Dopo la lotteria degli scontrini, importanti novità anche sul fronte cashback. Il Garante per la privacy, infatti, ha espresso parere positivo sulla bozza di regolamento che definisce il funzionamento del Programma di rimborso in denaro, il cashback, a favore dei consumatori che effettuano acquisti con strumenti di pagamento elettronici. Dovranno pero’ essere adottate precise misure a garanzia dei dati personali. In base allo schema presentato dal Ministero dell’economia, i consumatori potranno scegliere di aderire al Programma cashback tramite l’App IO o attraverso banche o societa’ che emettono carte di pagamento (issuer). In questo modo i dati anagrafici e gli estremi delle carte di pagamento scelte per partecipare al Programma saranno comunicati a PagoPA, la societa’ incaricata dal MEF della progettazione e della gestione del Sistema informativo cashback.
Ogni volta che la carta di pagamento registrata sara’ utilizzata per l’acquisto in negozio, i dati necessari (ad esempio, data e importo dell’acquisto) saranno trasmessi dalla societa’ che gestisce la transazione (acquirer) al Sistema cashback. Al termine di ogni semestre, sara’ calcolato il rimborso spettante al consumatore aderente al programma sulla base degli importi dei pagamenti effettuati. Sono previsti rimborsi speciali, sulla base di una graduatoria, per chi avra’ eseguito il maggior numero di transazioni. Sara’ Consap ad occuparsi dell’erogazione dei rimborsi, inclusa la gestione del contenzioso. Alla luce dei rischi e delle criticita’ emerse nell’ambito di un trattamento di dati cosi’ massivo, riferibile ad ogni aspetto della vita quotidiana, il Garante ha chiesto di stabilire nel regolamento stringenti garanzie a tutela delle persone coinvolte. E’ stato necessario individuare espressamente ruoli e singole responsabilita’ dei numerosi soggetti coinvolti. Sono state introdotte misure per garantire che gli acquirer trasmettano al sistema solo i dati necessari. L’Autorita’ ha inoltre chiesto di precisare le finalita’ del trattamento delle diverse tipologie di dati, con particolare riguardo ai dati dell’esercente che potranno essere trattati solo per eventuali reclami. I dati potranno essere conservati solo per il tempo strettamente necessario. Particolare attenzione e’ stata posta sulle modalita’ con cui l’App IO e i sistemi con i quali istituti bancari e societa’ che emettono carte di pagamento rendono disponibili agli aderenti gli importi dei rimborsi spettanti e la posizione nella graduatoria, in modo che siano conformi al principio di minimizzazione previsto dal Regolamento Ue. Sono state, infine, previste specifiche misure di sicurezza da adottare nel trattamento dei dati, ad esempio per la protezione, mediante funzioni crittografiche non reversibili, degli identificativi degli strumenti di pagamento elettronici. L’Autorita’, prima dell’avvio del programma, verifichera’ le misure di sicurezza, le modalita’ e i tempi di conservazione dei dati da indicare nella valutazione d’impatto che dovra’ essere trasmessa dal Ministero, riservandosi anche di esaminare alcuni profili di funzionamento dell’App IO.
