Semaforo verde del Garante privacy al sistema cashback

Prospettive
Ph. Linda Traversi / Prospettive

Il 13 ottobre 2020 il Garante per la protezione dei dati personali si è pronunciato sullo schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici (cd. cashback), redatto dal Ministero dell’economia e delle finanze in attuazione del comma 289 della Legge di bilancio 2020 (legge n. 160 del 2019).

Prima di analizzare brevemente il provvedimento del Garante, vediamo quali sono i punti principali del sistema premiale cashback.

Dovuto alla volontà del legislatore di incentivare l’utilizzo di strumenti di pagamento elettronici, esso individua come beneficiari i consumatori – persone fisiche maggiorenni residenti nel territorio dello Stato, che, fuori dall’esercizio di attività d’impresa, arte o professione, effettuano abitualmente acquisti – che paghino gli esercenti utilizzando tali strumenti, attribuendo ad essi il diritto ad un rimborso in denaro,  alle  condizioni,  nei  casi e sulla base dei criteri individuati da uno o più decreti del Ministero dell’economia e delle finanze, emanati sentendo previamente il Garante.

Al fine di garantire le risorse finanziarie necessarie per l’attribuzione dei rimborsi e le spese per le attività legate all’attuazione della misura, il comma 290 della Legge di bilancio prevede lo stanziamento di un apposito fondo di importo pari a 3 miliardi di euro per gli anni 2020 e 2021.

In attuazione di quanto disposto dal legislatore, il Ministero dell’economia ha provveduto a presentare al Garante il proprio schema di regolamento, composto di 12 articoli disciplinanti le condizioni, i casi, i criteri e le modalità attuative per l’attribuzione del rimborso.

Riassumendo brevemente il contenuto del regolamento, esso prevede che l’adesione al sistema cashback avvenga su base esclusivamente volontaria, tramite la registrazione del consumatore sull’App IO, operante nell’ambito della piattaforma tecnologica per l’interconnessione e l’interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati gestita da PagoPA S.p.a., o nei sistemi messi a disposizione dalla propria banca (ove aderente all’iniziativa). In fase di registrazione, l’utente inserirà credenziali quali il codice fiscale e lo strumento elettronico di cui intende avvalersi per effettuare i pagamenti, dichiarando altresì la propria qualifica di “consumatore”.

Tutti i servizi inerenti alla fase di erogazione del rimborso saranno gestiti da Consap S.p.a., Concessionaria servizi assicurativi pubblici. L’ammontare dello stesso sarà pari al 10% della spesa e verrà accreditato semestralmente sull’IBAN indicato in fase di registrazione (o in un momento successivo). Pur non essendo previsto un importo minimo di spesa da effettuarsi per beneficiare della misura, sono previsti sia un numero minimo di transazioni (50 ogni 6 mesi) che un tetto massimo di spesa (1.500 euro a semestre).

La misura sarà soggetta ad una fase sperimentale di durata mensile, al via il 1° dicembre 2020.

Con ciò chiarito, l’ultimo articolo dello schema è dedicato al trattamento dei dati personali e si concentra sui seguenti aspetti:

  1. Ruoli e responsabilità dei soggetti coinvolti dal sistema, così ripartiti:
  • Titolarità = Ministero dell’economia;
  • Responsabili del trattamento = PagoPA S.p.a., per la parte relativa all’individuazione dei concreti beneficiari, e Consap S.p.a., per l’erogazione materiale del rimborso;
  • Sub - responsabili = emittenti degli strumenti elettronici di pagamento, di cui si serve PagoPA per attuare il sistema. 
  1. Valutazione di impatto effettuata dal Ministero prima del trattamento e sottoposta a verifica preventiva del Garante;
  2. Indicazione nella valutazione di impatto delle misure tecniche ed organizzative idonee a garantire un adeguato livello di sicurezza;
  3. Limitazione del trattamento per le sole finalità attinenti allo svolgimento del programma e per la realizzazione del rimborso;
  4. Trattamento del dato identificativo dell’esercente limitato al solo fine di verificare le transazioni oggetto di eventuale reclamo;
  5. Autorizzazione al Ministero per il trattamento dei dati finalizzato all’effettuazione di statistiche sull’attuazione del sistema, nel rispetto delle regole deontologiche di riferimento.

In materia, il Garante ritiene che siano state tenute in debita considerazione tutte le indicazioni rese dal proprio Ufficio nel corso degli incontri interlocutori, non rilevando dunque ulteriori criticità e dando semaforo verde alla compatibilità dell’iniziativa con la normativa privacy.

L’Autorità sottolinea però come il parere sia formulato unicamente in relazione all’utilizzo dell’App IO, e dall’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA, ai fini della realizzazione del programma, essendo ancora al vaglio del Garante la valutazione d’impatto di PagoPA relativa ai trattamenti effettuati, in generale, dall’applicazione. È evidente come i risultati di quest’ultima potrebbero influenzare l’esito della verifica preventiva che il Garante farà sulla valutazione d’impatto relativa all’uso specifico dell’App per il sistema cashback.  

Per ulteriori sviluppi, non resta dunque che attendere l’esito di tale verifica.