Cash Back: problemi di privacy

Il Garante per la protezione dei dati personali con provvedimento n. 179 del 13 ottobre 2020 ha espresso parere positivo sulla bozza di regolamento che definisce il funzionamento del c.d. “Cashback” a favore di chi fa acquisti con strumenti di pagamento elettronici. L’Autorità informa che i dati raccolti possono essere utilizzati soltanto ai fini dell’erogazione del rimborso, “limitando il trattamento del dato relativo all’identificativo dell’esercente al solo fine di verificare le transazioni oggetto di reclamo.”

Si tratta di una delle iniziative del Piano Italia Cashless, promosso dal Governo, previste dalla Legge di Bilancio 2020 e si tratta di un’opportunità interessante per i cittadini che possono avere un risparmio sugli acquisti, tuttavia diversi utenti, anche sulla scorta della recente esperienza con l’app “Immuni” temono per la propria privacy, visti i dati personali a cui si dà accesso nel momento in cui ci si registra sull’app IO (dati sensibili, come il numero di carta, i conti bancari e le abitudini di acquisto di ogni singolo utilizzatore della App).

Se leggiamo il capitolo “Trasferimento dati fuori dall’UE” della Privacy Policy Cashback, si nota che per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A., la predetta Società si avvale, “limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA). E poi di nuovo: “per lo svolgimento di alcune attività connesse alla gestione dei reclami…Consap S.p.A. si avvale di fornitori terzi che hanno la propria sede in Paesi extra-UE (USA).”

E qui interviene la sentenza “Schrems II” della Corte di Giustizia Europea che in poche parole ribadisce che gli strumenti legislativi americani di sorveglianza pubblica risultano eccessivi e sproporzionati rispetto ai criteri del diritto europeo.

Nell’informativa privacy si parla di “alcune attività”, ma quali attività? E, soprattutto viene da chiedersi: quali fornitori terzi?

A questo punto, sorge una riflessione spontanea: l’applicazione sta violando il principio di trasparenza.

In questo scenario, i nostri dati potrebbero essere messi in pericolo da possibili data breach esterni. Si tratta difatti di dati molto appetibili per il mercato nero (e non solo), motivo per cui serve la massima accuratezza.

Attenzione, perché il rispetto della normativa sulla privacy è una questione di correttezza e il “Considerando 7 del Regolamento Europeo parla chiaro: il recente quadro normativo europeo serve proprio a creare un “clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno.” E sempre citando il GDPR, è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.