Come funziona il Cashback: se hai compiuto i 18 anni e risiedi in Italia, puoi ottenere un rimborso per acquisti effettuati sul territorio nazionale, tramite carte e app di pagamento, in negozi, bar, supermercati, ristoranti, ma anche realtà di grande distribuzione. È specificato che non vi rientrano gli acquisti effettuati online e che detti acquisti devono essere a titolo privato e non professionale.
È un’iniziativa del Piano Italia Cashless, promosso dal Governo, previste dalla Legge di Bilancio 2020 e sicuramente si tratta di un’opportunità interessante, tuttavia diversi utenti, un po’ come è accaduto con l’introduzione dell’app “Immuni” temono per la propria privacy. In effetti, i dati personali a cui si dà accesso nel momento in cui ci si registra sull’app IO, sono da considerarsi dati sensibili, come il numero di carta, i conti bancari e le abitudini di acquisto di ogni singolo utilizzatore dell’app.
Il cashback incontra il parere favorevole del Garante della Privacy sullo schema di decreto attuativo del Ministero dell’Economia e delle Finanze e informa che i dati raccolti possono essere utilizzati soltanto ai fini dell’erogazione del rimborso, “limitando il trattamento del dato relativo all’identificativo dell’esercente al solo fine di verificare le transazioni oggetto di reclamo.” Nelle FAQ relative al piano Italia cashless, si legge inoltre che il team di sviluppo di IO “dialoga costantemente con il Garante per la protezione dei dati personali per rendere IO uno strumento che migliori l’esperienza del cittadino anche sotto il profilo di accessibilità e trasparenza delle informazioni relative alla sua privacy.”
Il Garante continuerà a monitorare le caratteristiche dell’app IO, in particolare circa l’utilizzo di notifiche push (quella messaggistica istantanea per la quale un messaggio perviene al destinatario anziché essere scaricato su richiesta del destinatario stesso) e ovviamente in merito al trasferimento di dati personali verso altri paesi, peraltro da attualizzarsi alla luce della recente sentenza della Corte di giustizia sul caso Schrems II (16 luglio 2020, causa C-311/18).
A prescindere dal parere favorevole del Garante, il Comitato europeo per la Protezione dei Dati (Edpb) richiede che le Clausole Contrattuali Standard siano affiancate da ulteriori misure, più rigorose e specifiche: cosa che la app in questione al momento non fa. Al momento, infatti, se si vuole trasferire un pacchetto di dati extra UE, occorre che il paese destinatario sottoscriva delle clausole standard, attraverso le quali assicura il rispetto di un insieme di tutele per proteggere i dati trasmessi. Queste clausole si sostituiscono alle prescrizioni del GDPR che non sono immediatamente applicabili nel paese di destinazione e la loro sottoscrizione rappresenta una garanzia sul trasferimento di dati personali, tuttavia stiamo sempre parlando di clausole per l’appunto “standard” che non risolvono le possibili ingerenze del governo americano (ad esempio: i programmi di sorveglianza massiva regolamentati dal Foreign Intelligence Surveillance Act e l’Executive Order 12333 che autorizza le agenzie di sicurezza degli USA a raccogliere informazioni attraverso i sistemi dei colossi del web, tra cui Google e Facebook).
Le Clausole Contrattuali Standard, seppur formalmente valide, devono essere utilizzate solo dopo attente valutazioni in merito alle caratteristiche del paese di destinazione dei dati e delle sue leggi. E qui interviene la sentenza “Schrems II” della Corte di Giustizia Europea che dichiara invalido il Privacy Shield (un accordo per gli scambi transatlantici di dati personali per fini commerciali tra UE e USA), confermando che gli strumenti legislativi americani di sorveglianza pubblica risultano eccessivi e sproporzionati rispetto ai criteri del diritto europeo.
A questo punto sorge un dubbio: se leggiamo il capitolo “Trasferimento dati fuori dall’UE” della Privacy Policy Cashback, si nota che per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A., la predetta Società si avvale, “limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA). E poi di nuovo: “per lo svolgimento di alcune attività connesse alla gestione dei reclami…Consap S.p.A. si avvale di fornitori terzi che hanno la propria sede in Paesi extra-UE (USA).”
Si parla di “alcune attività”, ma quali attività? E, soprattutto viene da chiedersi: quali fornitori terzi?
Sorge quindi una riflessione spontanea: l’applicazione sta violando il principio di trasparenza.
Attenzione, perché in questo scenario, i nostri dati potrebbero essere messi in pericolo da possibili data breach esterni. Si tratta difatti di dati molto appetibili per il mercato nero (e non solo), motivo per cui serve la massima accuratezza.