Il Garante ha espresso parere positivo sulla bozza di regolamento che definisce il funzionamento del programma di rimborso in denaro (cd. cashback) a favore dei consumatori che effettuano acquisti con strumenti di pagamento elettronici, nell’ambito del quale dovranno però essere adottate precise misure a garanzia dei dati personali. In base allo schema presentato dal Mef (cfr. par. 3.1.4), i consumatori potranno scegliere di aderire al programma cashback tramite l’APP IO o attraverso banche o società che emettono carte di pagamento (issuer). In questo modo i dati anagrafici e gli estremi delle carte di pagamento scelte per partecipare al programma saranno comunicati a PagoPA, la società incaricata dal Mef della progettazione e della gestione del sistema informativo cashback.

gni volta che la carta di pagamento registrata sarà utilizzata dal consumatore per l’acquisto in negozio, i dati necessari (es., data e importo dell’acquisto) saranno trasmessi dalla società che gestisce la transazione (acquirer) al sistema cashback. Al termine di ogni semestre sarà calcolato il rimborso spettante a ciascun consumatore aderente al programma sulla base degli importi dei pagamenti effettuati. Sono pre-visti rimborsi speciali, sulla base di una graduatoria, per chi avrà eseguito il maggior numero di transazioni. Sarà Consap (società del Mef ) ad occuparsi dell’erogazione dei rimborsi, inclusa la gestione dell’eventuale contenzioso.

Nel corso dell’istruttoria, alla luce dei rischi e delle criticità emerse nell’ambito di un trattamento di dati così massivo, riferibile ad ogni aspetto della vita quoti-diana dell’intera popolazione, il Garante ha chiesto di stabilire già nel regolamento stringenti garanzie a tutela delle persone coinvolte. È stato innanzitutto necessario individuare espressamente i ruoli e le singole responsabilità dei numerosi soggetti coinvolti nel trattamento dei dati; sono state introdotte misure per garantire che gli acquirer trasmettano al sistema solamente i dati necessari, limitati alle transazioni effettuate attraverso gli strumenti di pagamento registrati dai soggetti aderenti. L’Autorità ha altresì chiesto di precisare le finalità del trattamento delle diverse tipologie di dati raccolti nell’ambito del programma di rimborso, con particolare riguardo ai dati dell’esercente che potranno essere trattati solo per eventuali reclami; anche i dati raccolti potranno essere conservati solo per il tempo strettamente necessario.

ll Garante ha evidenziato la necessità di valutare in sede attuativa le modalità con cui l’APP IO e i sistemi con i quali gli istituti bancari e le società emittenti carte di pagamento rendono disponibili agli aderenti gli importi dei rimborsi spettanti e la posizione nella graduatoria, in modo che siano conformi al principio di minimizzazione previsto dal RGPD. È stata prevista l’adozione di specifiche misure di sicurezza atte a garantire la protezione, mediante funzioni crittografiche non reversibili, degli identificativi degli strumenti di pagamento elettronici.

L’Autorità si è riservata, infine, di verificare, prima dell’avvio del programma, le misure di sicurezza, le modalità e i tempi di conservazione dei dati che il Ministero dovrà indicare nella valutazione d’impatto (provv. 13 ottobre 2020, n. 179, doc. web n. 9466707), oggetto di valutazione con il parere 26 novembre 2020, n. 232 (doc. web n. 9492345). Tale valutazione, a seguito delle interlocuzioni avvenute con l’Ufficio, è stata integrata con misure volte a prevedere che siano raccolti e trattati, in relazione ad ogni specifica finalità perseguita, esclusivamente i dati necessari, in conformità a quanto previsto dal decreto. Il Garante ha richiesto, in particolare, che nella valutazione fossero descritte accuratamente le operazioni e le modalità di trattamento, con specifico riferimento alla fase di adesione al programma, al censi-mento degli strumenti di pagamento nell’APP IO e alle verifiche effettuate sull’Iban indicato dall’aderente per il pagamento dei rimborsi. L’Autorità ha inoltre ritenuto necessario che fossero individuati meccanismi volti a garantire che l’aderente possa registrare solamente strumenti di pagamento a lui intestati, impedendo così la visualizzazione di spese effettuate da terzi.

Nella valutazione è stato poi specificato il ruolo assunto dai soggetti coinvolti nei trattamenti di dati personali necessari alla realizzazione del progetto cashback, in relazione alle diverse finalità perseguite, anche al fine di assicurare la trasparenza nei confronti degli interessati nonché di consentire una chiara ripartizione degli obblighi e delle responsabilità previste dal RGPD in un trattamento così complesso. Sono state individuate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento anche attraverso tecniche di segnalazione (alerting) e di rilevazione delle anomalie (anomaly detection) in relazione alle diverse componenti del sistema cashback, sulla base di parametri quantitativi e qualitativi, nonché garantendo l’integrità e la non ripudiabilità dei dati presenti nei file oggetto di scambio tra i soggetti coinvolti nel trattamento attraverso la firma digitale degli stessi. È stato altresì richiesto che nella valutazione fossero individuati tempi e modalità di conservazione dei dati, assicurando che gli stessi siano trattati solo per il tempo necessario al conseguimento delle finalità perseguite e prevedendo, per ciascuna di esse, modalità di conservazione differenziate anche in ragione del tempo trascorso dalla loro raccolta. Particolari cautele sono state suggerite per l’individuazione di adeguate garanzie per i trattamenti che comportano il trasferimento dei dati personali verso Paesi terzi, anche tenendo conto della sentenza della Corte di giustizia (Grande Sezione) del 16 luglio 2020, C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems (cd. Schrems II).

Infine, il Ministero si è impegnato a informare il Garante riguardo alle misure che, in accordo con PagoPA, saranno adottate o pianificate per assicurare idonee modalità di verifica dell’intestazione all’aderente degli strumenti di pagamento, nonché a evitare la registrazione di default dei suddetti strumenti anche nell’ambito della piattaforma PagoPA.

Come già evidenziato in occasione del bonus vacanze (cfr. par. 4.1.3), il Garante si è riservato di esaminare i profili di funzionamento dell’APP IO gestita da PagoPA in qualità di titolare del trattamento, in relazione ai quali la Società si è impegnata a osservare le misure e gli accorgimenti già prescritti nel menzionato provvedimento del 12 giugno 2020.

Fonte : Relazione GPDP 2020