Кэшбэк - приманка для приватности 

Использование электронных платежных инструментов: кэшбэк

(Джузеппе Горга, партнер Aidr) Пандемия Covid-19 дала сильное ускорение оцифровке мобильных услуг, революцию, которая играет приоритетную роль в промышленных стратегиях и новых бизнес-моделях с участием PA и компаний. Постоянный рост решений для электронных платежей подтвердил тенденцию, уже поддерживавшуюся в транспортном секторе до кризиса, которая идет в сторону принципа «мобильность как услуга». Учитывая все более активную роль пользователей в интеллектуальной мобильности, несколько компаний почувствовал необходимость принять единую простую инфраструктуру, которая позволит гражданам получить прямой доступ ко всем мобильным услугам.

      Среди «второстепенных» примеров следует отметить платформу, разработанную SIA, компанией, контролируемой CDP Equity. Цифровой инструмент включает в себя полный набор услуг по оплате билетов на автобус, метро и парковку напрямую с помощью карты или смартфона с гарантией лучшей цены. Инновационная услуга позволяет оплачивать проезд в метро и железнодорожной сети прямо на турникете с помощью бесконтактных кредитных и дебетовых карт (Mastercard, VISA и American Express), также виртуализированных на смартфонах и носимых устройствах, простым, быстрым и безопасным способом. Можно использовать свою кредитную карту, как если бы это был месячный проездной: метод, доступный для пользователей, которые после покупки абонемента через Интернет с помощью бесконтактной кредитной карты могут использовать ту же карту для передвижения по всей сети общественного транспорта. гражданин.

Это явление приобрело большое значение и, следовательно, как массовое явление, оно не могло не попасть в систему регулирования конфиденциальности как широко распространенное явление кэшбэка. В связи с этим была принята схема регулирования - находящаяся под пристальным вниманием Гаранта конфиденциальности - Министерства экономики и финансов, содержащая условия и критерии распределения мер вознаграждения за использование электронных платежных инструментов, так называемого кэшбэка. согласно пунктам 1–288 статьи 290 Закона № 27, положения изменены и включены в соответствии с декретом-законом от 2019 августа 160 г., п. 14 к ст. 2020, в который добавлены два параграфа 104-бис и 73-тер (Закон о государственном бюджете на 289 финансовый год и многолетний бюджет на трехлетний период), является частью стратегии, которая давно пропагандируется правительством Италии, хочет воспрепятствовать использованию наличных денег в операциях между экономическими операторами и потребителями, я также предусматриваю возврат наличных средств по платежам, произведенным с использованием электронных средств, т.н. «Лотерея» поступлений, содержащихся в последнем законе о бюджете.

       В конкретном случае новый параграф 289-бис рассматриваемого нормативного текста предусматривает, что для реализации меры вознаграждения Министерство экономики и финансов должно использовать технологическую платформу для взаимосвязи и взаимодействия между государственными администрациями. и уполномоченные поставщики платежных услуг в соответствии с пунктом 5 статьи 2 законодательного указа n. 7, управляемой компанией PagoPA SpA. Затем уточняется, что министерство должно будет поручить компании PagoPA SpA проектирование, внедрение и управление информационной системой, необходимой для расчета возмещения. Кроме того, параграфом 2005-тер предусматривается, что тот же дикастерий поручает Consap - Concessionaria Servizi Assicurativi Pubblici SpA - все услуги, связанные с операциями по выплате возмещения и дополнительной вспомогательной и инструментальной деятельностью, включая управление спором. 

Расчет кэшбэка

Регламент, состоящий из 12 статей, который рассматривается здесь существенно и своевременно, устанавливает дисциплину в отношении условий, случаев, критериев и методов реализации для распределения денежного возмещения в пользу физических лиц. совершеннолетние лица, проживающие в государстве, которые, помимо занятия бизнесом, искусством или профессией, совершают покупки у торговцев с помощью электронных платежных инструментов (статья 2). Как видно из выбора субъектов, законодатель стремился, во-первых, не допустить участия несовершеннолетних в такого рода «лотерее», а во-вторых, чтобы взрослые люди могли участвовать в предпринимательской деятельности. искусство или профессия.

Как и предполагалось, программа возмещения расходов, созданная с помощью «Системы возврата денег», была подготовлена ​​и управляется компанией PagoPA Spa как часть технологической платформы, предусмотренной и регулируемой пунктом 5 статьи 2 CAD, которая собирает данные для целей участия в Программе "участников" и "продавцов", и которые после определения рейтинга передают соответствующую информацию в APP IO и в системы, предоставляемые так называемыми "аффилированными эмитентами", а также для целей выплаты возмещения в Consap-Concessionaria Public Insurance Services SpA.

В статье 3 подробно описываются процедуры присоединения к программе возмещения расходов и подчеркивается, в частности, добровольный характер участия в самой программе, которая включает раскрытие персональных данных, начиная от очень инвазивных, таких как налоговый кодекс к банковским. По сути, правило предусматривает, что «приверженный» субъект должен зарегистрироваться в APP IO или в системах, предоставляемых аффилированным эмитентом, его налоговый код и один или несколько электронных инструментов, которые он намеревается использовать для осуществления платежей. , заявив во время регистрации об использовании зарегистрированных платежных инструментов исключительно для покупок, совершаемых вне рамок предпринимательской деятельности, искусства или профессии (параграфы 3, 1 и 2 статьи 3).

Фактически, статья 4 регламента определяет, в частности, технические методы присоединения к системе с помощью так называемых «Аффилированные покупатели», то есть субъекты, заключившие с «продавцом» соглашение о приеме платежных инструментов через физические устройства, держатели соглашения с PagoPA SpA об участии в Программе, или Bancomat SpA, при условии подписания соглашения с самой PagoPA SpA. Статья 5 предусматривает особые соглашения между Министерством экономики и финансов и PagoPA SpA, а также между вышеупомянутым отделом и Consap SpA о функционировании Программы. В частности, параграф 1 статьи 5 регулирует соглашение между Министерством и PagoPA SpA о разработке, реализации и управлении конкретными функциями в рамках системы Cashback, такими как сбор данных, касающихся участников и платежей, а также, поэтому значительный объем данных подвергается высокому риску для самой свободы и достоинства субъектов, участвующих в программе. Параграф 2, с другой стороны, регулирует соглашение MEF-Consap SpA, касающееся управления возвратами и жалобами, где будут дополнительные личные данные, которые также могут быть получены в суде. Подробную информацию о дисциплине кэшбэка можно найти в статье 6, где также установлены меры и контрольные периоды, а в статье 7 предусмотрена временная экспериментальная фаза, действующая с 1 декабря 2020 года по 31 декабря 2020 года, с целью позволить ожидание реализации программы возмещения расходов исключительно для участников, совершивших определенное количество транзакций. Статья 8, с другой стороны, устанавливает специальный возврат для первых ста тысяч членов, которые в сумме совершили наибольшее количество транзакций с электронными платежными инструментами.

    Они указаны в ст. 9 методы выплаты возмещения, которое происходит путем зачисления с помощью кода IBAN, сообщенного участником во время присоединения к Программе или позднее, тогда как статья 10 регулирует методы рассмотрения жалоб. В частности, параграф 1 предусматривает, что PagoPA SpA предоставляет услугу службы поддержки, предназначенную для помощи участникам по всем аспектам, связанным с управлением профилем пользователя и услугами, предоставляемыми через APP IO, включая любые споры в этом отношении. регистрация совершенных сделок. Наконец, статья 12, озаглавленная «Обработка персональных данных», регулирует некоторые важные аспекты защиты данных. Прежде всего, он определяет роли, функции и обязанности различных субъектов, вовлеченных в систему, а именно Министерства экономики и финансов, PagoPA SpA, Consap SpA, а также эмитентов и приобретателей по соглашению - право собственности, ответственность и подотчетность лечение; пункты 1-5-. Затем предполагается, что Министерство до обработки проведет оценку воздействия в соответствии со статьей 35 Регламента и представит ее на предварительную проверку Гаранта; Предусматривается, что для оценки также должны быть указаны технические и организационные меры, подготовленные и используемые для обеспечения уровня безопасности, адекватного риску, а также регламентированы сроки и процедуры отказа от Программы (параграфы 6 и 7). В соответствии с принципом целей обработки собранные персональные данные могут обрабатываться исключительно для выполнения Программы и для реализации ожидаемого возмещения, ограничивая обработку данных, относящихся к идентификатору продавца, с единственной целью проверки вовлеченных транзакций. жалобы (пункт 8). Наконец, параграф 9 статьи уполномочивает Министерство вести статистику реализации Программы, а также обрабатывать личные данные участников, касающиеся участия в Программе, количества и стоимости проведенных транзакций, а также выплаченных возмещений в соответствии с соответствующими положениями. деонтологические правила (Деонтологические правила для обработок для статистических или научных исследований, проводимых в рамках Национальной статистической системы, упомянутые в Приложении A к Кодексу, которые должны быть упомянуты в схеме полностью).

Здесь следует отметить, что совершенно очевидно, что обработка данных, лежащих в основе функционирования Программы, представляет высокие риски для прав и свобод заинтересованных сторон, вытекающие из массивного и обобщенного сбора подробной информации, потенциально относящейся ко всем аспектам жизни. всего населения, что требует конкретной оценки пропорциональности обработки и определения мер, которые необходимо принять для соблюдения требований Регламента. Что касается текста, на самом деле, замечания и предложения Управления гаранта конфиденциальности были точными и актуальными. Таким образом, следует учитывать, что правовая база, разрешающая это, должна быть соразмерной преследуемым целям и содержать другие требования законности, предусмотренные европейским и национальным законодательством о защите данных (пункт 6 статьи 3 Регламента). С этой точки зрения, регулирование представляет собой очевидную критичность, поскольку не указано, что рассматриваемая ИТ-система - Система возврата денег - не совпадает с технологической платформой, указанной в пункте 5 статьи 2 CAD, но работает в того же самого. Кроме того, не были четко определены роли и обязанности различных субъектов, вовлеченных в систему с точки зрения защиты данных (Статья 12, параграфы 1-5). Таким образом, нормативное законодательство должно быть направлено на необходимость ограничения целей создания компакт-диска. кэшбэк - процедуры, выполняемые в соответствии с принципом ограничения цели, и ввести дополнительную конкретную гарантию в отношении обработки идентификаторов продавцов, с которыми будут выполняться транзакции, переданные в Систему кэшбэка (статья 12, пункт 8).

Кроме того, следует принять меры для обеспечения того, чтобы покупатели передавали в систему только данные, относящиеся к транзакциям, осуществляемым с помощью платежных инструментов, указанных сторонами, участвующими в инициативе (статьи 4, параграфы 1 и 2, и 5, параграф 1) и это также позволяет лучше определить способы, которыми APP IO или системы, предоставленные эмитентами, предоставляют членам, в соответствии с принципом минимизации, суммы причитающихся возмещений и позицию в рейтинге (статья 5, абзацы 1, буква д). Также будет необходимо определить методы и время для хранения данных и меры, необходимые для обеспечения того, чтобы информация обрабатывалась в течение времени, строго необходимого для достижения конкретных целей, а затем удалялась (статьи 4, параграф 5, и 12, параграфы 7 и 9. ), а также определение, с точки зрения большей гарантии, некоторых мер безопасности, которые должны быть приняты при обработке данных, с особым упором на защиту с помощью необратимых криптографических функций идентификаторов используемых электронных платежных инструментов (PAN, первичный номер счета). субъектам, присоединившимся к инициативе, также в соответствии с PCI DSS (Стандарт безопасности данных индустрии платежных карт) (пункт 4 статьи 1). Также необходимо будет указать гарантии, которые будут применяться к обработке персональных данных, выполняемой Министерством для статистических целей в контексте Национальной статистической системы, ограничив типы данных, которые могут быть обработаны (статья 12, параграф 9), и проведя оценку. влияние обработки с учетом высокого риска, с которым она сталкивается, с целью определения технических и организационных мер, подходящих для обеспечения адекватного уровня безопасности (Статья 12, параграфы 6 и 7).  

Наконец, в рамках проверки оценки воздействия необходимо изучить характеристики APP IO, в частности, предполагаемое использование push-уведомлений, автоматическую активацию услуг, явно не запрошенных пользователем, а также передачу персональных данных в Однако третьи страны должны быть обновлены в свете недавнего постановления Суда по делу Шремса II (16 июля 2020 года, дело C-311/18).   

3 Безопасность кэшбэка

Что касается профилей безопасности кэшбэка, следует иметь в виду, что владельцем обработки персональных данных является Министерство экономики и финансов (MEF), которое использует компании PagoPA SpA и Consap SpA, принадлежащие государству, as Ответственный за обработку персональных данных в соответствии со ст. 28 RGPD) для выполнения действий, необходимых для обеспечения участия Участников в Программе и своевременной выплаты возмещения в их пользу, а также для разрешения любых жалоб и / или споров, возникающих в связи с участием в Программе.

Таким образом, проблема безопасности данных возникает в публичных руках, поскольку в конкретном случае личные и особые данные предоставляются через приложение IO в отношении качества и категории товаров, которые приобретаются в дополнение к IBAN текущих банковских счетов.

Что касается бреда так называемой «лотереи квитанций», огромный поток данных, передаваемых в Интернете, будет постоянно подвергаться возможности перехвата, поскольку начатая процедура регистрации уже создала так много проблем, что нетрудно предсказать vulnus в текущих счетах с соответствующими профилями ответственности между MEF, банками и операторами сети.

Также следует отметить, что компания PagoPA Spa, в свою очередь, объявляет себя Контроллером данных, а MEF квалифицирует их, вместо этого, как обработчиков данных. PagoPA объявляет себя владельцем, но только в отношении использования компьютерных систем и программных процедур, используемых для работы с сайтом, и данных, которые собираются во время их обычной передачи, которая включает использование протоколов Интернет-связи. Теперь известно, что возврат кэшбэка осуществляется на добровольной основе, так как пользователь должен затем активировать его, чтобы иметь возможность и вставить его, всегда на добровольной основе, например, карты, дебетовые карты или кредитные карты с IBAN, чтобы активировать, чтобы совершать платежи "премии", все переведенные действиям и ответственности пользователей. Однако горько сообщать, что после банкротства приложения IMMUNI, судьба которого была отмечена опасностью для конфиденциальности с приложением IO, то есть с операцией компакт-диска. «Государственный кэшбэк» для итальянцев приватность стоит всего 150 евро.

Кэшбэк - приманка для приватности

| Opinioni |