The Italian Privacy Authority Approves the “Cashback” Regulation Scheme

  • Posted By Pierangela Rodilosso
  • |
  • 29 October 2020
  • |
  • 0 comments
The Italian Privacy Authority Approves the “Cashback” Regulation Scheme

Sharing is caring!

On October 13, 2020, the Italian Data Protection Authority has issued a favourable opinion on the draft regulation prepared by the Ministry of Economy and Finance to regulate the so-called cashback system. This regulation, aimed at rewarding the use of electronic payment instruments through cash refunds, will be adopted pursuant to art. 1, paragraphs 288 to 290, of Law no. 160 of 27 December 2019 (Budget Law 2020).

The use of the cashback system, which will start on an experimental basis as early as December 2020, would therefore be part of an incentive programme for traceable payments, through reward measures aimed at customers using credit cards or other digital payment instruments.

For the implementation of the cashback, the Ministry will use the PagoPa S.p.A. technological platform, while the management of reimbursement and litigation services will be entrusted to Consap S.p.A.

The above mentioned technological platform will collect the relevant data of both the members of the reimbursement programme and the commercial operators. Such data will then be transmitted to the APP IO, to the systems made available by the so-called “agreed issuers” and to Consap for the disbursement of refunds. Furthermore, the tax code and the electronic instrument used for the payment will be registered. The refund will be paid by crediting the Iban communicated at the time of joining the programme.

Article 12 of the regulation scheme specifies some fundamental aspects related to the protection of personal data. In particular, the roles, functions and responsibilities of the Ministry of Economy and Finance, PagoPA S.p.A., Consap S.p.A., issuers and acquirers are identified. Moreover, before proceeding with the processing, the Ministry shall carry out the data protection impact assessment pursuant to Article 35 of Regulation (EU) No. 2016/679 and submit it to the prior verification by the Guarantor. Moreover, in compliance with the principle of the purpose of processing, the personal data collected may be processed exclusively for the performance of the program and for the management of the expected reimbursement. Finally, the processing of data relating to the seller’s identification data may only be carried out to verify the transactions subject to the complaint. The Ministry may process the personal data of the members also for statistical purposes, recording the number and value of the transactions carried out and the reimbursements paid.

Following the analysis carried out, the Authority found that the processing in question presents high risks for the rights and freedoms of the data subjects, due to the massive and generalised collection of data potentially referable to every aspect of the daily life of the entire population. In light of this, and taking into account the Ministry’s implementation of the indications provided during the discussions with the parties involved, the Authority has approved the cashback regulation scheme but reserved the right to examine the impact assessment prepared by PagoPA with reference to the processing carried out through the APP IO.

****

Il GARANTE ITALIANO PRIVACY APPROVA LO SCHEMA DI REGOLAMENTO SUL “CASHBACK” 

Il 13 ottobre 2020 il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di regolamento predisposto dal Ministero dell’Economia e delle Finanze per la disciplina del c.d. sistema cashback. Tale regolamento, volto a premiare attraverso rimborsi in denaro l’utilizzo degli strumenti di pagamento elettronici, sarà adottato ai sensi dell’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n.160 (legge di Bilancio 2020).

L’utilizzo del sistema cashback, che partirà in via sperimentale già da dicembre 2020, rientrerebbe, quindi, in un programma di incentivazione dei pagamenti tracciabili, attraverso misure premiali rivolte ai clienti che utilizzano carte di credito o altri strumenti digitali di pagamento.

Per l’attuazione del cashback il Ministero utilizzerà la piattaforma tecnologica di PagoPa S.p.A., mentre la gestione dei servizi di erogazione dei rimborsi e del contenzioso sarà affidata a Consap S.p.A..

La piattaforma tecnologica suddetta raccoglierà i dati rilevanti sia degli aderenti al programma di rimborso che degli esercenti commerciali. Tali dati saranno, quindi, trasmessi all’APP IO, ai sistemi messi a disposizione dai c.d. “issuer convenzionati” ed a Consap per l’erogazione dei rimborsi. Inoltre, saranno registrati il codice fiscale e lo strumento elettronico utilizzato per il pagamento. L’erogazione del rimborso avverrà mediante accredito sull’Iban comunicato al momento dell’adesione al programma.

All’art. 12 dello schema di regolamento sono specificati alcuni aspetti fondamentali relativi alla protezione dei dati personali. In particolare, vengono individuati i ruoli, le funzioni e le responsabilità del Ministero dell’Economia e delle Finanze, di PagoPA S.p.A., di Consap S.p.A., degli issuer e degli acquirer convenzionati. E’, altresì, previsto che il Ministero, prima di procedere al trattamento, effettui la valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento (UE) 2016/679 e la sottoponga alla verifica preventiva del Garante. Inoltre, nel rispetto del principio di finalità del trattamento, i dati personali raccolti potranno essere trattati esclusivamente per lo svolgimento del programma e per la gestione del previsto rimborso. Infine, il trattamento del dato relativo all’identificativo dell’esercente potrà avvenire solo per verificare le transazioni oggetto di reclamo. Il Ministero potrà trattare i dati personali degli aderenti anche per fini statistici, rilevando il numero e il valore delle transazioni effettuate e i rimborsi erogati.

A seguito dell’analisi svolta, il Garante ha rilevato che il trattamento in questione presenta rischi elevati per i diritti e le libertà degli interessati, a causa della raccolta massiva e generalizzata di dati potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione. Ciò posto, tenuto conto del recepimento, da parte del Ministero, delle indicazioni fornite dall’Autorità nel corso delle interlocuzioni intervenute con i soggetti coinvolti, il Garante ha approvato lo schema di regolamento sul cashback, riservandosi tuttavia di esaminare la valutazione di impatto predisposta da PagoPA con riferimento ai trattamenti svolti tramite l’APP IO.

Leave a Comment

shares