Cashback är lura av integritet
Användningen av elektroniska betalningsinstrument: cashback
(av Giuseppe Gorga, Aidr-partner) Covid-19-pandemin har gett en kraftig acceleration av digitaliseringen av mobilitetstjänster, en revolution som spelar en prioriterad roll i industriella strategier och i nya affärsmodeller som involverar PA och företag. Den ständiga tillväxten av elektroniska betalningslösningar har bekräftat den trend som redan stöddes inom transportsektorn före krisen, som går mot principen "mobilitet som en tjänst" Med tanke på användarnas alltmer aktiva roll i smart mobilitet har flera företag känt måste anta en enda enkel infrastruktur som ger medborgarna direkt tillgång till alla mobilitetstjänster.
Bland de "mindre" exemplen bör den plattform som utvecklats av SIA, ett företag som kontrolleras av CDP Equity, noteras. Det digitala verktyget innehåller en komplett uppsättning tjänster för att betala för buss, tunnelbana och parkeringsbiljetter direkt med kort eller smartphone, med garanti för bästa pris. Den innovativa tjänsten låter dig betala tunnelbanan och järnvägsnätet direkt vid turnstilen med kontaktlösa kredit- och betalkort (Mastercard, VISA och American Express), till och med virtualiserat på smartphones och bärbara enheter, på ett enkelt, snabbt och säkert sätt. är det möjligt att använda ditt kreditkort som om det vore ett månadskort: en metod tillgänglig för användare som, efter att ha köpt passet online med ett kontaktlöst kreditkort, kan använda samma kort för att flytta runt hela kollektivtrafiknätets medborgare.
Fenomenet har fått stor betydelse och därför kan det, som ett massivt fenomen, inte misslyckas med att falla in i nätverket av integritetsregleringen som ett utbrett fenomen med cashback. I detta avseende regleringssystemet - under granskning av integritetsgarantin - från ministeriet för ekonomi och finans, som innehåller villkoren och kriterierna för tilldelning av belöningsåtgärder för användning av elektroniska betalningsinstrument, så kallad cashback, antagen i enlighet med artikel 1, punkterna 288 till 290, i lag nr. 27, bestämmelser som har ändrats och integrerats genom lagdekret 2019 augusti 160, n. 14 till art. 2020 som lagt till två punkter 104-bis och 73-ter (lag om statsbudgeten för budgetåret 289 och flerårsbudget för treårsperioden) är en del av strategin, som länge har förökats av den italienska Regeringen, som vill avskräcka användningen av kontanter i transaktioner mellan ekonomiska aktörer och konsumenter, föreskriver jag också en kontant återbetalning på betalningar med elektroniska instrument, så kallade. "Lotteri" av kvitton i den senare budgetlagen.
I det specifika fallet föreskrivs i den nya punkten 289-bis i lagstiftningstexten i fråga att för genomförandet av belöningsåtgärden måste ekonomi- och finansministeriet använda den tekniska plattformen för samtrafik och interoperabilitet mellan offentliga förvaltningar och auktoriserad betaltjänst. i enlighet med artikel 5 i lagdekretet n. 2, som förvaltas av företaget PagoPA SpA. Därefter specificeras att ministeriet kommer att behöva anförtro PagoPA SpA tjänsterna för planering, realisering och hantering av informationssystemet som är avgörande för beräkningen av ersättningen. Vidare förutses det i punkt 7-ter att samma dicaster kommer att anförtro Consap - Concessionaria Assicurativi public SpA - alla tjänster som är inneboende för ersättningsverksamheten och ytterligare kompletterande och instrumentella aktiviteter inklusive hantering av tvister.
Cashback-uppgörelsen
Förordningen - som består av 12 artiklar - som granskas här på ett väsentligt och i rätt tid sätt, fastställer disciplinen för villkoren, fallen, kriterierna och metoderna för genomförande för tilldelning av kontant återbetalning till förmån för individer. ålder, bosatt på statens territorium, som utanför affärsverksamhet, konst eller yrke gör inköp från handlare med elektroniska betalningsinstrument (artikel 2). Som framgår av lagvalet har lagstiftaren först och främst varit intresserad av att hindra minderåriga från att delta i denna typ av "lotteri" och för det andra att vuxna i åldern kan delta i utövandet av en affärsverksamhet, konst eller yrke.
Som förväntat utarbetades återbetalningsprogrammet, skapat genom "Cashback-systemet", och hanteras av företaget PagoPA Spa som en del av den tekniska plattformen - som planeras och styrs av artikel 5, punkt 2, i CAD - som samlar in data, i syfte att delta i programmet, av "medlemmar" och "köpmän", och att när rankningen har definierats överför den relaterade informationen till APP IO och till de system som görs tillgängliga av de så kallade "anslutna emittenterna "och för ändamålet med utbetalningen av ersättningen till Consap-Concessionaria servizi Assicurativi public SpA.
I artikel 3 beskrivs förfarandena för anslutning till återbetalningsprogrammet och betonas särskilt den frivilliga karaktären av deltagande i själva programmet, vilket innebär att personuppgifter släpps, allt från mycket invasiva uppgifter, såsom skattekod till bankinformation. Regeln föreskriver faktiskt att den "anhängare" måste registreras i APP IO, eller i de system som görs tillgängliga av en ansluten emittent, hans skattekod och ett eller flera elektroniska verktyg som han avser att använda för att göra betalningar. , som vid tidpunkten för registreringen förklarar att använda de registrerade betalningsinstrumenten enbart för inköp utanför affärsverksamhet, konst eller yrke (artikel 3, 1 och 2).
Faktum är att artikel 4 i förordningen specifikt specificerar de tekniska metoderna för att följa systemet med de så kallade "Anslutna förvärvare", det vill säga av försökspersoner som har ingått ett avtal med "köpmannen" för godkännande av betalningsinstrument via fysiska apparater, innehavare av ett avtal med PagoPA SpA för deltagande i programmet, eller Bancomat SpA, på antagande om undertecknandet av avtalet med PagoPA SpA själv. I artikel 5 föreskrivs specifika avtal mellan ekonomi- och finansministeriet och PagoPA SpA och mellan ovannämnda avdelning och Consap SpA för programmets funktion. I synnerhet reglerar punkt 1 i artikel 5 avtalet mellan ministeriet och PagoPA SpA för utformning, implementering och hantering av specifika funktioner inom Cashback-systemet, såsom insamling av uppgifter om medlemmar och betalningar, och därför en betydande mängden data med hög risk för själva friheten och värdigheten hos de ämnen som deltar i programmet. Punkt 2 reglerar däremot MEF-Consap SpA-avtalet för hantering av återbetalningar och klagomål, där det kommer att finnas ytterligare personuppgifter som också kan tas emot i domstol. Den detaljerade återbetalningsdisciplinen finns i artikel 6 där åtgärderna och referensperioderna också fastställs, medan artikel 7 föreskriver en tillfällig experimentfas, giltig från 1 december 2020 till 31 december 2020, som syftar till att möjliggöra en förväntan om genomförandet av ersättningsprogram, exklusivt för medlemmar som har genomfört ett visst antal transaktioner. I artikel 8 å andra sidan införs en särskild ersättning för de första hundratusen medlemmarna som har totalt sett flest transaktioner med elektroniska betalningsinstrument.
De specificeras i art. 9 metoderna för utbetalning av ersättningen, som sker genom kreditering med hjälp av IBAN-koden som meddelades av medlemmen vid tidpunkten för anslutningen till programmet, eller vid en senare tidpunkt, medan artikel 10 reglerar metoderna för hantering av klagomål. I synnerhet kräver punkt 1 PagoPA SpA att tillhandahålla en Help Desk-tjänst som är dedikerad till att hjälpa medlemmar för alla aspekter som rör hanteringen av användarprofilen och tjänsterna som tillhandahålls via APP IO, inklusive eventuella tvister angående registreringen av de genomförda transaktionerna. . Slutligen reglerar artikel 12 - "Behandlingen av personuppgifter" - några viktiga aspekter av dataskyddet. Först och främst identifierar den rollerna, funktionerna och ansvarsområdena för de olika ämnen som är involverade i systemet, dvs. ekonomiministeriet, PagoPA SpA, Consap SpA och emittenterna och förvärvarna enligt avtal - ägande, ansvar och underansvar för behandlingen; punkterna 1-5-. Ministeriet förväntas sedan utföra konsekvensbedömningen enligt artikel 35 i föreskrifterna innan behandlingen behandlas och överlämna den till garantin i förväg. det förutses att de tekniska och organisatoriska åtgärder som inrättats och används för att garantera en säkerhetsnivå som är tillräcklig för risken också måste anges för bedömningen, och tiderna och metoderna för annullering från programmet måste regleras (punkterna 6 och 7) . I överensstämmelse med principen för syftet med behandlingen kan de insamlade personuppgifterna behandlas uteslutande för genomförandet av programmet och för att förverkliga den förväntade ersättningen, vilket begränsar behandlingen av uppgifterna relaterade till identifieraren för säljaren för enda syftet med att verifiera transaktionerna i samband med klagomålet (punkt 8). Slutligen bemyndigar punkt 9 i artikeln ministeriet att utföra statistik om genomförandet av programmet, även behandla medlemmarnas personuppgifter, som rör deltagande i programmet, antalet och värdet av de genomförda transaktionerna samt de ersättningar som betalats ut, i enlighet med relevanta deontologiska regler (Deontologiska regler för behandlingar för statistisk eller vetenskaplig forskningsändamål som utförs inom det nationella statistiksystemet, som avses i bilaga A till koden, som bör nämnas i sin helhet i systemet).
Det bör noteras här att det är helt klart att behandlingen av uppgifter som ligger till grund för programmets funktion innebär stora risker för de berörda parternas rättigheter och friheter som härrör från den massiva och generaliserade insamlingen av detaljerad information, som eventuellt kan hänvisas till alla aspekter av hela befolkningens livslängd, som kräver specifika bedömningar av hur proportionella behandlingen är och identifieringen av de åtgärder som ska vidtas för att uppfylla kraven i förordningen. På texten var iakttagelserna och förslagen från Privacy Guarantor Authority exakta och relevanta. Sammanfattningsvis är det att anse att den rättsliga grund som godkänner den bör stå i proportion till de syften som eftersträvas och innehålla andra laglighetskrav som föreskrivs i europeisk och nationell lagstiftning om dataskydd (artikel 6, förordning). Ur denna synvinkel presenterar förordningen i själva verket tydliga kritikpunkter eftersom det inte anges att IT-systemet i fråga - Cashback-systemet - inte sammanfaller med den tekniska plattform som avses i artikel 3 i CAD, men fungerar i samma. Dessutom har rollerna och ansvarsområdena för de olika ämnena som är involverade av systemet ur dataskyddsperspektivet inte uttryckligen identifierats (artikel 5, punkterna 2-12). Lagstiftningen bör därför inriktas på behovet av att avgränsa syftet med att skapa cd-skivan. cashback de behandlingar som utförts i enlighet med principen om ändamålsbegränsning och att införa en ytterligare specifik garanti i samband med behandlingen av identifierarna för de handlare med vilka transaktionerna som överförs till Cashback-systemet kommer att genomföras (artikel 1, stycke 5 ).
Dessutom bör åtgärder införas för att se till att köpare endast överför uppgifterna till transaktioner som utförs via de betalningsinstrument som anges av parterna som deltar i initiativet (artiklarna 4, punkterna 1 och 2 och 5, punkt 1) och detta också för att bättre definiera hur APP IO, eller de system som görs tillgängliga av emittenterna, gör medlemmarna tillgängliga, i enlighet med principen om minimering, beloppen för återbetalningar och placeringen i rangordningen (artikel 5 , punkterna 1, bokstav e). Det kommer också att vara nödvändigt att identifiera metoder och tider för lagring av data och de åtgärder som är nödvändiga för att säkerställa att informationen behandlas under den tid som är absolut nödvändig för att uppnå de specifika ändamålen och sedan raderas (artiklarna 4, 5 och 12, stycken 7 och 9), samt definiera, i syfte att öka garantin, vissa säkerhetsåtgärder som ska vidtas vid behandling av data, med särskild hänvisning till skyddet av icke-reversibla kryptografiska funktioner, för identifierarna för elektroniska betalningsinstrument (PAN, primärt kontonummer) används för ämnen som följer initiativet, även i enlighet med PCI DSS (Payment Card Industry Data Security Standard) (artikel 4, punkt 1). Det kommer också att vara nödvändigt att specificera de garantier som ska tillämpas vid behandling av personuppgifter som utförs av ministeriet för statistiska ändamål inom ramen för det nationella statistiksystemet, vilket begränsar de typer av uppgifter som kan behandlas (artikel 12, punkt 9 ) och genomföra en utvärderingseffekt av behandlingen, med tanke på den höga risken som förekommer i den, för att identifiera de tekniska och organisatoriska åtgärder som är lämpliga för att garantera en adekvat säkerhetsnivå (artikel 12, punkterna 6 och 7).
Slutligen bör det som en del av verifieringen av konsekvensbedömningen undersökas egenskaperna hos APP IO, särskilt den avsedda användningen av push-meddelanden, automatisk aktivering av tjänster som inte uttryckligen begärs av användaren, samt överföring av personuppgifter till tredjeländer ska dock uppdateras mot bakgrund av domstolens nyligen avgörande i målet Schrems II (16 juli 2020, mål C-311/18).
3 Säkerheten för cashback
När det gäller cashback-säkerhetsprofilerna bör man komma ihåg att ägaren av behandlingen av personuppgifter är ministeriet för ekonomi och finans (MEF), som använder PagoPA SpA och Consap SpA, företag som ägs av staten, som Ansvarig för behandlingen av personuppgifter enligt art. 28 i RGPD) för att genomföra de aktiviteter som är nödvändiga för att garantera medlemmarnas deltagande i programmet och utbetalning av ersättningar till deras fördel i rätt tid, samt för att möjliggöra hantering av eventuella klagomål och / eller tvister som härrör från deltagande i Program.
Därför uppstår ett problem med datasäkerhet, i offentliga händer, som i den specifika frågan, personliga och särskilda uppgifter beviljas via IO-appen angående kvaliteten och kategorin på de varor som köps utöver IBAN: erna på bankkonton.
I förhållande till deliriet i det så kallade "kvittotlotteriet" kommer ett enormt flöde av data som körs på Internet ständigt att exponeras för möjligheten att fångas upp, eftersom registreringsförfarandet startat redan har inneburit så många problem att det inte är svårt att förutsäga en vulnus i löpande konton med därav följande ansvarsprofiler mellan MEF, banker och nätoperatörer.
Det bör därför noteras att företaget PagoPA Spa i sin tur förklarar sig vara datakontrollant där MEF kvalificerar dem som databehandlare. PagoPA förklarar sig ägare men endast för användning av datorsystem och programvaruprocedurer som används för att driva webbplatsen och de data som samlas in under deras normala överföringsövning som innefattar användning av internetkommunikationsprotokoll. Nu är det känt att cashback sker på frivillig basis eftersom användaren sedan måste aktivera för att kunna ha den och sätta in den, alltid på frivillig basis såsom kort, betalkort eller kreditkort med IBAN för att aktivera som man kan göra betalningarna av "premien" som alla överförs till användarnas handling och ansvar. Det är dock bittert att rapportera att efter konkurs IMMUNI-appen vars öde präglades av risken för integritet med IO-appen, det vill säga med en cd-operation. "State cashback" för italienare, integritet är värt bara 150 euro.