Cashback e la lotteria degli scontrini, come rilevato dal Garante privacy, presentano profili di rischio per i diritti e le libertà degli interessati al trattamento dei propri dati. Alcuni di questi profili stanno emergendo ultimamente con maggiore chiarezza. Così come è rilevante notare che riguardano milioni di italiani, dato il grande successo dell’iniziativa.
Indice degli argomenti
Cashback e lotteria scontrini, il problema del trasferimento dei dati
A questo proposito, si sta probabilmente sottovalutando l’aspetto trasferimento dati fuori dall’UE.
Il testo dell’informativa e condizioni d’uso del servizio cashback al “Numero 6. Trasferimento dati fuori dall’UE” dichiara che “alcuni dei fornitori terzi di cui ci avvaliamo per alcuni servizi essenziali all’operatività dei nostri prodotti e servizi risiedono negli USA. Abbiamo conclusi con tali fornitori accordi di servizio ai sensi dell’art. 28 del Regolamento. Tutti i fornitori sono conformi al regolamento e quando non sono certificati Privacy Shield, abbiamo concluso con loro le Clausole Contrattuali della Commissione Europea per garantire adeguati livelli di tutela. Dove possibile, inoltre, selezioniamo opzioni che consentono di mantenere i dati nell’Unione Europea. Teniamo molto al principio di minimizzazione e, per questo lo applichiamo rigorosamente nell’ambito dei trattamenti che affidiamo ai nostri fornitori, semplicemente comunicando solo i dati strettamente necessari. Puoi richiedere copia delle misure adottate contattandoci all’indirizzo dpo@pagopa.it”.
Se ne deduce quindi che la società interamente controllata dallo Stato Italiano cui il Governo ha demandato la gestione della piattaforma che ospita il servizio di cashback il cui funzionamento secondo il Garante presenta elevati rischi per i diritti e le libertà degli interessati derivanti dalla raccolta massima e generalizzata di informazioni di dettaglio potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione si avvale in qualità di fornitori di società terze residenti in USA. Un Paese che proprio da luglio scorso non gode di un livello di adeguatezza della normativa sulla protezione dei dati assimilabile a quella europea.
È interessante notare come l’Autorità Garante si sia riservata di esaminare la valutazione di impatto che il MEF è tenuto ad espletare quale titolare del trattamento e che tra gli elementi oggetto di valutazione vi era specificamente il trasferimento di dati personali verso paesi terzi.
La stessa Autorità con il precedente parere reso il 12 giugno 2020 aveva già sollevato la delicatezza del tema in considerazione del fatto che la società Pago PA si avvale(va) di alcuni fornitori che effettuano trattamenti al di fuori dell’Unione Europea. All’epoca il parere rappresentava la necessità di assicurare il rispetto del principio di trasparenza nei confronti degli interessati previa indicazione dei parsi terzi interessati e l’esistenza di una decisione di adeguatezza della Commissione o nel caso di trasferimento di cui all’articolo 46 o 47 o 49 par. 1 il riferimento alle garanzie adeguate ed opportune e i mezzi per ottenere una copia di tali garanzie e luogo sono state rese disponibili.
A giugno 2020 non era ancora stata pubblicata la sentenza Schrems II della Corte di Giustizia ma già l’Autorità si era riservata di valutare la legittimità di trasferimenti di tali dati alla luce delle indicazioni che la Corte avrebbe reso nell’ambito di quel delicato procedimento in ordine alla validità delle clausole contrattuali tipo utilizzabili nel contesto di trasferimenti verso gli USA. Il 16 luglio la Corte di Giustizia con la nota sentenza Schrems II ha invalidato il Privacy Shield UE-US un accordo tra Commissione Europea e USA che legittimava il trasferimento di dati verso gli Stati Uniti senza bisogno di particolari misure.
Il parere del Garante su valutazione d’impatto cashback
Nel parere reso il 26 novembre 2020 sulla valutazione di impatto compiuta dal MEF unitamente a PagoPa, l’Autorità Garante da un lato si è espressa circa la presenza “delle adeguate garanzie per i trattamenti che comportano il trasferimento dei dati personali verso Paesi terzi (art. 44 e ss. del Regolamento), anche tenendo conto della sentenza del 16 luglio 2020 della Corte di giustizia dell’Unione europea relativa al caso Schrems II (causa C-311/18) e delle Raccomandazioni 01/2020 sulle misure supplementari per i trasferimenti di dati verso Paesi terzi, adottate dal Comitato europeo per la protezione dei dati, allo stato in consultazione pubblica”.
Ma ha poi, dall’altro, voluto precisare che “il presente provvedimento di autorizzazione riguarda unicamente i trattamenti effettuati da PagoPA in qualità di responsabile del trattamento del MEF” con ciò circoscrivendo alla sola attività di PagoPa il proprio via libera alla valutazione di impatto.
Cashback e lotteria scontrini, quali sono i rischi privacy generali
Per avere un quadro più complessivo, analizziamo ora il parere con cui l’Autorità Garante il 13 ottobre 2020 ha dato il via libera allo schema di regolamento del Ministero dell’Economia e Finanze sul cashback, tra l’altro sull’interconnessione e interoperabilità tra le pubbliche amministrazioni ed i prestatori di pagamento abilitati gestita da PagoPA.
Quest’ultima come è noto è un società partecipata interamente dallo Stato la cui piattaforma è stata realizzata dall’Agenzia per l’Italia Digitale (AgID) in attuazione dell’art. 5 del Codice dell’Amministrazione Digitale e del D.L. 179/2012, come convertito in legge. Il D.L. 135/2018 ha trasferito la gestione di PagoPA alla Presidenza del Consiglio che si avvale del Commissario straordinario per l’attuazione dell’agenda digitale ed inoltre ha disposto la costituzione di una società per azioni partecipata dallo Stato che opererà sotto l’indirizzo del Presidente del Consiglio.
In altre parole, secondo lo schema di regolamento proposto dal MEF il servizio di cashback viene gestito da PagoPA nell’ambito della piattaforma attraverso l’interazione di diversi soggetti che a vario titolo ne sono coinvolti ossia il MEF (titolare del trattamento), PagoPA (responsabile) e Consap, gli issuer e gli acquirer convenzionati (subresponsbaili). Analogamente alla lotteria degli scontrini, l’Autorità Garante ha ritenuto che il trattamento dei dati sotteso al funzionamento del programma presenta elevati rischi per i diritti e le libertà degli interessati derivanti dalla raccolta massima e generalizzata di informazioni di dettaglio potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione che richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento ed all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento (GDPR).
Le indicazioni del Garante privacy
Per questo motivo, le indicazioni espresse dall’Autorità sottese all’obiettivo di circoscrivere alle sole finalità di realizzazione del cashback i trattamenti effettuati nel rispetto del principio di limitazione della finalità hanno riguardato la necessità:
- di separare anche concettualmente il sistema di cashback dalla piattaforma tecnologica che lo ospita;
- individuare i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati;
- obbligare gli esercenti a trasmettere alle sole transazioni effettuate attraverso gli strumenti di pagamento indicate dagli utenti;
- individuare modalità e tempi di conservazione dei dati e misure necessarie ad un trattamento delle informazioni per il tempo strettamente necessario per conseguire le specifiche finalità del servizio;
- definire in chiave di maggiore garanzia misure di sicurezza da adottare nel trattamento dei dati mediante funzioni crittografiche non reversibili in conformità agli standard c.d. PCI DSS;
- precisare le garanzie da applicare al trattamento dei dati effettuati dal MEF per scopi statistici limitando le tipologie di dati oggetto di elaborazione
- effettuare una valutazione di impatto del trattamento a fronte del rischio elevato in esso riscontrato ed al fine di individuare le misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato.
In conclusione
La situazione è complessa. La Commissione Ue ha licenziato solo il 19 novembre 2020 le clausole standard che in luogo del Privacy Shield cestinato a luglio scorso dalla Corte di Giustizia legittimano ad oggi il trasferimento in USA. Si tratta però di previsioni molto generali che le parti devono integrare assegnandosi specifici compiti in relazione alla tipologia di servizi erogati e di dati trattati e che necessitano di una mappatura ed un monitoraggio costante sulla compatibilità dell’ordinamento statunitense con le garanzie dettate dal Regolamento.
Allo stato, non è dato conoscere l’esito della valutazione di impatto compiuta dal MEF sulle caratteristiche dell’APP IO né se la stessa sia stata trasmessa e comunicata all’Autorità Garante e quali siano le osservazioni espresse dall’ente regolatore. D’altra parte, a fronte delle richieste inviate alla società PagoPA allo stato non è possibile conoscere la tipologia ed il livello delle misure di sicurezza adottate.
In questo quadro tuttavia si può però affermare che un servizio promosso da un Governo e gestito da una società a partecipazione interamente pubblica il cui trattamento massivo di dati di consumo dei cittadini italiani avrebbe giustificato quantomeno un obbligo incondizionato al mantenimento da parte dei fornitori di tutti i dati personali trattati in via esclusiva in un Paese appartenente all’UE ed una selezione dei fornitori particolarmente discriminante rispetto all’adeguatezza degli ordinamenti agli standard europei sulla protezione dei dati.
