Cashback ist der Köder der Privatsphäre
Verwendung elektronischer Zahlungsinstrumente: Cashback
(von Giuseppe Gorga, Aidr-Partner) Die Covid-19-Pandemie hat die Digitalisierung von Mobilitätsdiensten stark beschleunigt. Diese Revolution spielt eine vorrangige Rolle in Industriestrategien und in neuen Geschäftsmodellen, an denen PAs und Unternehmen beteiligt sind. Das stetige Wachstum der elektronischen Zahlungslösungen hat den bereits vor der Krise im Verkehrssektor unterstützten Trend zum Prinzip "Mobilität als Dienstleistung" bestätigt. Angesichts der zunehmend aktiven Rolle der Nutzer bei der intelligenten Mobilität haben mehrere Unternehmen dies getan Es bestand die Notwendigkeit, eine einzige einfache Infrastruktur einzuführen, die den Bürgern den direkten Zugang zu allen Mobilitätsdiensten ermöglicht.
Unter den „kleinen“ Beispielen ist die von SIA, einem von CDP Equity kontrollierten Unternehmen, entwickelte Plattform zu nennen. Das digitale Tool umfasst eine komplette Reihe von Dienstleistungen, mit denen Sie Bus-, U-Bahn- und Parktickets direkt per Karte oder Smartphone bezahlen können, wobei der beste Preis garantiert wird. Mit dem innovativen Service können Sie das U-Bahn- und Bahnticket direkt am Drehkreuz mit kontaktlosen Kredit- und Debitkarten (Mastercard, VISA und American Express), die sogar auf Smartphones und tragbaren Geräten virtualisiert sind, auf einfache, schnelle und sichere Weise bezahlen. Es ist möglich, Ihre Kreditkarte wie eine Monatskarte zu verwenden: Eine Methode, die Benutzern zur Verfügung steht, die nach dem Online-Kauf der Karte mit einer kontaktlosen Kreditkarte dieselbe Karte verwenden können, um sich im gesamten öffentlichen Verkehrsnetz zu bewegen Bürger.
Das Phänomen hat eine beträchtliche Bedeutung erlangt und kann daher als massives Phänomen als weit verbreitetes Phänomen des Cashbacks in die Maschen der Datenschutzregulierung fallen. In diesem Zusammenhang wurde das vom Datenschutzgaranten geprüfte Regulierungssystem des Ministeriums für Wirtschaft und Finanzen verabschiedet, das die Bedingungen und Kriterien für die Zuteilung von Belohnungsmaßnahmen für den Einsatz elektronischer Zahlungsinstrumente, das sogenannte Cashback, enthält gemäß Artikel 1 Absätze 288 bis 290 des Gesetzes Nr. 27, Bestimmungen geändert und integriert durch das Gesetzesdekret 2019. August 160, n. 14 zu art. 2020, in dem zwei Absätze 104-bis und 73-ter hinzugefügt wurden (Gesetz des Staatshaushalts für das Haushaltsjahr 289 und Mehrjahreshaushalt für den Dreijahreszeitraum), ist Teil der Strategie, die seit langem von der italienischen Regierung propagiert wird Um die Verwendung von Bargeld bei Transaktionen zwischen Wirtschaftsteilnehmern und Verbrauchern zu verhindern, sehe ich auch eine Rückerstattung von Bargeld für Zahlungen vor, die mit elektronischen Mitteln, den sogenannten, getätigt werden. "Lotterie" der im letztgenannten Haushaltsgesetz enthaltenen Einnahmen.
Im konkreten Fall sieht der neue Absatz 289-bis des betreffenden Regulierungstextes vor, dass das Ministerium für Wirtschaft und Finanzen für die Umsetzung der Belohnungsmaßnahme die technologische Plattform für die Zusammenschaltung und Interoperabilität zwischen öffentlichen Verwaltungen nutzen muss und autorisierte Zahlungsdienstleister gemäß Artikel 5 Absatz 2 des Gesetzesdekrets n. 7, verwaltet von der Firma PagoPA SpA. Anschließend wird festgelegt, dass das Ministerium die Firma PagoPA SpA mit der Konzeption, Implementierung und Verwaltung des Informationssystems beauftragen muss, das für die Berechnung der Erstattung maßgeblich ist. Darüber hinaus ist mit Paragraph 2005-ter vorgesehen, dass dasselbe Dicaster Consap - Concessionaria Servizi Assicurativi Pubblici SpA - alle Dienstleistungen anvertraut, die mit der Auszahlung der Erstattung und den zusätzlichen Neben- und Instrumententätigkeiten einschließlich der Streitbeilegung verbunden sind.
Die Cashback-Abrechnung
Die Verordnung - die aus 12 Artikeln besteht -, die hier in wesentlicher und zeitnaher Weise geprüft wird, legt die Disziplin der Bedingungen, Fälle, Kriterien und Umsetzungsmethoden für die Zuweisung einer Bargeldrückerstattung zugunsten von Einzelpersonen fest. Personen volljährig mit Wohnsitz im Staat, die außerhalb der Ausübung eines Geschäfts, einer Kunst oder eines Berufs mit elektronischen Zahlungsinstrumenten bei Händlern einkaufen (Artikel 2). Wie aus der Wahl der Themen hervorgeht, war der Gesetzgeber zum einen bemüht, Minderjährige daran zu hindern, an dieser Art von "Lotterie" teilzunehmen, und zum anderen, dass Erwachsene im Alter an der Ausübung einer Geschäftstätigkeit teilnehmen können. Kunst oder Beruf.
Wie erwartet wurde das durch das "Cashback-System" erstellte Erstattungsprogramm erstellt und wird von der Firma PagoPA Spa als Teil der technologischen Plattform verwaltet, die gemäß Artikel 5 Absatz 2 des CAD vorgesehen und geregelt ist Daten der "Mitglieder" und "Händler" zum Zwecke der Teilnahme am Programm, die die zugehörigen Informationen nach Festlegung des Rankings an die APP IO und an die von den sogenannten "verbundenen Emittenten" zur Verfügung gestellten Systeme und zu den Zwecken übermitteln der Auszahlung der Erstattung an die Consap-Concessionariaublic Insurance Services SpA.
Artikel 3 beschreibt die Methoden für den Beitritt zum Erstattungsprogramm und betont insbesondere den freiwilligen Charakter der Teilnahme am Programm selbst, der die Freigabe personenbezogener Daten umfasst, die von sehr invasiven Daten reichen, wie z Steuerkennzeichen für Banken. Die Regel sieht in der Tat vor, dass sich das "anhaftende" Subjekt in der APP IO oder in den von einem verbundenen Emittenten bereitgestellten Systemen, seiner Steuerkennziffer und einem oder mehreren elektronischen Tools, mit denen es Zahlungen durchführen möchte, registrieren muss zum Zeitpunkt der Registrierung zu erklären, die registrierten Zahlungsinstrumente ausschließlich für Einkäufe außerhalb der Ausübung von Geschäftstätigkeit, Kunst oder Beruf zu verwenden (Artikel 3 Absätze 1, 2 und 3).
Tatsächlich legt Artikel 4 der Verordnung insbesondere die technischen Methoden zur Einhaltung des Systems durch die sogenannten fest "Verbundene Erwerber" und dh von Personen, die mit dem "Händler" eine Vereinbarung über die Annahme von Zahlungsinstrumenten über physische Geräte geschlossen haben, Inhaber einer Vereinbarung mit PagoPA SpA über die Teilnahme am Programm oder Bancomat SpA unter der Annahme der Unterzeichnung der Vereinbarung mit PagoPA SpA selbst. Artikel 5 sieht spezifische Vereinbarungen zwischen dem Ministerium für Wirtschaft und Finanzen und PagoPA SpA sowie zwischen der oben genannten Abteilung und Consap SpA für die Funktionsweise des Programms vor. Insbesondere regelt Artikel 1 Absatz 5 die Vereinbarung zwischen dem Ministerium und PagoPA SpA über die Gestaltung, Implementierung und Verwaltung spezifischer Funktionen innerhalb des Cashback-Systems, wie z. B. die Erhebung von Daten in Bezug auf Mitglieder und Zahlungen und Daher besteht eine beträchtliche Datenmenge, die ein hohes Risiko für die Freiheit und Würde der am Programm teilnehmenden Personen darstellt. Absatz 2 regelt andererseits die Vereinbarung zwischen MEF und Consap SpA für die Verwaltung von Rückerstattungen und Beschwerden, bei denen zusätzliche personenbezogene Daten vorliegen, die möglicherweise auch vor Gericht eingehen. Die detaillierte Cashback-Disziplin findet sich in Artikel 6, in dem auch die Maßnahmen und Bezugszeiträume festgelegt sind, während Artikel 7 eine vorübergehende Versuchsphase vorsieht, die vom 1. Dezember 2020 bis zum 31. Dezember 2020 gültig ist und darauf abzielt, a Vorwegnahme der Durchführung des Erstattungsprogramms ausschließlich für Mitglieder, die eine bestimmte Anzahl von Transaktionen durchgeführt haben. Artikel 8 sieht dagegen eine besondere Rückerstattung für die ersten hunderttausend Mitglieder vor, die die meisten Transaktionen mit elektronischen Zahlungsinstrumenten getätigt haben.
Sie sind in der Kunst spezifiziert. 9 die Methoden der Auszahlung der Erstattung, die durch Gutschrift mittels des IBAN-Codes erfolgt, der vom Mitglied zum Zeitpunkt des Beitritts zum Programm oder zu einem späteren Zeitpunkt mitgeteilt wurde, während Artikel 10 die Methoden zur Behandlung von Beschwerden regelt. Insbesondere sieht Absatz 1 vor, dass PagoPA SpA einen Helpdesk-Dienst zur Verfügung stellt, der die Mitglieder bei allen Aspekten der Verwaltung des Benutzerprofils und der über die APP IO bereitgestellten Dienste unterstützt, einschließlich etwaiger diesbezüglicher Streitigkeiten. die Registrierung der getätigten Transaktionen. Schließlich regelt Artikel 12 mit dem Titel "Behandlung personenbezogener Daten" einige wichtige Aspekte des Datenschutzes. Zunächst werden die Rollen, Funktionen und Verantwortlichkeiten der verschiedenen am System beteiligten Themen identifiziert, nämlich des Ministeriums für Wirtschaft und Finanzen, der PagoPA SpA, der Consap SpA und der vereinbarten Emittenten und Erwerber - Eigentum, Verantwortung und Unterverantwortung der Behandlung; Absätze 1-5-. Es ist dann vorgesehen, dass das Ministerium vor der Verarbeitung die Folgenabschätzung gemäß Artikel 35 der Verordnung durchführt und sie der vorherigen Überprüfung durch den Garanten unterwirft. Es ist vorgesehen, dass die technischen und organisatorischen Maßnahmen, die eingerichtet und angewendet werden, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, auch für die Bewertung angegeben werden und die Zeiten und Methoden für die Stornierung aus dem Programm geregelt werden müssen (Absätze 6 und 7). In Übereinstimmung mit dem Grundsatz der Zwecke der Verarbeitung dürfen die erhobenen personenbezogenen Daten ausschließlich zur Durchführung des Programms und zur Realisierung der erwarteten Erstattung verarbeitet werden, wodurch die Verarbeitung der Daten in Bezug auf die Kennung des Händlers zum alleinigen Zweck der Überprüfung der betreffenden Transaktionen eingeschränkt wird. der Beschwerde (Absatz 8). Schließlich ermächtigt Absatz 9 des Artikels das Ministerium, Statistiken über die Durchführung des Programms zu erstellen und auch die personenbezogenen Daten der Mitglieder zu verarbeiten, die sich auf die Teilnahme am Programm, die Anzahl und den Wert der durchgeführten Transaktionen sowie die gezahlten Erstattungen gemäß den einschlägigen Bestimmungen beziehen deontologische Regeln (Deontologische Regeln für Behandlungen zu statistischen oder wissenschaftlichen Forschungszwecken im Rahmen des Nationalen Statistischen Systems gemäß Anhang A des Kodex, die im System vollständig erwähnt werden sollten).
An dieser Stelle sei darauf hingewiesen, dass die Verarbeitung von Daten, die der Funktionsweise des Programms zugrunde liegen, ein hohes Risiko für die Rechte und Freiheiten der interessierten Parteien darstellt, das sich aus der massiven und allgemeinen Sammlung detaillierter Informationen ergibt, die möglicherweise auf jeden Aspekt des Lebens bezogen werden können. der gesamten Bevölkerung, die spezifische Bewertungen hinsichtlich der Verhältnismäßigkeit der Verarbeitung und der Ermittlung der Maßnahmen erfordern, die ergriffen werden müssen, um die Anforderungen der Verordnung zu erfüllen. In Bezug auf den Text waren die Beobachtungen und Vorschläge der Datenschutzgarantiebehörde präzise und sachdienlich. Zusammenfassend ist daher zu berücksichtigen, dass die Rechtsgrundlage, die sie genehmigt, in Bezug auf die verfolgten Zwecke verhältnismäßig sein und die anderen in der europäischen und nationalen Gesetzgebung zum Datenschutz vorgesehenen Rechtmäßigkeitsanforderungen enthalten sollte (Artikel 6 Absatz 3 der Verordnung). Unter diesem Gesichtspunkt weist die Verordnung tatsächlich offensichtliche Kritikpunkte auf, da nicht spezifiziert ist, dass das fragliche IT-System - das Cashback-System - nicht mit der in Artikel 5 Absatz 2 des CAD genannten technologischen Plattform übereinstimmt, sondern im von dem selben. Darüber hinaus wurden die Rollen und Verantwortlichkeiten der verschiedenen vom System betroffenen Themen im Hinblick auf den Datenschutz nicht ausdrücklich festgelegt (Artikel 12 Absätze 1 bis 5). Die Regulierungsgesetzgebung sollte daher auf die Notwendigkeit abzielen, die Zwecke der Erstellung der CD zu umschreiben. Cashback der Behandlungen, die gemäß dem Zweckbegrenzungsprinzip durchgeführt wurden, und Einführung einer zusätzlichen spezifischen Garantie in Bezug auf die Verarbeitung der Kennungen der Händler, mit denen die an das Cashback-System übermittelten Transaktionen durchgeführt werden (Artikel 12 Absatz 8).
Darüber hinaus sollten Maßnahmen eingeführt werden, um sicherzustellen, dass Käufer nur die Daten zu Transaktionen an das System übermitteln, die über die von den an der Initiative beteiligten Parteien angegebenen Zahlungsinstrumente ausgeführt werden (Artikel 4 Absätze 1 und 2 sowie 5 Absätze 1) und Dies dient auch dazu, die Art und Weise, in der die APP IO oder die von den Emittenten zur Verfügung gestellten Systeme den Mitgliedern gemäß dem Minimierungsprinzip zur Verfügung stehen, die Höhe der fälligen Erstattungen und die Position in der Rangliste besser zu definieren (Artikel 5 Absätze) 1, Buchstabe e). Außerdem müssen die Methoden und Zeiten für die Speicherung von Daten sowie die Maßnahmen festgelegt werden, die erforderlich sind, um sicherzustellen, dass die Informationen für die zur Erreichung der spezifischen Zwecke unbedingt erforderliche Zeit verarbeitet und anschließend gelöscht werden (Artikel 4, Absätze 5 und 12, Absätze 7 und 9) ) sowie im Hinblick auf eine größere Garantie einige Sicherheitsmaßnahmen festzulegen, die bei der Verarbeitung von Daten zu treffen sind, unter besonderer Berücksichtigung des Schutzes der Kennungen der verwendeten elektronischen Zahlungsinstrumente (PAN, Hauptkontonummer) durch nicht umkehrbare kryptografische Funktionen an Personen, die an der Initiative festhalten, auch in Übereinstimmung mit dem PCI DSS (Payment Card Industry Data Security Standard) (Artikel 4 Absatz 1). Außerdem müssen die Garantien festgelegt werden, die für die Verarbeitung personenbezogener Daten durch das Ministerium zu statistischen Zwecken im Rahmen des nationalen statistischen Systems gelten, wobei die Arten der Daten, die verarbeitet werden können (Artikel 12 Absatz 9), begrenzt und eine Bewertung durchgeführt werden Auswirkungen der Verarbeitung angesichts des damit verbundenen hohen Risikos, um die technischen und organisatorischen Maßnahmen zu ermitteln, die zur Gewährleistung eines angemessenen Sicherheitsniveaus geeignet sind (Artikel 12 Absätze 6 und 7).
Schließlich sollten im Rahmen der Überprüfung der Folgenabschätzung insbesondere die Merkmale der APP IO, die beabsichtigte Verwendung von Push-Benachrichtigungen, die automatische Aktivierung von Diensten, die nicht ausdrücklich vom Benutzer angefordert werden, sowie die Übermittlung personenbezogener Daten an untersucht werden Drittländer müssen jedoch im Lichte des jüngsten Urteils des Gerichtshofs in der Rechtssache Schrems II (16. Juli 2020, Rechtssache C-311/18) aktualisiert werden.
3 Die Sicherheit von Cashback
In Bezug auf die Cashback-Sicherheitsprofile sollte berücksichtigt werden, dass der Eigentümer der Verarbeitung personenbezogener Daten das Ministerium für Wirtschaft und Finanzen (MEF) ist, das PagoPA SpA und Consap SpA, Unternehmen im Besitz des Staates, als Verantwortlich für die Verarbeitung personenbezogener Daten gemäß Art. 28 der RGPD) für die Durchführung der Aktivitäten, die erforderlich sind, um die Teilnahme der Mitglieder am Programm und die rechtzeitige Auszahlung von Erstattungen zu ihren Gunsten zu gewährleisten, sowie für die Verwaltung von Beschwerden und / oder Streitigkeiten, die sich aus der Teilnahme am Programm ergeben.
Daher tritt in öffentlichen Händen ein Problem der Datensicherheit auf, da in der spezifischen Angelegenheit über die IO-App personenbezogene und bestimmte Daten bezüglich der Qualität und Kategorie der Waren, die zusätzlich zu den IBANs von Bank-Girokonten gekauft werden, gewährt werden.
In Bezug auf das Delirium der sogenannten "Quittungslotterie" wird ein riesiger Datenfluss im Internet ständig der Möglichkeit ausgesetzt sein, abgefangen zu werden, da das eingeleitete Registrierungsverfahren bereits so viele Probleme aufwirft, dass es nicht schwierig ist, eine zu prognostizieren vulnus in Girokonten mit daraus resultierenden Verantwortungsprofilen zwischen MEF, Banken und Netzbetreibern.
Es sollte auch beachtet werden, dass sich das Unternehmen PagoPA Spa wiederum als Datenverantwortlicher deklariert, wo die MEF sie andererseits als Datenverarbeiter qualifiziert. PagoPA erklärt sich selbst zum Eigentümer, jedoch nur für die Verwendung der Computersysteme und Softwareverfahren, die zum Betrieb der Website verwendet werden, sowie der Daten, die während ihrer normalen Übertragungsübung erfasst werden, bei der Internetkommunikationsprotokolle verwendet werden. Jetzt ist bekannt, dass der Cashback auf freiwilliger Basis erfolgt, da der Benutzer ihn dann aktivieren muss, um ihn zu haben und einzufügen, immer auf freiwilliger Basis, wie z. B. Karten, Debitkarten oder Kreditkarten mit IBAN, um zu aktivieren, auf welche Weise die Zahlungen der "Prämie" alle überwiesen werden sollen auf die Handlung und Verantwortung der Benutzer. Es ist jedoch bitter zu berichten, dass nach der Insolvenz IMMUNI-App, deren Schicksal durch die Gefahr für die Privatsphäre mit der IO-App gekennzeichnet war, das mit einer CD-Operation ist. "State Cashback" für Italiener, Privatsphäre ist nur 150 Euro wert.