IDPay: il Garante vieta la raccolta massiva dei dati

IDPay: il Garante vieta la raccolta massiva dei dati

Secondo il Garante della Privacy, la piattaforma IDPay non deve raccogliere un numero eccessivo di informazioni sugli acquisti effettuati dagli utenti.
Secondo il Garante della Privacy, la piattaforma IDPay non deve raccogliere un numero eccessivo di informazioni sugli acquisti effettuati dagli utenti.

Entro fine anno dovrebbe essere lanciata la nuova piattaforma IDPay (nome provvisorio) che permetterà di erogare i benefici economici ai cittadini al momento dell’acquisto di beni e servizi. Il Garante per la protezione dei dati personali darà un parere positivo allo schema di decreto che disciplina la piattaforma, solo se verranno apportate alcune modifiche per evitare la raccolta massiva dei dati relativi alle transazioni.

Piattaforma IDPay: sì condizionato del Garante

La piattaforma digitale per l’erogazione di benefici economici concessi dalle amministrazioni pubbliche è prevista dall’art. 28 bis del decreto legge n. 152 del 6 novembre 2021, convertito con modificazioni dalla legge n. 233 del 29 dicembre 2021. Gli obiettivi principali di IDPay sono quelli di digitalizzare i pagamenti della PA e consentire un controllo più efficiente della spesa pubblica. L’erogazione dei benefici (bonus) non avverrà in anticipo, ma al momento dell’acquisto tramite POS fisici e virtuali.

È chiaro che una simile modalità di funzionamento comporta la raccolta di numerosi dati degli utenti, in particolare quelli relativi alle transazioni, oltre a quelli che permettono di verificare se il cittadino può accedere ai bonus. La piattaforma raccoglierà, ad esempio, il numero della carta di pagamento, l’IBAN del conto corrente e le informazioni su beni o servizi acquistati.

Il Garante evidenzia che dai codici merceologici dei beni acquistati è possibile risalire a molti dati personali, tra cui quelli relativi a salute, religione, opinioni politiche e preferenze sessuali.

La piattaforma dovrà essere progettata nel rispetto dei principi di privacy by design e by default, limitando la raccolta dei dati a quelli strettamente necessari allo scopo perseguito dalla singola iniziativa, senza accentrare presso PagoPA i dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento censiti nel sistema dagli utenti.

Devono inoltre essere adottate misure tecniche per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, in quanto alcuni utenti potrebbero operare sulla piattaforma per conto di altri beneficiari (anziani, minori, disabili). Il Garante darà quindi un parere positivo solo se verranno apportate le modifiche suggerite.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 ott 2022
Link copiato negli appunti