Cashback e privacy: il Garante ha detto sì. A dicembre il via

Con il parere favorevole dell’Authority sul regolamento, predisposto dal Mef, per l’operazione Cashback - regolamento recante le condizioni e i criteri per l'attribuzione delle misure premiali per l'utilizzo degli strumenti di pagamento elettronici, c.d. cashback, da adottarsi ai sensi dell'articolo 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160 (legge di Bilancio 2020) - può partire in via sperimentale dal 1° dicembre 2020 al 31 dicembre 2020, il premio del rimborso in denaro di parte della spesa effettuata con moneta elettronica.

La fase temporanea, si legge nel parere n. 179 del 13 ottobre 2020, permette di anticipare l'attuazione del programma di rimborso, esclusivamente per gli aderenti che abbiano effettuato un certo numero di transazioni.

Il soggetto “aderente” è tenuto a registrare nell’APP IO, o nei sistemi messi a disposizione da un issuer convenzionato, il proprio codice fiscale e uno o più strumenti elettronici di cui intende avvalersi per effettuare i pagamenti, dichiarando, al momento della registrazione, di utilizzare gli strumenti di pagamento registrati esclusivamente per acquisti effettuati fuori dall'esercizio di attività d'impresa, arte o professione.

Programma di rimborso in denaro (cashback)

Il regolamento del Programma di rimborso in denaro (cashback) prevede che i consumatori possano scegliere di aderirvi tramite:

• l’App IO;
• le banche o società che emettono carte di pagamento (issuer).

I dati anagrafici e gli estremi delle carte di pagamento scelte per partecipare al Programma sono comunicati a PagoPA S.p.a., che gestirà il programma.

Mentre, alla Consap (società del Mef) è affidata l’erogazione dei rimborsi e la gestione dell’eventuale contenzioso.

Gli step del programma:

1. ogni volta che la carta di pagamento registrata sarà utilizzata dal consumatore per l’acquisto in negozio, i dati necessari (ad esempio, data e importo dell’acquisto) saranno trasmessi dalla società che gestisce la transazione (acquirer) al Sistema cashback;
2. al termine di ogni semestre, sarà calcolato il rimborso spettante a ciascun consumatore aderente al programma sulla base degli importi dei pagamenti effettuati (sono previsti rimborsi speciali, sulla base di una graduatoria, per i primi centomila aderenti che abbiano totalizzato il maggior numero di transazioni con strumenti di pagamento elettronici).

Garanzie sul trattamento dei dati

Rischi e criticità sono dietro l’angolo nell’ambito di un trattamento di dati così massivo, riferibile ad ogni aspetto della vita quotidiana dell’intera popolazione.

Per evitarli, il Garante aveva chiesto al Mef alcune modifiche, ad esempio:

• individuare espressamente i ruoli e le singole responsabilità dei numerosi soggetti coinvolti nel trattamento dei dati;
• precisare le finalità del trattamento delle diverse tipologie di dati raccolti nell’ambito del programma di rimborso, con particolare riguardo ai dati dell’esercente che potranno essere trattati solo per eventuali reclami;
• definire con maggior chiarezza le modalità con cui l’APP IO, o i sistemi messi a disposizione dagli issuer, rendono disponibili agli aderenti, nel rispetto del principio di minimizzazione, gli importi dei rimborsi spettanti e la posizione nella graduatoria;
• individuare le modalità e i tempi di conservazione dei dati e le misure necessarie a garantire che le informazioni siano trattate per il tempo strettamente necessario al conseguimento delle specifiche finalità e successivamente cancellate.

Il Mef ha prontamente ottemperato e, dunque, il Garante, non rilevando ulteriori criticità, non ha osservazioni da formulare sullo schema di regolamento in esame.

L’Autorità, prima dell’avvio del programma, verificherà le misure di sicurezza, le modalità e i tempi di conservazione dei dati da indicare nella valutazione d’impatto che dovrà essere trasmessa dal Ministero, riservandosi anche di esaminare alcuni profili di funzionamento dell’App IO.