Il parere del Garante privacy sullo scheda di regolamento per l’utilizzo del cashback

Il parere del Garante privacy sullo scheda di regolamento per l’utilizzo del cashback

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Parere su uno schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, c.d. cashback – 13 ottobre 2020

 

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9466707

Premessa

La legge di bilancio 2020 ha introdotto un sistema finalizzato ad incentivare i cittadini all’uso della moneta elettronica per effettuare i propri acquisti, rinunciando all’uso del contante, attraverso la concessione a loro favore di un rimborso in denaro (cd. “programma cashback”).

Nello specifico, la legge di bilancio stabilisce che tale misura venga realizzata attraverso l’uso di una piattaforma tecnologica che permetta l’interconnessione tra le pubbliche amministrazioni e coloro che svolgono il servizio di pagamento (che saranno abilitati dal ministero) e che tale piattaforma sia gestita dalla società PagoPA S.p.a.. In secondo luogo, la normativa stabilisce che il ministero dell’economia affidi alla suddetta società il servizio di progettazione, realizzazione e gestione del sistema informativo che serve per calcolare il rimborso da dare ai cittadini nonché affidi alla società Consap S.p.a. i servizi che riguardano le operazioni di erogazione di detto rimborso nonché la gestione dei reclami.

In considerazione di ciò, il ministero dell’economia ha chiesto al garante per la protezione dei dati personali il proprio parere su uno schema di regolamento che deve stabilire le condizioni e i criteri per attribuire a coloro i quali aderiranno al sistema cd. cashback il rimborso previsto dalla citata normativa.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Lo schema di regolamento

L’art. 2 dello schema di regolamento (che, complessivamente, si compone di ben 12 articoli) stabilisce le modalità di funzionamento del sistema e quindi i criteri con cui verrà attribuito il rimborso in denaro previsto dalla normativa.

Per quanto concerne i requisiti per poter usufruire del rimborso, la norma prevede che:

  • il richiedente deve essere una persona fisica e maggiorenne;
  • il richiedente deve essere residente in Italia;
  • il prodotto deve essere acquistato non nell’esercizio dell’attività lavorativa del richiedente;
  • il pagamento del prodotto acquistato deve essere effettuato attraverso strumenti di pagamento elettronici.

L’articolo in questione conclude prevedendo che il sistema viene gestito dalla società PagoPa S.p.a.  attraverso una apposita piattaforma tecnologica, nella quale dovranno essere raccolti i dati rilevanti per poter partecipare al programma nonché quelli relativi ai cittadini che decideranno di parteciparvi e degli esercenti gli esercizi commerciali che aderiranno all’iniziativa. La piattaforma, inoltre, si dovrà occupare di definire le graduatorie per i rimborsi ai partecipanti nonché di gestire i dati da inviare a Consap S.p.a. che poi dovrà materialmente effettuare i rimborsi.

L’art. 3 prevede che la partecipazione al programma sia totalmente volontaria, attraverso la registrazione del cittadino che vuol aderirvi in una APP chiamata “IO” oppure in un’altra APP che sarà messa a disposizione: in particolare, la registrazione dovrà prevedere che l’aderente rilasci il proprio codice fiscale e indichi di quali strumenti di pagamento elettronico si avvarrà per effettuare i pagamenti nonché che l’aderente dichiari che effettuerà gli acquisti per scopi differenti dalla propria attività lavorativa.

L’art. 4, invece, individua le modalità tecniche attraverso cui gli esercizi commerciali aderenti all’iniziativa, presso i quali quindi potranno essere effettuati i pagamenti moneta elettronica, potranno aderire al sistema.

L’articolo 5 stabilisce che il ministero dell’economia e la società PagoPa nonché la società Consap stipulino delle convenzioni attraverso cui stabilire le modalità di funzionamento del programma e affidare a tali società la realizzazione del programma stesso nonché la raccolta dei dati degli aderenti e di quelli relativi ai pagamenti.

L’articolo 6 si occupa di individuare il periodo temporale durante il quale funzionerà il programma e la misura del rimborso, mentre l’articolo 7 prevede una fase temporanea sperimentale che avverrà nel mese di dicembre 2020.

L’articolo 9 disciplina le modalità con cui verrà erogato il rimborso a favore dei soggetti che parteciperanno al programma, attraverso un bonifico bancario al codice IBAN che l’aderente avrà comunicato nel momento in cui si sarà registrato al programma.

L’articolo 10, invece, si occupa della gestione dei reclami, prevedendo che la società PagoPA fornisca servizi di assistenza a favore degli aderenti, ai quali questi ultimi potranno rivolgersi anche per far valere delle contestazioni circa la registrazione delle transazioni economiche effettuate.

Infine, l’articolo 12, si occupa proprio di disciplinare la protezione dei dati personali oggetto dei trattamenti realizzati nel programma. In primo luogo, vengono individuati i ruoli e le funzioni, da un punto di vista della protezione dei dati personali, di tutti coloro i quali sono coinvolti nel programma (cioè il ministero dell’economia, la società PagoPA, la società Consap e gli esercenti le attività commerciali che aderiscono all’iniziativa), stabilendo quali saranno i titolari e quali i responsabili dei trattamenti. In secondo luogo, è previsto che il ministero dell’economia, prima di effettuare il trattamento dati, debba compiere una valutazione di impatto secondo quanto previsto dal GDPR e debba sottoporre tale valutazione di impatto alla verifica preventiva del garante privacy. Inoltre, all’interno della valutazione di impatto il ministero dovrà indicare quali sono le misure tecniche e organizzative adottate per garantire la tutela dei dati rispetto al rischio elevato connaturato al trattamento nonché indicare i tempi di conservazione e le modalità di cancellazione dei dati. Infine, si prevede che i dati raccolti attraverso il programma potranno essere utilizzati soltanto per lo svolgimento del medesimo e l’erogazione del rimborso a favore dei partecipanti nonché per effettuare statistiche da parte del ministero dell’economia per verificare i risultati del programma stesso.

 

Il parere del Garante

Il Garante ha ritenuto che il trattamento dati che si svolgerà nel “programma cashback” presenta dei rischi elevati per i diritti e le libertà degli interessati, in quanto verranno effettuate delle raccolte massive e generalizzate di dati e informazioni relativi ai partecipanti, che si potranno riferire anche a numerosi aspetti della vita quotidiana degli stessi (in quanto relativi agli acquisti da questi effettuati quotidianamente). Tuttavia, in considerazione del fatto che il testo del regolamento tiene conto delle indicazioni che erano state rese dal garante privacy durante alcuni incontri preliminari, il garante ha ritenuto di dare un parere favorevole allo schema di regolamento.

In particolare, gli aspetti presi in considerazione dello schema di regolamento, che erano stati suggeriti dal garante in fase preliminare, riguardano:

  • la necessità di individuare i ruoli le responsabilità di tutti coloro i quali hanno una funzione all’interno del programma dal punto di vista della protezione dei dati personali;
  • la necessità di limitare la finalità dei trattamenti solo per permettere l’attuazione del programma stesso;
  • la necessità di introdurre misure per garantire il trattamento soltanto dei dati relativi alle transazioni commerciali effettuate con strumenti di pagamento elettronico di coloro i quali avranno aderito all’iniziativa;
  • la necessità che venga definito in maniera chiara le modalità con cui le APP tratteranno i dati che riguardano gli importi che saranno rimborsati ad ognuno degli aderenti e quelli relativi alle graduatorie dei partecipanti;
  • la necessità di individuare delle misure di sicurezza per proteggere i dati trattati attraverso il programma, anche con l’uso della crittografia;
  • la necessità di effettuare una valutazione di impatto relativa al trattamento dati, in considerazione del fatto che i rischi connessi al trattamento sono elevati, in modo che i titolari e i responsabili dei trattamenti possano adottare delle misure di sicurezza adeguate rispetto al rischio.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!