Cashback je návnadou súkromia
Používanie elektronických platobných nástrojov: cashback
(Giuseppe Gorga, partner Aidr) Pandémia Covid-19 prudko zrýchlila digitalizáciu služieb mobility, revolúciu, ktorá hrá prioritnú úlohu v priemyselných stratégiách a v nových obchodných modeloch, ktoré zahŕňajú PA a spoločnosti. Neustály rast riešení elektronických platieb potvrdil trend podporovaný už v dopravnom sektore pred krízou, ktorý smeruje k princípu „mobilita ako služba“. Vzhľadom na čoraz aktívnejšiu úlohu používateľov v inteligentnej mobilite niekoľko spoločností cítil potrebu prijať jedinú jednoduchú infraštruktúru, ktorá umožní občanom priamy prístup ku všetkým službám mobility.
Z „menších“ príkladov treba spomenúť platformu vyvinutú spoločnosťou SIA, spoločnosťou kontrolovanou spoločnosťou CDP Equity. Digitálny nástroj obsahuje kompletnú sadu služieb na zaplatenie poplatkov za autobus, metro a parkovné priamo kartou alebo smartfónom so zárukou najlepšej ceny. Inovatívna služba vám umožňuje zaplatiť lístok na metro a železničnú sieť priamo na turnikete pomocou bezkontaktných kreditných a debetných kariet (Mastercard, VISA a American Express), dokonca aj virtualizovaných v smartfónoch a prenosných zariadeniach, jednoduchým, rýchlym a bezpečným spôsobom. Je možné použiť vašu kreditnú kartu, akoby išlo o mesačný preukaz: metóda dostupná pre používateľov, ktorí po zakúpení preukazu online pomocou bezkontaktnej kreditnej karty môžu používať tú istú kartu na pohyb po celej sieti verejnej dopravy občan.
Tento jav nadobudol značný význam, a preto ako obrovský fenomén nemohol upadnúť do sietí regulácie ochrany súkromia ako rozšírený fenomén cashbacku. Pokiaľ ide o regulačný systém - pod dohľadom garanta ochrany súkromia - ministerstva hospodárstva a financií, ktorý obsahuje podmienky a kritériá pre udeľovanie opatrení na odmeňovanie za používanie elektronických platobných nástrojov, tzv. Cashback, prijatý podľa § 1 ods. 288 až 290 zákona č. 27, ustanovenia upravené a integrované zákonným dekrétom zo 2019. augusta 160, č. 14 do čl. 2020, ktorým sa vkladajú dva odseky 104-bis a 73-ter, (zákon o štátnom rozpočte na rozpočtový rok 289 a viacročný rozpočet na trojročné obdobie) je súčasťou stratégie, ktorú už dlho propaguje talianska vláda, ktorá chce odradiť od používania hotovosti pri transakciách medzi hospodárskymi subjektmi a spotrebiteľmi, zabezpečujem aj vrátenie hotovosti pri platbách uskutočňovaných elektronickými prostriedkami, tzv. „Lotéria“ príjmov obsiahnutých v tomto druhom zákone o rozpočte.
V konkrétnom prípade nový odsek 289-bis predmetného regulačného textu ustanovuje, že na implementáciu opatrenia odmeňovania musí ministerstvo hospodárstva a financií využívať technologickú platformu na vzájomné prepojenie a interoperabilitu medzi verejnými správami. a autorizovaní poskytovatelia platobných služieb podľa článku 5 ods. 2 legislatívneho dekrétu č. 7, ktorú spravuje spoločnosť PagoPA SpA. Potom sa spresní, že ministerstvo bude musieť spoločnosť PagoPA SpA poveriť návrhom, implementáciou a správou informačného systému, ktorý slúži na výpočet náhrady. S bodom 2005-ter sa ďalej predpokladá, že to isté dikastérium zverí spoločnosti Consap - Concessionaria Servizi Assicurativi Pubblici SpA - všetky služby spojené s vyplatením náhrady a ďalšími pomocnými a pomocnými činnosťami vrátane riadenia sporu.
Vyrovnanie cashbacku
Nariadenie, ktoré sa skladá z 12 článkov, ktoré sa tu zásadným a včasným spôsobom skúma, zavádza disciplínu, pokiaľ ide o podmienky, prípady, kritériá a spôsoby vykonávania prideľovania peňažných prostriedkov v prospech jednotlivcov. fyzické osoby s bydliskom na území štátu, ktoré mimo podnikateľskej, umeleckej alebo profesijnej sféry nakupujú od obchodníkov pomocou elektronických platobných nástrojov (článok 2). Ako je zrejmé, pri výbere predmetov sa zákonodarca predovšetkým snažil zabrániť tomu, aby sa maloleté zúčastňovali na tomto druhu „lotérie“, a po druhé, že dospelí vo veku sa môžu zúčastňovať na výkone obchodnej činnosti, umenie alebo povolanie.
Ako sa očakávalo, program úhrad, ktorý bol vytvorený prostredníctvom „systému Cashback System“, bol pripravený a je riadený spoločnosťou PagoPA Spa ako súčasť technologickej platformy - predpokladanej a riadenej článkom 5 ods. 2 CAD - ktorá zhromažďuje údaje „prívržencov“ a „obchodníkov“ na účely účasti na programe, ktoré po definovaní poradia prenášajú súvisiace informácie do APP IO a do systémov sprístupňovaných takzvanými „pridruženými emitentmi“ a na účely vyplatenia náhrady do poisťovacích služieb Consap-Concesionariaaria SpA
V článku 3 sa podrobne uvádzajú postupy pre zapojenie sa do programu náhrad a zdôrazňuje sa najmä dobrovoľná povaha účasti na samotnom programe, ktorá spočíva v sprístupňovaní osobných údajov od veľmi invazívnych, ako sú napr. daňový zákon na bankové. Pravidlo v skutočnosti stanovuje, že „adherentný“ subjekt je povinný zaregistrovať sa v APP IO alebo v systémoch sprístupnených pridruženým emitentom, jeho daňový zákon a jeden alebo viac elektronických nástrojov, ktoré zamýšľa používať na uskutočňovanie platieb , ktorým sa v čase registrácie vyhlasuje, že sa použijú zaregistrované platobné nástroje výlučne na nákupy uskutočnené mimo podnikateľskej činnosti, umeleckej alebo profesijnej činnosti (článok 3 ods. 1, 2 a 3).
V skutočnosti článok 4 nariadenia špecifikuje najmä technické postupy pre pripojenie sa do systému tzv „Pridružení nadobúdatelia“, teda subjekty, ktoré s „obchodníkom“ uzavreli dohodu o prijímaní platobných nástrojov prostredníctvom fyzických zariadení, držitelia dohody s PagoPA SpA o účasti na programe, alebo Bancomat SpA za predpokladu podpísania dohody so samotnou spoločnosťou PagoPA SpA. V článku 5 sa ustanovujú konkrétne dohody medzi ministerstvom hospodárstva a financií a spoločnosťou PagoPA SpA a medzi uvedeným útvarom a spoločnosťou Consap SpA o fungovaní programu. Konkrétne odsek 1 článku 5 upravuje dohodu medzi ministerstvom a PagoPA SpA o návrhu, implementácii a správe konkrétnych funkcií v rámci systému Cashback, ako je zhromažďovanie údajov týkajúcich sa členov a platieb, a preto značné množstvo údajov s vysokým rizikom pre samotnú slobodu a dôstojnosť subjektov zúčastňujúcich sa na programe. Na druhej strane odsek 2 upravuje dohodu MEF-Consap SpA o správe refundácií a sťažnostiach, kde budú k dispozícii ďalšie osobné údaje, ktoré možno získať aj pred súdom. Podrobnú disciplínu pri vrátení peňazí možno nájsť v článku 6, v ktorom sú ustanovené aj opatrenia a referenčné obdobia, zatiaľ čo článok 7 stanovuje dočasnú experimentálnu fázu platnú od 1. decembra 2020 do 31. decembra 2020, ktorej cieľom je umožniť očakávania implementácie programu náhrad výlučne pre členov, ktorí uskutočnili určitý počet transakcií. V článku 8 sa na druhej strane zavádza osobitná náhrada pre prvých stotisíc členov, ktorí dosiahli najväčší počet transakcií s elektronickými platobnými nástrojmi.
Sú špecifikované v čl. 9 spôsoby vyplatenia náhrady, ktorá sa uskutoční pripísaním prostredníctvom kódu IBAN oznámeného členom v čase vstupu do programu alebo v neskoršom čase, zatiaľ čo článok 10 upravuje spôsoby vybavovania sťažností. Konkrétne odsek 1 stanovuje, že PagoPA SpA sprístupňuje službu Help Desk zameranú na pomoc členom pri všetkých aspektoch týkajúcich sa správy užívateľského profilu a služieb poskytovaných prostredníctvom APP IO vrátane akýchkoľvek sporov v tejto súvislosti. registrácia uskutočnených transakcií. Nakoniec článok 12 s názvom „Zaobchádzanie s osobnými údajmi“ upravuje niektoré dôležité aspekty ochrany údajov. Najskôr identifikuje úlohy, funkcie a zodpovednosti rôznych subjektov zapojených do systému, konkrétne ministerstva hospodárstva a financií, PagoPA SpA, Consap SpA a emitentov a nadobúdateľov na základe dohody - vlastníctvo, zodpovednosť a čiastočná zodpovednosť liečba; odseky 1-5-. Potom sa predpokladá, že ministerstvo pred spracovaním vykoná posúdenie vplyvu podľa článku 35 nariadenia a podrobí ho predchádzajúcemu overeniu ručiteľa; predpokladá sa, že pri hodnotení musia byť uvedené aj technické a organizačné opatrenia ustanovené a používané na zaručenie úrovne bezpečnosti zodpovedajúcej riziku a musia byť upravené časy a spôsoby zrušenia z programu (body 6 a 7). V súlade so zásadou účelov spracúvania môžu byť zhromaždené osobné údaje spracúvané výlučne na účely vykonávania programu a na účely dosiahnutia predpokladanej úhrady, čo obmedzuje spracúvanie údajov týkajúcich sa identifikácie obchodníka iba na účely overenia príslušných transakcií. sťažnosti (bod 8). Napokon odsek 9 článku oprávňuje ministerstvo vykonávať štatistické údaje o implementácii programu a tiež spracúvať osobné údaje členov týkajúce sa účasti na programe, počtu a hodnoty uskutočnených transakcií, ako aj vyplatených úhrad v súlade s príslušnými požiadavkami. deontologické pravidlá (Deontologické pravidlá pre ošetrenie na účely štatistického alebo vedeckého výskumu vykonávané v rámci národného štatistického systému uvedené v prílohe A k kódexu, ktoré by sa mali v celom rozsahu uviesť).
Tu je potrebné poznamenať, že je celkom zrejmé, že spracovanie údajov, ktoré sú základom fungovania programu, predstavuje vysoké riziko pre práva a slobody zainteresovaných strán vyplývajúce z rozsiahleho a zovšeobecneného zhromažďovania podrobných informácií, ktoré sa potenciálne dajú uplatniť na všetky aspekty života. celej populácie, ktoré si vyžadujú osobitné posúdenia týkajúce sa proporcionality zaobchádzania a identifikácie opatrení, ktoré sa majú prijať na dosiahnutie súladu s požiadavkami nariadenia. K textu boli v skutočnosti pripomienky a návrhy orgánu pre ochranu súkromia presné a relevantné. V súhrne je teda potrebné vziať do úvahy, že právny základ, ktorý ho oprávňuje, by mal byť primeraný sledovaným účelom a obsahovať ďalšie požiadavky zákonnosti stanovené európskymi a vnútroštátnymi právnymi predpismi o ochrane údajov (článok 6 ods. 3 nariadenia). Z tohto hľadiska predstavuje nariadenie v skutočnosti zjavné nedostatky, pretože nie je stanovené, že predmetný systém IT - Cashback System - sa nezhoduje s technologickou platformou uvedenou v článku 5 ods. 2 CAD, ale funguje v toho istého. Ďalej nie sú výslovne určené úlohy a zodpovednosti rôznych subjektov zapojených do systému z hľadiska ochrany údajov (článok 12 ods. 1 až 5). Regulačné právne predpisy by sa preto mali zamerať na potrebu presne vymedziť účely vytvorenia CD. cashback ošetrenie vykonané v súlade so zásadou obmedzenia účelu a zaviesť ďalšiu osobitnú záruku v súvislosti so spracovaním identifikátorov obchodníkov, s ktorými sa budú uskutočňovať transakcie prenášané do systému Cashback (článok 12, odsek 8).
Ďalej by sa mali zaviesť opatrenia na zabezpečenie toho, aby kupujúci prenášali do systému iba údaje týkajúce sa transakcií uskutočňovaných prostredníctvom platobných nástrojov uvedených stranami zúčastnenými na iniciatíve (článok 4 ods. 1 a 2 a článok 5 ods. 1) a to tiež pre lepšie definovanie spôsobov, ako APP IO alebo systémy sprístupnené emitentmi sprístupňujú členom v súlade so zásadou minimalizácie, výšky splatných splátok a pozíciu v rebríčku (článok 5 ods. 1 písm. E). Bude tiež potrebné určiť metódy a časy uchovávania údajov a opatrenia potrebné na zabezpečenie toho, aby sa informácie spracúvali na čas nevyhnutne potrebný na dosiahnutie konkrétnych účelov a následne sa vypustili (články 4 ods. 5 a 12, ods. 7 a 9) ), ako aj s cieľom väčšej záruky definovať niektoré bezpečnostné opatrenia, ktoré sa majú prijať pri spracúvaní údajov, najmä s ohľadom na ochranu identifikátorov používaných elektronických platobných nástrojov (PAN, číslo primárneho účtu) prostredníctvom nezvratných kryptografických funkcií. subjektom, ktoré sa pridržiavajú tejto iniciatívy, a to aj v súlade s PCI DSS (štandard bezpečnosti údajov odvetvia platobných kariet) (článok 4 odsek 1). Potom bude tiež potrebné určiť záruky, ktoré sa majú uplatniť na spracúvanie osobných údajov, ktoré vykonáva ministerstvo na štatistické účely v kontexte národného štatistického systému, pričom sa obmedzia typy údajov, ktoré je možné spracovať (článok 12 ods. 9), a vykoná sa hodnotenie. vplyv spracovania s ohľadom na vysoké riziko, ktoré sa v ňom vyskytuje, s cieľom určiť technické a organizačné opatrenia vhodné na zabezpečenie primeranej úrovne bezpečnosti (článok 12 ods. 6 a 7).
Nakoniec by sa v rámci overenia posúdenia vplyvu malo preskúmať najmä charakteristiky APP IO, zamýšľané použitie push oznámení, automatická aktivácia služieb, ktoré používateľ výslovne nevyžaduje, ako aj prenos osobných údajov do Tretie krajiny je však potrebné aktualizovať na základe nedávneho rozsudku Súdneho dvora vo veci Schrems II (16. júla 2020, vec C-311/18).
3 Bezpečnosť vrátenia peňazí
Pokiaľ ide o bezpečnostné profily vrátenia peňazí, je potrebné mať na pamäti, že vlastníkom spracúvania osobných údajov je ministerstvo hospodárstva a financií (MEF), ktoré využíva spoločnosti PagoPA SpA a Consap SpA, spoločnosti vo vlastníctve štátu, as Zodpovedný za spracovanie osobných údajov podľa čl. 28 RGPD) za vykonávanie činností potrebných na zabezpečenie účasti členov na programe a včasné vyplatenie náhrad v ich prospech, ako aj umožnenie riadenia akýchkoľvek sťažností a / alebo sporov vyplývajúcich z účasti na programe.
Preto vo verejných rukách vzniká problém so zabezpečením údajov, pretože v konkrétnej veci sa prostredníctvom aplikácie IO poskytujú osobné a konkrétne údaje týkajúce sa kvality a kategórie tovaru, ktorý sa kupuje popri IBANoch bežných bankových účtov.
Pokiaľ ide o delirium takzvanej „príjmovej lotérie“, obrovský tok údajov prebiehajúcich na internete bude neustále vystavený možnosti zadržania, pretože začatie registračného konania už prinieslo toľko a také problémy, že nie je ťažké predpovedať vulnus na bežných účtoch s následnými profilmi zodpovednosti medzi MEF, bankami a prevádzkovateľmi sietí.
Je tiež potrebné poznamenať, že spoločnosť PagoPA Spa sa naopak vyhlasuje za správcu údajov, ak ich MEF kvalifikuje ako spracovateľov údajov. PagoPA sa vyhlasuje za vlastníka, ale iba za použitie počítačových systémov a softvérových postupov používaných na prevádzku stránky a údajov získaných počas ich bežného prenosu, ktoré zahŕňajú použitie internetových komunikačných protokolov. Teraz je známe, že cashback je na dobrovoľnom základe, pretože používateľ sa musí potom aktivovať, aby ho mohol mať a vložiť, a to vždy na dobrovoľnom základe, ako sú karty, debetné karty alebo kreditné karty s IBAN, aby sa aktivovali a na ktoré sa majú všetky platby „prémie“ poukazovať k činnosti a zodpovednosti používateľov. Je však trpké tvrdiť, že po bankrote aplikácie IMMUNI, ktorej osud bol poznačený nebezpečenstvom pre súkromie s aplikáciou IO, t. J. S operáciou cd. „Štátny cashback“ pre Talianov má súkromie hodnotu iba 150 eur.