Il d.l. n. 152/2021, nell’ambito del più generale intervento “Servizi digitali e cittadinanza digitale” del Piano nazionale per gli investimenti complementari ha previsto l’introduzione di una piattaforma digitale che possa consentire di “incentivare la digitalizzazione dei pagamenti della pubblica amministrazione, di uniformare i processi di erogazione dei benefìci economici concessi dalle amministrazioni pubbliche e di consentire un più efficiente controllo della spesa pubblica, i benefìci economici concessi da un’amministrazione pubblica”.
Sulla bozza di decreto del Ministro per la transizione digitale che disciplina le condizioni e le modalità di funzionamento di detta nuova piattaforma e di erogazione dei benefici economici in favore degli utenti, identificata con il nome di IDPay e gestita da PagoPA, il Garante privacy si è recentemente pronunciato in modo parzialmente favorevole, precisando che si rende necessario svolgere alcune modifiche al testo del decreto e dettando precise condizioni preliminari all’ottenimento di un parere pienamente favorevole.
Nel presente articolo, si svolgerà un’analisi delle criticità principali rilevate dal Garante e delle possibili soluzioni proposte dallo stesso per garantire la conformità della piattaforma alle norme vigenti sul trattamento dei dati personali.
PagoPA, cos’è, come funziona e come pagare servizi pubblici online
Indice degli argomenti
Come funziona IDPay
Mediante IDPay, secondo quanto affermato all’art. 2 del decreto, sarà possibile, per gli enti promotori, “erogare i benefici economici in favore dei relativi utenti, a condizione che tali benefici economici siano collegati ad acquisti effettuati attraverso i dispositivi di accettazione”.
A tal fine, tuttavia, si renderà necessario per i medesimi enti stipulare delle convenzioni e degli accordi che regolino le modalità di colloquio della piattaforma con i sistemi informativi degli enti e i meccanismi di comunicazione dei flussi contabili con le interfacce della Ragioneria Generale dello Stato. Una volta regolati detti aspetti, la piattaforma consentirà di effettuare sia operazioni di pagamento che di acquisto, identificandosi mediante CIE, tessera sanitaria o SPID, o ancora tramite l’accesso all’app IO.
Per l’utente sarà possibile, dunque, aderire alle diverse iniziative presenti sulla piattaforma, caricando i dati necessari e registrando anche i propri strumenti di pagamento e di acquisto, oltre ai codici IBAN dei conti correnti allo stesso intestati.
Al gestore, ossia PagoPA, spetterà l’onere di curare la manutenzione della piattaforma e garantire che la stessa rispetti “ogni standard tecnologico in materia di sicurezza e di tutela dei dati personali e provveda al suo aggiornamento tecnologico, nonché alla divulgazione delle sue specifiche tecniche ai soggetti coinvolti nell’erogazione del servizio”. Il gestore dovrà altresì verificare che l’IBAN inserito riconduca ad un conto corrente la cui titolarità è in capo all’utente che lo ha inserito.
Al fine di gestire gli strumenti di pagamento, conseguentemente, in capo al gestore vi sarà una raccolta massiva di dati, di varia natura, ricomprendente anche:
- gli “estremi della transazione con esito positivo inviata, ovvero i dati contenuti nella ricevuta elaborata dal dispositivo di accettazione anche in forma cartacea, tra cui la marca temporale del pagamento, l’importo della transazione espresso in euro egli identificativi univoci dell’operazione di pagamento che colleghino le fasi dell’operazione di pagamento stessa”;
- il “codice della categoria merceologica dell’esercente o il codice ATECO ovvero ogni altro codice disponibile a livello nazionale per la categorizzazione dell’esercente”;
- nel caso in cui l’iniziativa sia legata a specifici acquisti, “il codice categoria del bene acquistato, per mezzo degli strumenti di accettazione, anche per il tramite dell’acquirer convenzionato”.
L’insieme dei dati raccolti andrà a costituire la base dei flussi informativi “utili all’ente promotore per procedere al rimborso nei confronti del beneficiario, che viene accreditato sul conto corrente individuato con l’IBAN indicato dall’utente”.
Anche per le iniziative che fanno uso di strumenti di acquisto, vi è uno scambio di dati in tempo reale, che permette all’utente di verificare, tramite la piattaforma, il suo diritto ad accedere ad uno o più benefici, trasmettendo anche il codice categoria del bene acquistato.
Il gestore, si legge nel parere del Garante, “sulla base delle regole di configurazione dell’iniziativa fissate dall’ente promotore, calcola l’importo del rimborso spettante all’esercente e predispone i flussi informativi utili all’ente promotore per procedere al rimborso nei confronti dell’esercente, che viene accreditato per il tramite del relativo acquirer convenzionato o sul conto corrente di cui all’IBAN indicato dall’esercente per il tramite del medesimo acquirer”.
Ad ogni acquirer convenzionato sarà poi consentito di integrare i propri sistemi con la piattaforma, allo scopo di consentire “la trasmissione dei dati relativi alle transazioni di pagamento, (c.d. modalità on-us) e incluse le operazioni di storno o riaccredito”.
A ciò si aggiunga la possibilità concessa al gestore, previa anonimizzazione e aggregazione, di utilizzare i dati acquisiti al fine di migliorare i servizi erogati, sviluppare la piattaforma e valorizzare il patrimonio aziendale.
Sulla scorta di quanto sin qui esposto, è evidente, dunque, come la piattaforma comporti il trattamento, in modo massivo, di dati personali di diversa natura, anche particolarmente sensibili, dai quali poter desumere ogni aspetto della vita privata dei cittadini, essendo connessi agli acquisti effettuati e agli strumenti prescelti per ricevere gli accrediti.
I rilievi del Garante
In via preliminare, il Garante, all’interno del suo parere, rileva come i trattamenti effettuati mediante la piattaforma presentino “rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, riferibili agli strumenti di pagamento (numero di carta di credito, ecc.) e ai conti correnti (IBAN) in uso agli utenti fruitori, nonché ad ogni aspetto della vita quotidiana dell’intera popolazione sulla base degli acquisti effettuati – classificabili anche in base all’identificativo fiscale dell’esercente e alla sua categoria merceologica o al codice categoria del prodotto acquistato e suscettibili di ricadere nell’ambito delle categorie particolari di dati personali”.
La sensibilità del patrimonio informativo che viene a crearsi all’interno della piattaforma, che coinvolge anche soggetti particolarmente vulnerabili, richiede, dunque, l’adozione di misure tecniche e organizzative “rigorose” che mitighino i rischi di utilizzi impropri dei dati o accessi non autorizzati. La portata delle misure di sicurezza applicate sui dati non emerge integralmente dal contenuto dello schema di decreto sottoposto al Garante, motivo per cui quest’ultimo ha ritenuto essenziale evidenziare una serie di aspetti che i legislatori dovranno tenere in conto prima dell’introduzione della piattaforma.
Non sarà consentito, dunque, provvedere alla raccolta massiva e generalizzata dei dati degli utenti, dovendo necessariamente circoscrivere il trattamento ai dati necessari per l’erogazione della specifica misura agevolativa richiesta dall’utente.
I dati relativi alle transazioni
In primo luogo, si evidenzia come non dovranno essere accentrati presso PagoPA “i dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento elettronici censiti dagli utenti, a prescindere dall’adesione alle diverse iniziative da parte degli interessati e dalla loro eleggibilità ai fini dell’erogazione dei benefici attraverso la piattaforma da parte degli enti promotori”, nel rispetto dei principi di privacy by design e by default.
La raccolta dei citati dati potrà ritenersi proporzionata e conforme al GDPR solo ove sia garantito che gli esercenti trasmettano a PagoPA solo i dati relativi alle transazioni di cui l’utente vorrà avvalersi per l’erogazione dei connessi benefici economici. “Devono, pertanto”, afferma il Garante, “essere introdotte misure volte a escludere la trasmissione delle informazioni relative a transazioni che non risultino eleggibili a tal fine, limitando la raccolta alle sole informazioni di volta in volta necessarie in ragione delle caratteristiche delle singole iniziative”
I dati relativi agli strumenti di pagamento
Relativamente agli strumenti di pagamento, il Garante osserva come non siano previste misure volte a verificare l’intestazione, in capo all’utente, degli strumenti di pagamento dallo stesso registrati, contrariamente a quanto previsto per i codici IBAN.
Inoltre, rileva come non sia chiarito quali siano le modalità di erogazione dei benefici per tutti quei casi in cui il destinatario degli stessi necessita di avvalersi di un terzo per potervi accedere, a causa di impedimenti di diversa natura, come disagi fisici, divari tecnologici eccetera.
“In tal senso”, afferma il Garante, “oltre ai controlli da effettuarsi sull’intestazione dei conti correnti, vanno altresì introdotti meccanismi con i quali si intende assicurare l’intestazione degli strumenti di pagamento – che possono essere utilizzati nell’ambito della piattaforma per ottenere i benefici – unicamente in capo agli utenti o ai beneficiari, individuando misure che consentano di escludere anche in tale contesto frodi o abusi, ovvero accessi non autorizzati, all’interno della piattaforma, ai dati personali relativi alle transazioni commerciali effettuate, nel rispetto del principio di riservatezza”.
Pertanto, dovrà essere verificata la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, prevedendo anche la possibilità di operare sulla piattaforma per tutti gli utenti che agiscono per conto di terzi beneficiari.
Gli strumenti di acquisto
Per quanto riguarda gli strumenti di acquisto, il Garante rileva come non sia chiarito quali siano i dati identificativi della CIE e della tessera sanitaria ottenuti dal gestore della piattaforma, e quali siano le modalità di utilizzo degli strumenti di acquisto medesimi. A ciò si aggiunga l’assenza di indicazioni circa le “misure che si intendono adottare al fine di rispettare i principi di “liceità, correttezza e trasparenza”, di “limitazione della finalità” e di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. a), b) e f), del Regolamento”.
Occorre, pertanto, precisare nello schema di decreto detti aspetti, valutando altresì la possibilità di utilizzare la tessera sanitaria per gli scopi descritti nel decreto medesimo.
Le misure di sicurezza e i tempi di conservazione dei dati
Con riferimento alle misure di sicurezza da applicare alla piattaforma, occorre assicurare che i canali di accesso alla piattaforma “siano dotati di garanzie uniformi, predisposte dal gestore e dagli altri soggetti coinvolti” nel rispetto dei principi di integrità e riservatezza dei dati, di privacy by design e by default, e degli obblighi di sicurezza previsti dall’art. 32 GDPR.
In riferimento, invece, alla conservazione dei dati, il Garante osserva come nello schema ministeriale non siano individuate le misure che “garantiscano l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle specifiche finalità del trattamento, cancellando tempestivamente i dati non più necessari, neanche attraverso il rinvio a un ulteriore atto attuativo”. Pertanto, manda al Ministero di integrare lo schema di decreto individuando i tempi di conservazione dei dati, differenziandoli in base alla tipologia degli stessi ed alla finalità per la quale sono trattati.
Inoltre, dovrà essere previsto che “anche gli utenti che abbiano richiesto la cancellazione dalle singole iniziative possano consultare i dati fino a quel momento raccolti, disciplinando i tempi di conservazione degli stessi […], tenendo conto delle caratteristiche delle singole iniziative e nel rispetto del principio di limitazione della conservazione”.
Sono dunque molteplici le modifiche che dovranno essere poste in essere al fine di conformare il decreto ministeriale ai principi espressi dal GDPR, al fine di evitare che possano verificarsi situazioni lesive per gli interessati, anche in ragione della delicatezza dei dati raccolti e del numero di interessati che faranno uso della piattaforma.
