Cashback: il sì del Garante

13 Novembre 2020

Lo scorso 13 ottobre, il Garante Privacy italiano si è pronunciato favorevole in merito al cashback, dando inizio alla fase sperimentale della misura che si realizzerà dal 1 al 31 Dicembre 2020.

Prima di approfondire i punti specifici dell’esamina condotta dall’Autorità di controllo e la mancata rilevazione di criticità e osservazioni allo schema di regolamento trasmesso dal Ministero dell’economia e delle finanze (di seguito MEF), un breve focus sul funzionamento del programma e i beneficiari.

 

Che cos’è il cashback?

Il cashback, che potremmo tradurlo letteralmente con soldi indietro, si concretizzerebbe in un rimborso in denaro fornito al consumatore per i pagamenti digitali effettuati con carta o altro dispositivo digitale, a condizione che risultino soddisfatte alcune condizioni presentate nella Legge di Bilancio.

Nello specifico, l’articolo 1, commi 288-290, annuncia il sistema cashback, annunciando:

“Al fine di incentivare l’utilizzo di strumenti di pagamento elettronici, le persone fisiche maggiorenni residenti nel territorio dello Stato, che, fuori dall’esercizio di attività d’impresa, arte o professione, effettuano abitualmente acquisti con strumenti di pagamento elettronici da soggetti che svolgono attività di vendita di beni e di prestazione di servizi, hanno diritto ad un rimborso in denaro”.

 

Lo schema redatto dal Ministro dell’Economia e delle Finanze

Lo schema di regolamento del programma, redatto dal MEF, consta di 12 articoli, dettanti la disciplina delle condizioni, criteri e modalità attuative per l’attribuzione del rimborso: in particolare, l’aderente sarà chiamato a registrarsi sull’APP IO o nei sistemi messi a disposizione da un issuer convenzionato, fornendo codice fiscale e dando indicazione riguardo uno o più strumenti elettronici di cui intende avvalersi per effettuare i pagamenti, dichiarando, al momento della registrazione, di utilizzare gli strumenti di pagamento registrati esclusivamente per acquisti effettuati fuori dall’esercizio di attività d’impresa, arte o professione.

Una volta effettuati i pagamenti, l’accredito del rimborso avverrà semestralmente, per mezzo del codice IBAN comunicato dall’aderente.

Dalla sintetica illustrazione del programma si evince l’impatto significativo del sistema delineato, sulle normative in materia di trattamento di dati personali e si giustifica l’avvenuta richiesta di consultazione preventiva al Garante Privacy, peraltro invocata dalla stessa Legge di Bilancio 2020.

 

Cashback e Privacy: la consultazione del Garante

Il Garante ha ritenuto l’acquisizione massiva di informazioni di dettaglio quali dati anagrafici, contabili e informazioni relative agli acquisti, minatoria per diritti e libertà fondamentali degli individui, in quanto potenzialmente riconducibile ad ogni aspetto della vita quotidiana.

Giustificato il richiamo al disposto dell’articolo 35 del GDPR, che richiede necessarie valutazioni in ordine alla proporzionalità del trattamento, un’accurata analisi del rischio e un’individuazione puntuale delle misure di sicurezza tecniche e organizzative adeguate al rischio riscontrato.

A questo proposito le interlocuzioni intervenute tra Garante Privacy, MEF e ulteriori soggetti coinvolti nella realizzazione del programma, hanno evidenziato la necessità di realizzare, in via obbligatoria, una serie di condizioni per ottemperare a quanto attualmente previsto dalle normative in materia di protezione dei dati personali, perseguendo la liceità del trattamento posto in essere.

 

Lo schema di regolamento per la tutela dei dati

Lo schema di Regolamento proposto al Garante garantisce le seguenti misure:

  • L’individuazione dei ruoli di titolare, responsabile e subresponsabile tra i diversi soggetti coinvolti nel programma cashback;
  • Delimitazione della finalità di trattamento dei dati alla realizzazione del cashback e alla gestione di eventuali reclami e introduzione di misure volte a garantire la trasmissione al sistema dei soli dati necessari, in conformità al principio di minimizzazione sancito dal GDPR;
  • Conservazione delle informazioni personali solo per il tempo strettamente necessario al conseguimento delle specifiche finalità e successiva cancellazione;
  • Adozione di funzioni crittografiche non reversibili degli identificativi degli strumenti di pagamento elettronici in uso ai soggetti che aderiscono all’iniziativa e precisazione delle garanzie da applicare al trattamento dei dati personali effettuato dal Ministero per scopi statistici nell’ambito del Sistema Statistico Nazionale.

Processo a prova di privacy e GDPR, sembrerebbe essere questa la conclusione a cui è giunto il Garante Privacy; il quale tende a precisare di essersi pronunciato prima di aver vagliato la valutazione di impatto (richiesta in occasione degli interventi preliminari) relativa ai trattamenti effettuati tramite l’APP IO, non ancora pervenuta all’Autorità di controllo.

Per un giudizio finale e onnicomprensivo si attendono gli sviluppi della fase sperimentale che rivelerà quanto prima la reale efficacia del programma e delle garanzie sottese al trattamento dei dati personali.

Barbara Martire
About

Barbara è una giovane risorsa che ha deciso di completare il suo percorso universitario magistrale conseguendo il titolo in Giurisprudenza. Ha ottenuto la certificazione di Privacy Specialist per affiancare i suoi clienti in un percorso completo, focalizzandosi sullo studio approfondito del Regolamento Europeo. Tranquillità e serenità sono due caratteristiche che la contraddistinguono: nelle sue mani, siete al sicuro.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci