Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su uno schema di regolamento recante le condizioni e i criteri per l'attribuzione delle misure premiali per l'utilizzo degli strumenti di pagamento elettronici, c.d. cashback - 13 ottobre 2020 [9466707]

VEDI ANCHE Comunicato stampa del 14 ottobre 2020

 

[doc. web n. 9466707]

Parere su uno schema di regolamento recante le condizioni e i criteri per l'attribuzione delle misure premiali per l'utilizzo degli strumenti di pagamento elettronici, c.d. cashback - 13 ottobre 2020

Registro dei provvedimenti
n. 179 del 13 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la richiesta di parere del Ministero dell’economia e delle finanze;

Ritenuto che le ragioni d’urgenza rappresentate dal predetto Ministero e il conseguente breve lasso di tempo per rendere il previsto parere non permettono allo stato la convocazione in tempo utile del Collegio del Garante;

Ritenuto quindi che ricorrano i presupposti per l’applicazione dell’articolo 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

Vista la documentazione in atti;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il Ministero dell’economia e delle finanze ha richiesto il parere del Garante su uno schema di regolamento recante le condizioni e i criteri per l'attribuzione delle misure premiali per l'utilizzo degli strumenti di pagamento elettronici, c.d. cashback, da adottarsi ai sensi dell'articolo 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160 (legge di Bilancio 2020).

Le disposizioni in parola, recentemente modificate e integrate dal decreto-legge 14 agosto 2020, n. 104 (art. 73), anche con l’aggiunta di due nuovi commi (289-bis e 289-ter), sono volte a disincentivare l'uso del contante, prevedendo un rimborso in denaro sui pagamenti effettuati mediante strumenti elettronici.

In particolare il nuovo comma 289-bis prevede che per l'attuazione della misura il Ministero dell'economia e delle finanze utilizzi la piattaforma tecnologica per l'interconnessione e l'interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, prevista all'articolo 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82 (di seguito CAD), gestita dalla società PagoPA S.p.A.. Si stabilisce, inoltre, che il Ministero affidi alla predetta società i servizi di progettazione, realizzazione e gestione del sistema informativo strumentale al calcolo del rimborso. Con il comma 289-ter si prevede, altresì, che il medesimo dicastero affidi a Consap - Concessionaria servizi assicurativi pubblici S.p.A. - tutti i servizi inerenti alle operazioni di erogazione del rimborso e le ulteriori attività accessorie e strumentali, ivi compresa la gestione del contenzioso.

RILEVATO

2. Lo schema di regolamento - che si compone di 12 articoli – detta la disciplina delle condizioni, i casi, i criteri e le modalità attuative per l'attribuzione di un rimborso in denaro, a favore delle persone fisiche maggiorenni, residenti nel territorio dello Stato, che, fuori dall’esercizio di una attività d'impresa, arte o professione, effettuano acquisti da esercenti, con strumenti di pagamento elettronici (art. 2).

Il Programma di rimborso è realizzato attraverso il “Sistema Cashback”, predisposto e gestito dalla società PagoPA S.p.a. nell’ambito della predetta piattaforma tecnologica di cui all’articolo 5, comma 2, del CAD, che raccoglie i dati rilevanti, ai fini della partecipazione al Programma, degli “aderenti” e degli “esercenti”, definisce la graduatoria e trasmette le informazioni rilevanti all’APP IO e ai sistemi messi a disposizione dai c.d. “issuer convenzionati” e, ai fini dell’erogazione del rimborso, alla Consap-Concessionaria servizi assicurativi pubblici S.p.A..

L’articolo 3 dello schema indica in maniera dettagliata quali siano le modalità di adesione al Programma di rimborso, sottolineando, in particolare, la volontarietà della partecipazione. L’articolo precisa che il soggetto “aderente” è tenuto a registrare nell’APP IO, o nei sistemi messi a disposizione da un issuer convenzionato, il proprio codice fiscale e uno o più strumenti elettronici di cui intende avvalersi per effettuare i pagamenti, dichiarando, al momento della registrazione, di utilizzare gli strumenti di pagamento registrati esclusivamente per acquisti effettuati fuori dall'esercizio di attività d'impresa, arte o professione (art. 3, commi 1, 2 e 3).

Lo schema, poi, all’articolo 4 specifica in particolare le modalità tecniche di adesione al sistema da parte dei cd. "acquirer convenzionati" e, cioè, i soggetti che abbiano concluso un accordo con l'”esercente” per l'accettazione di strumenti di pagamento attraverso dispositivi fisici, titolari di una convenzione con la PagoPA S.p.A per la partecipazione al Programma, ovvero Bancomat S.p.A., previa sottoscrizione della convenzione con la stessa PagoPA S.p.A.

L'articolo 5 prevede apposite convenzioni tra il Ministero dell’economia e delle finanze e PagoPA S.p.A. e tra il predetto dicastero e Consap S.p.A. previste per il funzionamento del Programma. In particolare il comma 1 dell’articolo 5, disciplina la convenzione tra il Ministero e PagoPA S.p.A., per la progettazione, realizzazione e gestione di specifiche funzioni all'interno del Sistema Cashback, quali la raccolta dei dati relativi agli aderenti e ai pagamenti. Il comma 2, invece, disciplina la convenzione MEF-Consap S.p.A., per la gestione dei rimborsi e dei reclami.

L'articolo 6 detta la disciplina di dettaglio del cashback, stabilendone misura e periodi di riferimento, mentre l'articolo 7 prevede una fase sperimentale temporanea, valida dal 1° dicembre 2020 al 31 dicembre 2020, che permette di anticipare l'attuazione del programma di rimborso, esclusivamente per gli aderenti che abbiano effettuato un certo numero di transazioni. Inoltre, l’articolo 8 istituisce un rimborso speciale per i primi centomila aderenti che abbiano totalizzato il maggior numero di transazioni con strumenti di pagamento elettronici.

L'articolo 9 specifica le modalità di erogazione del rimborso, che avviene mediante accredito per mezzo del codice IBAN comunicato dall'aderente al momento dell'adesione al Programma, o in un momento successivo, mentre l'articolo 10 disciplina le modalità di gestione dei reclami. In particolare, il comma 1 prevede che PagoPA S.p.A. metta a disposizione un servizio di Help Desk dedicato all'assistenza degli aderenti per tutti gli aspetti relativi alla gestione del profilo utente e ai servizi erogati attraverso l'APP IO, incluse eventuali contestazioni in merito alla registrazione delle transazioni effettuate.

Infine, l’articolo 12 (Trattamento dei dati personali) disciplina alcuni importanti aspetti di protezione dati. Innanzitutto individua i ruoli, le funzioni e le responsabilità dei diversi soggetti coinvolti dal sistema, vale a dire il Ministero dell’economia e delle finanze, PagoPA S.p.A., Consap S.p.A. e gli issuer e gli acquirer convenzionati (titolarità, responsabilità e sub-responsabilità del trattamento; commi 1-5). Si prevede poi che il Ministero effettui, prima del trattamento, la valutazione di impatto ai sensi dell’articolo 35 del Regolamento e la sottoponga alla verifica preventiva del Garante; in tale valutazione devono essere indicate le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e disciplinati i tempi e le modalità di cancellazione dal Programma (commi 6 e 7). Nel rispetto del principio di finalità del trattamento, i dati personali raccolti ai sensi del decreto possono essere trattati esclusivamente per lo svolgimento del Programma e per la realizzazione del previsto rimborso, limitando il trattamento del dato relativo all’identificativo dell’esercente al solo fine di verificare le transazioni oggetto di reclamo (comma 8). Infine il comma 9 dell’articolo autorizza il Ministero a effettuare statistiche sull’attuazione del Programma trattando anche i dati personali degli aderenti, relativi alla partecipazione al Programma, al numero e al valore delle transazioni effettuate, nonché ai rimborsi erogati, nel rispetto delle pertinenti regole deontologiche (Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, di cui all’allegato A.4 al Codice, che è opportuno citare per esteso nello schema).

RITENUTO

3. Il trattamento dei dati sotteso al funzionamento del Programma presenta rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione, che richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento e all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento. La base giuridica che lo autorizza deve, pertanto, essere proporzionata rispetto alle finalità perseguite e contenere gli altri requisiti di liceità previsti dalla normativa europea e nazionale in materia di protezione dati (art. 6, par. 3, Regolamento).

Da questo punto di vista, il testo trasmesso per il parere tiene conto delle indicazioni rese dall’Ufficio del Garante nel corso di alcune interlocuzioni intercorse con rappresentanti del Ministero e degli altri soggetti coinvolti nel funzionamento del Programma al fine di rendere la proposta normativa pienamente conforme ai principi e alle garanzie previste dalla predetta normativa.

In particolare, tali indicazioni hanno riguardato la necessità:

a) di precisare, sin dalle definizioni, che il sistema informatico in questione (Sistema Cashback) non coincide con la piattaforma tecnologica di cui all’articolo 5, comma 2, del CAD, ma opera nell’ambito della stessa (cfr. in particolare, art. 1, comma 1, lett. h), dello schema);

b) di individuare espressamente i ruoli e le responsabilità dei diversi soggetti coinvolti dal sistema sotto il profilo della protezione dati (art. 12, commi 1-5);

c) di circoscrivere alle finalità di realizzazione del cd. cashback i trattamenti effettuati in attuazione dello schema in esame, nel rispetto del principio di limitazione della finalità, introducendo un’ulteriore specifica garanzia in relazione al trattamento degli identificativi degli esercenti presso i quali saranno effettuate le transazioni trasmesse al Sistema Cashback (art. 12, comma 8);

d) di introdurre misure volte a garantire che gli acquirer trasmettano al sistema esclusivamente i dati relativi alle transazioni effettuate attraverso gli strumenti di pagamento indicati dai soggetti aderenti all’iniziativa (artt. 4, commi 1 e 2, e 5, comma 1);

e) di definire con maggior chiarezza le modalità con cui l’APP IO, o i sistemi messi a disposizione dagli issuer, rendono disponibili agli aderenti, nel rispetto del principio di minimizzazione, gli importi dei rimborsi spettanti e la posizione nella graduatoria (art. 5, commi 1, lett. e));

f) di individuare le modalità e i tempi di conservazione dei dati e le misure necessarie a garantire che le informazioni siano trattate per il tempo strettamente necessario al conseguimento delle specifiche finalità e successivamente cancellate (artt. 4, comma 5, e 12, commi 7 e 9);

g) di definire, in chiave di maggior garanzia, alcune misure di sicurezza da adottare nel trattamento dei dati, con particolare riferimento alla protezione, mediante funzioni crittografiche non reversibili, degli identificativi degli strumenti di pagamento elettronici (PAN, Primary Account Number) in uso ai soggetti che aderiscono all’iniziativa, anche in conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) (art. 4, comma 1);

h) di precisare le garanzie da applicare al trattamento dei dati personali effettuato dal Ministero per scopi statistici nell’ambito del Sistema Statistico Nazionale, limitando le tipologie di dati che possono essere elaborate (art. 12, comma 9);

i) di effettuare una valutazione di impatto del trattamento, a fronte del rischio elevato in esso riscontrato, al fine di individuare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato (art. 12, commi 6 e 7).

Poiché le predette indicazioni sono state tenute in debita considerazione dal Ministero nella redazione del testo, aggiornato rispetto alla versione originaria trasmessa, il Garante non rileva ulteriori criticità e, pertanto, non ha osservazioni da formulare sullo schema di regolamento in esame.

4. Per completezza, si osserva che è ancora all’esame del Garante la valutazione di impatto predisposta da PagoPA relativa ai trattamenti effettuati, in generale, tramite l’APP IO, quale punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione (art. 64-bis CAD), cui lo schema fa riferimento ai fini della realizzazione del Programma in esame.

Il presente parere è pertanto formulato unicamente in relazione all’utilizzo dell’APP IO, e dell’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA, ai fini della realizzazione del Sistema Cashback.

Infine, nell’ambito della verifica sulla valutazione di impatto che verrà trasmessa dal Ministero (cfr. art. 12, comma 6, schema), l’Autorità si riserva di esaminare le caratteristiche dell’APP IO su cui sono già state formulate alcune osservazioni nel provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375, par. 5), relative, in particolare, al previsto utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché al trasferimento di dati personali verso Paesi terzi, peraltro da attualizzarsi alla luce della recente sentenza della Corte di giustizia relativa al caso Schrems II (16 luglio 2020, causa C-311/18).

TUTTO CIÒ PREMESSO, IL GARANTE

esprime parere favorevole, ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, sullo schema di regolamento recante le condizioni e i criteri per l'attribuzione delle misure premiali per l'utilizzo degli strumenti di pagamento elettronici, da adottare ai sensi dell'articolo 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160.

Roma, 13 ottobre 2020

IL PRESIDENTE
Stanzione