[doc. web n. 9492345]

Valutazione di impatto trasmessa dal Ministero dell’economia e delle finanze per l’attuazione del Programma Cashback - 26 novembre 2020

Registro dei provvedimenti
n. 232 del 26 novembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160 (legge di bilancio 2020), così come modificato e integrato dal decreto legge 14 agosto 2020, n. 104, ai sensi del quale “al fine di incentivare l’utilizzo di strumenti di pagamento elettronici, le persone fisiche maggiorenni residenti nel territorio dello Stato, che, fuori dall’esercizio di attività d’impresa, arte o professione, effettuano abitualmente acquisti con strumenti di pagamento elettronici da soggetti che svolgono attività di vendita di beni e di prestazione di servizi, hanno diritto ad un rimborso in denaro, alle condizioni, nei casi e sulla base dei criteri individuati dal decreto del Ministro dell’economia e delle finanze” da adottarsi, sentito il Garante per la protezione dei dati personali, definendo “le forme di adesione volontaria e i criteri per l’attribuzione del rimborso, anche in relazione ai volumi ed alla frequenza degli acquisti, gli strumenti di pagamento elettronici e le attività rilevanti ai fini dell’attribuzione del rimborso” (commi 288 e 289);

VISTO, in particolare, il comma 289-bis del medesimo articolo che prevede che, per l’attuazione della misura, il Ministero dell’economia e delle finanze (di seguito anche “MEF”) utilizzi la piattaforma tecnologica per l’interconnessione e l’interoperabilità tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, prevista all’art. 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82 (di seguito “CAD”), gestita dalla società PagoPA S.p.A. (di seguito “PagoPA”) e che il Ministero affidi alla predetta società i servizi di progettazione, realizzazione e gestione del sistema informativo strumentale al calcolo del rimborso, nonché il comma 289-ter, in base al quale alla società Consap S.p.A. (di seguito “Consap”) vengono affidati tutti i servizi inerenti alle operazioni di erogazione del rimborso e le ulteriori attività accessorie e strumentali, ivi compresa la gestione del contenzioso;

VISTO lo schema di regolamento del Ministero dell’economia e delle finanze, attuativo del predetto articolo, che reca le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, sul quale il Garante ha espresso il parere favorevole con il provvedimento n. 179 del 13 ottobre 2020 (doc. web n. 9466707), in cui è previsto, in particolare, che il MEF effettui “prima del trattamento, la valutazione di impatto ai sensi dell’articolo 35 del Regolamento UE 2016/679 e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali. Nella valutazione di impatto sono indicate, inter alia, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché a tutela dei diritti e delle libertà degli interessati. Nella valutazione di impatto, sono altresì disciplinati i tempi e le modalità di cancellazione dal Programma” (art. 12, commi 6 e 7);

VISTE le note del Ministero dell’economia e delle finanze del 16 novembre e del 24 novembre 2020, con cui è stata trasmessa la valutazione di impatto sulla protezione dei dati relativa al trattamento effettuato in qualità di titolare per la realizzazione del predetto programma (“Programma Cashback”), redatta con il supporto di PagoPA e Consap, entrambe in qualità di responsabili del trattamento, precisando che lo stesso sarà oggetto di un costante monitoraggio e si procederà al riesame della valutazione di impatto ogni qual volta emerga una variazione dei rischi derivanti dalle operazioni di trattamento, anche su indicazione dei responsabili, e che le eventuali revisioni saranno trasmesse al Garante qualora siano dovute a un rilevante aumento del rischio;

RILEVATO che, nella predetta valutazione, viene precisato che, in conformità allo schema di decreto già esaminato dal Garante, PagoPA, in base a un’apposita convenzione stipulata con il MEF, ha progettato e realizzato il Sistema Cashback che permette ai cittadini la partecipazione al citato Programma tramite un apposito servizio (“Servizio Cashback”) messo a disposizione sull’applicazione mobile gestita da PagoPA (“App IO”) ovvero tramite altri sistemi informatici di issuer convenzionati;

RILEVATO che, per l’attuazione del Programma Cashback, è previsto, in particolare, che:

il soggetto che intende aderire al Programma, purché residente in Italia e maggiorenne, registri sull’App IO, ovvero sugli altri sistemi messi a disposizione da un issuer convenzionato, gli estremi identificativi di uno o più strumenti di pagamento elettronici, a lui intestati, dei quali intende avvalersi per effettuare gli acquisti, nonché, anche in un momento successivo all’adesione, il codice IBAN del conto, a lui intestato o cointestato, sul quale desidera ricevere il rimborso;

il PAN (Primary Account Number) dello strumento di pagamento fornito dall’aderente al momento della registrazione viene opportunamente protetto con funzioni crittografiche non reversibili (HashPAN) e viene messo a disposizione degli acquirer convenzionati da parte di PagoPA;

al momento dell’acquisto, da parte dell’aderente attraverso l’utilizzo degli strumenti di pagamento elettronici, gli acquirer convenzionati selezionano i dati necessari all’attuazione del Programma, relativi esclusivamente alle transazioni effettuate con gli strumenti di pagamento elettronici indicati dagli aderenti e li inviano, attraverso un canale cifrato, al Sistema Cashback (l’HashPAN, gli estremi della transazione -tra cui la marca temporale o timestamp-, l’importo, l’identificativo unico dell’operazione, e l’identificativo unico dell’esercente), nel rispetto dello schema di decreto e delle istruzioni impartite dal Ministero dell’economia e delle finanze a PagoPA;

il Sistema Cashback registra i dati ricevuti, calcolando anche l’ammontare del rimborso e la posizione dell’aderente nella graduatoria del Programma sulla base del numero delle transazioni effettuate in un dato periodo; l’App IO e gli altri sistemi degli issuer convenzionati dialogano con il Sistema Cashback per ottenere e mostrare all’aderente tali informazioni;

PagoPA trasmette a Consap i dati necessari ai fini dell’erogazione dei rimborsi e dell’eventuale gestione di reclami o del contenzioso;

RILEVATO, in particolare, che nella valutazione di impatto vengono descritti i seguenti trattamenti e attività:

raccolta dei dati degli aderenti, necessari per l’adesione al Servizio Cashback tramite App IO o altri sistemi messi a disposizione dagli issuer convenzionati;

censimento degli strumenti di pagamento nell’App IO;

invio di messaggi relativi all’adesione al Servizio Cashback su App IO;

gestione dell’attivazione del Servizio Cashback e dei singoli strumenti di pagamento abilitati, anche in relazione agli strumenti di pagamento del circuito PagoBancomat;

messa a disposizione agli acquirer convenzionati, da parte di PagoPA, degli HashPAN degli strumenti di pagamento degli aderenti;

selezione, a cura degli acquirer convenzionati, delle transazioni rilevanti e loro comunicazione al Sistema Cashback;

individuazione dei beneficiari del rimborso sulla base dei criteri stabiliti dal MEF e stesura delle graduatorie, ai fini dell’attribuzione del rimborso speciale, nonché messa a disposizione dei dati per la successiva consultazione da parte degli aderenti sui sistemi degli issuer convenzionati e su App IO;

pagamento dei rimborsi (in particolare, raccolta dei dati dell’aderente per il pagamento e verifica della corrispondenza tra codice fiscale e IBAN e della sua correttezza formale, c.d. check IBAN; invio a Consap dei dati degli aderenti per il pagamento del rimborso; restituzione degli esiti dei pagamenti a PagoPA, per la comunicazione agli aderenti degli esiti stessi);

effettuazione di analisi in forma aggregata e eventuali statistiche sull’attuazione del Programma Cashback;

attività di assistenza tecnica, debug, troubleshooting e incident response, nonché conservazione dei log;

gestione dei reclami (acquisizione e registrazione delle istanze di reclamo, relative ai pagamenti e analisi delle istanze di reclamo, in rapporto alle registrazioni sui pagamenti ordinati ed effettuati) e del contenzioso;

RILEVATO che la versione della valutazione di impatto è stata elaborata anche tenendo conto delle indicazioni fornite dall’Ufficio, nell’ambito delle interlocuzioni informali con i rappresentati del Ministero, di PagoPA e di Consap, volte ad assicurare il rispetto del Regolamento, sulla base di una corretta individuazione e valutazione dei rischi elevati che caratterizzano il trattamento, garantendo, in particolare, che:

nell’ambito del Programma siano raccolti e trattati, in relazione ad ogni specifica finalità perseguita, esclusivamente i dati necessari all’attuazione dello stesso, in conformità a quanto previsto dallo schema di decreto, consentendo di rispettare i requisiti del Regolamento attraverso la minimizzazione dei dati trattati nell’ambito dell’App IO e del Sistema Cashback, in ossequio anche ai principi di liceità, correttezza e trasparenza e di privacy by design e by default, (artt. 5, par. 1, lett. a) e c), e 25 del Regolamento);

le operazioni e le modalità di trattamento siano descritte accuratamente, con specifico riferimento alla fase di adesione al Programma, al censimento degli strumenti di pagamento nell’App IO e alle verifiche effettuate sull’IBAN indicato dall’aderente per il pagamento dei rimborsi, in conformità al principio di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a), del Regolamento e 2-ter del Codice);

siano individuati meccanismi volti a garantire che l’aderente possa registrare solamente strumenti di pagamento a lui intestati, nel rispetto del principio di riservatezza (art. 5, par. 1, lett. f), del Regolamento;

il ruolo assunto dai soggetti coinvolti nei trattamenti di dati personali necessari alla realizzazione del Progetto Cashback sia correttamente individuato, in relazione alle diverse finalità perseguite, anche al fine di assicurare la trasparenza nei confronti degli interessati, nonché consentire una chiara ripartizione degli obblighi e delle responsabilità previste dal Regolamento (artt. 5, par. 1, lett. a) e b), e 28 del Regolamento);

siano adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, introducendo, in particolare, misure tecniche di alerting e di anomaly detection in relazione alle diverse componenti del Sistema Cashback (API, Portale e Cruscotto), sulla base di parametri quantitativi (rate limit) e qualitativi, nonché garantendo l’integrità e la non ripudiabilità dei dati presenti nei file oggetto di scambio tra i soggetti coinvolti nel trattamento attraverso la firma digitale degli stessi (artt. 5, par. 1, lett. f), e 32 del Regolamento);

siano individuati tempi e modalità di conservazione dei dati, assicurando, nel rispetto del principio di limitazione della conservazione, che gli stessi siano trattati solo per il tempo necessario al conseguimento delle finalità perseguite e prevedendo, per ciascuna di esse, modalità di conservazione differenziate anche in ragione del tempo trascorso dalla loro raccolta (art. 5, par. 1, lett. e), del Regolamento);

siano assicurate adeguate garanzie per i trattamenti che comportano il trasferimento dei dati personali verso Paesi terzi (art. 44 e ss. del Regolamento), anche tenendo conto della sentenza del 16 luglio 2020 della Corte di giustizia dell’Unione europea relativa al caso Schrems II (causa C-311/18) e delle Raccomandazioni 01/2020 sulle misure supplementari per i trasferimenti di dati verso Paesi terzi, adottate dal Comitato europeo per la protezione dei dati, allo stato in consultazione pubblica;

CONSIDERATO che il Ministero, con la nota del 25 novembre 2020, si è impegnato a informare, entro 45 giorni, il Garante riguardo alle misure che, in accordo con PagoPA, saranno adottate o pianificate, con riferimento all’acquisizione dei dati relativi agli estremi degli strumenti di pagamento per l’adesione al Programma, tramite l’App IO, per assicurare idonee modalità di verifica dell’intestazione all’aderente degli strumenti di pagamento, nonché a evitare la registrazione di default dei suddetti strumenti anche nell’ambito della Piattaforma PagoPA (che la società gestisce in qualità di titolare del trattamento), garantendo all’aderente la possibilità di effettuare una scelta consapevole rispetto a tale impostazione;

CONSIDERATO, altresì, che il MEF ha dichiarato che, con riferimento all’utilizzo dell’App IO nell’ambito del Programma Cashback, PagoPA, in qualità di titolare del trattamento, si impegna a osservare le misure e gli accorgimenti prescritti, ai sensi dell’art. 2-quinquiesdecies del Codice nel provvedimento del Garante n. 102 del 12 giugno 2020 (doc. web n. 9367375, par. 5), relative all’utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché alle garanzie in materia di trasferimento dei dati verso paesi terzi, che si intendono integralmente richiamate nel presente provvedimento;

RITENUTO di non dover formulare ulteriori osservazioni sulla valutazione di impatto da ultimo trasmessa, atteso che le predette indicazioni sono già state tenute in debita considerazione dal Ministero, e di poter, pertanto, autorizzare il trattamento in esame;

RITENUTO, infine, di dover precisare che, con riferimento all’App IO, punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione (art. 64-bis del CAD), e alla Piattaforma PagoPA di cui all’art. 5, comma 2, del CAD, menzionati nella valutazione di impatto in esame, il presente provvedimento di autorizzazione riguarda unicamente i trattamenti effettuati da PagoPA in qualità di responsabile del trattamento del MEF;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento, e dell’art. 2-quinquiesdecies del Codice, autorizza il Ministero dell’economia e delle finanze ad avviare, nel rispetto di quanto indicato in premessa, il trattamento relativo al Programma Cashback di cui all’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160.

Roma, 26 novembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei