Il Consiglio di Stato ha reso parere favorevole al regolamento in materia di condizioni e criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici (Cashback) adottato ai sensi dell’art. 1, commi sa 288 a 290, l. n. 160/2019, nel quale, secondo Palazzo Spada, dovrà essere indicato chiaramente «il soggetto deputato al controllo e chiarire cosa si intenda per “medesimo acquisto”, ossia se questo sia riferibile all’acquisto di un bene singolo o se, in tale nozione, rientri anche l’ipotesi di acquisto simultaneo di plurimi beni presso il medesimo esercente in un certo arco temporale».

Non sono tuttavia mancate alcune osservazioni. Il Consiglio di Stato ha infatti evidenziato che il parere favorevole del Garante Privacy dello scorso 13 ottobre è stato adottato per ragioni di urgenza e di indifferibilità dal Presidente dell’Autorità e, pertanto, dovrà essere ratificato entro 30 giorni dal Collegio, a pena di perdita di efficacia ex tunc, ai sensi dell’art. 5, comma 8, del reg. n. 1/2000 sull’organizzazione ed il funzionamento dell’Ufficio del Garante.

Ne deriva che la Sezione ha subordinato il proprio parere favorevole sullo schema di regolamento alla tempestiva ratifica, da parte del Collegio del Garante, del sopra menzionato parere. In mancanza, il parere favorevole espresso dal Presidente del Garante dovrà essere considerato tamquam non esset, senza poter dare ulteriore corso al regolamento in esame.

Il Consiglio di Stato ha poi rilevato che il parere favorevole reso dal Garante Privacy è espressamente «formulato unicamente in relazione all’utilizzo dell’APP IO, e dell’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA, ai fini della realizzazione del sistema Cashback».

Tale app, secondo il Garante, dovrà essere vista «quale punto unico di accesso telematico per i cittadini ai servizi in rete della pubblica amministrazione (art. 64-bis CAD)», riservandosi, in sede di verifica preventiva della valutazione di impatto compiuta dal Ministero dell’economia e delle finanze, l’esame delle «caratteristiche dell’APP IO su cui sono già state formulate alcune osservazioni nel provvedimento n. 102 del 12 giugno 2020 […], relative, in particolare, al previsto utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché al trasferimento di dati personali verso Paesi terzi […]».

Pertanto, la Sezione fa sapere che il parere reso in consonanza ed in continuità a quello espresso dal Garante deve ritenersi limitato alla sola ipotesi di utilizzo della APP IO da parte degli aderenti al programma e precisa che non sarà possibile consentire agli “Issuer convenzionati” l’utilizzo di sistemi alternativi alla suddetta APP IO per l’adesione al programma, utilizzo quest’ultimo non vietato ma da sottoporre all’esame preventivo del Garante Privacy, «stante l’evidente impatto del presente regolamento sulla delicata materia della protezione dei dati personali».

Infine, circa l’erogazione del rimborso in denaro, prima dell’adozione finale del regolamento, Palazzo Spada ritiene che sia necessaria la previa verifica delle coperture finanziarie da parte della Ragioneria generale dello Stato.