Il bonus cashback per l’utilizzo degli strumenti di pagamento elettronici e la tutela dei dati personali

Il bonus cashback per l’utilizzo degli strumenti di pagamento elettronici e la tutela dei dati personali

Parere del Garante per la protezione dei dati personali su uno schema di regolamento recante le condizioni e i criteri del c.d. cash back – 13 ottobre 2020 – Pres. Stanzione – Rel. Stanzione

Il Garante Privacy ha espresso parere positivo sulla bozza di regolamento che definisce il funzionamento del c.d. cashback, ossia il programma di rimborso in denaro per tutti coloro che effettuano acquisti con strumenti di pagamento elettronici (carta di credito, carta prepagata, etc …).

I consumatori potranno scegliere di aderire al programma cashback tramite l’App IO o attraverso banche o società che emettono carte di pagamento (issuer). In questo modo i dati anagrafici e gli estremi delle carte di pagamento scelte per partecipare al programma saranno comunicati alla PagoPA s.p.a., la società incaricata dal MEF della progettazione e della gestione del sistema informativo cashback.

Ogni volta che la carta di pagamento registrata sarà utilizzata dal consumatore per l’acquisto in negozio, i dati necessari saranno trasmessi dalla società che gestisce la transazione al sistema cashback.

Inoltre, il rimborso spettante a ciascun consumatore aderente al programma sulla base degli importi dei pagamenti effettuati sarà calcolato ogni 6 mesi e saranno previsti rimborsi speciali per chi avrà eseguito il maggior numero di transazioni, tutto sulla scorta di una graduatoria. Dell’erogazione dei rimborsi si occuperà Consap, società del MEF, così come della gestione di eventuali contenziosi.

A fronte di una richiesta di parere del Ministro dell’economia e delle finanze, il Garante per la protezione dei dati personali, il 13 ottobre 2020, si è pronunciato sull’ammissibilità dell’utilizzo degli strumenti di pagamento elettronici, i cd. Cashback, avendo riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati secondo quanto previsto dal Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016.

In particolare, la L. n. 160/2019 (Legge di Bilancio), così come modificata ed integrata dall’art. 73 del D.L. 104/2020 (che ha introdotto due articoli, il 289 bis e 289 ter), prevede l’adozione di un regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici.

L’obiettivo è quello di disincentivare l’uso del contante, prevedendo un rimborso in denaro sui pagamenti effettuati mediante strumenti elettronici.

A tal fine, il Ministero dell’economia e delle finanze deve far uso di una piattaforma tecnologica per l’interconnessione e l’interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, gestita dalla società PagoPA S.p.A. alla quale sono affidati i servizi di progettazione, realizzazione e gestione del sistema informativo strumentale al calcolo del rimborso.

Attraverso lo schema di regolamento  vengono così disciplinate le condizioni, i casi, i criteri e le modalità attuative per l’attribuzione di un rimborso in denaro, a favore delle persone fisiche maggiorenni, residenti nel territorio dello Stato, che, fuori dall’esercizio di una attività d’impresa, arte o professione, effettuano acquisti da esercenti, con strumenti di pagamento elettronici.

Il Programma di rimborso è realizzato attraverso il “Sistema Cashback”, predisposto e gestito dalla società PagoPA S.p.a. nell’ambito della predetta piattaforma tecnologica che raccoglie i dati rilevanti, ai fini della partecipazione al Programma, degli “aderenti” e degli “esercenti”.

Nondimeno, la stessa definisce la graduatoria e trasmette le informazioni rilevanti all’APP IO e ai sistemi messi a disposizione dai c.d. “issuer convenzionati” e, ai fini dell’erogazione del rimborso, alla Consap-Concessionaria servizi assicurativi pubblici S.p.A..

A tal proposito, vengono descritte in maniera dettagliata quali siano le modalità di adesione al Programma di rimborso, sottolineando, in particolare, la volontarietà della partecipazione.

Il soggetto “aderente”, infatti, è tenuto a registrare nell’APP IO, o nei sistemi messi a disposizione da un issuer convenzionato, il proprio codice fiscale e uno o più strumenti elettronici di cui intende avvalersi per effettuare i pagamenti, dichiarando, al momento della registrazione, di utilizzare gli strumenti di pagamento registrati esclusivamente per acquisti effettuati fuori dall’esercizio di attività d’impresa, arte o professione.

Circa le modalità tecniche di adesione, questa avviene tramite il sistema e da parte di soggetti convenzionati che hanno concluso un accordo con l’”esercente” per l’accettazione di strumenti di pagamento attraverso dispositivi fisici; si tratta di titolari di una convenzione con la PagoPA S.p.A per la partecipazione al Programma, ovvero Bancomat S.p.A., previa sottoscrizione della convenzione con la stessa PagoPA S.p.A.

Sono previste, altresì, apposite convenzioni tra il Ministero dell’economia e delle finanze e PagoPA S.p.A. e tra il predetto dicastero e Consap S.p.A. per il funzionamento del Programma.

In riferimento alla convenzione tra il Ministero e PagoPA S.p.A., questa è volta alla progettazione, realizzazione e gestione di specifiche funzioni all’interno del Sistema Cashback, quali la raccolta dei dati relativi agli aderenti e ai pagamenti.

Invece, la convenzione MEF-Consap S.p.A., è posta in essere al fine di gestire i rimborsi e i reclami.

Per ottemperare a ciò, si è fatto ricorso ad una fase sperimentale temporanea, valida dal 1° dicembre 2020 al 31 dicembre 2020, che permette di anticipare l’attuazione del programma di rimborso, esclusivamente per gli aderenti che abbiano effettuato un certo numero di transazioni. Inoltre, è stato istituito un rimborso speciale per i primi centomila aderenti che abbiano totalizzato il maggior numero di transazioni con strumenti di pagamento elettronici.

Circa le modalità di erogazione del rimborso, che avviene mediante accredito per mezzo del codice IBAN comunicato dall’aderente al momento dell’adesione al Programma, o in un momento successivo.

Ci si chiede, allora, come a fronte di questo nuovo sistema, in cui tutto ruota intorno ad una serie di adesioni operabile mediante rilascio di dati, sia possibile garantire una tutela piena ed effettiva tanto dei dati quanto della loro circolazione.

Il Garante della Privacy, nel rispondere alla quaestio di cui sopra, premette che sono stati individuati i ruoli, le funzioni e le responsabilità dei diversi soggetti coinvolti dal sistema, vale a dire il Ministero dell’economia e delle finanze, PagoPA S.p.A., Consap S.p.A. e gli issuer e gli acquirer convenzionati (titolarità, responsabilità e sub-responsabilità del trattamento).

Il Ministero, inoltre, è chiamato ad effettuare, prima del trattamento, la valutazione di impatto così come richiesta dal Regolamento per sottoporla alla verifica preventiva del Garante indicando le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e disciplinati i tempi e le modalità di cancellazione dal Programma.

Nel rispetto del principio di finalità del trattamento, i dati personali raccolti ai sensi del decreto possono essere trattati esclusivamente per lo svolgimento del Programma e per la realizzazione del previsto rimborso, limitando il trattamento del dato relativo all’identificativo dell’esercente al solo fine di verificare le transazioni oggetto di reclamo.

Lo stesso Ministero, inoltre, può effettuare statistiche sull’attuazione del Programma trattando anche i dati personali degli aderenti, relativi alla partecipazione al Programma, al numero e al valore delle transazioni effettuate, nonché ai rimborsi erogati, nel rispetto delle pertinenti regole deontologiche.

Nonostante ciò, il trattamento dei dati sotteso al funzionamento del Programma presenta rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione, che richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento e all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento.

Secondo il Garante della privacy, la base giuridica che lo autorizza deve, pertanto, essere proporzionata rispetto alle finalità perseguite e contenere gli altri requisiti di liceità previsti dalla normativa europea e nazionale in materia di protezione dati.

Al fine di rendere la proposta normativa pienamente conforme ai principi e alle garanzie previste dalla predetta normativa, il parere tiene conto delle indicazioni rese dall’Ufficio del Garante nel corso di alcune interlocuzioni intercorse con rappresentanti del Ministero e degli altri soggetti coinvolti nel funzionamento del Programma.

In particolare, tali indicazioni rispondono alla necessità di individuare espressamente i ruoli e le responsabilità dei diversi soggetti coinvolti dal sistema sotto il profilo della protezione dati nonché a quella di circoscrivere i trattamenti effettuati in attuazione dello schema in esame alle finalità di realizzazione del cd. Cashback.

Al fine di rispettare il principio di limitazione della finalità, si introduce un’ulteriore specifica garanzia in relazione al trattamento degli identificativi degli esercenti presso i quali saranno effettuate le transazioni trasmesse al Sistema Cashback.

Ulteriore necessità sorge in ordine all’adozione di misure volte a garantire che i soggetti convenzionati trasmettano al sistema esclusivamente i dati relativi alle transazioni effettuate attraverso gli strumenti di pagamento indicati dai soggetti aderenti all’iniziativa.

A tal fine, il Garante della protezione dei dati personali  chiede di definire con maggior chiarezza le modalità con cui l’APP IO, o i sistemi messi a disposizione dagli issuer, rendono disponibili agli aderenti, nel rispetto del principio di minimizzazione, gli importi dei rimborsi spettanti e la posizione nella graduatoria.

Altro aspetto da considerare riguarda le modalità e i tempi di conservazione dei dati e le misure necessarie a garantire che le informazioni siano trattate per il tempo strettamente necessario al conseguimento delle specifiche finalità e successivamente cancellate.

Al fine di garantire una maggiore tutela ai soggetti coinvolti, dovrebbero essere adottate alcune misure di sicurezza nel trattamento dei dati, ricorrendo, per esempio, a funzioni crittografiche non reversibili, degli identificativi degli strumenti di pagamento elettronici (PAN, Primary Account Number) in uso ai soggetti che aderiscono all’iniziativa, anche in conformità allo standard PCI DSS (Payment Card Industry Data Security Standard).

Il trattamento dei dati personali, ad avviso del Garante, deve essere effettuato dal Ministero per scopi statistici nell’ambito del Sistema Statistico Nazionale, limitando le tipologie di dati che possono essere elaborate e a fronte del rischio elevato in esso riscontrato è necessario operare una valutazione di impatto del trattamento, al fine di individuare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato.

Sebbene il Garante stia ancora valutando l’impatto in riferimento a PagoPA e ai trattamenti effettuati, in generale, tramite l’APP IO, quale punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione, lo stesso non rileva ulteriori criticità e, pertanto, non ha osservazioni da formulare sullo schema di regolamento in esame.

Alla luce delle suesposte considerazioni il Garante della Privacy, ha così espresso parere favorevole sullo schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, da adottare ai sensi dell’articolo 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160.

consulenza_per_privati_e_aziende          consulenza_per_avvocati

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti