L'analisi

Lotteria scontrini e cashback, ecco gli impatti privacy: tutti i rischi per i dati

Nella gestione della Lotteria degli scontrini e del programma cashback vengono trattati una grande quantità di dati da parte di diversi enti: le procedure non sono esenti da rischi per i diritti e le libertà degli interessati, come rilevato dal Garante privacy

Pubblicato il 30 Dic 2020

Giacomo Braschi

Legal Specialist presso DCP

cashback

Lotteria degli scontrini e programma cashback prevedono il trattamento dei dati personali dei partecipanti da parte di diversi enti: di conseguenza non mancano gli impatti privacy. Questi processi dunque non sono privi di rischi per i diritti e le libertà degli interessati, alla luce del GDPR , e sono stati anche segnalati dal Garante privacy. Vediamo nel dettaglio quali sono e in cosa consistono.

La gestione dei dati nella Lotteria degli scontrini

Nell’ambito della Lotteria degli scontrini, dopo aver ricevuto i dati dall’esercente, l’Agenzia delle entrate a seguito di un’apposita estrapolazione, comunicherà i dati all’Agenzia delle dogane e dei monopoli. A sua volta, quest’ultima farà confluire i dati in una banca dati denominata “Sistema Lotteria”, da lei stessa gestito con il supporto di Sogei S.p.A. (controllata al 100% dal Ministero dell’economia e delle finanze).

Le informazioni così raccolte all’interno del Sistema Lotteria saranno trattate dall’Agenzia delle dogane e dei monopoli per le finalità relative alla Lotteria degli scontrini, in qualità di Titolare del trattamento. Sogei S.p.A. opererà in qualità di Responsabile del trattamento, mentre ciascun singolo esercente e l’Agenzia dell’entrate opereranno in qualità di autonomi Titolari del trattamento. È previsto poi che l’Agenzia delle dogane e dei monopoli, in qualità di Titolare, metta a disposizione di ciascun esercente, tramite un’apposita sezione, i dati sugli acquisti che gli stessi avranno comunicato, ad esclusione dei codici lotteria, per consentire loro la verifica degli adempimenti connessi all’iniziativa. Per tale attività l’Agenzia delle entrate opererà in qualità di Responsabile del trattamento, gestendo il portale Fatture e Corrispettivi su cui sarà presente la sezione dedicata agli esercenti.

Sta di fatto che tramite la Lotteria degli scontrini verranno raccolti dati personali su larga scala. Infatti, all’interno della banca dati Sistema lotteria per ogni singolo acquisto confluiranno diverse categorie di dati: dati relativi all’acquisto effettuato, metodo di pagamento e il codice lotteria del consumatore. In considerazione dell’elevato rischio per i diritti e le libertà delle persone fisiche, che può derivare dalla raccolta di un tale quantitativo di dati su una così larga scala, le due Agenzie pubbliche coinvolte (Agenzia delle dogane e dei monopoli e Agenzia delle entrate) hanno predisposto apposite Valutazioni di impatto sulla protezione dei dati personali e hanno consultato il Garante, ai sensi dell’art. 36 del GDPR e dell’art. 2 quinquiesdecies del Codice privacy novellato. Quindi, il Garante ha avuto modo di esprimere raccomandazioni sull’adeguatezza delle misure tecniche ed organizzative previste e di definire ulteriori accorgimenti per ridurre gli impatti privacy dell’iniziativa.

Perché il codice lotteria serve alla minimizzazione

Uno degli elementi cardine per garantire la protezione dei dati personali trattati per la Lotteria degli scontrini ed impedire tracciamenti o controlli sugli acquisti effettuati dai consumatori, su cui il Garante si è soffermato in diverse occasioni, è il codice lotteria. Il codice lotteria è stato indicato quale misura adeguata che consentirà di rispettare il principio di minimizzazione, evitando così agli esercenti e all’Agenzia delle entrate la raccolta del codice fiscale degli interessati, da cui si possono ricavare con estrema facilità ulteriori dati quali il sesso, la data e il luogo di nascita.

Inoltre gli abbinamenti tra il codice fiscale e i codici lotteria saranno conservati separatamente rispetto ai dati relativi ai singoli acquisti in un’apposita banca dati, gestita dall’Agenzia delle dogane e dei monopoli. In questo modo l’accesso ad entrambe le categorie di dati potrà essere limitato esclusivamente a soggetti autorizzati al trattamento e solo ai fini della comunicazione della vincita. Le operazioni di consultazione saranno poi registrate in appositi file di log conservati per 24 mesi.

Il rischio legato agli esercenti

Essendo uno pseudonimo, il codice lotteria è pur sempre un dato personale. Considerato che ogni singolo esercente dovrà operare come Titolare e dovrà mettere in campo tutte le adeguate misure di sicurezza tecniche ed organizzative necessarie ad assicurare il rispetto del GDPR, sarebbe opportuno che il Garante desse indicazioni puntuali anche agli esercenti. In questo modo si attenuerebbe il rischio di utilizzi impropri del codice lotteria, che possano comportare il tracciamento degli interessati. Inoltre, si aiuterebbero gli esercenti nel rispetto degli adempimenti in materia di protezione dei dati personali di cui, a causa di questa iniziativa, sono aggravati.

Astrattamente, un utilizzo dei codici lotteria in violazione del GDPR permetterebbe agli esercenti di ricostruire la cronologia degli acquisiti effettuati con quel determinato codice, facilitando così la creazione di profili dei propri clienti. Così, pur non avendo i dati identificativi e di contatto dei singoli consumatori, un esercente, tramite ad esempio i sistemi di casse automatiche per i pagamenti, riconoscendo al momento dell’acquisto un determinato codice lotteria potrebbe facilmente risalire all’identità del cliente. Questo gli permetterebbe di proporre offerte commerciali personalizzate sulla base della cronologia degli acquisti effettuati con quel determinato codice, mettendo così in pericolo la capacità di autodeterminazione informativa del consumatore.

Al momento, per attenuare tale rischio è stata prevista solo la possibilità per i consumatori di poter ottenere ed utilizzare più codici lotteria associati al loro codice fiscale. Tuttavia, ad avviso di chi scrive, sarebbe opportuno che il Garante individuasse le misure organizzative e tecniche di cui ciascun esercente debba dotarsi per evitare che tale rischio possa concretizzarsi.

Trattamento dati per cashback

Per il Programma Cashback, come chiarito all’interno del decreto n. 156/2020 del MEF, è prevista la partecipazione di numerosi soggetti: il MEF, PagoPA S.p.A., Consap S.p.A., gli issuer convenzionati e gli acquirer convenzionati. Questi ultimi, che sono i soggetti che hanno l’accordo con i singoli esercenti sugli strumenti di pagamento, comunicano, insieme ai dati relativi all’acquisto, il numero identificativo dell’aderente o del suo metodo di pagamento (cd. PAN), al sistema cashback. Il PAN è crittografato con una funzione non reversibile ed è previsto poi che tale comunicazione avvenga tramite un canale cifrato.

L’App IO e gli issuer convenzionati, ossia i gestori delle piattaforme tramite le quali è possibile per i consumatori partecipare all’iniziativa, comunicano, sempre tramite un canale cifrato, al sistema cashback il codice fiscale dell’aderente e gli estremi identificativi dei metodi di pagamento registrati per partecipare al programma. PagoPA, per conto del MEF, tramite l’App IO o gli issuer convenzionati, mette poi a disposizione di ciascun partecipante le informazioni relative ai pagamenti effettuati e ai rimborsi maturati. I rimborsi maturati dai partecipanti verranno poi effettuati sul codice IBAN comunicato in sede di registrazione all’iniziativa.

L’erogazione dei rimborsi verrà effettuata, per conto del MEF, da Consap, che riceverà da PagoPA, tramite il sistema cashback, i dati necessari per poter procedere. All’art. 12 del decreto del MEF n. 156/2020 sono poi individuati i ruoli privacy rivestiti dai soggetti coinvolti nel programma. In particolare per quanto riguarda i rimborsi è previsto che il MEF sia Titolare del trattamento e Pago PA e Consap agiscano in qualità di Responsabili del trattamento. Gli issuer e gli acquirer convenzionati agiranno in qualità di Subresponsabili del trattamento di PagoPA, limitatamente per i trattamenti funzionali all’erogazione dei rimborsi.

Il monito del Garante privacy

Tramite questo programma verranno raccolti su larga scala dati riferibili, come precisato dal Garante nel suo comunicato del 14 ottobre, “ad ogni aspetto della vita quotidiana dell’intera popolazione”. Inoltre, come descritto sopra, tali dati verranno trattati da numerosi soggetti. I rischi per i diritti e le libertà fondamentali dei partecipanti all’iniziativa sono evidenti. Il Garante ha avuto già modo di pronunciarsi su taluni aspetti dell’iniziativa, in particolare si è pronunciato sullo schema del decreto del MEF n. 156/2020, sulla DPIA redatta dal MEF per il Programma Cashback e su taluni aspetti dell’App IO.

Tuttavia l’esame dell’Autorità sulla DPIA, relativa a tutti i trattamenti di dati effettuati tramite l’App IO da PagoPa in qualità di Titolare del trattamento, è ancora in corso, nonostante il programma sia già iniziato. È auspicabile che l’Autorità, per gli aspetti su cui non si è ancora pronunciata, proceda ad individuare ulteriori accorgimenti, cautele e misure opportune per ridurre gli impatti privacy ed evitare possibili controlli o tracciamenti sui pagamenti effettuati dai consumatori, che hanno aderito al programma.

Il problema del trasferimento dei dati extra UE

Desta in particolare preoccupazione l’invio da parte dell’App IO dei dati a provider negli U.S.A., in quanto non è stato ancora chiarito quali dati saranno interessati dal trasferimento, quali saranno i fornitori coinvolti e se le misure di garanzia ulteriori individuate dall’EDPB siano state effettivamente attuate.

La preoccupazione deriva principalmente dal potere dato dalla legge statunitense alle sue autorità pubbliche di accedere, per ragioni di sicurezza nazionale, ai dati personali trasferiti dall’UE negli Stati Uniti (si veda sul punto la nota sentenza sul caso Schrems II della Corte di Giustizia dell’Unione Europea, nella causa C-311/18).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati