Garante per la protezione dei dati personali: Parere su uno schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, c.d. cashback – 13 ottobre 2020
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9466707
Premessa
La legge di bilancio 2020 ha introdotto un sistema finalizzato ad incentivare i cittadini all’uso della moneta elettronica per effettuare i propri acquisti, rinunciando all’uso del contante, attraverso la concessione a loro favore di un rimborso in denaro (cd. “programma cashback”).
Nello specifico, la legge di bilancio stabilisce che tale misura venga realizzata attraverso l’uso di una piattaforma tecnologica che permetta l’interconnessione tra le pubbliche amministrazioni e coloro che svolgono il servizio di pagamento (che saranno abilitati dal ministero) e che tale piattaforma sia gestita dalla società PagoPA S.p.a.. In secondo luogo, la normativa stabilisce che il ministero dell’economia affidi alla suddetta società il servizio di progettazione, realizzazione e gestione del sistema informativo che serve per calcolare il rimborso da dare ai cittadini nonché affidi alla società Consap S.p.a. i servizi che riguardano le operazioni di erogazione di detto rimborso nonché la gestione dei reclami.
In considerazione di ciò, il ministero dell’economia ha chiesto al garante per la protezione dei dati personali il proprio parere su uno schema di regolamento che deve stabilire le condizioni e i criteri per attribuire a coloro i quali aderiranno al sistema cd. cashback il rimborso previsto dalla citata normativa.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 25.60 €
Lo schema di regolamento
L’art. 2 dello schema di regolamento (che, complessivamente, si compone di ben 12 articoli) stabilisce le modalità di funzionamento del sistema e quindi i criteri con cui verrà attribuito il rimborso in denaro previsto dalla normativa.
Per quanto concerne i requisiti per poter usufruire del rimborso, la norma prevede che:
- il richiedente deve essere una persona fisica e maggiorenne;
- il richiedente deve essere residente in Italia;
- il prodotto deve essere acquistato non nell’esercizio dell’attività lavorativa del richiedente;
- il pagamento del prodotto acquistato deve essere effettuato attraverso strumenti di pagamento elettronici.
L’articolo in questione conclude prevedendo che il sistema viene gestito dalla società PagoPa S.p.a. attraverso una apposita piattaforma tecnologica, nella quale dovranno essere raccolti i dati rilevanti per poter partecipare al programma nonché quelli relativi ai cittadini che decideranno di parteciparvi e degli esercenti gli esercizi commerciali che aderiranno all’iniziativa. La piattaforma, inoltre, si dovrà occupare di definire le graduatorie per i rimborsi ai partecipanti nonché di gestire i dati da inviare a Consap S.p.a. che poi dovrà materialmente effettuare i rimborsi.
L’art. 3 prevede che la partecipazione al programma sia totalmente volontaria, attraverso la registrazione del cittadino che vuol aderirvi in una APP chiamata “IO” oppure in un’altra APP che sarà messa a disposizione: in particolare, la registrazione dovrà prevedere che l’aderente rilasci il proprio codice fiscale e indichi di quali strumenti di pagamento elettronico si avvarrà per effettuare i pagamenti nonché che l’aderente dichiari che effettuerà gli acquisti per scopi differenti dalla propria attività lavorativa.
L’art. 4, invece, individua le modalità tecniche attraverso cui gli esercizi commerciali aderenti all’iniziativa, presso i quali quindi potranno essere effettuati i pagamenti moneta elettronica, potranno aderire al sistema.
L’articolo 5 stabilisce che il ministero dell’economia e la società PagoPa nonché la società Consap stipulino delle convenzioni attraverso cui stabilire le modalità di funzionamento del programma e affidare a tali società la realizzazione del programma stesso nonché la raccolta dei dati degli aderenti e di quelli relativi ai pagamenti.
L’articolo 6 si occupa di individuare il periodo temporale durante il quale funzionerà il programma e la misura del rimborso, mentre l’articolo 7 prevede una fase temporanea sperimentale che avverrà nel mese di dicembre 2020.
L’articolo 9 disciplina le modalità con cui verrà erogato il rimborso a favore dei soggetti che parteciperanno al programma, attraverso un bonifico bancario al codice IBAN che l’aderente avrà comunicato nel momento in cui si sarà registrato al programma.
L’articolo 10, invece, si occupa della gestione dei reclami, prevedendo che la società PagoPA fornisca servizi di assistenza a favore degli aderenti, ai quali questi ultimi potranno rivolgersi anche per far valere delle contestazioni circa la registrazione delle transazioni economiche effettuate.
Infine, l’articolo 12, si occupa proprio di disciplinare la protezione dei dati personali oggetto dei trattamenti realizzati nel programma. In primo luogo, vengono individuati i ruoli e le funzioni, da un punto di vista della protezione dei dati personali, di tutti coloro i quali sono coinvolti nel programma (cioè il ministero dell’economia, la società PagoPA, la società Consap e gli esercenti le attività commerciali che aderiscono all’iniziativa), stabilendo quali saranno i titolari e quali i responsabili dei trattamenti. In secondo luogo, è previsto che il ministero dell’economia, prima di effettuare il trattamento dati, debba compiere una valutazione di impatto secondo quanto previsto dal GDPR e debba sottoporre tale valutazione di impatto alla verifica preventiva del garante privacy. Inoltre, all’interno della valutazione di impatto il ministero dovrà indicare quali sono le misure tecniche e organizzative adottate per garantire la tutela dei dati rispetto al rischio elevato connaturato al trattamento nonché indicare i tempi di conservazione e le modalità di cancellazione dei dati. Infine, si prevede che i dati raccolti attraverso il programma potranno essere utilizzati soltanto per lo svolgimento del medesimo e l’erogazione del rimborso a favore dei partecipanti nonché per effettuare statistiche da parte del ministero dell’economia per verificare i risultati del programma stesso.
Il parere del Garante
Il Garante ha ritenuto che il trattamento dati che si svolgerà nel “programma cashback” presenta dei rischi elevati per i diritti e le libertà degli interessati, in quanto verranno effettuate delle raccolte massive e generalizzate di dati e informazioni relativi ai partecipanti, che si potranno riferire anche a numerosi aspetti della vita quotidiana degli stessi (in quanto relativi agli acquisti da questi effettuati quotidianamente). Tuttavia, in considerazione del fatto che il testo del regolamento tiene conto delle indicazioni che erano state rese dal garante privacy durante alcuni incontri preliminari, il garante ha ritenuto di dare un parere favorevole allo schema di regolamento.
In particolare, gli aspetti presi in considerazione dello schema di regolamento, che erano stati suggeriti dal garante in fase preliminare, riguardano:
- la necessità di individuare i ruoli le responsabilità di tutti coloro i quali hanno una funzione all’interno del programma dal punto di vista della protezione dei dati personali;
- la necessità di limitare la finalità dei trattamenti solo per permettere l’attuazione del programma stesso;
- la necessità di introdurre misure per garantire il trattamento soltanto dei dati relativi alle transazioni commerciali effettuate con strumenti di pagamento elettronico di coloro i quali avranno aderito all’iniziativa;
- la necessità che venga definito in maniera chiara le modalità con cui le APP tratteranno i dati che riguardano gli importi che saranno rimborsati ad ognuno degli aderenti e quelli relativi alle graduatorie dei partecipanti;
- la necessità di individuare delle misure di sicurezza per proteggere i dati trattati attraverso il programma, anche con l’uso della crittografia;
- la necessità di effettuare una valutazione di impatto relativa al trattamento dati, in considerazione del fatto che i rischi connessi al trattamento sono elevati, in modo che i titolari e i responsabili dei trattamenti possano adottare delle misure di sicurezza adeguate rispetto al rischio.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento