Cashback, mahremiyetin tuzağıdır
Elektronik ödeme araçlarının kullanımı: geri ödeme
(Giuseppe Gorga, Aidr ortağı) Covid-19 salgını, endüstriyel stratejilerde ve KA'ları ve şirketleri içeren yeni iş modellerinde öncelikli bir rol oynayan bir devrim olan mobilite hizmetlerinin dijitalleşmesine güçlü bir ivme kazandırdı. Elektronik ödeme çözümlerinin sürekli büyümesi, krizden önce ulaşım sektöründe zaten desteklenen ve "hizmet olarak mobilite" ilkesine doğru giden eğilimi doğruladı Akıllı mobilitede kullanıcıların giderek artan aktif rolü göz önünde bulundurulduğunda, bazı şirketler vatandaşların tüm hareketlilik hizmetlerine doğrudan erişimini sağlayan tek bir basit altyapıyı benimseme ihtiyacını hissetti.
"Küçük" örnekler arasında, CDP Equity tarafından kontrol edilen bir şirket olan SIA tarafından geliştirilen platforma dikkat edilmelidir. Dijital araç, en iyi fiyat garantisi ile otobüs, metro ve park biletlerini doğrudan kart veya akıllı telefonla ödemek için eksiksiz bir hizmet paketi içerir. Yenilikçi hizmet, temassız kredi ve banka kartlarını (Mastercard, VISA ve American Express) kullanarak, hatta akıllı telefonlar ve giyilebilir cihazlarda sanallaştırılmış, kolay, hızlı ve güvenli bir şekilde metro ve demiryolu ağı biletini doğrudan turnikeden ödemenize olanak tanır. Kredi kartınızı aylık bir geçişmiş gibi kullanmak mümkündür: Çevrimiçi geçişi temassız bir kredi kartıyla satın aldıktan sonra, tüm toplu taşıma ağında dolaşmak için aynı kartı kullanabilen kullanıcılar için mevcut bir yöntem vatandaş.
Bu fenomen önemli bir önem kazanmıştır ve bu nedenle, büyük bir fenomen olarak, yaygın bir geri ödeme fenomeni olarak mahremiyet düzenlemesinin ağlarına düşmekte başarısız olamaz. Bu bağlamda, Ekonomi ve Maliye Bakanlığının Gizlilik Garantörü tarafından incelenmekte olan ve elektronik ödeme araçlarının kullanımına yönelik ödül tedbirlerinin tahsisi için gerekli koşulları ve kriterleri içeren, sözde geri ödeme adı verilen düzenleme planı kabul edilmiştir. 1-288 sayılı kanunun 290. maddesinin 27. fıkraları uyarınca. 2019, kanun hükmünde kararname ile değiştirilen ve entegre edilen hükümler 160 Ağustos 14, n. 2020'ten sanata. 104-bis ve 73-ter paragraflarını ekleyen 289, (289 mali yılı için Devlet Bütçesi Yasası ve üç yıllık dönem için çok yıllı bütçe), İtalyan Hükümeti tarafından uzun süredir yayılmış olan stratejinin bir parçasıdır. ekonomi operatörleri ile tüketiciler arasındaki işlemlerde nakit kullanımının önüne geçmek istiyorsa, sözde elektronik araçlar kullanılarak yapılan ödemelerde nakit geri ödeme de sağlıyorum. İkinci bütçe kanununda yer alan makbuzların “çekilişi”.
Spesifik durumda, söz konusu düzenleyici metnin yeni 289-bis paragrafı, ödül tedbirinin uygulanması için Ekonomi ve Maliye Bakanlığının kamu idareleri arasında ara bağlantı ve birlikte çalışabilirlik için teknolojik platformu kullanması gerektiğini öngörür. ve yetkili ödeme hizmeti sağlayıcıları, kanun hükmünde kararnamenin 5. maddesinin 2. fıkrası uyarınca n. 7, PagoPA SpA şirketi tarafından yönetiliyor Daha sonra, geri ödemenin hesaplanmasında yardımcı olan bilgi sisteminin tasarımı, uygulanması ve yönetimi konusunda Bakanlık'ın PagoPA SpA şirketine güvenmesi gerektiği belirtildi. Ayrıca, 2005-ter paragrafı ile, aynı merkezin Consap - Concessionaria Servizi Assicurativi Pubblici SpA'ya, geri ödeme ödemesi operasyonlarının doğasında bulunan tüm hizmetleri ve anlaşmazlığın yönetimi dahil ilave yardımcı ve araçsal faaliyetleri emanet ettiği öngörülmektedir.
Nakit para ödemesi
Burada esas ve zamanında incelenen 12 maddeden oluşan yönetmelik, şahıs lehine nakit iadesi tahsisi için şartlar, vakalar, kriterler ve uygulama yöntemlerinin disiplinini belirlemektedir. Devlette ikamet eden, bir iş, sanat veya mesleğin icrası dışında, tüccarlardan elektronik ödeme araçlarıyla alışveriş yapan yasal yaştaki kişiler (Madde 2). Görüldüğü gibi, konu seçiminden, yasa koyucu her şeyden önce küçüklerin bu tür bir "çekilişe" katılmasını engellemekle ve ikinci olarak yaştaki yetişkinlerin bir ticari faaliyetin uygulanmasına katılabilmeleri ile ilgilenmiştir. sanat veya meslek.
Tahmin edildiği gibi, "Geri Ödeme Sistemi" aracılığıyla oluşturulan geri ödeme programı, PagoPA Spa şirketi tarafından teknolojik platformun bir parçası olarak hazırlandı ve yönetiliyor - CAD'in 5. maddesinin 2. fıkrasında öngörülen ve yönetilen - toplar Programa katılma amacıyla "üyelerin" ve "tüccarların" verileri ve sıralama tanımlandıktan sonra ilgili bilgileri APP IO'ya ve sözde "bağlı ihraççılar" tarafından sağlanan sistemlere ve amaçlar doğrultusunda iletir. Geri ödemenin Consap-Concessionaria public Insurance Services SpA'ya ödenmesi
Madde 3, geri ödeme programına katılma yöntemlerini detaylandırmakta ve özellikle programın kendisine katılımın gönüllü niteliğini vurgulamaktadır; bu, çok istilacı olanlardan kişisel verilerin serbest bırakılmasını içermektedir. banka olanlara vergi kodu. Kural, aslında, "bağlı" öznenin APP IO'ya veya bağlı bir ihraççı tarafından sağlanan sistemlere, vergi koduna ve ödeme yapmak için kullanmak istediği bir veya daha fazla elektronik araca kaydolması gerektiğini belirtir. , tescil sırasında, kayıtlı ödeme araçlarını yalnızca ticari faaliyet, sanat veya mesleğin icrası dışında yapılan satın alımlar için kullanacağını beyan etmek (Madde 3, paragraf 1, 2 ve 3).
Aslında, yönetmeliğin 4. maddesi, özellikle sözde sisteme bağlı kalmanın teknik yöntemlerini belirtir. "Bağlı alıcılar" ve diğer bir deyişle, ödeme araçlarının fiziksel cihazlar aracılığıyla kabulü için "tüccar" ile bir anlaşma imzalamış özneler tarafından, Programa katılım için PagoPA SpA ile bir anlaşmanın sahipleri veya Bancomat SpA, bizzat PagoPA SpA ile anlaşmanın imzalanması üzerine Madde 5 Ekonomi ve Maliye Bakanlığı ile PagoPA SpA arasında ve yukarıda belirtilen departman ile Consap SpA arasında Programın işleyişi için özel anlaşmalar öngörmektedir. Özellikle, 1. maddenin 5. fıkrası, üyeler ve ödemelerle ilgili verilerin toplanması ve ödemelerle ilgili verilerin toplanması gibi Geri Ödeme Sistemi içindeki belirli işlevlerin tasarımı, uygulanması ve yönetimi için Bakanlık ile PagoPA SpA arasındaki anlaşmayı düzenler ve, bu nedenle, programa katılan deneklerin özgürlüğü ve haysiyetleri için yüksek risk altında olan önemli miktarda veri. Öte yandan Paragraf 2, mahkemede de alınabilecek ek kişisel verilerin olacağı geri ödemelerin ve şikayetlerin yönetimi için MEF-Consap SpA sözleşmesini düzenler. Ayrıntılı geri ödeme disiplini, önlemlerin ve referans sürelerinin de oluşturulduğu Madde 6'da bulunabilirken, Madde 7, 1 Aralık 2020'den 31 Aralık 2020'ye kadar geçerli olan ve sadece belirli sayıda işlem yapmış üyeler için geri ödeme programının uygulanmasının öngörülmesi. 8. Madde ise elektronik ödeme araçlarıyla en fazla işlem yapan ilk yüz bin üyeye özel bir geri ödeme düzenler.
Sanatta belirtilmiştir. 9 Programa katılırken veya daha sonraki bir zamanda üye tarafından iletilen IBAN kodu aracılığıyla kredilendirme yoluyla gerçekleşen geri ödemenin ödeme yöntemleri, 10. madde şikayetleri ele alma yöntemlerini düzenler. Özellikle paragraf 1, PagoPA SpA'nın, bu konudaki tüm anlaşmazlıklar dahil olmak üzere, kullanıcı profilinin ve APP IO aracılığıyla sağlanan hizmetlerin yönetimi ile ilgili tüm yönlerde üyelere yardımcı olmaya adanmış bir Yardım Masası hizmetini kullanıma sunmasını sağlar. gerçekleştirilen işlemlerin kaydı. Son olarak, "Kişisel verilerin işlenmesi" başlıklı 12. Madde, veri korumanın bazı önemli yönlerini düzenlemektedir. Öncelikle, sisteme dahil olan çeşitli konuların, Ekonomi ve Maliye Bakanlığı, PagoPA SpA, Consap SpA ve anlaşma kapsamındaki ihraççı ve devralanların rollerini, işlevlerini ve sorumluluklarını tanımlar - sahiplik, sorumluluk ve alt sorumluluk tedavi; 1-5-. paragraflar. Daha sonra, işlemden önce Bakanlığın Yönetmeliğin 35. Maddesi uyarınca etki değerlendirmesini gerçekleştirmesi ve bunu Garantörün ön doğrulamasına sunması öngörülmektedir; Risk için yeterli bir güvenlik düzeyini garanti etmek için oluşturulan ve kullanılan teknik ve organizasyonel önlemlerin de değerlendirme için belirtilmesi ve Programdan iptal zamanlarının ve yöntemlerinin düzenlenmesi gerektiği öngörülmektedir (paragraf 6 ve 7). İşleme amaçları ilkesine uygun olarak, toplanan kişisel veriler, yalnızca Programın yürütülmesi ve beklenen geri ödemenin gerçekleştirilmesi için işlenebilir, bu da tüccarın kimliğiyle ilgili verilerin işlenmesini yalnızca ilgili işlemleri doğrulamak amacıyla sınırlandırır. şikayet (paragraf 8). Son olarak, maddenin 9'uncu fıkrası, Bakanlığa Programın uygulanmasına ilişkin istatistiklerin yürütülmesine, ayrıca Programa katılım, yapılan işlemlerin sayısı ve değerine ilişkin üyelerin kişisel verilerinin ve ödenen geri ödemelerin ilgili hükümlere uygun olarak işlenmesine yetki vermektedir. deontolojik kurallar (Programda tam olarak belirtilmesi gereken Kod Ek A'da atıfta bulunulan, Ulusal İstatistik Sistemi dahilinde yürütülen istatistiksel veya bilimsel araştırma amaçlı tedavilere yönelik deontolojik kurallar).
Burada, Programın işleyişinin altında yatan verilerin işlenmesinin, potansiyel olarak yaşamın her yönüne atıfta bulunulabilen, kapsamlı ve genelleştirilmiş ayrıntılı bilgi toplanmasından kaynaklanan ilgili tarafların hakları ve özgürlükleri için yüksek riskler taşıdığı oldukça açıktır. Tüzüğün gerekliliklerine uymak için işlemenin orantılılığına ve alınacak önlemlerin tanımlanmasına ilişkin özel değerlendirmeler gerektiren tüm popülasyonun oranı. Metinde, aslında, Gizlilik Garantör Otoritesinin gözlem ve önerileri kesin ve konuyla ilgiliydi. Özetle, onu yetkilendiren yasal dayanağın, takip edilen amaçlarla orantılı olması ve veri korumaya ilişkin Avrupa ve ulusal mevzuat tarafından sağlanan diğer yasallık gerekliliklerini içermesi gerektiği dikkate alınmalıdır (Madde 6, paragraf 3, Yönetmelik). Bu açıdan bakıldığında, düzenleme, söz konusu BT sisteminin - Geri Ödeme Sistemi - CAD'in 5.Maddesinin 2. paragrafında atıfta bulunulan teknolojik platformla çakışmadığı, ancak CAD'in aynı. Ayrıca, veri koruma açısından sisteme dahil olan çeşitli konuların rolleri ve sorumlulukları açıkça tanımlanmamıştır (Madde 12, paragraf 1-5). Bu nedenle düzenleyici mevzuat, cd oluşturma amaçlarını sınırlandırma ihtiyacını hedeflemelidir. Amaç sınırlama ilkesine uygun olarak yapılan işlemlerin geri ödemesi ve Cashback Sistemine iletilecek işlemlerin gerçekleştirileceği tüccarların kimlik bilgilerinin işlenmesine ilişkin ek bir özel garanti getirilmesi (Madde 12, paragraf 8).
Ayrıca, alıcıların yalnızca girişime katılan taraflarca belirtilen ödeme araçlarıyla gerçekleştirilen işlemlere ilişkin verileri sisteme iletmesini sağlayacak önlemler alınmalıdır (Madde 4, paragraf 1 ve 2 ve 5, paragraf 1) ve bu aynı zamanda, APP IO'nun veya ihraççılar tarafından sunulan sistemlerin, asgariye indirilmesi ilkesine uygun olarak üyelere sağlama yöntemlerini, ödenmesi gereken geri ödeme tutarlarını ve sıralamadaki konumunu daha iyi tanımlamak içindir (Madde 5, paragraflar 1, e harfi). Ayrıca, verilerin depolanması için yöntem ve zamanların ve bilgilerin belirli amaçlara ulaşmak için kesinlikle gerekli olan süre boyunca işlenmesini ve daha sonra silinmesini sağlamak için gerekli önlemleri belirlemek de gerekli olacaktır (madde 4, paragraf 5 ve 12, paragraf 7 ve 9 ) ve ayrıca, daha büyük bir garanti amacıyla, kullanılan elektronik ödeme araçlarının (PAN, Birincil Hesap Numarası) tanımlayıcılarının geri döndürülemez kriptografik işlevler yoluyla korunmasına özellikle atıfta bulunarak verilerin işlenmesinde benimsenecek bazı güvenlik önlemlerinin tanımlanmasının yanı sıra girişime bağlı olan konulara, ayrıca PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) ile uyumlu (Madde 4, paragraf 1). Bakanlık tarafından Ulusal İstatistik Sistemi bağlamında istatistiksel amaçlarla yürütülen kişisel verilerin işlenmesine, işlenebilecek veri türlerinin sınırlandırılmasına (Madde 12, paragraf 9) ve değerlendirme yapılmasına uygulanacak garantilerin de belirlenmesi gerekecektir. yeterli bir güvenlik düzeyini garanti etmeye uygun teknik ve organizasyonel önlemleri belirlemek için, karşılaşılan yüksek risk göz önüne alındığında işlemenin etkisi (Madde 12, paragraf 6 ve 7).
Son olarak, etki değerlendirmesinin doğrulanmasının bir parçası olarak, özellikle APP IO'nun özellikleri, push bildirimlerinin amaçlanan kullanımı, kullanıcı tarafından açıkça talep edilmeyen hizmetlerin otomatik olarak etkinleştirilmesi ve kişisel verilerin Ancak üçüncü ülkeler, Adalet Divanı'nın Schrems II davasına ilişkin son kararı (16 Temmuz 2020, dava C-311/18) ışığında güncellenecektir.
3 Para iadesi güvenliği
Geri ödeme güvenlik profilleri ile ilgili olarak, kişisel verilerin işlenmesinin sahibinin, Devletin sahip olduğu PagoPA SpA ve Consap SpA şirketlerinden yararlanan Ekonomi ve Maliye Bakanlığı (MEF) olduğu unutulmamalıdır. Kişisel verilerin sanat uyarınca işlenmesinden sorumludur. Üyelerin Programa katılımını ve kendi lehlerine olan geri ödemelerin zamanında ödenmesini garanti altına almak ve Programa katılımdan kaynaklanan herhangi bir şikayet ve / veya ihtilafın yönetimine izin vermek için gerekli faaliyetlerin gerçekleştirilmesi için RGPD Madde 28).
Bu nedenle, kamu ellerinde, belirli bir konuda olduğu gibi, banka cari hesaplarının IBAN'larına ek olarak satın alınan malların kalitesi ve kategorisine ilişkin kişisel ve belirli veriler IO uygulaması aracılığıyla verilir.
Sözde "makbuz çekilişi" nin hezeyanına ilişkin olarak, internette çalışan devasa bir veri akışı sürekli olarak yakalanma olasılığına maruz kalacaktır, çünkü kayıt prosedürü başlatılan o kadar çok soruna yol açmıştır ki, bunu tahmin etmek zor değildir. MEF, Bankalar ve şebeke operatörleri arasında ortaya çıkan sorumluluk profilleri ile cari hesaplarda vulnus.
Ayrıca PagoPA Spa şirketinin, MEF'in onları veri işleyicileri olarak nitelendirdiği Veri Kontrolörü olarak ilan ettiği de unutulmamalıdır. PagoPA, kendisini yalnızca siteyi işletmek için kullanılan bilgisayar sistemleri ve yazılım prosedürlerinin ve İnternet iletişim protokollerinin kullanımını içeren normal iletim uygulamaları sırasında elde edilen verilerin kullanımı için ilan eder. Artık nakit para iadesinin isteğe bağlı olduğu bilinmektedir, çünkü kullanıcının alabilmek için etkinleştirmesi ve kartlar, banka kartları veya IBAN'lı kredi kartları gibi gönüllülük esasına göre, "prim" ödemelerinin tamamının havale edileceği şekilde etkinleştirilmesi kullanıcıların eylem ve sorumluluğuna. Bununla birlikte, iflastan sonra kaderi IO uygulamasıyla gizlilik tehlikesiyle işaretlenen IMMUNI uygulamasının, yani bir cd işlemiyle olduğunu bildirmek acıdır. İtalyanlar için “devletin nakit iadesi”, mahremiyet yalnızca 150 Euro değerinde.