La corsa al cashback potrebbe nascondere insidie per la privacy. Nell’era di internet e del digitale, tracciare i pagamenti con carte di debito o di credito potrebbe significare dire addio alla propria riservatezza.
Un passo in più verso il controllo sociale e commerciale. Non c’è dubbio che la valanga di dati che verranno gestiti per autorizzare il governo al cashback possano essere utilizzati anche per scopi diversi da quelli economici.
In altre parole, ci spieranno. Sapranno tutto di noi: da quello che acquistiamo a quando lo facciamo e, soprattutto, dove avvengono le transazioni.
Cashback e privacy, i nostri dati sono al sicuro
Il governo tuttavia smentisce che i dati raccolti possano essere impiegati per fini diversi da quelli previsti dal sistema cashless.
“PagoPA S.p.A. opera nella ferma convinzione che la privacy dei cittadini sia un valore irrinunciabile e un elemento essenziale della digitalizzazione della Pubblica Amministrazione“.
Lo precisa una nota del partner tecnologico che, insieme a Sia, gestisce la sezione Portafoglio dell’App IO per il Cashback. “Proprio per questo, tutti i nostri progetti sono attentamente verificati dal nostro team di esperti privacy. Tra questi, anche l’App IO è stata analizzata nei minimi dettagli per assicurare il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR) ai propri utenti“, si legge.
Via libera del Garante al cashback
Per quanto riguarda il programma Cashback, il decreto del Ministero dell’Economia e delle Finanze (DM n. 156/2020), su cui il Garante per la protezione dei dati personali ha espresso il proprio parere positivo, ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma – viene precisato -.
Inoltre, il Garante ha approvato la valutazione di impatto (DPIA) che è stata predisposta dal Ministero dell’Economia e delle Finanze, in quanto titolare del programma, con la collaborazione di PagoPA S.
Nessuna geolocalizzazione degli utenti
“Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti” – sottolinea una nota -. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente.
Ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN”) che corrisponde allo strumento di pagamento registrato ai fini del programma. Data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.
La sezione Portafoglio dell’app IO
Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio“. Questi, infatti, sono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.
Il sistema, quindi, non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (es. i dati delle carte di credito/debito). Allo stesso modo, i server dove sono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea. Dove è applicato il Regolamento generale sulla protezione dei dati personali (GDPR) e, quindi, le stesse tutele applicabili in Italia.
“Utilizziamo – dice Sia – alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana“.