Il Garante per la protezione dei dati personali con provvedimento n. 179 del 13 ottobre 2020 si è mostrato favorevole alla bozza del regolamento che definisce il Programma di rimborso in denaro (cashback) a favore di coloro che effettuano acquisti attraverso pagamenti elettronici.

Per poter aderire al programma Cashback i consumatori avranno la possibilità di scegliere se utilizzare l’App IO o di procedere attraverso banche o società che emettono carte di pagamento. In questo modo i dati anagrafici e gli estremi delle carte utilizzate per aderire al programma verranno comunicate a PagoPA S.p.a: la società occupata per la progettazione e gestione del Sistema informativo “Cashback”.

Questo sistema vede il trattamento di diversi dati personali ogni volta che verrà utilizzata la carta dal consumatore. Al termine di ogni semestre verrà calcolato un rimborso per ciascun consumatore che avrà aderito al programma in base agli importi dei pagamenti effettuati. Sono inoltre previsti rimborsi speciali che si basano su una graduatoria per coloro che avranno eseguito il maggior numero di transazioni. La gestione dei rimborsi sarà gestita da Consap.

Il Garante ha sottolineato come il trattamento dei dati al funzionamento del programma presenta rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio. La base giuridica che lo autorizza deve perciò essere proporzionata rispetto alle finalità perseguite e contenere gli altri requisiti di liceità previsti dalla normativa europea e nazionale in materia di protezione dati.

A fronte di questo è stato richiesto di individuare i ruoli e le responsabilità dei diversi soggetti coinvolti nella protezione dei dati e di circoscrivere alle finalità di realizzazione del cashback i trattamenti effettuati in attuazione dello schema in esame. Un’ulteriore prescrizione messa in atto è una specifica garanzia in relazione al trattamento degli identificativi degli esercenti dove sarà possibile effettuate le transazioni trasmesse al Sistema Cashback.

Ulteriori attenzioni sono state riservate per le misure volte a garantire che gli acquirenti trasmettano al sistema solamente i dati relativi alla transazione effettuata attraverso gli strumenti di pagamento indicati dai soggetti aderenti all’iniziativa. Molto importante è anche la definizione delle modalità con cui l’App IO e i sistemi messi a disposizione dagli issuer rendano disponibili agli aderenti gli importi dei rimborsi e la posizione in graduatoria nel rispetto del principio di minimizzazione dei dati.

Altra richiesta del Garante sono le modalità e i tempi di conservazione dei dati: ovvero che le informazioni vengano trattare per il tempo strettamente necessario al conseguimento delle specifiche finalità.

L’Autorità inoltre ha ottenuto la ridefinizione di diverse misure di sicurezza da adottare nel trattamento dei dati.

Il Garante ha anche precisato che il proprio parere è formulato unicamente in relazione all’utilizzo dell’APP IO, in quanto è ancora all’esame dell’Autorità la valutazione di impatto predisposta da PagoPA relativa ai trattamenti effettuati tramite l’App IO.