Privacy Policy Cashback

Ministero dell'Economia e delle Finanze
Programma Cashback
Informativa sul trattamento dei dati personali

(art. 13 e 14 del Regolamento UE 679/2016)

La presente informativa descrive le modalità del trattamento dei dati personali di coloro che partecipano al Programma Cashback (Aderenti), ed è resa ai sensi degli artt. 13 e 14 del Regolamento Generale sulla Protezione dei Dati n. 679/2016 (di seguito “RGPD”).

INFORMATIVA SINTETICA

Il Titolare del trattamento dei dati personali è il Ministero dell’Economia e delle Finanze (MEF), che si avvale di PagoPA S.p.A. e Consap S.p.A., società partecipate dallo Stato, in qualità di Responsabili del trattamento dei dati personali ai sensi dell’art. 28 del RGPD) per lo svolgimento delle attività necessarie a garantire la partecipazione degli Aderenti al Programma e la puntuale erogazione dei rimborsi in loro favore, nonché a consentire la gestione di eventuali reclami e/o del contenzioso derivante dalla partecipazione al Programma.

Al fine di partecipare al Programma Cashback ed ottenere i rimborsi in denaro per gli acquisti effettuati utilizzando strumenti di pagamento elettronici su dispositivi fisici, è necessario che l’Aderente conferisca i propri dati mediante la registrazione sull’App IO, ovvero sui canali alternativi messi a disposizione dai fornitori di strumenti di pagamento elettronici (c.d. Issuer Convenzionati), quali istituti bancari, postali e altri soggetti che emettono tali strumenti, come definiti dall’art. 1, comma 1, lett. g) del Decreto del Ministero dell’Economia e delle Finanze, 24 novembre 2020, n. 156 del (GU n.296 del 28-11-2020).

L’adesione al Programma è volontaria e il rifiuto dell’Aderente di fornire i dati richiesti (dati anagrafici identificativi, codice fiscale, gli estremi dello strumento di pagamento, IBAN) comporta l’impossibilità di partecipare al Programma e di ottenere i rimborsi.

Ai fini dell’eventuale presentazione di un reclamo, è necessario che l’Aderente conferisca i propri dati attraverso il Portale dedicato raggiungibile da sito internet di Consap; in caso di contenzioso, i dati personali saranno trattati ai fini della difesa in giudizio.

Si ricorda che l’omissione e/o l’indicazione non veritiera dei dati e delle informazioni può comportare sanzioni amministrative e penali.

I dati sono trattati con strumenti automatizzati e sono protetti da misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti. E’ espressamente escluso qualsiasi trattamento a scopo di profitto o di profilazione.

L’Aderente può in qualsiasi momento recedere dal Programma (tramite App IO o altro sistema degli Issuer Convenzionati), con conseguente cancellazione dei dati relativi alla propria adesione.

Potrebbe essere previsto l’invio di notifiche push tramite l’App IO; queste ultime possono essere disabilitate anche al momento dell’installazione della suddetta App. In ogni caso le notifiche push possono essere disabilitate nella sezione Servizi dell’App IO o tramite le impostazioni del dispositivo mobile.

Di seguito, sono esposte tutte le informazioni più dettagliate sulle modalità del trattamento, nonché quelle utili per l’esercizio dei diritti dell’interessato previste dal RGPD.

INFORMATIVA ESTESA

Informativa sul trattamento dei dati personali nell’ambito del Programma Cashback (art. 13 e 14 del Regolamento UE 679/2016)

Dati di contatto del Titolare del trattamento

Titolare del trattamento dei dati personali è Il Ministero dell’Economia e delle Finanze - Dipartimento del Tesoro (di seguito, anche solo “MEF” o “Titolare”), con sede in Roma, in via XX Settembre n. 97.

I dati di contatto del Titolare sono:

Dati di contatto del Responsabile della Protezione Dati (RPD)

I dati di contatto del Responsabile della Protezione Dati del Ministero dell’Economia e delle Finanze sono:

Finalità del trattamento

I dati oggetto del trattamento sono trattati dal Ministero dell’Economia e delle Finanze per le finalità connesse, collegate e strumentali allo svolgimento del Programma Cashback, con particolare riguardo al riconoscimento e all’erogazione dei rimborsi, secondo quanto disposto dall’art. 1, commi da 288 a 290, legge del 27 dicembre 2019, n. 160 nel rispetto dei criteri stabiliti con D.M. 24 novembre 2020, n. 156 del Ministero dell’Economia e delle Finanze (GU n.296 del 28-11-2020) (“Decreto”).

I dati personali dell’Aderente possono essere altresì trattati per la gestione degli eventuali reclami, nonché per la difesa in giudizio in caso di contenzioso.

La veridicità dei dati e delle informazioni fornite dall’aderente può essere oggetto di controlli anche a campione ai sensi di legge.

Con l’inserimento dell’IBAN, l’Aderente autorizza l’istituto ove è radicato il proprio conto a comunicare a PagoPa S.p.A., per conto del Ministero, i dati necessari a verificare se il codice fiscale fornito corrisponda all’intestatario del codice IBAN indicato (o ad almeno uno dei cointestatari) o a un conto di sistema.

La veridicità dei dati e delle informazioni fornite dall’aderente può essere oggetto di controlli anche a campione ai sensi della normativa vigente.

Il Titolare può effettuare analisi in forma aggregata e statistiche sull’attuazione del Programma trattando, anche i dati personali degli Aderenti relativi alla partecipazione al Programma, al numero e al valore delle transazioni effettuate, nonché ai rimborsi erogati, nel rispetto delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale”, e dei tempi di conservazione dei dati personali previsti dal citato Decreto.

Base giuridica del trattamento

Il Trattamento dei dati è necessario per l’esecuzione di un compito di interesse pubblico, di cui è investito il Titolare.

Infatti, l’art. 1, comma 289, legge del 27 dicembre 2019, n. 160 ha demandato al Ministero dell’Economia e delle Finanza, sentito il Garante per la protezione dei dati personali, l’emanazione di uno o più decreti al fine di stabilire le condizioni e le modalità attuative delle disposizioni di cui ai commi 288, 289-bis e 289-ter del medesimo articolo.

Il Decreto ha disciplinato le modalità di effettuazione delle richieste di partecipazione al Programma da parte degli Aderenti e di attribuzione del rimborso.

I dati personali sono, dunque, trattati dal Ministero dell’Economia e delle Finanze nell'esecuzione dei propri compiti di interesse pubblico o comunque connessi all'esercizio dei pubblici poteri di cui è investito, ivi inclusa la verifica della sussistenza dei requisiti di legge previsti ai fini della partecipazione al Programma.

Modalità di trattamento

I dati personali sono trattati e conservati nel rispetto dei principi previsti dall'articolo 5 del Regolamento (UE) n. 2016/679 (di seguito “RGPD”) e, in particolare, alla luce dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza.

Sono trattati esclusivamente per le finalità di cui alla presente informativa e per un periodo di tempo non superiore al conseguimento delle stesse e comunque per il periodo previsto dalla legge.

Il trattamento è posto in essere con strumenti automatizzati; sono implementate misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti. E’ espressamente escluso qualsiasi trattamento a scopo di profitto o di profilazione.

Per garantire che i dati forniti vengano trattati in modo adeguato e conforme alla normativa sulla protezione dei dati, il Ministero dell’Economia e delle Finanze ha previsto l’adozione da parte dei responsabili del trattamento di idonee misure di sicurezza, organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto e/o dall’utilizzo improprio o illegittimo.

In particolare, i dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari per la determinazione dei rimborsi previsti dal Decreto, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono.

Responsabili del trattamento

Il Titolare ha nominato quali Responsabili del trattamento, ai sensi dell’art. 28 del RGPD, Pago P.A. S.p.A. e Consap S.p.A., società partecipate dallo Stato, di cui il Ministero dell’Economia e delle Finanze si avvale per la gestione del Programma, ognuna per i profili di propria competenza. Le predette nomine sono regolate da specifici accordi che impongono alle stesse – e agli eventuali sub-responsabili da queste nominati - l’adozione di misure di protezione dei dati adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti.

I Responsabili del trattamento, che trattano i dati per lo svolgimento delle attività ad essi affidate dal Ministero, hanno cura di nominare e istruire debitamente i soggetti da loro incaricati, i fornitori di servizi e in generale i sub-responsabili di cui, a loro volta, si avvalgono.

Categorie di destinatari dei dati

I dati personali non sono oggetto di diffusione o cessione. Potranno essere comunicati a:

  • responsabili del trattamento, incluse PagoPA S.p.A. e Consap S.p.A. e eventuali sub-responsabili da queste nominati;
  • soggetti autorizzati al trattamento che operano sotto l’autorità diretta del titolare o del responsabile, per le finalità indicate dal Decreto;
  • soggetti cui i dati debbano essere comunicati in virtù di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, ovvero per adempiere ad un ordine dell’Autorità Giudiziaria;
  • altri eventuali soggetti terzi, nei casi espressamente previsti dalla legge, ovvero ancora se la comunicazione si renda necessaria per la tutela delle ragioni del Ministero dell’Economia e delle Finanze in sede giudiziaria, nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali.

Trasferimento dati fuori dall’UE

Per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A., la predetta Società si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA). Per lo svolgimento di alcune attività connesse alla gestione dei reclami attraverso il Portale dedicato, Consap S.p.A. si avvale di fornitori terzi che hanno la propria sede in Paesi extra-UE (USA).

In ogni caso, i Responsabili del trattamento si avvalgono esclusivamente di fornitori che adottano idonee garanzie, anche in forza di accordi contenenti clausole contrattuali standard o norme vincolanti di impresa, nel rispetto dei principi previsti dal RGPD.

È possibile richiedere copia delle misure adottate, o comunque informazioni al riguardo, contattando, rispettivamente, PagoPA S.p.A., all’indirizzo dpo@pagopa.it Consap S.p.A. all’indirizzo rpd@consap.it.

Tempi di conservazione dei dati

I dati degli Aderenti sono trattati per il tempo strettamente necessario allo svolgimento delle attività previste dal Decreto.

I dati possono essere successivamente conservati per un arco di tempo non superiore al perseguimento delle finalità per le quali sono trattati, come indicate dalla legge del 27 dicembre 2019, n. 160 e dal Decreto, e comunque per un periodo complessivamente non superiore a 10 anni.

Si precisa che i dati relativi alle transazioni sono memorizzati solo per il tempo necessario all’emissione dei rimborsi previsti dal Decreto, nonché per le eventuali attività di gestione di reclami e/o del contenzioso innanzi all’Autorità giudiziaria.

La conservazione e l’archiviazione avvengono attraverso l’adozione di idonee misure destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi.

Diritti degli interessati

Gli interessati hanno il diritto di ottenere, nei casi previsti, l’accesso, la rettifica, la cancellazione dei propri dati personali e/o la limitazione del trattamento che li riguarda, ed hanno il diritto di ricevere una notifica in caso di rettifica, cancellazione o limitazione (artt. 15, 16, 17, 18, 19 del RGPD). Gli interessati hanno, altresì, il diritto di opporsi al trattamento necessario per l’esecuzione di un compito di interesse pubblico e di contestare i trattamenti automatizzati legati all’assegnazione del Bonus e esprimere la propria opinione, sulla base di quanto previsto dalla normativa vigente (artt. 21 e 22 del RGPD).

I suddetti diritti possono essere azionati inviando una richiesta al Titolare al seguente indirizzo:

Diritti di reclamo

Gli interessati che ritengono che il trattamento dei dati personali loro riferiti avvenga in violazione di quanto previsto dal RGPD, hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali, ai sensi dell’art. 77 del Regolamento UE 2016/679 e/o di adire le opportune sedi giudiziarie, ai sensi dell’art. 79.