscale.
Qualora successivamente si dovesse decidere di permettere ai consumatori di partecipare anche con tali acquisti, ogni singolo esercente sarà tenuto anche a raccogliere e trasmettere il codice fiscale all’Agenzia delle entrate. Per questo motivo sarà bene implementare ulteriori misure tecniche ed organizzative per attenuare il rischio di un possibile tracciamento da parte degli esercenti o di un possibile controllo incrociato da parte dell’Agenzia delle entrate, in modo da non vanificare l’efficacia del codice lotteria.
Trattamento dati per cashback
Per il Programma Cashback, come chiarito all’interno del decreto n. 156/2020 del MEF, è prevista la partecipazione di numerosi soggetti: il MEF, PagoPA S.p.A., Consap S.p.A., gli issuer convenzionati e gli acquirer convenzionati. Questi ultimi, che sono i soggetti che hanno l’accordo con i singoli esercenti sugli strumenti di pagamento, comunicano, insieme ai dati relativi all’acquisto, il numero identificativo dell’aderente o del suo metodo di pagamento (cd. PAN), al sistema cashback. Il PAN è crittografato con una funzione non reversibile ed è previsto poi che tale comunicazione avvenga tramite un canale cifrato.
L’App IO e gli issuer convenzionati, ossia i gestori delle piattaforme tramite le quali è possibile per i consumatori partecipare all’iniziativa, comunicano, sempre tramite un canale cifrato, al sistema cashback il codice fiscale dell’aderente e gli estremi identificativi dei metodi di pagamento registrati per partecipare al programma. PagoPA, per conto del MEF, tramite l’App IO o gli issuer convenzionati, mette poi a disposizione di ciascun partecipante le informazioni relative ai pagamenti effettuati e ai rimborsi maturati. I rimborsi maturati dai partecipanti verranno poi effettuati sul codice IBAN comunicato in sede di registrazione all’iniziativa.
L’erogazione dei rimborsi verrà effettuata, per conto del MEF, da Consap, che riceverà da PagoPA, tramite il sistema cashback, i dati necessari per poter procedere. All’art. 12 del decreto del MEF n. 156/2020 sono poi individuati i ruoli privacy rivestiti dai soggetti coinvolti nel programma. In particolare per quanto riguarda i rimborsi è previsto che il MEF sia Titolare del trattamento e Pago PA e Consap agiscano in qualità di Responsabili del trattamento. Gli issuer e gli acquirer convenzionati agiranno in qualità di Subresponsabili del trattamento di PagoPA, limitatamente per i trattamenti funzionali all’erogazione dei rimborsi.
Il monito del Garante privacy
Tramite questo programma verranno raccolti su larga scala dati riferibili, come precisato dal Garante nel suo comunicato del 14 ottobre, “ad ogni aspetto della vita quotidiana dell’intera popolazione”. Inoltre, come descritto sopra, tali dati verranno trattati da numerosi soggetti. I rischi per i diritti e le libertà fondamentali dei partecipanti all’iniziativa sono evidenti. Il Garante ha avuto già modo di pronunciarsi su taluni aspetti dell’iniziativa, in particolare si è pronunciato sullo schema del decreto del MEF n. 156/2020, sulla DPIA redatta dal MEF per il Programma Cashback e su taluni aspetti dell’App IO.
Tuttavia l’esame dell’Autorità sulla DPIA, relativa a tutti i trattamenti di dati effettuati tramite l’App IO da PagoPa in qualità di Titolare del trattamento, è ancora in corso, nonostante il programma sia già iniziato. È auspicabile che l’Autorità, per gli aspetti su cui non si è ancora pronunciata, proceda ad individuare ulteriori accorgimenti, cautele e misure opportune per ridurre gli impatti privacy ed evitare possibili controlli o tracciamenti sui pagamenti effettuati dai consumatori, che hanno aderito al programma.
Il problema del trasferimento dei dati extra UE
Desta in particolare preoccupazione l’invio da parte dell’App IO dei dati a provider negli U.S.A., in quanto non è stato ancora chiarito quali dati saranno interessati dal trasferimento, quali saranno i fornitori coinvolti e se le misure di garanzia ulteriori individuate dall’EDPB siano state effettivamente attuate.
La preoccupazione deriva principalmente dal potere dato dalla legge statunitense alle sue autorità pubbliche di accedere, per ragioni di sicurezza nazionale, ai dati personali trasferiti dall’UE negli Stati Uniti (si veda sul punto la nota sentenza sul caso Schrems II della Corte di Giustizia dell’Unione Europea, nella causa C-311/18).
