Decreto Transizione Digitale: no alla raccolta delle transazioni degli utenti

Il Garante per la privacy ha espresso il proprio parere sullo schema di Decreto che regola un complesso di trattamenti di dati attraverso i quali assicurare l’erogazione di aiuti economici destinati a specifici acquisti da effettuare utilizzando strumenti di pagamento elettronici.

L’obiettivo del Decreto è quello di digitalizzare i pagamenti della Pa e consentire un più efficiente controllo della spesa pubblica, semplificando l’accesso alle diverse iniziative da parte dei cittadini attraverso l’uso della nuova piattaforma gestita da PagoPA.

La piattaforma è destinata a raccogliere in modo massivo e generalizzato informazioni su tutti gli aspetti, anche i più delicati, della vita quotidiana dell’intera popolazione sulla base degli acquisti effettuati, nonché dati degli strumenti di pagamento (numero di carta di credito, ecc.) e dei conti correnti (IBAN) dei fruitori quindi il Garante ha chiesto all’Amministrazione di integrare e modificare il testo del decreto, dettando precise condizioni.
Un patrimonio informativo così importante, riferibile anche categorie di persone vulnerabili, richiede l’adozione di misure tecniche e organizzative e dovrà, secondo il Garante, essere progettata:

  • assicurando che i dati siano trattati solo per l’erogazione dei benefici richiesti nel rispetto dei principi di privacy by design e by default.
  • limitando la raccolta dei dati a quelli strettamente necessari allo scopo perseguito dalla singola iniziativa senza accentrare presso PagoPa, i dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento censiti nel sistema dagli utenti.
  • raccogliendo con attenzione i dati relativi ai codici merceologici dei beni acquistati, poiché da tali informazioni possono emergere anche riferimenti a opinioni politiche, convinzioni religiose, dati genetici, sulla salute o la vita sessuale.
  • adottando misure tecniche e organizzative per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, tenendo conto che alcuni utenti potrebbero operare sulla piattaforma in favore di altri beneficiari (anziani, minori, disabili).
  • garantendo adeguata protezione dei dati con garanzie e misure di sicurezza adeguate al rischio per prevenire accessi abusivi o illeciti, o usi impropri dei dati personali.

Il Garante ha chiesto infine che, anche eventualmente attraverso un successivo atto attuativo, siano individuati i tempi di conservazione dei dati, differenziati secondo le diverse tipologie e finalità per le quali sono trattati.

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI