Il 13 Ottobre il Garante Privacy, col provvedimento n.179, ha dato parere favorevole alla misura di Cashback di Stato. La misura è ancora in discussione e prevede un bonus annuale fino a 300 euro agli utenti che utilizzano forme elettroniche di pagamento, a partire dal 1° Dicembre. Sulla misura il Governo ha deciso di interpellare il Garante, dato che per implementarla si renderà necessario un trattamento dati su larga scala. Il Parere del Garante è favorevole, come detto, ma esplicita alcune problematiche e non analizza ancora la valutazione di impatto sui dati (DPIA) che PagoPA s.p.a ha inviato riguardo l'uso dell'app IO e sulla quale il Garante potrebbe decidere di inserire pesanti modifiche.

Il parere del Garante si è reso necessario in conseguenza del trattamento su larga scala che sarà necessario eseguire per rendere effettiva la misura. Oltre alle misure di sicurezza, sia tecniche che organizzative, sarà importante la valutazione dell'interazione tra utente ed app, verificandone la trasparenza (ad esempio le modalità con cui è fornita l'informativa) e la correttezza (ad esempio le modalità di acquisizione o revoca del consenso al trattamento).

Finalità del trattamento
Il parere del Garante si concentra prima di tutto sulla finalità del trattamento dei dati personali, specificando che la finalità è quella dell'”erogazione dei rimborsi a fronte di un determinato ammontare di pagamenti elettronici effettuati in uno specifico arco temporale”. Questa specifica si è resa necessaria ai sensi del GDPR, che prevede l'esatta definizione della finalità di un trattamento quale elemento centrale dal quale si dipanano gli altri principi cardine, come la minimizzazione dei dati o i limiti temporali di conservazione dei dati. Ma ha anche una seconda utilità: rendendo esplicità la finalità rende illegittimo l'uso di quei dati per finalità differenti, ad esempio impedendone l'uso a fini di accertamento fiscale. Il Ministero potrà così usare i dati solo per finalità statistiche.

I soggetti coinvolti
Nel parere il Garante elenca anche i soggetti coinvolti nel trattamento e designa i ruoli e le responsabilità conseguenti secondo le previsioni del GDPR. Il Titolare del Trattamento è il Ministero dell'Economia e delle Finanze, con due responsabili, cioè PagoPA s.p.a e Consap s.p.a: i due responsabili si occuperanno di due diverse fasi del trattamento, cioè l'"individuazione dei soggetti destinatari dei rimborsi" e "l'erogazione materiale del rimborso". PagoPA si dovrà avvalere di subresponsabili, ovvero gli emittenti di carte di credito/debito e gli intermediari finanziari, cioè gli istituti di credito. Non rivestono alcun ruolo rispetto alle finalità del trattamento le attività o i singoli professionisti ai quali il cittadino corrisponde il pagamento: questi infatti non devono entrare in possesso dei dati identificativi dell'acquirente a parte per quanto necessario alla vendita di beni o servizi.

Gli strumenti in uso
Il trattamento passerà in larga parte dell'app IO, di proprietà di PagoPA s.p.a: il cittadino che volesse partecipare al programma Cashback dovrà installare l'app ed esprimere esplicito consenso. L'uso di app IO è apertamente previsto dal comma 2 dell'art 5 del D.Lgs 82/2005, detto anche Codice dell'Amministrazione digitale.

Ricordiamo comunque che il vero via libera al trattamento dei dati per il programma cashback arriverà solo quando il Ministero dell'Economia e delle Finanze eseguirà la valutazione d'impatto sulla protezione dei dati personali a norma dell'art.35 del GDPR: il Garante ne fa esplicito richiamo al punto i) del Parere.