Articolo pubblicato su altalex.
Il parere reso dal Garante privacy sullo schema di decreto del Ministro per la transizione digitale che disciplina una nuova piattaforma per l’erogazione dei benefici economici concessi dalle amministrazioni pubbliche ai cittadini, offre lo spunto per formulare considerazioni di carattere generale sulle garanzie dal punto di vista del trattamento dei dati che simili strumenti dovrebbero fornire.
- Introduzione
Il Ministro per l’innovazione tecnologica e la transizione digitale, con nota del 27 giugno 2022, ha chiesto il parere del Garante sullo schema di decreto relativo alla piattaforma digitale per l’erogazione di benefici economici concessi dalle amministrazioni pubbliche da adottarsi, di concerto con il Ministro dell’economia e delle finanze, ai sensi dell’art. 28-bis, comma 3, del d.l. 6 novembre 2021, n. 152, convertito, con modificazioni, dalla l. 29 dicembre 2021, n. 233.
Il Garante, nell’esprimere il proprio parere sullo schema di decreto non ha mancato di dettare all’Amministrazione precise condizioni poiché i trattamenti effettuati tramite questa infrastruttura complessa presentano rischi elevati per i diritti e le libertà delle persone.
- Profili di criticità.
Osserva preliminarmente il Garante privacy che i trattamenti effettuati tramite la piattaforma in esame presentano rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, riferibili agli strumenti di pagamento (numero di carta di credito, ecc.) e ai conti correnti (IBAN) in uso agli utenti fruitori, nonché ad ogni aspetto della vita quotidiana dell’intera popolazione sulla base degli acquisti effettuati – classificabili anche in base all’identificativo fiscale dell’esercente e alla sua categoria merceologica o al codice categoria del prodotto acquistato e suscettibili di ricadere nell’ambito delle categorie particolari di dati personali. Tali trattamenti di dati richiedono specifiche valutazioni in ordine alla proporzionalità del trattamento e all’individuazione delle misure da adottare al fine di rispettare i requisiti del Regolamento europeo 679/2016 “gdpr”. La delicatezza del patrimonio informativo oggetto di trattamento, riguardante anche categorie di soggetti vulnerabili, richiede, infatti, l’adozione di rigorose misure tecniche e organizzative volte a mitigare i rischi di utilizzi impropri, oltre che di accessi non autorizzati, assicurando che tali dati siano trattati solo per le finalità di erogazione dei benefici richiesti.
- La raccolta dei dati relativi alle transazioni.
In primo luogo, rileva che la piattaforma deve essere progettata, nel rispetto dei principi di minimizzazione dei dati e degli obblighi di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default), limitando la raccolta dei dati a quelli strettamente necessari allo scopo perseguito.
Pertanto, affinché la predetta raccolta dei dati relativi alle transazioni commerciali possa ritenersi proporzionata e conforme al gdpr deve essere garantito che, per impostazione predefinita e fin dalla progettazione, gli esercenti, tramite gli acquirer (ossia i soggetti che hanno concluso accordi con gli esercenti per l’utilizzo di dispositivi di accettazione), trasmettano a PagoPA esclusivamente i dati relativi a quelle transazioni di cui l’utente intende avvalersi per l’erogazione dei benefici economici connessi a iniziative a cui lo stesso ha aderito. Devono, pertanto, essere introdotte misure volte a escludere la trasmissione delle informazioni relative a transazioni che non risultino eleggibili a tal fine, limitando la raccolta alle sole informazioni di volta in volta necessarie in ragione delle caratteristiche delle singole iniziative (art. 25 gdpr).
Con particolare riferimento alla raccolta dei dati relativi al codice categoria dei beni acquistati, occorre poi prevedere l’introduzione di garanzie appropriate e specifiche in ogni fase del trattamento nel caso in cui da tale informazione possano emergere categorie particolari di dati personali.
- Il trattamento dei dati relativi agli strumenti di pagamento e all’IBAN.
Lo schema di decreto prevede che l’utente possa registrare codici IBAN di conti correnti a lui intestati su cui ricevere i rimborsi previsti dalle diverse iniziative e che il gestore della piattaforma ne verifichi la titolarità in capo allo stesso utente. Non vengono, invece, previste misure per verificare l’intestazione all’utente degli strumenti di pagamento dallo stesso registrati nell’ambito della piattaforma.
Al riguardo, occorre osservare preliminarmente che la questione relativa alla titolarità dei conti correnti, ma anche degli strumenti di pagamento e di acquisto in capo all’utente che accede alla piattaforma, fa sorgere dubbi più generali sulle modalità con le quali si intende assicurare l’utilizzo della piattaforma proprio da parte di quelle particolari categorie di beneficiari – non in grado di avvalersene per impedimenti di diversa natura (disagio fisico, divario tecnologico, ecc.) – che potrebbero maggiormente giovarsi della semplificazione offerta da tale infrastruttura tecnologica per l’accesso alla pluralità di erogazioni offerte dalle pubbliche amministrazioni.
Dopo aver considerato le diverse ipotesi in cui il potenziale destinatario della misura potrebbe avere bisogno di avvalersi di un terzo per ottenere un beneficio economico attraverso la piattaforma e i connessi rischi per i diritti e le libertà degli interessati derivanti dall’esclusione dall’accesso a tale beneficio, è necessario, infatti, individuare misure a tal fine adeguate, tenendo anche in considerazione l’esigenza di prevenire frodi o abusi, realizzati mediante l’utilizzo di dati personali.
In tal senso, oltre ai controlli da effettuarsi sull’intestazione dei conti correnti, vanno altresì introdotti meccanismi con i quali si intende assicurare l’intestazione degli strumenti di pagamento – che possono essere utilizzati nell’ambito della piattaforma per ottenere i benefici – unicamente in capo agli utenti o ai beneficiari, individuando misure che consentano di escludere anche in tale contesto frodi o abusi, ovvero accessi non autorizzati, all’interno della piattaforma, ai dati personali relativi alle transazioni commerciali effettuate, nel rispetto del principio di riservatezza (art. 5, par. 1, lett. f), gdpr, analogamente a quando già osservato da Garante in relazione al c.d. Programma Cashback con il provvedimento n. 232 del 26 novembre 2020, disponibile in www.gpdp.it doc. web n. 9492345).
Pertanto, il Garante privacy ha richiesto l’integrazione dello schema di decreto prevedendo l’adozione di misure tecniche e organizzative per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, tenendo in considerazione anche i casi in cui gli utenti potrebbero operare sulla piattaforma in favore di terzi beneficiari, nel rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 gdpr).
- La sicurezza dei trattamenti e la conservazione dei dati.
Osserva il Garante privacy che le caratteristiche dei trattamenti disciplinati dallo schema in commento richiedono l’adozione di idonee misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato ai rischi elevati, sopra evidenziati, riferibili alle diverse attività poste in essere dai soggetti a vario titolo coinvolti nell’erogazione dei benefici attraverso la piattaforma (gestore, acquirer, issuer definito come il “soggetto che ha concluso un accordo con l’utente fruitore per la fornitura di uno strumento di pagamento elettronico”, esercenti, enti promotori ed enti di supporto).
Lo schema di decreto individua infatti diversi “canali abilitanti” (come l’App IO, altri canali offerti dal gestore o canali fisici o digitali messi a disposizione dagli issuer convenzionati) per consentire all’utente di accedere alla piattaforma e utilizzare i servizi ivi resi.
Al fine di prevenire i rischi di accessi abusivi o illeciti alla piattaforma, occorre quindi assicurare che i diversi canali di accesso siano dotati di garanzie uniformi, predisposte dal gestore e dagli altri soggetti coinvolti (es. issuer) nel rispetto dei principi di integrità e riservatezza e di privacy by design e by default e degli obblighi di sicurezza (art. 5, par. 1, lett. f), e artt. 24, 25 e 32 gdpr).
Pertanto, si ritiene necessario che lo schema di decreto sia integrato prevedendo che sia garantita un’adeguata protezione dei dati in ogni fase dei trattamenti e in relazione a ogni canale di accesso alla piattaforma, attraverso l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, con particolare riferimento alle informazioni relativi agli strumenti di pagamento e alle transazioni commerciali, al fine di assicurare che siano trattate solo per le finalità di erogazione dei benefici e non siano oggetto di utilizzi impropri o accessi non autorizzati.
Con riferimento invece al principio di limitazione della conservazione (art. 5, par. 1, lett. e) gdpr, si rileva che nello schema in esame non vengono, tuttavia, individuate, misure che garantiscano l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle specifiche finalità del trattamento, cancellando tempestivamente i dati non più necessari, neanche attraverso il rinvio a un ulteriore atto attuativo.
Si ritiene pertanto necessario che, nello schema, anche eventualmente attraverso il rinvio a un successivo atto attuativo, siano individuati i tempi di conservazione che dovrebbero essere differenziati in ragione delle diverse tipologie di dati e delle finalità per le quali sono trattati.
Occorre, pertanto, integrare lo schema prevedendo che anche gli utenti che abbiano richiesto la cancellazione dalle singole iniziative possano consultare i dati fino a quel momento raccolti, disciplinando i tempi di conservazione degli stessi ai sensi di quanto sopra rappresentato, tenendo conto delle caratteristiche delle singole iniziative e nel rispetto del principio di limitazione della conservazione.