Cashback to wabik prywatności
Korzystanie z elektronicznych instrumentów płatniczych: cashback
(autor: Giuseppe Gorga, partner Aidr) Pandemia Covid-19 dała silne przyspieszenie cyfryzacji usług mobilności, rewolucji, która odgrywa pierwszoplanową rolę w strategiach przemysłowych i nowych modelach biznesowych, które obejmują agencje płatnicze i przedsiębiorstwa. Stały rozwój elektronicznych rozwiązań płatniczych potwierdza wspierany już przed kryzysem w branży transportowej trend zmierzający w stronę zasady „mobilność jako usługa” Biorąc pod uwagę coraz aktywniejszą rolę użytkowników w inteligentnej mobilności, kilka firm odczuwa potrzeba przyjęcia jednej prostej infrastruktury, która umożliwi obywatelom bezpośredni dostęp do wszystkich usług w zakresie mobilności.
Wśród „pomniejszych” przykładów należy wymienić platformę opracowaną przez SIA, spółkę zależną CDP Equity. Cyfrowe narzędzie zawiera pełen pakiet usług umożliwiających opłacenie biletów autobusowych, metra i parkingowych bezpośrednio kartą lub smartfonem, z gwarancją najlepszej ceny. Ta innowacyjna usługa umożliwia płacenie za bilet na metro i sieć kolejową bezpośrednio przy kołowrotku za pomocą zbliżeniowych kart kredytowych i debetowych (Mastercard, VISA i American Express), nawet zwirtualizowanych na smartfonach i urządzeniach do noszenia, w łatwy, szybki i bezpieczny sposób. można korzystać z karty kredytowej tak, jakby to był bilet miesięczny: metoda dostępna dla użytkowników, którzy po zakupie karnetu online za pomocą zbliżeniowej karty kredytowej mogą używać tej samej karty do poruszania się po całej sieci komunikacji miejskiej.
Zjawisko to nabrało znacznego znaczenia i dlatego jako zjawisko masowe nie mogło nie wpaść w siatki regulacji prywatności jako powszechne zjawisko cashbacku. W tym zakresie system regulacji - pod lupą Gwaranta Prywatności - Ministerstwa Gospodarki i Finansów, zawierający warunki i kryteria przyznawania środków premiowania za korzystanie z elektronicznych instrumentów płatniczych, tzw. Cashback, przyjęty na podstawie art. artykuł 1 paragrafy od 288 do 290 ustawy nr. 27, przepisy zmienione i zintegrowane dekretem z mocą ustawy 2019 sierpnia 160 r., N. 14 do art. 2020, który dodał dwa paragrafy 104-bis i 73-ter (ustawa budżetowa na rok budżetowy 289 i wieloletni budżet na okres trzyletni) jest częścią strategii, którą od dawna propaguje włoski Rząd, który chce zniechęcić do wykorzystywania gotówki w transakcjach pomiędzy przedsiębiorcami a konsumentami, przewiduję również zwrot gotówki w przypadku płatności dokonywanych przy użyciu instrumentów elektronicznych, tzw. „Loteria” wpływów zawartych w drugiej ustawie budżetowej.
W tym konkretnym przypadku nowy ust. 289-bis przedmiotowego tekstu regulacyjnego przewiduje, że w celu wdrożenia środka wynagradzania Ministerstwo Gospodarki i Finansów musi korzystać z platformy technologicznej w zakresie wzajemnych połączeń i interoperacyjności między administracjami publicznymi a autoryzowanymi dostawcami usług płatniczych, zgodnie z art. 5 ust. 2 dekretu ustawodawczego nr. 7, zarządzany przez spółkę PagoPA SpA, następnie określono, że Ministerstwo będzie musiało powierzyć spółce PagoPA SpA zaprojektowanie, wdrożenie i zarządzanie systemem informatycznym niezbędnym do wyliczenia refundacji. Ponadto, w paragrafie 2005-ter przewiduje się, że ta sama dykasteria powierzy Consap - Concessionaria Servizi Assicurativi Pubblici SpA - wszystkie usługi związane z operacjami wypłaty zwrotu kosztów oraz dodatkowymi działaniami pomocniczymi i instrumentalnymi, w tym zarządzaniem sporem.
Rozliczenie cashbacku
Rozpatrywane tutaj rozporządzenie - składa się z 12 artykułów - w sposób istotny i terminowy określa zdyscyplinowanie warunków, przypadków, kryteriów i metod realizacji przydziału zwrotu pieniężnego na rzecz osób fizycznych. pełnoletni, zamieszkujący na terytorium Państwa, który poza prowadzeniem działalności gospodarczej, artystycznej lub zawodowej dokonuje zakupów od handlowców za pomocą elektronicznych instrumentów płatniczych (art. 2). Jak wynika z doboru tematów, ustawodawca zadbał przede wszystkim o to, by nieletni uczestniczyć w tego rodzaju „loterii”, a po drugie, aby pełnoletni udział w wykonywaniu działalności gospodarczej, artystycznej lub zawodowej.
Zgodnie z przewidywaniami program refundacyjny, utworzony za pośrednictwem „Cashback System”, został przygotowany i jest zarządzany przez firmę PagoPA Spa w ramach platformy technologicznej - przewidzianej i regulowanej art. 5 ust. 2 CAD - która gromadzi dane, w celu uczestniczenia w Programie „członków” i „akceptantów” oraz że po zdefiniowaniu rankingu przekazuje powiązane informacje do IO APP i do systemów udostępnianych przez tak zwanych „emitentów stowarzyszonych” "oraz, w celu wypłaty zwrotu kosztów, spółce Consap-Concessionariaublic Insurance Services SpA.
Artykuł 3 szczegółowo określa sposoby przystąpienia do programu refundacyjnego, w szczególności podkreśla dobrowolny charakter samego udziału w programie, co wiąże się z ujawnieniem danych osobowych, od bardzo inwazyjnych, takich jak kod podatkowy, po dane bankowe. Reguła w istocie przewiduje, że podmiot „uprawniony” musi zarejestrować się w IO APP lub w systemach udostępnionych przez powiązanego emitenta, jego kod podatkowy i jedno lub więcej narzędzi elektronicznych, których zamierza używać do dokonywania płatności. oświadczenie w momencie rejestracji o korzystaniu z zarejestrowanych instrumentów płatniczych wyłącznie do zakupów poza prowadzeniem działalności gospodarczej, artystycznej lub zawodowej (art. 3 ust. 1, 2 i 3).
W istocie art. 4 rozporządzenia określa w szczególności techniczne metody przystąpienia do systemu przez tzw „Afiliowani agenci rozliczeniowi”, czyli podmioty, które zawarły z „akceptantem” umowę na przyjmowanie instrumentów płatniczych za pośrednictwem urządzeń fizycznych, posiadacze umowy z PagoPA SpA o uczestnictwo w Programie lub Bancomat SpA na założenie samego podpisania umowy z PagoPA SpA Art. 5 przewiduje szczegółowe porozumienia pomiędzy Ministerstwem Gospodarki i Finansów a PagoPA SpA oraz pomiędzy ww. departamentem a Consap SpA na funkcjonowanie Programu. W szczególności paragraf 1 artykułu 5 reguluje umowę pomiędzy Ministerstwem a PagoPA SpA dotyczącą projektowania, wdrażania i zarządzania określonymi funkcjami w ramach Systemu Cashback, takimi jak gromadzenie danych dotyczących członków i płatności, a tym samym znaczna ilość danych narażonych na wysokie ryzyko dla samej wolności i godności uczestników programu. Z drugiej strony paragraf 2 reguluje umowę MEF-Consap SpA dotyczącą zarządzania zwrotami i reklamacjami, w przypadku których będą dodatkowe dane osobowe, które można również uzyskać w sądzie. Szczegółową dyscyplinę dotyczącą cashbacku można znaleźć w art. 6, w którym określono również środki i okresy odniesienia, podczas gdy art. 7 przewiduje tymczasową fazę eksperymentalną, ważną od 1 grudnia 2020 r. Do 31 grudnia 2020 r., Mającą na celu umożliwienie przewidywania wdrożenia program zwrotu kosztów, wyłącznie dla członków, którzy przeprowadzili określoną liczbę transakcji. Z drugiej strony, art. 8 ustanawia specjalny zwrot kosztów dla pierwszych stu tysięcy członków, którzy zsumowali największą liczbę transakcji za pomocą elektronicznych instrumentów płatniczych.
Określa je art. 9 sposoby wypłaty zwrotu, które następuje poprzez zaksięgowanie za pomocą kodu IBAN podanego przez uczestnika w momencie przystąpienia do Programu lub w późniejszym terminie, natomiast art. 10 reguluje sposoby rozpatrywania reklamacji. W szczególności paragraf 1 stanowi, że PagoPA SpA udostępnia usługę Help Desk dedykowaną członkom pomocy we wszystkich aspektach związanych z zarządzaniem profilem użytkownika i usługami świadczonymi za pośrednictwem APP IO, w tym wszelkich sporów w tym zakresie. dokonane transakcje. Wreszcie artykuł 12 - zatytułowany „Przetwarzanie danych osobowych” - reguluje niektóre ważne aspekty ochrony danych. Przede wszystkim określa role, funkcje i obowiązki różnych podmiotów zaangażowanych w system, a mianowicie Ministerstwa Gospodarki i Finansów, PagoPA SpA, Consap SpA oraz emitentów i nabywców objętych umową - własność, odpowiedzialność i subodpowiedzialność leczenie; pkt 1-5-. Przewiduje się wówczas, że Ministerstwo przeprowadzi, przed przetworzeniem, ocenę skutków zgodnie z art. 35 rozporządzenia i przedłoży ją do uprzedniej weryfikacji Gwaranta; przewiduje się, że do oceny muszą być również wskazane środki techniczne i organizacyjne ustanowione i stosowane w celu zagwarantowania poziomu bezpieczeństwa adekwatnego do ryzyka, a terminy i metody anulowania z Programu muszą być uregulowane (paragrafy 6 i 7) . Zgodnie z zasadą celów przetwarzania, zebrane dane osobowe mogą być przetwarzane wyłącznie w celu realizacji Programu i realizacji oczekiwanego zwrotu, ograniczając przetwarzanie danych dotyczących identyfikatora akceptanta dla wyłącznie w celu weryfikacji transakcji, których dotyczy reklamacja (pkt 8). Wreszcie paragraf 9 artykułu upoważnia Ministerstwo do prowadzenia statystyk realizacji Programu, a także przetwarzania danych osobowych Członków, dotyczących udziału w Programie, liczby i wartości przeprowadzonych transakcji, a także wypłacone refundacje, zgodnie z odpowiednimi zasadami deontologicznymi (zasady deontologiczne dotyczące zabiegów do celów statystycznych lub naukowych prowadzonych w ramach Krajowego Systemu Statystycznego, o których mowa w załączniku A do Kodeksu, które powinny być w całości wymienione w schemacie)
W tym miejscu należy zauważyć, że jest całkiem jasne, że przetwarzanie danych leżących u podstaw funkcjonowania Programu stwarza wysokie ryzyko dla praw i wolności zainteresowanych stron, wynikające z masowego i ogólnego gromadzenia szczegółowych informacji, potencjalnie odnoszących się do każdego aspektu życia całej populacji, które wymagają szczegółowych ocen dotyczących proporcjonalności leczenia i określenia środków, jakie należy przyjąć w celu spełnienia wymogów rozporządzenia. W rzeczywistości, jeśli chodzi o tekst, spostrzeżenia i sugestie organu ds. Gwarantowania prywatności były precyzyjne i trafne. Podsumowując, należy zatem uznać, że podstawa prawna, która to uprawnia, powinna być proporcjonalna w stosunku do realizowanych celów i zawierać inne wymogi dotyczące zgodności z prawem przewidziane w europejskich i krajowych przepisach dotyczących ochrony danych (art. 6 ust. 3 rozporządzenia). Z tego punktu widzenia rozporządzenie przedstawia w istocie ewidentne krytyczne aspekty, gdyż nie sprecyzowano, że omawiany system informatyczny - Cashback System - nie pokrywa się z platformą technologiczną, o której mowa w art. 5 ust. 2 CAD, ale działa w tym samym. Ponadto role i obowiązki różnych podmiotów zaangażowanych w system w zakresie ochrony danych nie zostały wyraźnie określone (art. 12 ust. 1-5). Ustawodawstwo powinno zatem mieć na celu potrzebę określenia celów tworzenia płyty CD. cashback za zabiegi przeprowadzone zgodnie z zasadą ograniczenia celu oraz wprowadzenie dodatkowej szczególnej gwarancji w odniesieniu do przetwarzania identyfikatorów akceptantów, z którymi będą realizowane transakcje przekazywane do systemu Cashback (art. 12 ust. 8 ).
Ponadto należy wprowadzić środki zapewniające, że kupujący będą przekazywać do systemu wyłącznie dane dotyczące transakcji dokonywanych za pośrednictwem instrumentów płatniczych wskazanych przez strony uczestniczące w inicjatywie (art. 4 ust. 1 i 2 oraz art. 5 ust. 1). także w celu lepszego zdefiniowania sposobów, w jakie IO APP lub systemy udostępnione przez emitentów udostępniają członkom, zgodnie z zasadą minimalizacji, kwoty należnych zwrotów i pozycję w rankingu (art. ust. 5 lit. e). Konieczne będzie również określenie metod i czasu przechowywania danych oraz środków niezbędnych do zapewnienia, że informacje są przetwarzane przez czas ściśle niezbędny do osiągnięcia określonych celów, a następnie usuwane (art. 1 ust. 4 i 5 ust. 12). oraz 7), a także zdefiniowanie, w celu większej gwarancji, niektórych środków bezpieczeństwa, jakie należy przyjąć przy przetwarzaniu danych, ze szczególnym uwzględnieniem ochrony, poprzez nieodwracalne funkcje kryptograficzne, identyfikatorów elektronicznych instrumentów płatniczych (PAN, Primary Account Number) w użyciu dla podmiotów, które przystąpiły do inicjatywy, również zgodnie ze standardem PCI DSS (Payment Card Industry Data Security Standard) (art. 9 ust. 4). Konieczne będzie również sprecyzowanie gwarancji, jakie będą miały zastosowanie przy przetwarzaniu danych osobowych przez Ministerstwo dla celów statystycznych w kontekście Krajowego Systemu Statystycznego, ograniczając rodzaje danych, które mogą być przetwarzane (art. 1 ust. 12 ) oraz dokonanie oceny wpływu przetwarzania, biorąc pod uwagę występujące w nim wysokie ryzyko, w celu określenia środków technicznych i organizacyjnych odpowiednich do zagwarantowania odpowiedniego poziomu bezpieczeństwa (art. 9 ust. 12 i 6).
Wreszcie, w ramach weryfikacji oceny skutków, należy zbadać cechy IO APP, w szczególności zamierzone wykorzystanie powiadomień push, automatyczną aktywację usług, które nie zostały wyraźnie zażądane przez użytkownika, a także przeniesienie dane osobowe przekazywane do państw trzecich mają jednak zostać zaktualizowane w świetle niedawnego orzeczenia Trybunału Sprawiedliwości w sprawie Schrems II (16 lipca 2020 r., sprawa C-311/18).
3 Bezpieczeństwo zwrotu gotówki
W odniesieniu do profili bezpieczeństwa cashbacku należy mieć na uwadze, że właścicielem przetwarzania danych osobowych jest Ministerstwo Gospodarki i Finansów (MEF), które korzysta z PagoPA SpA i Consap SpA, spółek Skarbu Państwa, m.in. Odpowiedzialny za przetwarzanie danych osobowych zgodnie z art. 28 RGPD) za prowadzenie działań niezbędnych do zagwarantowania udziału Członków w Programie i terminowej wypłaty zwrotów na ich rzecz, a także za zarządzanie ewentualnymi reklamacjami i / lub sporami wynikającymi z udziału w Programie Program.
W związku z tym pojawia się problem bezpieczeństwa danych w rękach publicznych, ponieważ w konkretnej sprawie dane osobowe i szczegółowe są przekazywane za pośrednictwem aplikacji IO w zakresie jakości i kategorii towarów, które są kupowane oprócz numerów IBAN bankowych rachunków bieżących.
W związku z delirium tzw. „Loterii paragonowej” ogromny przepływ danych biegnących w Internecie będzie stale narażony na możliwość przechwycenia, gdyż rozpoczęta procedura rejestracyjna stwarzała już tyle problemów, że nie jest. Trudno przewidzieć wulnus na rachunkach bieżących i wynikające z tego profile odpowiedzialności pomiędzy MEF, Bankami i operatorami sieci.
Należy również zaznaczyć, że firma PagoPA Spa deklaruje się z kolei jako Administrator Danych, gdzie MEF kwalifikuje ich jako podmioty przetwarzające dane. PagoPA deklaruje siebie jako właściciela, ale tylko w odniesieniu do korzystania z systemów komputerowych i procedur oprogramowania używanych do obsługi witryny oraz danych, które są pozyskiwane podczas ich normalnej transmisji z wykorzystaniem protokołów komunikacji internetowej. Teraz wiadomo, że zwrot gotówki jest dobrowolny, ponieważ użytkownik musi następnie aktywować, aby móc go mieć i włożyć, zawsze na zasadzie dobrowolności, takiej jak karty, karty debetowe lub karty kredytowe z IBAN, aby aktywować, na których wszystkie płatności „premii” przekazane na działanie i odpowiedzialność użytkowników. Gorzko jest jednak donosić, że po bankructwie aplikacja IMMUNI, której los naznaczony był zagrożeniem prywatności z aplikacją IO, czyli operacją na płycie CD „State cashback” dla Włochów, prywatność jest warta tylko 150 euro.