Alla luce dei dubbi (più che altro percepiti, ma non troppo argomentati) relativi ai possibili problemi di tracciamento correlati all’app IO, PagoPA ha voluto pubblicare un approfondimento che offre le necessarie garanzie agli utenti che temono un occhio eccessivamente indiscreto sulle proprie carte di credito o sulle abitudini di consumo. Secondo PagoPA, infatti, la privacy dei cittadini è da considerarsi come un “valore irrinunciabile“, un “elemento essenziale della digitalizzazione nella Pubblica Amministrazione“.
La privacy, il Cashback e IO
Nessun compromesso su questo tema, insomma, e massima fedeltà alle prescrizioni del Regolamento Generale sulla Protezione dei Dati (GDPR). L’azienda precisa inoltre come il Garante abbia fornito parere positivo sul progetto, disciplinando dettagliatamente il trattamento dei dati e valutando a priori ogni processo a monte della pubblicazione delle procedure del cashback.
La privacy dei cittadini è un valore essenziale e irrinunciabile. Il sistema di @IOitaliait:
– non comporta alcuna profilazione o geolocalizzazione
– non memorizza i dati delle carte aggiunte
– non trasferisce all’estero i dati degli strumenti di pagamentohttps://t.co/PjBPMFMkBI— PagoPA S.p.A. (@PagoPA) December 11, 2020
PagoPA fornisce inoltre alcune specifiche delucidazioni in merito all’uso dell’app IO:
Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN“) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.
E ancora: nessuna memorizzazione dei dati delle carte di credito (gestiti da SIA secondo standard PCI DSS e conservati su serve italiani); nessun dato sui sistemi di pagamento trasferito all’estero; nessun dato personale gestito al di fuori dell’Unione Europea. Tutto interno all’UE, quindi? Non esattamente, ma anche questi aspetti sono trasparentemente descritti:
Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App.
Ogni fornitore utilizzato è indicato su apposita lista, affinché ogni aspetto possa essere verificabile. Ed agli utenti va infine un appello per stimolare un presidio costruttivo sulle procedure poste in essere, affinché ogni sbavatura possa essere segnalata e vi si possa operare costruttivamente per il bene comune: “rinnoviamo ed estendiamo anche ai lettori di questo comunicato l’invito a contribuire e a segnalarci qualunque proposta migliorativa per rendere IO sempre più sicura e rispettosa della privacy dei cittadini“.