קאשבק הוא פיתוי הפרטיות
השימוש במכשירי תשלום אלקטרוניים: cashback
(מאת ג'וזפה גורגה, שותף עידר) מגפת ה- Covid-19 העניקה האצה חזקה לדיגיטציה של שירותי הניידות, מהפכה שממלאת תפקיד עדיף באסטרטגיות תעשייתיות ובמודלים עסקיים חדשים הכוללים רשות וחברות. הצמיחה המתמדת של פתרונות התשלום האלקטרוניים אישרה את המגמה, שכבר נתמכה בתחום התחבורה לפני המשבר, אשר הולכת לעקרון של "ניידות כשירות" בהתחשב בתפקיד הפעיל יותר ויותר של משתמשים במובייל חכם, כמה חברות חשו כי צריך לאמץ תשתית פשוטה אחת המאפשרת לאזרחים גישה ישירה לכל שירותי הניידות.
בין הדוגמאות ה"קטנות "יש לציין את הפלטפורמה שפיתחה SIA, חברת בת של CDP Equity. הכלי הדיגיטלי כולל חבילת שירותים מלאה לתשלום עבור כרטיסי אוטובוס, מטרו וחניה ישירות בכרטיס או בסמארטפון, עם אחריות לתעריף הטוב ביותר. השירות החדשני מאפשר לך לשלם את כרטיס המטרו והרכבת ישירות על הקרוסלה באמצעות כרטיסי אשראי וחיוב ללא מגע (מאסטרקארד, VISA ואמריקן אקספרס), הווירטואליזציה גם בסמארטפונים ובמכשירים לבישים, בצורה קלה, מהירה ומאובטחת. ניתן להשתמש בכרטיס האשראי שלך כאילו היה כרטיס חודשי: שיטה העומדת לרשות המשתמשים אשר, לאחר רכישת הכרטיס המקוון באמצעות כרטיס אשראי ללא מגע, יכולים להשתמש באותו כרטיס בכדי לנוע בכל אזרח רשת התחבורה הציבורית.
התופעה קיבלה חשיבות ניכרת ולכן, כתופעה מסיבית, היא לא עלולה להיכשל בידי רשת ההסדרה של הפרטיות כתופעה נרחבת של cashback. בכל הנוגע לתכנית הרגולציה - בבדיקת ערבות הפרטיות - של משרד הכלכלה והאוצר, המכילה את התנאים והקריטריונים לייחוס אמצעי תגמול לשימוש במכשירי תשלום אלקטרוניים, מה שמכונה Cashback, שאומצו על פי מאמר 1, פסקאות מ 288 עד 290, לחוק מס. 27, הוראות ששונו ומשולבות בחוק הגזרה 2019 באוגוסט 160, נ. 14 לאמנות. 2020, שהוסיפו שתי פסקאות 104-bis ו- 73-ter, (חוק תקציב המדינה לשנת הכספים 289 ותקציב רב שנתי לתקופה של שלוש שנים) הוא חלק מהאסטרטגיה, שהופצה זה מכבר על ידי ממשלת איטליה. , שרוצה להרתיע את השימוש במזומן, בעסקאות בין מפעילים כלכליים לצרכנים, אני גם מספק החזר כספי על תשלומים שבוצעו באמצעים אלקטרוניים, התקליטור. "הגרלה" על התקבולים הכלולים בחוק התקציב האחרון.
במקרה הספציפי, סעיף 289-bis החדש של טקסט החקיקה הנדון קובע כי לצורך יישום אמצעי התגמול על משרד הכלכלה והאוצר להשתמש בפלטפורמה הטכנולוגית לקישור הדדי ולפעולות הדדיות בין הממשלים הציבוריים לספקי שירותי תשלום מורשים. , על פי סעיף 5, סעיף 2, לגזירת חקיקה מס. 7, המנוהלת על ידי חברת PagoPA SpA. אז נקבע כי המשרד יצטרך להפקיד את חברת PagoPA SpA עם תכנון, יישום וניהול של מערכת המידע המשמעותית לחישוב ההחזר. יתר על כן, עם סעיף 2005-ס 'נקבע כי אותו בית מנזר יפקיד לקונסאפ - Concessionaria Servizi Assicurativi Pubblici SpA - את כל השירותים הטמונים בפעולות ההחזר ופעילות נלווית ומכשירים נוספת כולל ניהול הסכסוך.
הסדר הקאשבק
התקנה - המורכבת מ -12 מאמרים - הנבחנת כאן, באופן מהותי ומתוזמן, קובעת את משמעת התנאים, המקרים, הקריטריונים ושיטות היישום להקצאת החזר כספי לטובת יחידים. אנשים בגיל חוקי, תושבים בשטחה של המדינה, אשר מחוץ לפעילות עסק, אמנות או מקצוע, מבצעים רכישות מסוחרים באמצעות אמצעי תשלום אלקטרוניים (סעיף 2). כפי שעולה, מבחירת הנושאים, המחוקק דאג קודם כל למנוע מקטינים להשתתף ב"הגרלה "מסוג זה ושנית שמבוגרים בגילאים יכולים להשתתף בהפעלת פעילות עסקית, אמנות או מקצוע.
כצפוי, תוכנית ההחזרים, שנוצרה באמצעות "מערכת Cashback", הוכנה ומנוהלת על ידי חברת PagoPA Spa כחלק מהפלטפורמה הטכנולוגית - החזויה ומבוקשת על ידי סעיף 5, סעיף 2, של ה- CAD - האוספת את הנתונים , לצורכי השתתפות בתכנית, של "החסידים" וה"סוחרים ", וכאשר הוגדר הדירוג, מעביר את המידע הקשור ל- IO APP ולמערכות העומדות לרשות מה שנקרא" המסונף מנפיקים "ולצורך הוצאת ההחזר, ל Consap-Concessionaria servizi Assaurativi public SpA
סעיף 3 מפרט את דרכי ההצטרפות לתוכנית ההחזרים, ומדגיש במיוחד את האופי הרצוני של ההשתתפות בתוכנית עצמה, הכרוך בשחרור נתונים אישיים הנעים בין פולשניים מאוד, כגון קוד מיסוי לבנקים. הכלל, למעשה, קובע כי הנושא "החסיד" נדרש להירשם ב- IO APP, או במערכות המועמדות על ידי מנפיק כלול, קוד המס שלו וכלי אלקטרוני אחד או יותר אשר בכוונתו להשתמש בכדי לבצע תשלומים. , הכריז, בעת ההרשמה, להשתמש במכשירי התשלום הרשומים אך ורק לרכישות שבוצעו מחוץ להפעלת עסק, אמנות או מקצוע (סעיף 3, פסקאות 1, 2 ו -3).
למעשה, סעיף 4 לתקנה מפרט במיוחד את השיטות הטכניות לדבקות במערכת על ידי מה שמכונה "רוכשים קשורים", כלומר על ידי הנבדקים שכרתו הסכם עם "הסוחר" לקבלת אמצעי תשלום באמצעות מכשירים פיזיים, בעלי הסכם עם PagoPA SpA להשתתפות בתוכנית, או Bancomat SpA, בנושא ההנחה של חתימת ההסכם עם PagoPA SpA. סעיף 5 קובע הסכמים ספציפיים בין משרד הכלכלה והאוצר ו- PagoPA SpA ובין המחלקה הנ"ל לבין Consap SpA להפעלת התוכנית. בפרט, סעיף 1 לסעיף 5 קובע את ההסכם בין המשרד ל- PagoPA SpA, לתכנון, יישום וניהול של פונקציות ספציפיות במערכת Cashback, כגון איסוף נתונים הנוגעים לחברים ותשלומים, ולכן, כמות נתונים בסיכון גבוה לעצם החופש והכבוד של הנבדקים העומדים בתוכנית. סעיף 2, לעומת זאת, קובע את הסכם ה- MEF-Consap SpA, לניהול החזרים ותלונות, שם יהיו נתונים אישיים נוספים שעשויים להתקבל גם בבית המשפט. משמעת ה- cashback המפורטת מצויה בסעיף 6, שם נקבעים גם האמצעים ותקופות הייחוס, בעוד שסעיף 7 קובע שלב ניסיוני זמני, שתקף בין התאריכים 1 בדצמבר 2020 ל- 31 בדצמבר 2020, שמטרתו לאפשר ציפייה ליישום ה תוכנית החזר, אך ורק לחברים שביצעו מספר מסוים של עסקאות. לעומת זאת, בסעיף 8 נקבע החזר מיוחד עבור מאה אלף החברים הראשונים שהסתכמו במספר הגדול ביותר של עסקאות עם אמצעי תשלום אלקטרוניים.
הם מוגדרים באמנות. 9 שיטות התשלום של ההחזר, שמתבצעות באמצעות זיכוי באמצעות קוד ה- IBAN שהועבר על ידי החבר בעת ההצטרפות לתוכנית, או במועד מאוחר יותר, בעוד שסעיף 10 מסדיר את דרכי הטיפול בתלונות. בפרט, סעיף 1 מחייב את PagoPA SpA להעמיד לרשותך שירות דלפק העזרה המוקדש לסיוע לחברים בכל ההיבטים הנוגעים לניהול פרופיל המשתמש ולשירותים הניתנים באמצעות IO APP, לרבות כל מחלוקת בעניין זה. העסקאות שבוצעו. לבסוף, סעיף 12 - שכותרתו "טיפול בנתונים אישיים" - מסדיר כמה היבטים חשובים של הגנת הנתונים. ראשית, הוא מזהה את התפקידים, התפקידים והאחריות של הנושאים השונים המעורבים במערכת, כלומר משרד הכלכלה והאוצר, PagoPA SpA, Consap SpA והמנפיקים והרוכשים על פי הסכם - בעלות, אחריות ותת אחריות של הטיפול; פסקאות 1-5-. לאחר מכן צפוי שהמשרד יבצע, לפני העיבוד, את הערכת ההשפעה על פי סעיף 35 לתקנה ויגיש אותה לאימות המוקדם של הערב; אנו מעריכים כי לצורך ההערכה יש לציין גם את הצעדים הטכניים והארגוניים שהוכנו ושימשו להבטחת רמת אבטחה המתאימה לסיכון, ויש להסדיר את זמני ושיטות הביטול מהתוכנית (סעיפים 6 ו- 7). בהתאם לעקרון מטרות העיבוד, ניתן לעבד את הנתונים האישיים שנאספו אך ורק לצורך ביצוע התוכנית ולמימוש ההחזר הצפוי, תוך הגבלת עיבוד הנתונים הנוגעים למזהה הסוחר עבור המטרה היחידה לאמת את העסקאות הכרוכות בתלונה (סעיף 8). לבסוף, סעיף 9 למאמר מסמיך את המשרד לבצע נתונים סטטיסטיים על יישום התוכנית, ולעבד גם את הנתונים האישיים של החברים, הנוגעים להשתתפות בתוכנית, למספר וערך העסקאות שבוצעו, כמו גם החזרים ששולמו, בהתאם לכללים הדאונטולוגיים הרלוונטיים (כללים דאונטולוגיים לטיפולים למטרות מחקר סטטיסטי או מדעי שבוצעו במסגרת המערכת הסטטיסטית הלאומית, המכונים בנספח א 'לקוד, אותם יש להזכיר במלואם בתכנית).
כאן יש לציין שברור למדי כי עיבוד הנתונים העומדים בבסיס תפקוד התוכנית מהווה סיכונים גבוהים לזכויותיהם ולחירויותיהם של הגורמים המעוניינים בכך, הנובעים מאוסף מידע מפורט ומסיבתי, העלול להתייחס לכל היבט של חיי האוכלוסייה כולה, הדורשים הערכות ספציפיות לגבי מידתיות הטיפול וזיהוי האמצעים שיש לנקוט בכדי לעמוד בדרישות התקנה. על הטקסט, למעשה, התצפיות וההצעות של רשות ערבות הפרטיות היו מדויקות ורלוונטיות. לסיכום יש לראות כי הבסיס המשפטי המסמיך אותו צריך להיות מידתי ביחס למטרות הנמצאות ולכיל את דרישות החוקיות האחרות שנקבעו בחקיקה אירופאית ולאומית בנושא הגנת נתונים (סעיף 6, סעיף 3, תקנה). מנקודת מבט זו, הרגולציה מציגה, למעשה, קריטיות ברורות מאחר ולא צויין שמערכת ה- IT המדוברת - Cashback System - אינה עולה בקנה אחד עם הפלטפורמה הטכנולוגית האמורה בסעיף 5, סעיף 2, ל- CAD. אך פועל באותו דבר. יתר על כן, התפקידים והאחריות של הנושאים השונים הקשורים למערכת בכל הנוגע להגנה על נתונים לא זוהו במפורש (סעיף 12, פסקאות 1-5). החקיקה הרגולטורית צריכה אפוא להיות מכוונת לצורך למנות את מטרות יצירת התקליטור. החזר כספי על הטיפולים שבוצעו בהתאם לעקרון הגבלת המטרה, והנה ערבות ספציפית נוספת ביחס לעיבוד המזהים של הסוחרים עימם יבוצעו העסקאות שהועברו למערכת הקאשבק (סעיף 12, פסקה 8 ).
יתר על כן, יש להכניס אמצעים להבטיח כי הרוכשים יעבירו למערכת רק את הנתונים הנוגעים לעסקאות שבוצעו באמצעות אמצעי התשלום שצוינו על ידי הצדדים המשתתפים ביוזמה (סעיפים 4, סעיפים 1 ו- 2, ו- 5, סעיף 1) זה גם כדי להגדיר טוב יותר את הדרכים בהן ה- APP IO, או המערכות המועמדות על ידי המנפיקים, מעמידים לרשות החברים, בהתאם לעקרון המזעור, סכומי ההחזרים המגיעים והמיקום בדירוג (סעיף 5, פסקאות 1, אות ה). כמו כן יהיה צורך לזהות את השיטות והשעות לאחסון הנתונים ואת האמצעים הדרושים להבטחת עיבוד המידע למשך הזמן ההכרחי ביותר להשגת המטרות הספציפיות ונמחק לאחר מכן (סעיפים 4, סעיף 5 ו- 12, סעיפים 7. ו 9), כמו גם להגדיר, במטרה להבטיח יותר, כמה אמצעי אבטחה שיש לנקוט בעיבוד הנתונים, תוך התייחסות מיוחדת להגנה, באמצעות פונקציות הצפנה בלתי הפיכות, של מזהי האלקטרוניקה. אמצעי תשלום (PAN, מספר חשבון ראשי) המשמשים לנבדקים המקפידים על היוזמה, גם בהתאמה ל- PCI DSS (תקן אבטחת נתוני תעשיית כרטיסי התשלום) (סעיף 4, סעיף 1). כמו כן יהיה צורך לפרט את הערבויות שיוחלו על עיבוד נתונים אישיים המבוצעים על ידי המשרד למטרות סטטיסטיות במסגרת המערכת הסטטיסטית הלאומית, תוך הגבלת סוגי הנתונים הניתנים לעיבוד (סעיף 12, פסקה 9). ) וביצוע השפעת הערכה של העיבוד, אל מול הסיכון הרב שנתקל בו, על מנת לזהות את הצעדים הטכניים והארגוניים המתאימים להבטחת רמת אבטחה נאותה (סעיף 12, סעיפים 6 ו -7).
לבסוף, כחלק מאימות הערכת ההשפעה, יש לבחון את מאפייני ה- APP IO בפרט, השימוש המיועד בהודעות דחיפה, הפעלה אוטומטית של שירותים שאינם מבוקשים במפורש על ידי המשתמש, כמו גם העברת עם זאת, נתונים אישיים למדינות שלישיות יעודכנו לאור פסק הדין האחרון של בית המשפט לצדק בפרשת שרמס II (16 ביולי 2020, תיק C-311/18).
3 אבטחת הקאשבק
באשר לפרופילי האבטחה של cashback, יש לזכור כי הבעלים של עיבוד הנתונים האישיים הוא משרד הכלכלה והאוצר (MEF), העושה שימוש בחברות PagoPA SpA וב- Consap SpA, חברות שבבעלות המדינה, כ- אחראי על עיבוד נתונים אישיים בהתאם לסעיף. 28 ל- RGPD) לביצוע הפעילויות הנחוצות להבטחת השתתפות החברים בתכנית ובפירעון החזרים בזמן לטובתם, וכן כדי לאפשר ניהול תלונות ו / או סכסוכים הנובעים מהשתתפות בתכנית. .
לכן, נוצרת בעיית אבטחת נתונים, בידיים הציבוריות, כמו בעניין הספציפי, נתונים אישיים ופרטיקולריים ניתנים באמצעות אפליקציית IO בנוגע לאיכות וקטגוריית הסחורה הנרכשת בנוסף ל IBAN של חשבונות השוטף הבנקאיים.
ביחס לדלייה של מה שמכונה "הגרלת הקבלה", זרם עצום של נתונים המופעל באינטרנט ייחשף ללא הרף לאפשרות שיירטט מאחר שהליך ההרשמה התחיל כבר היווה כל כך הרבה בעיות וכאלה שהוא לא קשה לחזות פצע בחשבונות השוטפים עם פרופילי אחריות כתוצאה מכך בין MEF, בנקים ומפעילי רשתות.
כמו כן, יש לציין כי חברת ספא PagoPA מצדה מצהירה על עצמה שהיא המפקחת על המידע במקום בו ה- MEF מכשיר אותם, לעומת זאת, כמעבדי נתונים. PagoPA מצהירה על עצמה כבעליה אך רק לשימוש במערכות המחשב ובנהלי התוכנה המשמשים להפעלת האתר ולנתונים הנרכשים במהלך תרגיל השידור הרגיל שלהם הכרוכים בשימוש בפרוטוקולי תקשורת באינטרנט. עכשיו מובן שההחזר הכספי הוא על בסיס וולונטרי, מכיוון שהמשתמש צריך להפעיל אותו כדי להיות מסוגל לקבל אותו ולהכניס אותו, תמיד על בסיס וולונטרי, כגון כרטיסים, כרטיסי חיוב או כרטיסי אשראי עם IBAN כדי להפעיל באמצעותו תשלומי ה"פרמיה "הועברו כולם לפעולתם ולאחריותם של המשתמשים. עם זאת, מר לדווח שאחרי אפליקציית IMMUNI לפשיטת הרגל שגורלה התאפיין בסכנה לפרטיות עם אפליקציית IO, כלומר באמצעות פעולת CD. "קאשבק ממלכתי" לאיטלקים, הפרטיות שווה 150 יורו בלבד.