Gli aspetti privacy del cashback e lotteria degli scontrini

di Stefano Bacchiocchi* 

A partire dal primo gennaio 2021, pagare con le carte elettroniche (ma non solo) darà la possibilità ai cittadini di partecipare alla c.d. “lotteria degli scontrini”; questa novità si aggiunge al sistema “cashback” già in vigore, che incentiva i pagamenti elettronici nei negozi fisici.

Due strumenti diversi con un unico scopo comune: provare a contrastare l’evasione fiscale incentivando l’uso dei pagamenti elettronici e digitalizzando il paese.

Al di là delle considerazioni ed opinioni personali a proposito di questi strumenti messi in campo dal governo italiano, deve essere chiaro a tutti che la privacy deve essere garantita; tramite questi dati è infatti potenzialmente possibile profilare in modo estremamente accurato l’utente e, come rilevato dal Garante privacy, sarebbero fortemente a rischio la tutela dei diritti e le libertà degli interessati.

Da considerare, inoltre, che la mole di dati trattati è enorme, poiché riguarda milioni di italiani; è quindi giusto chiedersi cosa dovranno fare dal punto di vista privacy gli esercenti qualora un cliente (persona fisica) chieda di partecipare alla lotteria oppure ottenere il cashback.

La normativa vigente (GDPR, d.lgs 101/2018 ecc.) è infatti estremamente articolata e porta con sé adempimenti e sanzioni, anche elevate.

In premessa bisogna dire che la lotteria degli scontrini ed il cashback escludono a priori gli acquisti effettuati per l’attività d’impresa, arte o professione e, per quanto riguarda il cashback, il Garante per la protezione dei dati personali con provvedimento n. 179/2020 ha espresso parere positivo sulla bozza di regolamento che definisce il funzionamento del programma.

Il Garante nel proprio parere ha evidenziato come il trattamento dei dati sotteso al funzionamento del Programma presenti rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione, che richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento e all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento.

Ma di chi sono i dati trattati (raccolti)? Nelle informative presenti sui siti pubblici si legge che il titolare del trattamento dei dati personali è il Ministero dell’Economia e delle Finanze (MEF), che si avvale di PagoPA S.p.A. e Consap S.p.A., società partecipate dallo Stato, in qualità di Responsabili del trattamento dei dati personali.

Ecco quindi le prime risposte: gli esercenti non sono né titolari del trattamento, né responsabili; in altri termini, questo strumento non deve dare modo all’esercente di trattare questi dati (nemmeno indirettamente), non essendone in alcun modo autorizzati.

Al fine di partecipare al Programma cashback ed ottenere i rimborsi, è necessario che il cittadino conferisca i propri dati mediante la registrazione sull’App IO, ovvero sui canali alternativi messi a disposizione dai fornitori di strumenti di pagamento elettronici, quali istituti bancari, postali e altri soggetti che emettono tali strumenti.

Con l’inserimento dell’IBAN si autorizza l’istituto ove è radicato il proprio conto a comunicare a PagoPa S.p.A., per conto del Ministero, i dati necessari a verificare se il codice fiscale fornito corrisponda all’intestatario del codice IBAN indicato (o ad almeno uno dei cointestatari) o a un conto di sistema.

La veridicità dei dati e delle informazioni fornite dall’aderente può essere oggetto di controlli anche a campione.

Deve essere chiaro a tutti, perché questo è un punto fondamentale, che i dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari per la determinazione dei rimborsi previsti, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono.

Ma dove vanno a finire questi dati? Chi li può vedere? Per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A. ci si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA).

Se ne deduce quindi che la società interamente controllata dallo Stato Italiano, cui il Governo ha demandato la gestione della piattaforma, si avvale in qualità di fornitori di società terze residenti in USA. Dal mio punto di vista, questa scelta è fortemente discutibile e la scarsa trasparenza (nello specifico infatti non si sa cosa faccia esattamente) è grave e andrebbe sanata, al più presto.

I dati possono essere successivamente conservati per un arco di tempo non superiore a 10 anni.

Per la lotteria degli scontrini, invece, è stata abbandonata l’idea iniziale di dotare tutti i partecipanti di un codice lotteria in formato QR code.

Il codice non permette alcun collegamento tra le informazioni raccolte con lo scontrino e il giocatore.

Dopo l’estrazione dei biglietti, il personale autorizzato dei Monopoli sarà in grado di recuperare l’identità del consumatore per attribuire e comunicare la vincita. Tutte le operazioni saranno tracciate in file di log, conservati per 24 mesi.

Quindi la lotteria degli scontrini traccia gli acquisti? No, la lotteria degli scontrini non consente il tracciamento. Al sistema lotteria arrivano solo dati riguardanti l’importo speso, la modalità di pagamento e il codice lotteria, mentre non arrivano altri dati descrittivi dell’acquisto.

Questi dati sono raccolti e conservati nella banca dati del sistema lotteria dell’Agenzia delle dogane e dei monopoli e possono essere utilizzati esclusivamente dall’Agenzia delle dogane e dei monopoli nelle estrazioni e per risalire al soggetto solo in caso di vincita (tramite l’abbinamento codice lotteria – codice fiscale).

Né l’esercente né altri potranno invece risalire all’interessato per profilazioni o analisi delle sue abitudini di spesa.

Importi, modalità di pagamento e codice lotteria relativi agli acquisti vengono trattati telematicamente e convogliati nella banca dati del sistema lotteria dell’Agenzia delle dogane e dei monopoli, per essere utilizzati esclusivamente nelle estrazioni e per risalire all’interessato in caso di vincita. Da questa breve analisi, in conclusione, si può dire che il sistema dovrebbe garantire una certa sicurezza che non si venga profilati in alcun modo. Un aspetto di perplessità è sicuramente l’invio di dati in un Paese (USA) extra – UE, che forse poteva essere evitato, e che, in ogni caso, andrebbe meglio normato e comunicato, vista l’evidente scarsa trasparenza.

Gli esercenti (ma anche i professionisti, nel caso del cashback) quindi, non essendo né titolari del trattamento e nemmeno responsabili, non devono fare nulla; anzi ritengo sia da evitare, per non incorrere nelle sanzioni e a trattamenti illegittimi di dati personali, l’attivazione di raccolte dati in autonomia, magari conservando elenchi di clienti, di codici lotteria ecc.

Se si volesse comunque seguire quest’ultima strada (che è molto interessante, magari per ragioni commerciali e di marketing) bisognerebbe attivare tutte le classiche accortezze ed adempimenti, quali richiesta del consenso, informative ad hoc, registro dei trattamenti, ecc. in maniera comunque indipendente dal programma cashback e lotteria degli scontrini. Consiglio, in questo caso, di essere seguiti da esperti della materia.

* Odcec Brescia