Cashback is de afleiding van privacy
Het gebruik van elektronische betaalmiddelen: cashback
(door Giuseppe Gorga, Aidr-partner) De Covid-19-pandemie heeft de digitalisering van mobiliteitsdiensten sterk versneld, een revolutie die een belangrijke rol speelt in industriële strategieën en in nieuwe bedrijfsmodellen waarbij PA's en bedrijven betrokken zijn. De constante groei van elektronische betalingsoplossingen heeft de trend bevestigd, die al vóór de crisis werd gesteund in de transportsector, die richting het principe van 'mobility as a service' gaat. Gezien de steeds actievere rol van gebruikers bij slimme mobiliteit, hebben verschillende bedrijven voelde de noodzaak om één enkele eenvoudige infrastructuur aan te nemen die de burger directe toegang geeft tot alle mobiliteitsdiensten.
Onder de "kleine" voorbeelden moet het platform worden genoemd dat is ontwikkeld door SIA, een bedrijf gecontroleerd door CDP Equity. De digitale tool omvat een compleet pakket aan diensten om bus-, metro- en parkeerkaarten rechtstreeks met kaart of smartphone te betalen, met de garantie van het beste tarief. De innovatieve service stelt u in staat om het metro- en spoorwegnetkaartje rechtstreeks aan het draaihek te betalen met contactloze creditcards en debetkaarten (Mastercard, VISA en American Express), zelfs gevirtualiseerd op smartphones en draagbare apparaten, op een gemakkelijke, snelle en veilige manier. Het is mogelijk om uw creditcard te gebruiken alsof het een maandpas is: een methode die beschikbaar is voor gebruikers die, nadat ze de pas online hebben gekocht met een contactloze creditcard, dezelfde kaart kunnen gebruiken om zich over het hele openbaarvervoernetwerk te verplaatsen inwoner.
Het fenomeen heeft een aanzienlijk belang gekregen en daarom, als een enorm fenomeen, kon het niet anders dan in de mazen van privacyregulering vallen als een wijdverbreid fenomeen van cashback. In dit verband is de reguleringsregeling - onder toezicht van de Privacy Garant - van het Ministerie van Economische Zaken en Financiën, die de voorwaarden en criteria bevat voor de toekenning van beloningsmaatregelen voor het gebruik van elektronische betaalinstrumenten, de zogenaamde cashback, aangenomen op grond van artikel 1, leden 288 tot 290, van wet nr. 27, bepalingen gewijzigd en geïntegreerd door de wetsdecreet 2019 augustus 160, n. 14 tot art. 2020, die twee paragrafen 104-bis en 73-ter toevoegt (wet van de staatsbegroting voor het begrotingsjaar 289 en meerjarenbegroting voor de periode van drie jaar) maakt deel uit van de strategie, die al lang wordt gepropageerd door de Italiaanse regering, die het gebruik van contant geld bij transacties tussen marktdeelnemers en consumenten wil ontmoedigen, voorzie ik ook in een terugbetaling in contanten van betalingen die met elektronische middelen zijn gedaan, de zogenaamde. "Loterij" van de ontvangsten vervat in laatstgenoemde begrotingswet.
In het specifieke geval bepaalt de nieuwe paragraaf 289-bis van de regelgevende tekst in kwestie dat het ministerie van Economie en Financiën voor de uitvoering van de beloningsmaatregel gebruik moet maken van het technologische platform voor interconnectie en interoperabiliteit tussen overheidsdiensten en geautoriseerde betalingsdienstaanbieders, ingevolge artikel 5, tweede lid, van wetsbesluit n. 2, beheerd door het bedrijf PagoPA SpA Vervolgens wordt gespecificeerd dat het ministerie het bedrijf PagoPA SpA moet belasten met het ontwerp, de implementatie en het beheer van het informatiesysteem dat van belang is voor de berekening van de terugbetaling. Bovendien wordt met paragraaf 7-ter beoogd dat dezelfde dicasterie aan Consap - Concessionaria Servizi Assicurativi Pubblici SpA - alle diensten toevertrouwt die inherent zijn aan de verrichtingen van uitbetaling van de terugbetaling en de aanvullende ondersteunende en instrumentele activiteiten, inclusief het beheer van het geschil.
De cashback-afwikkeling
De verordening - die bestaat uit 12 artikelen - die hier op een essentiële en tijdige manier wordt besproken, legt de discipline vast van de voorwaarden, gevallen, criteria en uitvoeringsmethoden voor de toekenning van een geldteruggave ten gunste van individuen. in de staat wonende meerderjarigen die buiten de uitoefening van een bedrijf, kunst of beroep aankopen doen bij handelaars met elektronische betaalinstrumenten (artikel 2). Zoals blijkt uit de keuze van de onderwerpen, heeft de wetgever zich er allereerst op gericht te voorkomen dat minderjarigen deelnemen aan dit soort "loterijen" en ten tweede dat meerderjarige volwassenen kunnen deelnemen aan de uitoefening van een zakelijke activiteit, kunst of beroep.
Zoals verwacht, werd het terugbetalingsprogramma, gecreëerd via het "Cashback-systeem", voorbereid en beheerd door het bedrijf PagoPA Spa als onderdeel van het technologische platform - voorzien en geregeld door artikel 5, paragraaf 2, van de CAD - dat verzamelt gegevens, voor deelname aan het programma, van de "leden" en "handelaren", en die, zodra de rangschikking is bepaald, de gerelateerde informatie verzenden naar de APP IO en naar de systemen die beschikbaar zijn gesteld door de zogenaamde "aangesloten emittenten" en, voor de doeleinden van de uitbetaling van de terugbetaling, aan de Consap-Concessionaria openbare verzekeringsdiensten SpA
Artikel 3 beschrijft de methoden om deel te nemen aan het vergoedingsprogramma, en benadrukt in het bijzonder het vrijwillige karakter van deelname aan het programma zelf, waarbij persoonsgegevens worden vrijgegeven, variërend van zeer invasieve gegevens, zoals belastingcode naar banknummers. De regel bepaalt in feite dat de "aangeslotene" zich moet registreren in de APP IO, of in de systemen die beschikbaar zijn gesteld door een aangesloten uitgever, zijn belastingcode en een of meer elektronische hulpmiddelen die hij van plan is te gebruiken om betalingen te doen. , waarbij zij op het moment van registratie verklaren de geregistreerde betaalinstrumenten uitsluitend te gebruiken voor aankopen buiten de uitoefening van een zakelijke activiteit, kunst of beroep (artikel 3, leden 1, 2 en 3).
In feite specificeert artikel 4 van de verordening met name de technische methoden om zich aan het systeem te houden door de zogenaamde 'Aangesloten acquirers' en, dat wil zeggen, door proefpersonen die een overeenkomst hebben gesloten met de 'handelaar' voor de acceptatie van betaalinstrumenten via fysieke apparaten, houders van een overeenkomst met PagoPA SpA voor deelname aan het Programma, of Bancomat SpA, in de veronderstelling van ondertekening van de overeenkomst met PagoPA SpA zelf Artikel 5 voorziet in specifieke overeenkomsten tussen het Ministerie van Economie en Financiën en PagoPA SpA en tussen het bovengenoemde departement en Consap SpA voor de werking van het programma. In het bijzonder regelt paragraaf 1 van artikel 5 de overeenkomst tussen het ministerie en PagoPA SpA, voor het ontwerp, de implementatie en het beheer van specifieke functies binnen het Cashback-systeem, zoals het verzamelen van gegevens met betrekking tot leden en betalingen en, daarom loopt een aanzienlijke hoeveelheid gegevens een hoog risico voor de vrijheid en waardigheid van de proefpersonen die aan het programma deelnemen. Paragraaf 2 regelt daarentegen de MEF-Consap SpA-overeenkomst, voor het beheer van terugbetalingen en klachten, waarbij er aanvullende persoonlijke gegevens zullen zijn die ook in de rechtbank kunnen worden ontvangen. De gedetailleerde cashbackdiscipline is te vinden in artikel 6, waar ook de maatregelen en referentieperiodes worden vastgesteld, terwijl artikel 7 voorziet in een tijdelijke experimentele fase, geldig van 1 december 2020 tot en met 31 december 2020, gericht op een anticiperen op de uitvoering van het terugbetalingsprogramma, exclusief voor leden die een bepaald aantal transacties hebben uitgevoerd. Artikel 8 daarentegen voorziet in een speciale terugbetaling voor de eerste honderdduizend leden die in totaal het grootste aantal transacties met elektronische betaalinstrumenten hebben gedaan.
Ze zijn gespecificeerd in art. 9 de wijze van uitbetaling van de terugbetaling, die plaatsvindt door middel van creditering door middel van de IBAN-code die door het lid wordt meegedeeld op het moment van deelname aan het programma, of op een later tijdstip, terwijl artikel 10 de wijze van afhandeling van klachten regelt. In het bijzonder wordt in lid 1 bepaald dat PagoPA SpA een helpdeskservice ter beschikking stelt die de leden bijstaat voor alle aspecten die verband houden met het beheer van het gebruikersprofiel en de diensten die via de APP IO worden geleverd, inclusief eventuele geschillen in dit verband. de registratie van de uitgevoerde transacties. Ten slotte regelt artikel 12 - getiteld "Behandeling van persoonsgegevens" - enkele belangrijke aspecten van gegevensbescherming. Allereerst identificeert het de rollen, functies en verantwoordelijkheden van de verschillende onderwerpen die bij het systeem betrokken zijn, namelijk het Ministerie van Economie en Financiën, PagoPA SpA, Consap SpA en de emittenten en acquirers onder overeenkomst - eigendom, verantwoordelijkheid en subverantwoordelijkheid van de behandeling; paragrafen 1-5-. Het is dan de bedoeling dat het Ministerie, voorafgaand aan de verwerking, de effectbeoordeling overeenkomstig artikel 35 van de Verordening zal uitvoeren en deze zal onderwerpen aan de voorafgaande verificatie van de Garant; Het is de bedoeling dat de technische en organisatorische maatregelen die zijn opgezet en worden gebruikt om een beveiligingsniveau te garanderen dat geschikt is voor het risico, ook moeten worden aangegeven voor de beoordeling, en dat de tijden en methoden voor annulering uit het programma moeten worden gereguleerd (paragrafen 6 en 7). In overeenstemming met het principe van de doeleinden van de verwerking, mogen de verzamelde persoonsgegevens uitsluitend worden verwerkt voor de uitvoering van het Programma en voor de realisatie van de verwachte terugbetaling, waarbij de verwerking van de gegevens met betrekking tot de identificatie van de handelaar wordt beperkt met als enig doel de betrokken transacties te verifiëren. van klacht (paragraaf 8). Ten slotte machtigt paragraaf 9 van het artikel het ministerie om statistieken uit te voeren over de uitvoering van het programma, waarbij ook de persoonsgegevens van de leden worden verwerkt met betrekking tot deelname aan het programma, het aantal en de waarde van de uitgevoerde transacties, evenals de betaalde vergoedingen, in overeenstemming met de relevante deontologische regels (Deontologische regels voor behandelingen voor statistische of wetenschappelijke onderzoeksdoeleinden die worden uitgevoerd binnen het Nationaal Statistisch Systeem, waarnaar wordt verwezen in bijlage A bij de Code, die volledig in het schema moeten worden vermeld).
Hierbij moet worden opgemerkt dat het vrij duidelijk is dat de verwerking van gegevens die ten grondslag liggen aan de werking van het programma grote risico's met zich meebrengt voor de rechten en vrijheden van de belanghebbende partijen die voortvloeien uit de massale en algemene verzameling van gedetailleerde informatie die mogelijk betrekking heeft op elk aspect van het leven. van de gehele bevolking, die specifieke beoordelingen vereisen met betrekking tot de evenredigheid van de verwerking en de identificatie van de maatregelen die moeten worden genomen om te voldoen aan de vereisten van de verordening. Wat de tekst betreft, waren de opmerkingen en suggesties van de Autoriteit van de Privacy Garant in feite nauwkeurig en relevant. Samenvattend moet dus worden bedacht dat de rechtsgrondslag die het toestaat evenredig moet zijn met de nagestreefde doeleinden en de andere wettelijke vereisten moet bevatten waarin de Europese en nationale wetgeving inzake gegevensbescherming voorziet (artikel 6, lid 3, verordening). Vanuit dit oogpunt vertoont de verordening in feite duidelijke kritieken, aangezien niet wordt gespecificeerd dat het IT-systeem in kwestie - Cashback-systeem - niet samenvalt met het technologisch platform bedoeld in artikel 5, lid 2, van de CAD, maar opereert in de van hetzelfde. Bovendien zijn de rollen en verantwoordelijkheden van de verschillende bij het systeem betrokken onderwerpen op het gebied van gegevensbescherming niet expliciet vastgesteld (artikel 12, leden 1-5). De regelgevende wetgeving moet daarom gericht zijn op de noodzaak om de doeleinden van het maken van de cd te omschrijven. de behandelingen die zijn uitgevoerd in overeenstemming met het doelbindingsbeginsel cashbacken en om een aanvullende specifieke garantie in te voeren met betrekking tot de verwerking van de identificatoren van de handelaars met wie de transacties die naar het Cashback-systeem worden verzonden, zullen worden uitgevoerd (artikel 12, lid 8).
Bovendien moeten maatregelen worden genomen om ervoor te zorgen dat kopers alleen de gegevens aan het systeem doorgeven die betrekking hebben op transacties die zijn uitgevoerd via de betaalinstrumenten die zijn aangegeven door de partijen die aan het initiatief deelnemen (artikelen 4, leden 1 en 2, en 5, lid 1) en dit ook om de manieren waarop de APP IO, of de systemen die door de uitgevende instellingen beschikbaar worden gesteld, de bedragen van de verschuldigde vergoedingen en de positie in de rangorde, in overeenstemming met het minimaliseringsbeginsel, beter te definiëren (artikel 5, leden 1, letter e). Het zal ook nodig zijn om de methoden en tijden voor het opslaan van gegevens te identificeren en de maatregelen die nodig zijn om ervoor te zorgen dat de informatie wordt verwerkt gedurende de tijd die strikt noodzakelijk is om de specifieke doeleinden te bereiken en vervolgens wordt verwijderd (artikelen 4, lid 5 en 12, leden 7 en 9 ), evenals het definiëren, met het oog op meer garantie, van enkele veiligheidsmaatregelen die moeten worden genomen bij de verwerking van gegevens, met bijzondere verwijzing naar de bescherming, door middel van niet-omkeerbare cryptografische functies, van de identificatoren van de elektronische betaalinstrumenten (PAN, primair rekeningnummer) die in gebruik zijn op proefpersonen die zich aan het initiatief houden, mede in overeenstemming met de PCI DSS (Payment Card Industry Data Security Standard) (artikel 4, lid 1). Het zal ook nodig zijn om de garanties te specificeren die moeten worden toegepast op de verwerking van persoonsgegevens door het ministerie voor statistische doeleinden in de context van het Nationaal Statistisch Systeem, waarbij de soorten gegevens die kunnen worden verwerkt worden beperkt (artikel 12, lid 9) en het uitvoeren van een evaluatie impact van de verwerking, in het licht van het hoge risico dat erin bestaat, om de technische en organisatorische maatregelen te identificeren die geschikt zijn om een adequaat beveiligingsniveau te garanderen (artikel 12, leden 6 en 7).
Ten slotte moet in het kader van de verificatie van de effectbeoordeling worden gekeken naar de kenmerken van met name de APP IO, het beoogde gebruik van pushmeldingen, de automatische activering van diensten waar de gebruiker niet uitdrukkelijk om heeft verzocht, en de overdracht van persoonsgegevens aan Derde landen moeten echter worden bijgewerkt in het licht van het recente arrest van het Hof van Justitie in de zaak Schrems II (16 juli 2020, zaak C-311/18).
3 De zekerheid van cashback
Met betrekking tot de cashback-beveiligingsprofielen moet in gedachten worden gehouden dat de eigenaar van de verwerking van persoonsgegevens het Ministerie van Economie en Financiën (MEF) is, dat gebruik maakt van PagoPA SpA en Consap SpA, bedrijven die eigendom zijn van de staat, zoals Verantwoordelijk voor de verwerking van persoonsgegevens in overeenstemming met art. 28 van de RGPD) voor het uitvoeren van de activiteiten die nodig zijn om de deelname van de leden aan het programma en de tijdige uitbetaling van vergoedingen in hun voordeel te garanderen, en om het beheer van eventuele klachten en / of geschillen die voortvloeien uit deelname aan het programma mogelijk te maken.
Daarom doet zich een probleem van gegevensbeveiliging voor, in publieke handen, aangezien in de specifieke kwestie persoonlijke en specifieke gegevens worden verstrekt via de IO-app met betrekking tot de kwaliteit en categorie van de goederen die worden gekocht naast de IBAN's van bankrekeningen.
Met betrekking tot het delirium van de zogenaamde 'bonnenloterij', zal een enorme stroom aan gegevens die op internet loopt voortdurend worden blootgesteld aan de mogelijkheid om te worden onderschept, aangezien de gestarte registratieprocedure al zoveel problemen heeft opgeleverd dat het niet moeilijk is om een vulnus in betaalrekeningen met daaruit voortvloeiende verantwoordelijkheidsprofielen tussen MEF, banken en netbeheerders.
Er moet ook worden opgemerkt dat het bedrijf PagoPA Spa op zijn beurt zichzelf verklaart de gegevensbeheerder te zijn, waar de MEF hen daarentegen kwalificeert als gegevensverwerkers. PagoPA verklaart zichzelf de eigenaar, maar alleen voor het gebruik van de computersystemen en softwareprocedures die worden gebruikt om de site te beheren en de gegevens die worden verkregen tijdens hun normale overdracht, waarbij gebruik wordt gemaakt van internetcommunicatieprotocollen. Nu is bekend dat de cashback op vrijwillige basis is, aangezien de gebruiker dan moet activeren om deze te kunnen hebben en in te voeren, altijd op vrijwillige basis, zoals kaarten, debetkaarten of creditcards met IBAN om te activeren waarop de betalingen van de 'premie' allemaal worden overgemaakt op de actie en verantwoordelijkheid van de gebruikers. Het is echter bitter om te melden dat na het faillissement de IMMUNI-app wiens lot werd gekenmerkt door het gevaar voor de privacy met de IO-app, dat wil zeggen met een cd-operatie. “Staatscashback” voor Italianen, privacy is slechts 150 euro waard.