Periodo di riferimento: agosto 2022 – ottobre 2022
- PREMESSA
Nel periodo di riferimento considerato (giugno 2022 – ottobre 2022) non si registrano atti normativi ovvero provvedimenti di carattere generale del Garante per la protezione dei dati personali (“Garante”).
Tuttavia, si ritiene di dare conto del parere[1] del Garante, n. 286 del 28 luglio 2022, relativo allo schema di decreto in tema di piattaforma digitale per l’erogazione di benefici economici concessi dalle amministrazioni pubbliche (di seguito “piattaforma”), decreto, questo da adottarsi, di concerto con il Ministro dell’economia e delle finanze, ai sensi dell’art. 28-bis, comma 3, del d.l. 6 novembre 2021, n. 152, convertito, con modificazioni, dalla l. 29 dicembre 2021, n. 233.
Questo parere, estraneo agli atti normativi binding, si può ritenere a questi ultimi strumentale perché utile a guidare i titolari del trattamento dei dati personali alla compliance con i principi di privacy by design e by default in casi analoghi.
- LA PIATTAFORMA DIGITALE
La piattaforma in discussione gestita da PagoPA S.p.A. (d’ora in avanti “gestore” della piattaforma) consente agli enti promotori (le amministrazioni pubbliche) di erogare i benefici economici in favore dei relativi utenti (a seguire anche “utenti-fruitori”), a condizione che tali benefici economici siano collegati ad acquisti effettuati attraverso i dispositivi di accettazione.
L’obiettivo della piattaforma è “digitalizzare i pagamenti della pubblica amministrazione e consentire un più efficiente controllo della spesa pubblica, semplificando l’accesso alle diverse iniziative da parte dei cittadini”.
L’accesso da parte dell’utente avviene attraverso specifici “canali abilitanti”[2] quali l’app IO[3] o altro canale messo a disposizione dal gestore della piattaforma ovvero, in alternativa, previa autenticazione da parte dell’issuer convenzionato (il soggetto che ha concluso un accordo con l’utente fruitore per la fornitura di uno strumento di pagamento elettronico e che ha sottoscritto una convenzione con il gestore per mettere a disposizione dei propri clienti, in alternativa all’app IO, un sistema per l’adesione a un’iniziativa, per esempio l’App BancoPosta, l’App Postepay, Satispay, ecc.)[4] tramite i canali fisici o digitali da quest’ultimo integrati con la piattaforma.
Di conseguenza, sarà possibile per l’utente-fruitore:
- registrare i propri strumenti di pagamento (gli strumenti di pagamento utilizzati nell’ambito di operazioni di acquisto di beni o servizi per il tramite di un dispositivo di accettazione, per esempio una carta di debito)[5] o di acquisto (“ogni strumento identificativo dell’utente che la piattaforma consenta di censire per partecipare ad un’iniziativa ed eseguire gli acquisti connessi alla iniziativa medesima tra cui la CIE, la tessera sanitaria, lo SPID o l’accesso all’app IO”)[6] che la piattaforma consente di abilitare;
- registrare codici IBAN identificativi di conti correnti;
- aderire alle iniziative e visualizzare tutte le informazioni relative alle iniziative a cui si è aderito.
È proprio tramite gli strumenti appena citati che possono essere erogati i benefici. In particolare, tramite l’utilizzo degli strumenti di pagamento, una volta acquisiti i dati necessari dall’acquirer (il soggetto che ha concluso accordi con gli esercenti per l’utilizzo di dispositivi di accettazione e che ha sottoscritto convenzioni con il gestore per partecipare al programma, ovvero la Bancomat S.p.A.)[7] in relazione ai pagamenti effettuati dagli utenti fruitori, l’ente erogatore dispone il rimborso sul conto corrente del beneficiario (previamente registrato dallo stesso sulla piattaforma).
Al primo si aggiunga che grazie all’utilizzo degli strumenti di acquisto è previsto che, identificato l’utente fruitore, gli strumenti siano utilizzati dallo stesso per gli acquisti connessi alle iniziative degli enti promotori, che dispongono il rimborso nei confronti dell’esercente per il tramite dell’acquirer.
La piattaforma, dunque, in virtù delle informazioni di cui sopra, riconosce[8] il beneficiario e gli dà accesso ai benefici spettanti (es. bonus, incentivi, detrazioni, assegni).
Dopo essersi autenticato, l’utente-fruitore, su base volontaria, “può aderire alle iniziative rese disponibili sulla piattaforma, registrare i propri strumenti di pagamento ovvero i propri strumenti di acquisto che la piattaforma consente di abilitare, registrare codici IBAN identificativi di conti correnti a lui intestati, nonché visualizzare tutte le informazioni relative alle iniziative a cui ha aderito”[9].
Questa iniziativa segue il filone del Cashback[10] e della Lotteria degli Scontrini[11]. Tutte le iniziative cui è possibile aderire non sono conoscibili sin d’ora ma ben potrebbero essere analoghe a quelle previste per il Cashback, per esempio, che offriva la possibilità di ottenere un rimborso in denaro in base agli acquisti (di ogni tipo) effettuati, entro un certo periodo e a titolo privato, con strumenti di pagamento elettronici presso negozi fisici effettuati con carte e app di pagamento sul territorio nazionale. In generale, il Cashback può consistere in un rimborso sulle transazioni effettuate tramite una tipologia di carta, come Postepay o nella restituzione di un importo a causa di un disservizio, si pensi al “Cashback Targa” di Autostrade per l’Italia che permette di essere rimborsato a seguito di ritardi causati da cantieri e manutenzioni stradali.
- IL PARERE DEL GARANTE SULLO SCHEMA DI DECRETO: UNA LETTURA CRITICA
Il Garante, chiamato a esprimere il suo parere sullo schema di decreto, ha evidenziato a chiare lettere che i trattamenti effettuati tramite la piattaforma prevedono la raccolta massiva, generalizzata e sproporzionata di una miriade di dati dei cittadini aderenti: dalla carta di credito all’IBAN fino ad ogni singolo aspetto della sua vita quotidiana in base agli acquisti effettuati[12] che presentano rischi elevati per i diritti e le libertà degli interessati.
La combinazione degli strumenti di pagamento e dei conti correnti in uso agli utenti nonché gli acquisti effettuati (associati all’identificativo fiscale dell’esercente e alla sua categoria merceologica e al codice categoria del prodotto acquistato) sono suscettibili di monitorare ogni aspetto della vita del fruitore del servizio e ricadere nell’ambito delle categorie particolari di dati personali (dati sanitari, opinioni politiche, convinzioni religiose, dati genetici, sulla vita sessuale).
Sia consentito per ragioni di chiarezza espositiva una lettura a contrario del decreto, considerata la rilevanza di quanto il decreto ha taciuto rispetto a ciò che avrebbe dovuto prevedere.
Tra le principali carenze, tutte rilevate dal Garante, si rileva quanto segue.
Non è stato previsto un utilizzo proporzionato dei dati personali ma una raccolta massiva e generalizzata di informazioni di dettaglio, riferibili agli strumenti di pagamento (numero di carta di credito, ecc.) e ai conti correnti (IBAN) in uso agli utenti fruitori, nonché ogni aspetto privato e personale ricavabile dagli acquisti classificabili anche in base all’identificativo fiscale dell’esercente e alla sua categoria merceologica o al codice categoria del prodotto acquistato e suscettibili di ricadere nell’ambito delle categorie particolari di dati personali (dati sanitari, opinioni politiche, orientamento sessuale, ecc.).
Non sono state previste misure per verificare l’intestazione all’utente degli strumenti di pagamento dallo stesso registrati nell’ambito della piattaforma, né le modalità con le quali si intendono utilizzare gli strumenti di acquisto, individuati in SPID, CIE, App IO, e tessera sanitaria e il relativo PIN rilasciato mediante “i canali abilitanti gestiti dallo stesso gestore”, né le modalità di comunicazione con i “dispositivi di accettazione” per la partecipazione alle iniziative, né quali strumenti possono essere utilizzati per acquisti effettuati online o fisicamente.
Non sono stati chiariti i “dati identificativi” della CIE e della tessera sanitaria che si intende utilizzare.
Non sono stati individuati e distribuiti correttamente i ruoli privacy; il titolare del trattamento dei dati relativi alla CIE non è l’Istituto Poligrafico e Zecca dello Stato ma il Ministero dell’interno[13], il titolare del trattamento di quelli relativi alla tessera sanitaria non è l’Agenzia delle entrate ma il Ministero dell’economia e delle finanze[14].
Non è stata contemplata la tessera sanitaria tra gli strumenti di cui all’art. art. 28-bis del d.l. 152/2021 pur essendo utilizzata come strumento identificativo dell’utente, al pari di SPID o CIE, e come specifico strumento di acquisto[15] né sono stati previsti limiti di utilizzo della stessa (considerato i possibili utilizzi collegati: prestazioni fornite dal Servizio Sanitario Nazionale).
Non sono state previste per i diversi canali di accesso garanzie uniformi da parte del gestore e degli altri soggetti coinvolti (es. issuer, acquirer, ecc.), ma è previsto che “il gestore della piattaforma cura la manutenzione della stessa al fine di garantire il rispetto ogni standard tecnologico in materia di sicurezza e di tutela dei dati personali e provvede al suo aggiornamento tecnologico, nonché alla divulgazione delle sue specifiche tecniche agli acquirer convenzionati, agli issuer convenzionati e agli enti promotori e, in ogni caso, a tutti i soggetti coinvolti nell’erogazione del servizio”[16] e che “il gestore della piattaforma deve predisporre la valutazione di impatto ai sensi dell’articolo 35 del Regolamento UE 2016/679 (“Regolamento”) ed effettuare la consultazione preventiva ai sensi dell’articolo 36. Nella valutazione di impatto sono indicate, tra l’altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché a tutela dei diritti e delle libertà degli interessati”[17]. Tuttavia, l’adozione di idonee misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato ai rischi elevati dovrebbe riferirsi alle diverse attività poste in essere dai soggetti a vario titolo coinvolti nell’erogazione dei benefici attraverso la piattaforma (gestore, acquirer, issuer, esercenti, enti promotori ed enti di supporto).
Non sono state individuate misure che garantiscano l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle specifiche finalità del trattamento, cancellando tempestivamente i dati non più necessari, neanche attraverso il rinvio a un ulteriore atto attuativo.
Non è stato previsto che l’accesso alla piattaforma avvenga previa autenticazione oltre che con SPID o Carta d’Identità Elettronica (“CIE”), di livello di sicurezza almeno significativo[18], sia da parte degli utenti[19] che da parte degli operatori delle amministrazioni erogatrici[20] anche con la Carta nazionale dei servizi (di seguito “CNS”), laddove il canale abilitante sia compatibile con l’utilizzo di tale strumento, in contrasto con l’art. 64, comma 2-nonies, del CAD che prevede che l’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono il superamento di una procedura di autenticazione informatica possa avvenire anche con CNS.
Non è stato previsto che le verifiche del gestore che può “integrarsi con ogni ente in grado di fornirgli supporto nonché […] accedere alle informazioni dell’utente disponibili nelle relative banche dati”[21] (“ente di supporto”) cioè con quei soggetti che abbiano in “gestione” una banca dati funzionale a verificare i dati richiesti dell’utente[22] (per esempio sul legale rappresentante di una persona giuridica beneficiaria) siano limitate alle informazioni necessarie e utilizzate le pertinenti banche dati. Non risulta inoltre precisato il ruolo assunto dal gestore della piattaforma nell’ambito dei trattamenti di dati personali effettuati, per conto degli enti promotori, ai fini di queste verifiche.
Non è stato previsto espressamente che la comunicazione dei flussi contabili relativi ai benefici dal gestore della piattaforma al Ministero dell’economia e delle finanze, da definire mediante apposita convenzione, escluda i dati personali[23].
Non sono state chiarite le modalità di adesione degli esercenti (che potrebbero riguardare anche esercenti persone fisiche) alla piattaforma, non sono indicate le tipologie di dati personali che gli esercenti devono conferire né quali di questi dati potrebbe essere necessario rendere disponibili agli utenti fruitori al fine di agevolare la fruizione dei benefici[24].
Alla luce di quanto sopra, il Garante ha chiesto che la piattaforma sia progettata nel rispetto dei principi di privacy by design e by default, minimizzando la raccolta dei dati senza registrare indiscriminatamente, presso il gestore, i dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento censiti nel sistema dagli utenti mediante idonee misure volte a escludere la trasmissione di tali informazioni nonché nel rispetto dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati, di esattezza e di integrità e riservatezza[25].
Inoltre, andranno rispettati i principi di proporzionalità del trattamento: questo equivale a dire che occorre utilizzare i dati necessari all’erogazione dei benefici (se per esempio a determinare il bonus è l’importo speso, non c’è ragione perché si conosca la tipologia di prodotto acquistato); si presti, in altre parole attenzione, ai codici merceologici dei beni acquistati, poiché da tali informazioni possono emergere anche riferimenti a categorie particolari di dati.
Dovrà essere garantita una adeguata protezione dei dati mediante l’adozione di rigorose misure tecniche e organizzative volte a mitigare i rischi di utilizzi impropri, oltre che di accessi non autorizzati con garanzie e misure di sicurezza adeguate al rischio (art. 32 del Regolamento).
Ancora, andranno adottate misure tecniche e organizzative per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, considerando la possibilità che operino sulla piattaforma in favore di altri beneficiari anziani, minori, disabili.
Infine, andranno individuati correttamente i Titolari e (anche con successivo atto attuativo) i tempi di conservazione dei dati, differenziati secondo le diverse tipologie e finalità per le quali sono trattati nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento).
E per finire il gestore dovrà procedere alla elaborazione di una valutazione di impatto e consulti il Garante preventivamente (artt. 35 e 36 del Regolamento).
- RIFLESSIONI CONCLUSIVE
Il gestore, PagoPA S.p.A., società pubblica specializzata, con il compito di diffondere i servizi pubblici digitali, aspirerebbe a diventare società accentratrice di dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento elettronici censiti dagli utenti, a prescindere dall’adesione alle diverse iniziative da parte degli interessati e dalla loro eleggibilità ai fini dell’erogazione dei benefici attraverso la piattaforma da parte degli enti promotori.
Ciò, anche con particolare riferimento alla prospettata possibilità di acquisire dagli esercenti, attraverso gli acquirer, il codice categoria del bene o del servizio acquistato. Quest’ultimo potrebbe comportare anche il trattamento di categorie di dati sensibili, relativi allo stato di salute, per cui occorre prevedere l’adozione di garanzie appropriate e specifiche in ogni fase del trattamento[26].
Pertanto, affinché la predetta raccolta dei dati relativi alle transazioni commerciali possa ritenersi proporzionata e conforme al Regolamento deve essere garantito che, per impostazione predefinita e fin dalla progettazione, gli esercenti trasmettano a PagoPA esclusivamente i dati relativi a quelle transazioni, di cui l’utente intende avvalersi per l’erogazione dei benefici economici connessi a iniziative a cui lo stesso ha aderito. Pertanto, andrebbero previste misure volte a escludere la trasmissione delle informazioni relative a transazioni che non risultino eleggibili a tal fine, o seppure eleggibili limitando la raccolta alle sole informazioni di volta in volta necessarie in ragione delle caratteristiche delle singole iniziative (art. 25 del Regolamento). Con particolare riferimento alla raccolta dei dati relativi al codice categoria dei beni acquistati, occorre poi prevedere l’introduzione di garanzie appropriate e specifiche in ogni fase del trattamento.
Tirando le somme, dacché le PPAA erano custodi gelose di dati personali, restie ad aprire ai cittadini i loro stessi dati personali e perseguire la trasparenza dell’azione amministrativa[27] diventano desiderose di conoscere i “bisogni” dei cittadini e addirittura anticiparli. Resta fermo una variabile, la PA resta la collezionatrice dei dati (in modo automatizzato e pervasivo) che non è tanto interessata a restituirli quanto a elaborarne sempre di più numerosi per aprire un occhio fisso sul cittadino.
La PA saprà chi sono, cosa faccio, quanto guadagno, quali sono le mie relazioni private e familiari, dove tengo i miei soldi e cosa ci faccio, quali sono le mie idee politiche e così via[28].
In questa sede, non possiamo esimerci dal segnalare i profili di incompatibilità della norma nazionale con la disciplina europea di riferimento che richiede di rispettare i principi di necessità e proporzionalità nonché l'essenza dei diritti e delle libertà e che renderebbero la norma di per sé illegittima. La legge non ha circoscritto adeguatamente l'ambito oggettivo di applicazione della norma rimandando al Ministero la definizione del cronoprogramma procedurale per la progettazione e la realizzazione dell'infrastruttura tecnologica per l'erogazione dei benefìci di cui al presente articolo, nonché le modalità di attuazione del medesimo articolo, comprese le modalità di funzionamento della piattaforma di cui al comma 1, stabilendo, in particolare, le modalità di colloquio con i sistemi informativi utilizzati dalle amministrazioni pubbliche per la gestione contabile della spesa, di erogazione e di fruizione uniformi dei benefìci, di verifica del rispetto dei limiti delle risorse disponibili a legislazione vigente, nonché di remunerazione del servizio da parte delle amministrazioni pubbliche che intendono avvalersene al fine di coprire i costi di gestione della piattaforma e di garantirne l'autosostenibilità a regime, mentre le amministrazioni pubbliche determinano i casi di utilizzo della piattaforma, nel rispetto delle modalità di funzionamento stabilite dal decreto.
Questa volta è stato il Garante che con i suoi rilievi ha “ristabilito” i principi fissati dal Regolamento e dal Codice Privacy tracciando una linea netta di demarcazione dell’essenza del diritto di autodeterminazione dell’interessato per impedire che il contenuto minimo essenziale dello stesso venga consegnato all’indirizzo politico di maggioranza ma questa abdicazione della legge in favore degli atti del Garante non rischia di avverare l’insperato?
Inoltre, la conformità dell’utilizzo degli strumenti di acquisto nell’ambito della piattaforma dovrà essere valutata da parte Garante una volta acquisiti ulteriori elementi anche nell’ambito dell’esame della valutazione di impatto predisposta dal gestore della piattaforma, tenendo conto delle indicazioni che potranno essere fornite al riguardo dal Ministero dell’interno (per la CIE) e dal Ministero dell’economia e delle finanze (per la tessera sanitaria). E allora possiamo davvero lasciare che siano sufficienti i “rimedi anticipati” proposti nella Valutazione di impatto sulla protezione dei dati personali che sarà presentata da PagoPA al Garante? A tal proposito, non possiamo sottovalutare che la stessa rimarrà segreta perché non è soggetta a obbligo di pubblicità.
Concludiamo con una domanda: il documento esaminato sarà n grado di scongiurarne l’avveramento dei rischi, visto che si avrà contezza dei medesimi solo a fatto compiuto[29]?
[1] In www.gpdp.it, doc. web n. 9809029.
[2] cfr. art. 1, comma 1, lett. e), e, in particolare, artt. 6 e 8 del d.l. 6 novembre 2021, n. 152, convertito, con modificazioni, dalla l. 29 dicembre 2021, n. 233.
[3] IO è l’app dei servizi pubblici. Maggiori informazioni su https://io.italia.it/.
[4] art. 1, comma 1, lett. q)
[5] art. 1, comma 1, lett. y).
[6] art. 1, comma 1, lett. x)
[7] art. 1, comma 1, lett. a) e j).
[8] Il ministro Vittorio Colao al meeting di Rimini ha dichiarato: "La digitalizzazione in maniera trasparente ti dice 'so chi sei, so cosa hai diritto e anticipo il tuo bisogno."
[9] art. 6, commi 3 e 4.
[10] Il Cashback è una delle iniziative del Piano Italia Cashless previste dalla Legge di Bilancio 2020 (art. 1, commi da 288 a 290, legge del 27 dicembre 2019, n. 160, come successivamente modificata e integrata) e dal Decreto 24 novembre 2020, n. 156 emesso dal Ministro dell’Economia e delle Finanze, come modificato dal Decreto Legge 30 giugno 2021, n. 99.
[11] La lotteria degli scontrini è una delle iniziative del Piano Italia Cashless previste dalla Legge di Bilancio 2020.
[12] L’ultima di Colao, il ‘Grande Fratello’ della PA. Il Garante: “Raccolta massiva di dati con la nuova piattaforma bonus” di Luigi Garofalo, in Keyforbiz, 4 ottobre 2022.
[13] cfr. art. 62 del CAD e la relativa disciplina attuativa.
[14] cfr. art. 50 del d.l. 269/2003 e la relativa disciplina attuativa.
[15] cfr. artt. 1, comma 1, lett. x), e 8.
[16] art. 3, comma 8.
[17] art. 10, comma 6.
[18] art. 1, comma 1, lett. e) e x).
[19] cfr. spec. art. 6, comma 1.
[20] cfr. spec. artt. 4, 5, comma 1.
[21] cfr. art. 6, comma 9.
[22] cfr. art. 1, comma 1, lett. k).
[23] Cfr. par. 3.5.5 del Parere del Garante in esame.
[24] Cfr. Par. 3.5.6. del Parere del Garante in esame.
[25] art. 5, par. 1, lett. a), c), d) e f) e artt. 24 e 25 del Regolamento.
[26] artt. 9, par. 2, lett. g), del Regolamento e 2-sexies del Codice Privacy.
[27] Sia consentito rimandare alla disamina dell’autrice sul modello di apertura dei dati italiano e sul parametro del Foia statunitense, in M. Orefice, I Big data tra privacy, trasparenza e iniziativa economica, Aracne, Roma, 37 ss., 2018.
[28] Matteo Navacci, avvocato di Privacy Network ha così commentato il Decreto.
[29] G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy
e lex mercatoria, in Dir. Pubbl., 1/2019, 98.