Sale a 3,6 milioni il numero di cittadini iscritti al programma cashback e sono 6,2 milioni gli strumenti di pagamento elettronici registrati, dall’app IO o attraverso gli altri canali disponibili. Secondo Palazzo Chigi i disservizi nel caricamento delle carte di credito all’interno della sezione “Portafoglio” “risultano significativamente ridimensionati” e i tecnici “sono al lavoro per un monitoraggio costante su eventuali ulteriori disagi”. Intanto PagoPa, che ha gestito lo sviluppo della app, assicura che l’app “assicura il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR)”, “non comporta alcuna profilazione o geolocalizzazione degli utenti” e “nel caso specifico del cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente”.
Il sistema “memorizza solo il codice crittografato in modo irreversibile che corrisponde allo strumento di pagamento, data, ora e importo dell’acquisto, unicamente ai fini del calcolo del rimborso“. Il sistema alla base dell’App “non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione ‘Portafoglio’: questi, infatti, vengono memorizzati dal fornitore Sia in un ambiente protetto secondo gli standard Pci dss (Payment Card Industry Data Security Standard) e conservati in server situati in Italia”. Il sistema quindi non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (come i dati delle carte di credito/debito). Allo stesso modo, i server dove vengono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea dove è applicato il Regolamento generale sulla protezione dei dati personali (Gdpr) e, quindi, le stesse tutele applicabili in Italia.
Vengono utilizzati “alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App” prosegue la nota. Infine, “utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili”. Con tutti i fornitori infine “abbiamo stipulato una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, con cui hanno accettato di trattare i dati esclusivamente al fine di svolgere il servizio che ci rendono precludendo agli stessi, pertanto, un qualsivoglia utilizzo per altre finalità o per fini loro propri”.