Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO | Web Agency Brescia
10371
post-template-default,single,single-post,postid-10371,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-theme-ver-13.3,qode-theme-bridge,disabled_footer_bottom,wpb-js-composer js-comp-ver-6.2.0,vc_responsive

Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO

Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO

Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO


Il grandissimo interesse suscitato dal Cashback di stato – quasi 9 milioni di download dell’app IO nel momento in cui vi scriviamo – pone qualche legittimo interrogativo sull’utilizzo dei dati confidenziali da parte delle istituzioni.

L’iniziativa, lo ricordiamo, è gestita dal Ministero dell’Economie e delle Finanze (MEF) attraverso PagoPA, la piattaforma tecnologica per i pagamenti elettronici istituita per agevolare tutte le transazioni legate alle Pubbliche Amministrazioni, e la Concessionaria dei Servizi Assicurativi Pubblici, meglio nota come Consap.

Sul sito del Garante per la Protezione dei dati personali (link nelle fonti) è possibile prendere coscienza dei dettagli relativi ai dati personali in esame e alla relative modalità di trattamento. È soprattutto la Valutazione di impatto trasmessa dal Ministero dell’economia e delle finanze per l’attuazione del programma il testo che chiarisce buona parte dei dubbi sull’iniziativa. Vediamo in sintesi cosa contiene e proviamo a fare chiarezza.

QUALI DATI VENGONO UTILIZZATI


Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO

Come abbiamo spiegato in questo articolo, per partecipare al Cashback di Stato occorre essere residenti in Italia e maggiorenni, registrarsi sull’App IO oppure abilitare le apposite funzioni messe a disposizione da un issuer convenzionato come Hype, Satispay, App Poestpay (Qui La Lista Completa).

Chi scegliesse la prima strada, quella dall’app IO, dovrà fornire gli elementi identificativi del sistema di pagamento utilizzato – nel caso di una carta di credito/debito nome, cognome, numero di carta, scadenza e CVV – e un IBAN del conto, a lui intestato o cointestato, sul quale ricevere il rimborso. L’app IO, inoltre, acquisirà automaticamente il codice fiscale dell’utente attraverso dall’account SPID o CIE con cui viene effettuato l’accesso all’app.

Proprio le credenziali di pagamento rappresentano il nodo più delicato in tema di trattamento dei dati. Nel caso di una carta di credito le indicazioni sono abbastanza chiare: il PAN, il numero composto da 16 cifre divise in gruppi da 4 stampato sul fronte della carta, viene anonimizzato tramite il cosiddetto hash PAN, una stringa alfanumerica che impedisce di risalire al numero completo della carta.

Il codice a tre cifre sul retro della carta, il cosiddetto CVV, viene invece richiesto per verificare se i dati della carta inseriti sono corretti. Un riscontro che avviene tramite una transazione di qualche centesimo di euro successivamente stornata.

Meno chiara è la situazione per ciò che riguarda l’utilizzo dei dati del bancomat. Sappiamo che l’app IO avvia una ricerca automatica delle carte PagoBANCOMAT associate a un elenco di banche di pertinenza e che si correla nominalmente all’utente sulla base della corrispondenza con il codice fiscale.

Non sappiamo però quale tipo di informazioni – al di là di quelle contabili – vengono condivise fra l’app IO e la banca del correntista per contabilizzare gli acquisti. Il Garante della Privacy si limita a precisare solo che “ogni volta che la carta di pagamento registrata sarà utilizzata dal consumatore per l’acquisto in negozio, i dati necessari (ad esempio, data e importo dell’acquisto) saranno trasmessi dalla banca o dalla società che gestisce la transazione” – il cosidetto “acquirer” (Qui la lista aggiornata) – al Sistema cashback”. E che “il sistema cashback registra i dati ricevuti, calcolando anche l’ammontare del rimborso e la posizione dell’aderente nella graduatoria del programma sulla base del numero delle transazioni effettuate in un dato periodo”.

Nella valutazione d’impatto, si richiamano inoltre “i principi di liceità, correttezza e trasparenza e di privacy by design e by default” a cui devono soggiacere le operazioni legate al cashback in ossequio alla cosiddetta minimizzazione dei dati trattati. Chiarisce l’informativa sul trattamento dei dati personali redatta dal Ministero dell’Economia e delle Finanze: “I dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari perla determinazione dei rimborsi previsti dal Decreto, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono”.

E CON QUALI FINALITA


Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO

Dopo aver compreso quali sono i dati utilizzati dal sistema cashback, occupiamoci ora delle finalità. Di fatto sono circa una decina le destinazioni d’uso riconducibili all’app IO e perlopiù legate ad attività di adesione, attivazione, transazioni, comunicazione con i cosiddetti acquirer convenzionati ma anche per la gestione degli eventuali reclami, nonché per la difesa in giudizio in caso di contenzioso. Nello specifico:

  • Utilizzo dei dati per l’adesione al Servizio Cashback e invio di messaggistica associata
  • Censimento degli strumenti di pagamento nell’App IO;
  • Gestione dell’attivazione del Servizio Cashback e dei singoli strumenti di pagamento abilitati, anche in relazione agli strumenti di pagamento del circuito PagoBancomat;
  • Messa a disposizione agli acquirer convenzionati, da parte di PagoPA, degli HashPAN degli strumenti di pagamento degli aderenti;
  • Selezione, a cura degli acquirer convenzionati, delle transazioni rilevanti e loro comunicazione al sistema Cashback;
  • Individuazione dei beneficiari del rimborso sulla base dei criteri stabiliti dal MEF e stesura delle graduatorie, ai fini dell’attribuzione del rimborso speciale, nonché messa a disposizione dei dati per la successiva consultazione da parte degli aderenti
  • Pagamento dei rimborsi (in particolare, raccolta dei dati dell’aderente per il pagamento e verifica della corrispondenza tra codice fiscale e IBAN e della sua correttezza formale, c.d. check IBAN; invio a Consap dei dati degli aderenti per il pagamento del rimborso; restituzione degli esiti dei pagamenti a PagoPA, per la comunicazione agli aderenti degli esiti stessi);
  • Effettuazione di analisi in forma aggregata e eventuali statistiche sull’attuazione del programma Cashback;
  • Attività di assistenza tecnica, debug, troubleshooting e incident response, nonché conservazione dei log;
  • Gestione dei reclami (acquisizione e registrazione delle istanze di reclamo, relative ai pagamenti e analisi delle istanze di reclamo, in rapporto alle registrazioni sui pagamenti ordinati ed effettuati) e del contenzioso

Sul tema va anche detto che il trattamento è effettuato con quelli che il Ministero definisce strumenti automatizzati e con “misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti. E’ espressamente escluso – si precisa sempre nel testo del MEF – qualsiasi trattamento a scopo di profitto o di profilazione.

Riguardo all’IBAN, invece, chi aderisce al programma Cashback “autorizza l’istituto nel quale risiede il proprio conto a comunicare a PagoPa, per conto del Ministero, i dati necessari a verificare se il codice fiscale fornito corrisponda all’intestatario del codice IBAN indicato (o ad almeno uno dei cointestatari) o a un conto di sistema”. Ovviamente la veridicità dei dati e delle informazioni fornite possono essere oggetto di controlli (anche a campione) da parte delle istituzioni.

S MA


Cashback: ecco come vengono utilizzati i dati di carte e conti correnti condivisi su IO

Sui tempi di conservazione dei dati le indicazioni non sono del tutto chiare. “I dati relativi alle singole transazioni”, si legge nel testo dell’Informativa sulla Privacy del MEF, “verranno memorizzati nel rispetto del GDPR solo per il tempo necessario all’emissione dei rimborsi nonché per la gestione dei reclami davanti all’Autorità giudiziaria. La conservazione e l’archiviazione avvengono attraverso l’adozione di idonee misure destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi”.

Cancellarsi dal programma? È possibile in qualsiasi momento, tenendo presente che “la cancellazione implica la perdita del diritto a concorrere all’assegnazione del rimborso per il periodo di riferimento e l’eliminazione di tutti i dati personali inerenti il programma, salvo che sussistano altre basi giuridiche al trattamento, inclusa quella di rispondere a eventuali contestazioni o contenziosi. In caso di cancellazione i rimborsi già versati, resteranno comunque salvi”.

In alcuni (non precisati) casi previsti, gli interessati hanno comunque il diritto di ottenere,, l’accesso, la rettifica, la cancellazione dei propri dati personali e/o la limitazione del trattamento che li riguarda. E hanno anche diritto di opporsi al trattamento necessario per l’esecuzione di un compito di interesse pubblico e di contestare i trattamenti automatizzati legati all’assegnazione del Bonus e esprimere la propria opinione, sulla base di quanto previsto dalla normativa vigente (artt. 21 e 22 del RGPD) attraverso una comunicazione via mail alla PEC del Dipartimento del Tesoro.

In definitiva: si può dire che le indicazioni sul programma Cashback siano abbastanza chiare per ciò che riguarda le finalità del trattamento dei dati ma che lascino ancora alcune zone d’ombra sul trattamento e sull’anonimizzazione di alcune credenziali (CVV, Bancomat) e sui tempi di conservazione del dato. Il tutto non può però ovviamente prescindere da un aspetto legato alla propensione (o meno) del singolo a rapportarsi con lo Stato in modo “aperto”. Perché è evidente: rivelare a un’istituzione il flusso delle proprie spese rappresenta comunque un atto di feducia nelle istituzioni.

Si ringrazia Barbara Indovina – Avvocato di Forensica e Academic Fellow presso Università Bocconi Milano – per la collaborazione

No Comments

Post A Comment