Il Garante per la privacy ha espresso un parere favorevole allo schema di determina che completa l’attuazione della “lotteria degli scontrini”, istituendo nuovi premi per i consumatori maggiorenni, residenti in Italia, che acquistino beni o servizi con strumenti di pagamento elettronici (cashless), ma anche per gli esercenti che emettano il relativo scontrino.
Il nuovo provvedimento, predisposto dall’Agenzia delle dogane e dei monopoli, d’intesa con l’Agenzia delle entrate, aggiorna di conseguenza l’entità, il numero dei premi messi a disposizione, le operazioni di estrazione e le modalità di attribuzione dei premi aggiuntivi per i consumatori che pagano l’intero importo cashless (ad esempio tramite bancomat o carta di credito) e per i venditori che abbiano emesso lo scontrino vincente.
Lo schema tiene conto delle indicazioni fornite dal Garante nelle interlocuzioni sul progetto di lotteria avviate con le due Agenzie sin dal 2019, al fine di assicurare la piena conformità al Regolamento europeo sulla privacy (Gdpr). In considerazione del rischio elevato per i diritti e le libertà delle persone fisiche che caratterizza i trattamenti necessari per dare inizio alla lotteria, le Agenzie hanno trasmesso all’Autorità anche due valutazioni d’impatto (Dpia) sulla protezione dei dati dei soggetti coinvolti.
Nel corso dell’istruttoria, sono stati approfonditi alcuni aspetti che avrebbero potuto creare criticità nel trattamento dei dati. Ad esempio, le modalità di attribuzione e di comunicazione delle vincite agli esercenti, il ruolo assunto da soggetti esterni eventualmente coinvolti nella comunicazione e nel pagamento dei premi, nonché la tipologia di documentazione da presentare per attestare che il pagamento sia avvenuto attraverso strumenti elettronici. Un approfondimento specifico ha riguardato le procedure di autenticazione informatica previste per l’accesso all’area riservata del “Portale lotteria” da parte degli esercenti e le modalità d’individuazione dei soggetti autorizzati ad accedervi per loro conto (i cosiddetti “gestori incaricati”).
Fonte: Garante per la protezione dei dati personali