E' un problema percepito e sollevato da molti, al punto da aver portato PagoPA a pubblicare un apposito approfondimento: l'app IO, scelta dal Governo per il cashback, rispetta la privacy? Traccia gli utenti? Quali dati raccoglie e come li tratta? 

L'app IO ha già ricevuto l'ok del Garante per la protezione dei dati personali, ma la nostra Authority sta continuando a studiarne il funzionamento proprio per garantire l'integrità e la sicurezza delle informazioni alle quali ogni utente dà accesso al momento di registrarsi al Programma. Per ottenere infatti il rimborso al 10% delle spese effettuate, è necessario scaricare l'app IO, accedere con SPID o Carta d'Identita Elettronica e caricare i dati necessari, cioè quelli correlati alla carta di credito, di debito o prepagata che si vuole utilizzare.

PagoPA ha ribadito, anzitutto, l'inquadramento della privacy: la privacy è "un valore irrinunciabile, un elemento essenziale delle digitalizzazione della Pubblica Amministrazione". Questo a ribadire che non c'è stato alcun compromesso sul tema e l'app garantisce e mantiene la conformità e il rispetto delle previsioni del GDPR. 

Controlli fiscali?
Viene quindi rispettato, dichiara PagoPA, il chirissimo limite imposto dal Garante: i dati raccolti tramite app possono essere usati solo ed esclusivamente ai fini dell'erogazione del rimborso “limitando il trattamento del dato relativo all’identificativo dell’esercente al solo fine di verificare le transazioni oggetto di reclamo.” Già così viene eliminata una delle principali paure intorno all'app, ovvero che i dati inseriti possano essere usati a fini di controllo fiscale.

Ma i dati, come sono trattati?
I dati delle carte di credito sono gestiti da SIA secondo lo standard PCI DSS e transitano su server italiani: nessuno di questi dati può essere trasferito all'estero, nessun dato personale può essere gestito fuori dall'Unione Europea. I dati delle carte di credito non sono memorizzaiti.

A dire il vero alcuni dati possono essere gestiti Extra UE, ma PagoPA specifica anche questo punto:
"Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App."

A tal proposito, anche su sollecitazione del Garante, i gestori di IO App hanno pubblicato la lista completa dei fornitori, consultabile qui, affinchè tutti possano essere verificati.

E la geolocalizzazione?
Ancora: "Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN“) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback".