Siamo al debutto dell’app IO per il bonus cashback, ma non parleremo di come l’affollamento delle ultime ore agli sportelli virtuali di PagoPa stia causando alcuni “momentanei rallentamenti e disservizi”, per cui viene chiesta la “comprensione e pazienza” per uno “dei progetti più complessi e sfidanti che sia stato realizzato sin qui in Italia e in Europa”.
La prima cosa che è saltata all’occhio, piuttosto, è la peculiare informativa privacy riguardante l’impiego dei dati personali raccolti in occasione della registrazione dei metodi di pagamento.
Prima di tutto per la difficoltà a reperirla con un link dalla pagina dello store: tanto nel Play Store quanto nell’App Store, cliccando su “Norme sulla privacy” si viene indirizzati alla Privacy Policy del sito della Presidenza del Consiglio dei Ministri.
Ebbene, da buoni ricercatori si può esplorare anche il sito dell’app, ma cliccando su “Privacy Policy” si scopre che l’informativa è limitata al solo ambito del sito web. Andando oltre e scaricando l’app, però, dalla sezione “Profilo” è possibile finalmente accedere a “Privacy e condizioni d’uso” al fine di comprendere le sorti dei dati personali che andremo a conferire all’interno dell’app. Qui è possibile accedere ai propri dati, eliminare l’account e, finalmente, consultare l’informativa privacy aggiornata al 18 novembre 2020 (v.2.2).
Già la versione sintetica dell’informativa desta qualche perplessità quando, al quinto punto, campeggia la dichiarazione: “Alcuni dei nostri fornitori o delle terze parti coinvolte nel funzionamento dell’App sono situati al di fuori dell’UE, in particolare negli USA; ti garantiamo comunque sempre il rispetto delle misure di garanzia previste dal Regolamento (UE) 2016/679 (GDPR). In particolare, abbiamo previsto adeguati meccanismi contrattuali di garanzia, incluse le clausole contrattuali standard per assicurare la tutela dei tuoi dati”.
Da ciò, consegue naturalmente l’esigenza di consultare l’informativa estesa per approfondire, e si scopre però che “Alcuni dei fornitori terzi di cui ci avvaliamo per alcuni servizi essenziali all’operatività dei nostri prodotti e servizi risiedono negli USA. Abbiamo concluso con tali fornitori accordi di servizio ai sensi dell’art. 28 del Regolamento. Tutti i fornitori sono conformi al Regolamento e, quando non sono certificati Privacy Shield, abbiamo concluso con loro le Clausole Contrattuali della Commissione Europea per garantire adeguati livelli di tutela. Dove possibile, inoltre, selezioniamo opzioni che consentono di mantenere i dati nell’Unione Europea.”.
Quindi, fondamentalmente, si assicura la conformità al GDPR di tutti i fornitori stabiliti negli Stati Uniti. Come è noto, il Privacy Shield è venuto meno dopo la decisione Schrems II, e dunque il valore della relativa certificazione non garantisce più un livello di protezione adeguato e conforme al GDPR. Di conseguenza, si può ritenere che vadano seguite le raccomandazioni dell’EDPB per la predisposizione di misure supplementari di garanzia nell’adozione delle clausole contrattuali standard la cui nuova versione, peraltro, è stata sottoposta dalla Commissione a consultazione pubblica fino al 10 dicembre.
Sarebbe auspicabile, soprattutto in forza di quel principio di trasparenza spesso troppo trascurato, che sia chiarito quali dati siano destinati a quali soggetti, e soprattutto per quali finalità. Non bisogna dimenticare infatti che tramite l’app IO e il programma del bonus cashback sono raccolti e trattati dati relativi agli strumenti di pagamento nonché i dati degli acquisti effettuati da cui si possono trarre abitudini di consumo, richiedendo così garanzie concrete ed effettive per provvedere ad un elevato grado di tutela e protezione dei dati personali e delle attività svolte sugli stessi.
