Cashback: pronto il regolamento per il funzionamento, c’è anche l’ok del Garante Privacy
Il Garante per la protezione dei dati personali, con il comunicato del 14 ottobre 2020, rende noto di aver espresso parere favorevole sulla bozza di Regolamento che disciplina il funzionamento del “cashback”, il Programma messo a punto dal Governo e istituito con la legge di bilancio 2020 che prevede rimborsi in denaro in favore di quei consumatori che effettuano acquisti con strumenti di pagamento elettronici. L’Autorità raccomanda tuttavia che vengano adottate specifiche misure a difesa dei dati personali.
Lo schema di regolamento, presentato al Garante dal Ministero dell’economia e delle finanze, delinea le condizioni e i criteri per l’assegnazione dei rimborsi ai consumatori che intendono prendere parte al programma cashback. Da quanto si apprende dalla bozza, che si compone di 12 articoli, si potrà scegliere di partecipare al cashback tramite l’App IO o attraverso banche o società che emettono carte di pagamento (che sono definiti “issuer”).
Il Decreto-legge 14 agosto 2020, n. 104 (art. 73), intervenuto sulla legge di bilancio 2020 relativamente al cashback, ha previsto che per l’attuazione della misura, il Ministero dell'economia e delle finanze debba utilizzare la piattaforma tecnologica PagoPA gestita dall’omonima società per azioni interamente partecipata dallo Stato, affidando alla stessa società, i servizi di progettazione, realizzazione e gestione del sistema informativo finalizzato al calcolo del rimborso.
Sempre le modifiche che il decreto Agosto ha apportato ai commi della legge di bilancio 2020 che si occupano del cashback, stabiliscono che lo stesso Ministero dell'Economia incarichi Consap - Concessionaria servizi assicurativi pubblici S.p.A. – della gestione di tutti i servizi riguardanti le operazioni di erogazione del rimborso e le ulteriori attività accessorie e strumentali, ivi compresa la gestione di reclami e del contenzioso.
Sarà dunque PagoPA S.p.a. a raccogliere i dati personali (anagrafica e estremi carte di pagamento) di consumatori ed esercenti che aderiranno al programma, poiché è la stessa società ad essere stata incaricata di definire la graduatoria e trasmettere le informazioni rilevanti, all’APP IO e ai sistemi messi a disposizione dai c.d. “issuer convenzionati” e, ai fini dell’erogazione del rimborso, alla Consap-Concessionaria servizi assicurativi pubblici S.p.A..
Chi vorrà partecipare all’iniziativa potrà scegliere quindi se registrarsi all’AppIo oppure se utilizzare i sistemi messi a disposizione da un “issuer convenzionato”, inserendo il proprio codice fiscale e uno o più strumenti elettronici di cui intende avvalersi per effettuare i pagamenti, dichiarando, al momento della registrazione, di utilizzare gli strumenti di pagamento registrati esclusivamente per acquisti effettuati fuori dall'esercizio di attività d'impresa, arte o professione (art. 3, commi 1, 2 e 3). La scelta dello/gli strumento/i di pagamento da inserire per la partecipazione al programma è rimessa dunque al consumatore e sarà sulla base degli acquisti che verranno effettuati con quello o quegli specifici strumenti di pagamento indicati in fase di registrazione al programma, che verrà effettuato il rimborso.
Ogni volta che lo strumento di pagamento registrato in fase di adesione al programma verrà utilizzato per acquistare qualcosa, i dati necessari (quindi, la data e la spesa sostenuta) verranno trasmessi dalla società che gestisce la transazione (definita “acquirer”) al Sistema cashback.
Alla fine di ogni semestre, verrà calcolato il rimborso dovuto a ciascun consumatore che si è iscritto al programma e che si baserà sulle somme spese registrate nel Sistema.
L’articolo 4 dello schema di regolamento definisce, poi, le modalità tecniche di adesione al sistema da parte dei cd. "acquirer convenzionati"; ossia quei soggetti che concludono un accordo con l' “esercente” per l'accettazione di strumenti di pagamento mediante dispositivi fisici; gli acquirer convenzionati devono sottoscrivere una convenzione con PagoPA S.p.A per partecipare al Programma, ovvero Bancomat S.p.A., sempre previa firma di una convenzione con la stessa PagoPA S.p.A.
E’ prevista una prima fase sperimentale che durerà dal 1° dicembre 2020 fino al 31 dicembre 2020; questa fase consentirà di anticipare l'attuazione del programma di rimborso e sarà dedicata solo agli aderenti che abbiano effettuato un determinato numero di compravendite.
L’articolo 8 descrive il funzionamento del supercashback, il rimborso dedicato ai primi centomila partecipanti che abbiano raggiunto il maggior numero di transazioni con strumenti di pagamento elettronici.
Tutti i rimborsi verranno accreditati sul conto collegato al codice IBAN comunicato dall'aderente al momento dell'iscrizione al Programma, o in un momento successivo.
La bozza di regolamento disciplina, poi, la gestione dei reclami. In dettaglio, PagoPA S.p.A. metterà a disposizione un servizio di Help Desk per consentire agli aderenti all’iniziativa, di gestire il proprio profilo e amministrare i servizi forniti con l'APP IO, incluse eventuali contestazioni sulla registrazione degli acquisti effettuati.
Infine, lo schema regola tutto ciò che attiene la protezione dei dati personali, individuando ruoli, responsabili del trattamento, sub-responsabili. Si stabilisce, inoltre, che il Ministero effettuerà, prima del trattamento, la valutazione di impatto ai sensi dell’articolo 35 del Regolamento n. 679/2016 e la sottoporrà alla verifica preventiva del Garante. I dati personali raccolti potranno essere trattati solo e unicamente per lo svolgimento del Programma cashback e per consentire agli aderenti di ricevere il rimborso, limitando il trattamento del dato relativo all’identificativo dell’esercente esclusivamente per controllare le transazioni nel caso di reclamo.
I dati raccolti potranno comunque essere conservati solo per il tempo strettamente necessario.
Il Ministero potrà effettuare indagini statistiche sull’attuazione del Programma trattando per tale finalità anche i dati personali degli aderenti, relativi alla partecipazione al Programma, al numero e al valore delle transazioni effettuate, nonché ai rimborsi erogati, ma sempre rispettando le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, di cui (allegato A.4 al Codice Privacy).
Lo schema di regolamento era già stato sottoposto alle osservazioni del Garante che aveva manifestato alcune perplessità nel corso dell’istruttoria.
Dato il numero massivo di dati personali trattati con il Programma Cashback, riguardanti aspetti privati della vita di ciascun cittadino, l’Autorità aveva infatti richiesto di individuare maggiori garanzie a protezione dei dati trattati e delle persone; raccomandazioni che il Ministero ha fatto proprie, definendo espressamente, nel riformulare la bozza di regolamento, i ruoli e le responsabilità dei soggetti coinvolti nell’iniziativa; introducendo misure per assicurare che i soggetti che gestiscono le transazioni comunichino al sistema unicamente i dati necessari, ossia quelli riferiti agli acquisti effettuati a mezzo dei sistemi di pagamento registrati dagli aderenti e prevedendo misure di sicurezza, come funzioni crittografiche irreversibili degli identificativi degli strumenti di pagamento elettronici.
Il Garante aveva inoltre chiesto al dicastero di chiarire le finalità del trattamento delle diverse tipologie di dati raccolti nel contesto del programma di rimborso, rispetto, in particolare, ai dati dell’esercente che potranno essere trattati solo per gestire i reclami.
All’esame del Garante resta ancora la valutazione di impatto che PagoPA ha compiuto sui trattamenti effettuati, in generale, a mezzo dell’APP IO, quale punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione (art. 64-bis CAD) relativamente al funzionamento dell’iniziativa cashback. Sull’APP IO, in generale, l’Autorità, lo ricordiamo si era già espressa con il provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375, par. 5), in cui aveva manifestato le proprie osservazioni.
Prima dell’avvio del programma, il Garante si è riservato di controllare le misure di sicurezza, le modalità e i tempi di conservazione dei dati da indicare nella valutazione d’impatto che dovrà essere trasmessa dal Ministero.