Piattaforma digitale benefici economici erogati dalla PA: ok condizionato del Garante. Ecco le motivazioni

Il parere del Garante, espresso con Provvedimento n. 286 del 28 luglio 2022, prende le mosse dalla considerazione del rilevante impatto che i trattamenti effettuati tramite tale complessa e articolata infrastruttura presentano rischi elevati per i diritti e le libertà delle persone che derivano da quella che appare una raccolta massiva e generalizzata di informazioni di dettaglio, riferibili agli strumenti di pagamento (numero di carta di credito, ecc.) e ai conti correnti (IBAN), nonché ad ogni aspetto della vita quotidiana sulla base degli acquisti effettuati che sono così classificabili anche sulla base dell’identificativo fiscale dell’esercente e della categoria merceologica. Trattamenti che, non si esclude, possano impattare nell’ambito delle categorie particolari di dati personali e/o riguardanti anche categorie di soggetti vulnerabili.

Il Ministro per l’innovazione tecnologica e la transizione digitale, in data 27 giugno 2022, ha trasmesso al Garante, per il previsto parere, lo schema di decreto per la costituzione della piattaforma digitale per l’erogazione di benefici economici concessi dalle amministrazioni pubbliche (nel seguito “piattaforma”).

I contenuti

Lo schema di decreto, previsto dall’art. 28-bis del decreto legge 152/2021[1] con l’obiettivo di incentivare la digitalizzazione dei pagamenti della pubblica amministrazione, uniformare i processi di erogazione dei benefìci economici concessi dalle amministrazioni pubbliche e consentire un più efficiente controllo della spesa pubblica, disciplina e fissa le modalità di funzionamento dell’infrastruttura tecnologica per l’erogazione dei benefìci ossia PagoPA S.p.A., individuata quale Gestore della piattaforma. A tal fine, il decreto regola un complesso di trattamenti di dati con l’obiettivo di assicurare l’erogazione di aiuti economici destinati a specifici acquisti da effettuare utilizzando strumenti di pagamento elettronici e definisce anche le modalità di accesso alla piattaforma da parte degli utenti.

In particolare il decreto prevede:

• accordi di adesione con gli enti promotori (le amministrazioni pubbliche che erogano i benefici economici);
• una convenzione con il Ministero dell’economia e delle finanze in cui sono definiti “i meccanismi di comunicazione dei flussi contabili”;
• il ricorso a una distinta componente della piattaforma, sempre gestita dalla società PagoPA, per la raccolta ed elaborazione dei dati relativi alle operazioni di acquisto di beni o servizi;
• le due modalità per l’erogazione dei benefici:
  • attraverso “strumenti di pagamento” (come, ad esempio, le carte di pagamento): una volta acquisiti i dati necessari dall’acquirer (il soggetto che, attraverso un contratto specifico, ha fornito all’esercente gli strumenti per poter accettare i pagamenti -Bancomat S.p.A.) in relazione ai pagamenti effettuati dagli utenti fruitori, l’ente erogatore dispone il rimborso sul conto corrente del beneficiario (previamente registrato dallo stesso sulla piattaforma);
  • attraverso “strumenti di acquisto” (strumenti in uso all’utente specificatamente individuati, SPID, CIE, App IO e tessera sanitaria): una volta identificato l’utente fruitore e verificata la spettanza del beneficio, questi vengano utilizzati dallo stesso per gli acquisti connessi alle iniziative degli enti promotori che dispongono il rimborso nei confronti dell’esercente per il tramite dell’acquirer.

Tutti i soggetti intervengono nelle attività di trattamento dei dati personali e in relazione alle funzioni poste in essere possono assumere diverse posizioni:

• l’ente promotore è il titolare del trattamento dei dati personali necessari allo svolgimento di ogni iniziativa dallo stesso attivata e gestita attraverso la piattaforma e si avvale del gestore della piattaforma in qualità di responsabile del trattamento;
• il gestore “è il titolare del trattamento dei dati personali relativi all’utilizzo da parte dell’utente dell’AppIO o altro canale messo a disposizione dal gestore della piattaforma per aderire alle iniziative, nonché dei dati relativi agli strumenti di pagamento o di acquisto e agli IBAN registrati dall’utente”. Diversamente agisce “in qualità di responsabile del trattamento per conto di ciascun ente promotore” per gli altri trattamenti necessari allo svolgimento delle attività ad essa affidate nell’ambito di ogni singola iniziativa. Il gestore è altresì titolare del trattamento con riferimento alla gestione dell’“anagrafica degli esercenti che supportano la piattaforma”;
• gli issuer convenzionati (i soggetti che hanno sottoscritto una convenzione con PagoPA S.p.A. per la fornitura di uno strumento di pagamento elettronico) “sono titolari del trattamento dei dati personali dei propri clienti”, mentre “agiscono in qualità di sub-responsabili del trattamento, individuati dal gestore della piattaforma in virtù di un’apposita convenzione, limitatamente allo svolgimento delle attività ad essi affidate…”;
• gli acquirer convenzionati “sono titolari del trattamento dei dati personali effettuati nell’ambito delle transazioni da essi gestite”, mentre “agiscono in qualità di sub-responsabili del trattamento, individuati dal gestore della piattaforma in virtù di un’apposita convenzione, limitatamente allo svolgimento delle attività ad essi affidate…”;
• gli enti di supporto (i soggetti che hanno “in gestione una banca dati funzionale a verificare i dati richiesti dell’utente”), “sono titolari del trattamento dei dati personali di cui alle rispettive banche dati, le quali possono essere interrogate, nell’ambito della gestione delle iniziative, al fine di verificare i dati degli utenti per l’adesione”.

Le osservazioni del Garante

Il parere del Garante, espresso con Provvedimento n. 286 del 28 luglio 2022, prende le mosse dalla considerazione del rilevante impatto che i trattamenti effettuati tramite tale complessa e articolata infrastruttura presentano rischi elevati per i diritti e le libertà delle persone che derivano da quella che appare una raccolta massiva e generalizzata di informazioni di dettaglio, riferibili agli strumenti di pagamento (numero di carta di credito, ecc.) e ai conti correnti (IBAN), nonché ad ogni aspetto della vita quotidiana sulla base degli acquisti effettuati che sono così classificabili anche sulla base dell’identificativo fiscale dell’esercente e della categoria merceologica. Trattamenti che, non si esclude, possano impattare nell’ambito delle categorie particolari di dati personali e/o riguardanti anche categorie di soggetti vulnerabili.

Ne consegue che si rende necessario valutare specificatamente la proporzionalità dei trattamenti previsti in correlazione alle finalità specifiche perseguite per la singola iniziativa e raccogliere esclusivamente i dati relativi a quelle transazioni di cui l’utente intende avvalersi per l’erogazione dei benefici economici connessi alle iniziative a cui lo stesso ha aderito.

Più volte viene invocato il principio della minimizzazione dei dati e dell’esigenza che siano raccolti solo per finalità determinate, cioè solo quei dati necessari alla erogazione del beneficio che il soggetto ha richiesto e conservati per il tempo strettamente necessario[2].

I dati trattati, per loro natura, presentano rischi elevati: la piattaforma deve essere progettata, nel rispetto dei principi e degli obblighi di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default), e occorre che siano adottate misure di sicurezza, tecniche ed organizzative, adeguate alla loro protezione, in ogni fase dei trattamenti e in relazione a ogni canale di accesso alla piattaforma, in linea sempre con le previsioni del Regolamento. Le misure devono altresì rilevarsi idonee “a mitigare i rischi di utilizzi impropri, oltre evitare accessi non autorizzati, assicurando che tali dati siano trattati solo per le finalità di erogazione dei benefici richiesti”. Inoltre occorre assicurare, sempre per il rispetto del principio dell’esattezza dei dati, la corretta intestazione dei conti correnti e degli strumenti di pagamento e di acquisto.

Cosa occorre fare

Nel suo provvedimento il Garante, ai sensi degli artt. 36, par. 4 e 58, par. 3, lett.b) del GDPR, esprime il suo parere[3]condizionandolo ad una serie di modifiche ed integrazioni che l’Amministrazione dovrà apportare al testo; interventi che impattano su elementi essenziali della normativa a protezione dei dati personali.

In particolare, infatti, le modifiche richieste riguardano:

• La corretta individuazione della base giuridica del trattamento
  • occorre introdurre misure volte a garantire che le informazioni raccolte e trattate siano solo quelle necessarie per l’erogazione dello specifico beneficio di cui l’utente intende avvalersi per assicurarsi l’erogazione dei benefici economici connessi a iniziative a cui lo stesso ha aderito;
  • occorre, a tal fine, introdurre misure volte a escludere la trasmissione delle informazioni relative a transazioni che non risultino riconducibile al singolo beneficio, limitando la raccolta alle sole informazioni di volta in volta necessarie in ragione delle caratteristiche delle singole iniziative;
  • le garanzie di minimizzazione dei dati raccolti per ogni specifico beneficio vanno estese anche al codice categoria dei beni acquistati e ai dati degli esercenti;     
  • occorre definire la durata della conservazione dei dati e delle informazioni in stretta connessione allo specifico beneficio.

• L’esattezza dei dati[4] e la correttezza delle informazioni
  • occorre introdurre misure per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento oltre ad assicurarne il costante monitoraggio e aggiornamento; 
  • occorre precisare specificatamente la tipologia delle attività di trattamento effettuate;    
  • occorre chiarire il ruolo del gestore della piattaforma nell’ambito delle verifiche, indicare le tipologie di dati personali destinatarie, le banche dati a tal fine utilizzate, ovvero, laddove ciò non sia possibile, deve essere stabilito che tali verifiche dovranno avvenire sulla base della normativa di settore che disciplina l’erogazione del beneficio.

• Sicurezza delle informazioni e garanzia dei diritti
  • occorre introdurre misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio specifico, con particolare attenzione alle fasi di pagamento e durante le transazioni commerciali.

Occorre altresì definire i tempi di conservazione dei dati trattati dalla piattaforma, differenziati secondo le diverse tipologie e per le diverse finalità per le quali sono trattati, oltre ad assicurare anche agli utenti che abbiano richiesto la cancellazione dalle singole iniziative, la possibilità di consultare i dati sino a quel momento raccolti.

Infine il Garante sottolinea come devono essere ancora approfonditi taluni aspetti che appaiono di competenza del Ministero dell’economia e delle finanze e si riserva di esprimersi sulla valutazione d’impatto sulla protezione dei dati che, il gestore della piattaforma[5] dovrà presentare in particolare tenendo in debito conto che ancora emerge evidente la presenza di rischi elevati che non risultano essere mitigati adeguatamente dalle misure già individuate.

[1] Decreto-legge 6 novembre 2021, n. 152, convertito in legge 29 dicembre 2021, n. 233 recante: «Disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR) e per la prevenzione delle infiltrazioni mafiose.»

[2] Cfr. art. 5 par.1 del GDPR

[3] Cfr. comma 3 dell’art. 28 bis del decreto legge 152/2021.

[4] Nuovo intervento del Garante a sottolineare la rilevanza del principio di esattezza dei dati: Multa di 100 mila euro alla Regione Lazio per il mancato aggiornamento dei dati personali. Cfr. Provvedimento n. 304 del 15 settembre 2022.

[5] Cfr. artt. 35 e 36, par. 5, del GDPR.