Servizi all'Economia
HOMEPAGE |  SERVIZI ALL'ECONOMIA |  CASHBACK |  INFORMATIVA PRIVACY

Informativa sul trattamento dei dati personali nell'ambito del programma Cashback (art. 13 e 14 del regolamento ue 679/2016)

La presente informativa descrive le modalità del trattamento dei dati personali di coloro che partecipano al Programma Cashback (Aderenti), ed è resa ai sensi degli artt. 13 e 14 del Regolamento Generale sulla Protezione dei Dati n. 679/2016 (di seguito “RGPD”).

Dati di contatto del Titolare del trattamento

Titolare del trattamento dei dati personali è Il Ministero dell’Economia e delle Finanze - Dipartimento del Tesoro (di seguito, anche solo “MEF” o “Titolare”), con sede in Roma, in via XX Settembre n. 97.

I dati di contatto del Titolare sono:

Dati di contatto del Responsabile della Protezione Dati (RPD)

I dati di contatto del Responsabile della Protezione Dati del Ministero dell’Economia e delle Finanze sono:

Finalità del trattamento

I dati oggetto del trattamento sono trattati dal Ministero dell’Economia e delle Finanze per le finalità connesse, collegate e strumentali allo svolgimento del Programma Cashback, con particolare riguardo al riconoscimento e all’erogazione dei rimborsi, secondo quanto disposto dall’art. 1, commi da 288 a 290, legge del 27 dicembre 2019, n. 160 nel rispetto dei criteri stabiliti con D.M. 24 novembre 2020, n. 156 del Ministero dell’Economia e delle Finanze (GU n.296 del 28-11-2020) (“Decreto”).

I dati personali dell’Aderente possono essere altresì trattati per la gestione degli eventuali reclami, nonché per la difesa in giudizio in caso di contenzioso.

La veridicità dei dati e delle informazioni fornite dall’aderente può essere oggetto di controlli anche a campione ai sensi di legge.

Con l’inserimento dell’IBAN, l’Aderente autorizza l’istituto ove è radicato il proprio conto a comunicare a PagoPA S.p.A., per conto del Ministero dell’Economia e delle Finanze, i dati necessari a verificare se il codice fiscale fornito corrisponda all’intestatario del codice IBAN indicato (o ad almeno uno dei cointestatari) o a un conto di sistema.

La veridicità dei dati e delle informazioni fornite dall’aderente può essere oggetto di controlli anche a campione ai sensi di legge.

Il Titolare può effettuare analisi in forma aggregata e statistiche sull’attuazione del Programma trattando, anche i dati personali degli Aderenti relativi alla partecipazione al Programma, al numero e al valore delle transazioni effettuate, nonché ai rimborsi erogati, nel rispetto delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale”, e dei tempi di conservazione dei dati personali previsti dal citato Decreto.  

Base giuridica del trattamento

Il Trattamento dei dati è necessario per l’esecuzione di un compito di interesse pubblico, di cui è investito il Titolare.

Infatti, l’art. 1, comma 289, legge del 27 dicembre 2019, n. 160 ha demandato al Ministero dell’Economia e delle Finanza, sentito il Garante per la protezione dei dati personali, l’emanazione di uno o più decreti al fine di stabilire le condizioni e le modalità attuative delle disposizioni di cui ai commi 288, 289-bis e 289-ter del medesimo articolo.

Il Decreto ha disciplinato le modalità di effettuazione delle richieste di partecipazione al Programma da parte degli Aderenti e di attribuzione del rimborso.

I dati personali sono, dunque, trattati dal Ministero dell’Economia e delle Finanze nell'esecuzione dei propri compiti di interesse pubblico o comunque connessi all'esercizio dei pubblici poteri di cui è investito, ivi inclusa la verifica della sussistenza dei requisiti di legge previsti ai fini della partecipazione al Programma.

Modalità di trattamento

I dati personali sono trattati e conservati nel rispetto dei principi previsti dall'articolo 5 del Regolamento (UE) n. 2016/679 (di seguito “RGPD”) e, in particolare, alla luce dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza.

Sono trattati esclusivamente per le finalità di cui alla presente informativa e per un periodo di tempo non superiore al conseguimento delle stesse e comunque per il periodo previsto dalla legge.

Il trattamento è posto in essere con strumenti automatizzati; sono implementate misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti. È espressamente escluso qualsiasi trattamento a scopo di profitto o di profilazione. 

Per garantire che i dati forniti vengano trattati in modo adeguato e conforme alla normativa sulla protezione dei dati, il Ministero dell’Economia e delle Finanze ha previsto l’adozione da parte dei responsabili del trattamento di idonee misure di sicurezza, organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto e/o dall’utilizzo improprio o illegittimo.

In particolare, i dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari per la determinazione dei rimborsi previsti dal Decreto, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono.

Responsabili del trattamento

Il Titolare ha nominato quali Responsabili del trattamento, ai sensi dell’art. 28 del RGPD, PagoPA S.p.A. e Consap S.p.A., società partecipate dallo Stato, di cui il Ministero dell’Economia e delle Finanze si avvale per la gestione del Programma, ognuna per i profili di propria competenza. Le predette nomine sono regolate da specifici accordi che impongono alle stesse – e agli eventuali sub-responsabili da queste nominati - l’adozione di misure di protezione dei dati adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti.

I Responsabili del trattamento, che trattano i dati per lo svolgimento delle attività ad essi affidate dal Ministero, hanno cura di nominare e istruire debitamente i soggetti da loro incaricati, i fornitori di servizi e in generale i sub-responsabili di cui, a loro volta, si avvalgono.

L’elenco dei fornitori di servizi di cui PagoPA S.p.A. si avvale per la gestione dell’App IO, utilizzata per il Programma Cashback è disponibile al seguente link: https://io.italia.it/app-content/fornitori.

L’elenco dei fornitori di servizi di cui Consap S.p.A. si avvale per la gestione del Portale dedicato alla gestione dei reclami è disponibile al seguente link.

I dati di contatto dei responsabili della protezione dei dati delle società sopra citate sono: per PagoPA S.p.A. dpo@pagopa.it, per Consap S.p.A. rpd@consap.it.

Categorie di destinatari dei dati

I dati personali non sono oggetto di diffusione o cessione. Potranno essere comunicati a:

  • responsabili del trattamento, incluse PagoPA S.p.A. e Consap S.p.A. e eventuali sub-responsabili da queste nominati;
  • soggetti autorizzati al trattamento che operano sotto l’autorità diretta del titolare o del responsabile, per le finalità indicate dal Decreto;
  • soggetti cui i dati debbano essere comunicati in virtù di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, ovvero per adempiere ad un ordine dell’Autorità Giudiziaria;
  • altri eventuali soggetti terzi, nei casi espressamente previsti dalla legge, ovvero ancora se la comunicazione si renda necessaria per la tutela delle ragioni del Ministero dell’Economia e delle Finanze in sede giudiziaria, nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali.

Trasferimento dati fuori dall’UE

Per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A., la predetta Società si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA).

In ogni caso, i Responsabili del trattamento si avvalgono esclusivamente di fornitori che adottano idonee garanzie, anche in forza di accordi contenenti clausole contrattuali standard o norme vincolanti di impresa, nel rispetto dei principi previsti dal RGPD.

L’elenco dei fornitori delle società responsabili del trattamento è consultabile ai link contenuti nel paragrafo “Responsabili del trattamento”.

È possibile ricevere copia delle misure adottate, o comunque informazioni al riguardo, collegandosi all’indirizzo https://io.italia.it/app-content/fornitori con riferimento ai fornitori di PagoPA S.p.A., e  contattando Consap S.p.A. all’indirizzo rpd@consap.it.

Tempi di conservazione dei dati

I dati degli Aderenti sono trattati per il tempo strettamente necessario allo svolgimento delle attività previste dal Decreto.

I dati possono essere successivamente conservati per un arco di tempo non superiore al perseguimento delle finalità per le quali sono trattati, come indicate dalla legge del 27 dicembre 2019, n. 160 e dal Decreto, e comunque per un periodo complessivamente non superiore a 10 anni.

Si precisa che i dati relativi alle transazioni sono memorizzati solo per il tempo necessario all’emissione dei rimborsi previsti dal Decreto, nonché per le eventuali attività di gestione di reclami e/o del contenzioso innanzi all’Autorità giudiziaria.

La conservazione e l’archiviazione avvengono attraverso l’adozione di idonee misure destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi.

Diritti degli interessati

Gli interessati hanno il diritto di ottenere, nei casi previsti, l’accesso, la rettifica, la cancellazione dei propri dati personali e/o la limitazione del trattamento che li riguarda, ed hanno il diritto di ricevere una notifica in caso di rettifica, cancellazione o limitazione (artt. 15, 16, 17, 18, 19 del RGPD). Gli interessati hanno, altresì, il diritto di opporsi al trattamento necessario per l’esecuzione di un compito di interesse pubblico e di contestare i trattamenti automatizzati legati all’assegnazione del Bonus e esprimere la propria opinione, sulla base di quanto previsto dalla normativa vigente (artt. 21 e 22 del RGPD).

I suddetti diritti possono essere azionati inviando una richiesta al Titolare al seguente indirizzo:

Diritto di proporre reclamo all’autorità di controllo

Gli interessati che ritengono che il trattamento dei dati personali loro riferiti avvenga in violazione di quanto previsto dal RGPD, hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali, ai sensi dell’art. 77 del Regolamento UE 2016/679 e/o di adire le opportune sedi giudiziarie, ai sensi dell’art. 79.