ArticlesElena BassoliII_MMXXPrivacy

La lotteria degli scontrini (rinviata per il Covid-19) ed il parere del Garante privacy

di Elena Bassoli

Tutti i cittadini maggiorenni e residenti in Italia potranno partecipare alla lotteria dei corrispettivi o degli scontrini, effettuando un acquisto di importo pari o superiore a 1 euro ed esibendo il loro codice lotteria. Per ottenere il codice lotteria occorre inserire il proprio codice fiscale nell’area pubblica del “portale lotteria”. Una volta generato, il codice potrà essere stampato su carta o salvato su dispositivo mobile (telefoni cellulari, smartphone, tablet, ecc.) e mostrato all’esercente.
L’articolo 141 del Decreto Legge n. 34 del 19 maggio 2020 (Decreto rilancio) ha modificato la data di avvio della lotteria degli scontrini, spostandola al 1° gennaio 2021.

pdf-icon

1. Premessa

La lotteria degli scontrini si propone, nelle intenzioni del legislatore, di contribuire alla riduzione del gap tra l’Iva potenziale e quella incassata dallo Stato e al miglioramento dei servizi offerti alla collettività. Inizialmente prevista a partire dal 1° luglio 2020 con prima estrazione il 7 agosto 2020, l’articolo 141 del Decreto Legge n. 34 del 19 maggio 2020 ha modificato la data di avvio della lotteria, spostandola al 1° gennaio 2021.

L’operazione comporta il trattamento dei dati personali identificativi, segnatamente il codice fiscale, sul quale si è espresso con un parere del 13 febbraio 2020, il Garante della protezione dei dati personali. Il provvedimento dell’Autorità analizza lo schema di provvedimento riguardante le modalità tecniche delle operazioni che dovranno essere svolte per la lotteria. Lo schema sul punto prevede che, ai fini della partecipazione alla lotteria, il consumatore fornisca all’esercente, al momento dell’acquisto, il proprio codice lotteria, senza obbligo di identificazione.

Il consumatore potrà ottenere il codice lotteria utilizzando l’apposita funzionalità che sarà messa a disposizione nell’area pubblica del “Portale Lotteria” dell’Agenzia delle dogane a fine anno. Il codice lotteria è costituito da un codice “pseudonimo” alfanumerico, composto da 8 caratteri, univocamente e randomicamente associato al codice fiscale del consumatore finale, che ha la facoltà di generare più codici lotteria ad esso associati, tutti ugualmente validi ai fini della lotteria.
L’Agenzia delle entrate estrapola quindi i dati necessari ai fini della partecipazione alla lotteria dai singoli corrispettivi trasmessi dagli esercenti tramite il servizio informativo di cui al provvedimento del Direttore dell’Agenzia delle entrate del 31 ottobre 2019, che vengono comunicati all’Agenzia delle dogane e dei monopoli, ai fini dell’alimentazione della banca dati denominata “Sistema Lotteria”, vale a dire il sistema di raccolta dei dati della lotteria gestito dall’Agenzia delle dogane e dei monopoli con il supporto di Sogei S.p.a.
In particolare, i dati memorizzati nella banca dati Sistema Lotteria sono: partita IVA e denominazione dell’esercente; identificativo/progressivo completo del corrispettivo; data e ora dell’acquisto; importo totale del bene/servizio, distinguendo tra importo pagato in contanti, importo pagato con strumenti elettronici e importo non pagato; codice lotteria del cliente; data di trasmissione del corrispettivo all’Agenzia delle entrate.
Come precisato anche nella richiesta di parere, nello schema viene chiarito che i dati relativi alle modalità di pagamento sono raccolti al fine di dare attuazione alla citata previsione normativa che ha istituto premi dedicati ai pagamenti effettuati con strumenti elettronici, da attuarsi con successivo provvedimento, e che il loro utilizzo sarà limitato esclusivamente alle estrazioni riferite ai predetti premi.

 

2. La disciplina normativa

La lotteria degli scontrini attualmente risulta disciplinata dalla Legge n. 232/2016, articolo 1, commi da 540 a 544 (previsione di lotteria nazionale per i contribuenti persone fisiche che effettuino acquisti di beni e servizi al di fuori dell’esercizio di attività di impresa, arte o professione presso esercenti che trasmettono telematicamente i corrispettivi), dal Decreto legge n. 124/2019 – articolo 19, comma 1, lett. a) e articolo 20, comma 1, lett. a), b) e c) rubricato “Esenzione fiscale dei premi della lotteria nazionale degli scontrini e istituzione di premi speciali per il cashless”, nonché dal provvedimento dell’Agenzia delle dogane e dei monopoli, d’intesa con l’Agenzia delle entrate, del 5marzo 2020 sul funzionamento della lotteria degli scontrini.

Lawful Interception per gli Operatori di Tlc

L’art. 5 dello schema di provvedimento si occupa di definire nel dettaglio le caratteristiche del trattamento, prevedendo che:
le informazioni e i dati raccolti nella banca dati Sistema Lotteria sono trattati dall’Agenzia delle dogane e dei monopoli esclusivamente per le finalità della lotteria, in qualità di titolare del trattamento, che si avvale di Sogei S.p.A. come responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, mentre l’Agenzia delle entrate è titolare del trattamento delle informazioni acquisite a seguito della trasmissione telematica dei corrispettivi da parte degli esercenti (art. 5, commi 2 e 7);
nel rispetto del principio di cui all’art. 5, par. 1, lett. b), del Regolamento (UE) 2016/679, il trattamento dei dati personali raccolti presso gli esercenti e trattati all’interno del Sistema Lotteria è incompatibile con ulteriori trattamenti effettuati per finalità diverse, in considerazione della natura dei dati, del contesto e delle modalità con le quali sono raccolti, che non prevedono l’identificazione dell’interessato, né al momento della generazione del codice lotteria, né in quello dell’acquisto di beni e servizi presso l’esercente (art. 5, comma 4);
l’abbinamento tra il codice fiscale e il codice lotteria, generato ai sensi dell’art. 2, comma 1, è conservato in un’apposita banca dati e le relazioni tra il codice fiscale di un consumatore e i codici lotteria che lo stesso ha richiesto tramite il Portale Lotteria sono conservate separatamente dai dati relativi alle singole operazioni commerciali; l’accesso ai dati relativi alle singole operazioni commerciali e alle informazioni aggiuntive per l’attribuzione di tali dati personali a uno specifico interessato, è consentito esclusivamente ai soggetti autorizzati al trattamento e solo ai fini della comunicazione della vincita.

Le operazioni di consultazione saranno registrate in appositi file di log conservati per 24 mesi (data e ora di esecuzione dell’operazione, contribuente i cui dati sono stati oggetto dell’operazione, soggetto autorizzato che l’ha effettuata) e saranno usati solo per garantire la correttezza e la sicurezza del trattamento (art. 5, comma 5);
I dati dei singoli corrispettivi trasmessi al Sistema Lotteria, con esclusione del codice lotteria, sono resi disponibili anche agli esercenti, tramite un’apposita sezione del portale Fatture e Corrispettivi gestito dall’Agenzia delle entrate, per la verifica sulle informazioni che li riguardano (art. 5, comma 8).

Successivamente all’estrazione dei vincitori, l’Agenzia delle dogane e dei monopoli, dopo aver abbinato il codice lotteria associato al biglietto estratto al codice fiscale dell’interessato, effettua un ulteriore controllo sul codice fiscale al fine dell’attribuzione della vincita e sulla residenza del consumatore, avvalendosi dei servizi di verifica del codice fiscale dell’Agenzia delle Entrate che, in caso di assenza dell’informazione sulla residenza da parte dell’ANPR, restituisce il domicilio fiscale del consumatore ai fini della comunicazione della vincita (art. 5, comma 10).
Per gli obblighi previsti dall’art. 2220 c.c. e per garantire l’Agenzia in caso di azioni giudiziarie, entro il termine prescrizionale previsto dall’art. 2946 c.c., i documenti e i relativi dati sono conservati per dieci anni, ovvero fino alla definizione di eventuali giudizi (art. 5, comma 11).
A seguito della disciplina delle operazioni di estrazione, di controllo e di definizione dei premi in palio (artt. 7, 8 e 9), lo schema di provvedimento individua le modalità di comunicazione ai vincitori, prevedendo che l’Agenzia delle dogane e dei monopoli utilizzi a questo fine l’indirizzo di posta elettronica certificata, se fornito nell’area riservata del Portale Lotteria. In subordine, è previsto l’invio una raccomandata, con avviso di ricevimento, all’indirizzo di residenza (come ricavabile dall’anagrafe nazionale della popolazione residente) ovvero all’ultimo domicilio fiscale disponibile nell’anagrafe tributaria (artt. 10 e 11).

Per quanto concerne il Portale Lotteria, l’art. 12 dello schema di provvedimento stabilisce che esso è suddiviso in un’area pubblica e in un’area riservata. L’area pubblica contiene informazioni riguardanti l’andamento della lotteria. L’area riservata, accessibile tramite identità digitale SPID, Carta nazionale dei servizi (CNS) o credenziali Fisconline/Entratel rilasciate dall’Agenzia delle entrate, consente, invece, al consumatore di:

  • consultare il proprio profilo e le informazioni dallo stesso fornite (indirizzo pec, altri dati di contatto);
  • verificare il corrispettivo e il numero di biglietti virtuali associati;
  • consultare i codici lotteria associati al proprio codice fiscale, con la relativa data di generazione;
  • verificare le vincite;
  • attivare o disattivare funzionalità di comunicazione (come la newsletter);
  • conoscere i corrispettivi vincenti prossimi a scadenza;
  • esercitare i propri diritti nei confronti del titolare del trattamento dei dati attraverso modalità semplificate tra cui l’opposizione al trattamento (quali l’inibizione della generazione di nuovi codici lotteria o dell’ulteriore utilizzo di quelli già generati) e alla cancellazione dei dati (quale l’eliminazione dell’associazione tra il codice lotteria e i documenti commerciali).

Tra le disposizioni transitorie è previsto che, in fase di prima applicazione, gli acquisti per i quali i dati sono trasmessi al Sistema Tessera sanitaria (e quindi, quelli concernenti le prestazioni sanitarie) e quelli documentati tramite fatture elettroniche non partecipino alla lotteria, fino all’adozione di un successivo provvedimento interdirettoriale, da adottare sentito il Garante, che introduca meccanismi tecnici idonei alla trasmissione dei dati necessari. Non partecipano alla lotteria nemmeno gli scontrini che contengono il codice fiscale per detrazioni o deduzioni (art. 14).

 

3. Quali sono i premi

Sono previste due categorie di premiati, consumatori ed esercenti. Le estrazioni “ordinarie” premiano solo i consumatori:

  • sette premi di 5.000 euro ciascuno ogni settimana;
  • tre premi da 30.000 euro ciascuno ogni mese;
  • un premio di 1 milione di euro ogni anno.

Nel caso di estrazioni “zerocontanti” , lo scontrino estratto premia sia il consumatore sia l’esercente:

  • quindici premi da 25.000 euro ciascuno per il consumatore e quindici premi da 5.000 euro ciascuno per l’esercente, ogni settimana;
  • dieci premi di 100.000 euro ciascuno per il consumatore e dieci premi di 20.000 euro ciascuno per l’esercente, ogni mese;
  • un premio di 5.000.000 di euro per il consumatore e di 1.000.000 di euro per l’esercente, ogni anno.

 

4. Il parere del Garante

La versione dello schema di provvedimento in esame tiene conto delle indicazioni fornite dall’Ufficio nel corso delle interlocuzioni intercorse con i rappresentati dell’Agenzia delle dogane e dei monopoli e dell’Agenzia delle entrate, avviate fin dal mese di agosto 2019, con l’obiettivo di individuare le opportune garanzie per rendere conforme al Regolamento EU/679/2016 il trattamento effettuato per la realizzazione della lotteria dei corrispettivi.
Le interlocuzioni si sono svolte anche nell’ambito delle istruttorie relative ai pareri resi dal Garante sui predetti provvedimenti del Direttore dell’Agenzia delle entrate, strumentali all’avvio della lotteria dei corrispettivi.

In particolare, sono stati approfonditi i profili concernenti l’utilizzo del codice lotteria, pseudonimo del codice fiscale, quale efficace misura di garanzia a tutela degli interessati a fronte della raccolta massiva di dati, su larga scala, riferibile all’intera popolazione, presso l’Agenzia delle dogane e dei monopoli e l’Agenzia delle entrate, ma anche presso gli esercenti, determinata dall’organizzazione della lotteria.
Tale misura, in ossequio a quanto previsto dall’art. 25 del GDPR in relazione ai principi di privacy by design e by default, consente, infatti, da un lato, di rendere le informazioni raccolte non più ragionevolmente riconducibili, da parte dell’esercente e dell’Agenzia delle entrate, a una persona, in assenza di informazioni aggiuntive, e, dall’altro, nel rispetto del principio di minimizzazione, evita agli interessati di dover fornire agli esercenti il proprio codice fiscale, da cui sono agevolmente ricavabili il sesso, la data e il luogo di nascita.
Nel corso delle predette interlocuzioni, il legislatore, con la modifica del citato art. 1, comma 540, intervenuta a fine 2019, ha ritenuto di elevare a livello di normativa primaria l’individuazione di tale misura di garanzia, prevedendo espressamente che gli esercenti acquisiscano il codice lotteria dei consumatori anziché il codice fiscale.
Il Garante per la protezione dei dati personali ribadisce, in ogni caso, che i dati oggetto di memorizzazione elettronica e di trasmissione telematica all’Agenzia delle entrate, ai fini della lotteria, seppur sottoposti a pseudonimizzazione, debbono essere considerati come dati personali in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 26, e art. 4, punti 1) e 5), del Regolamento).

Inoltre, le indicazioni dell’Authority hanno riguardato i seguenti aspetti:

  • le modalità di generazione e di attribuzione del codice lotteria da parte dell’Agenzia delle dogane e dei monopoli;
  • le verifiche effettuate in anagrafe tributaria al momento della richiesta del codice lotteria e dell’individuazione dei vincitori;
  • l’esatta individuazione dei ruoli assunti dall’Agenzia delle dogane e dei monopoli e l’Agenzia delle entrate nelle varie fasi del trattamento dei dati personali;
  • l’individuazione, nel rispetto del principio di minimizzazione, dei dati estrapolati dall’Agenzia delle entrate dai documenti commerciali comunicati dagli esercenti e in seguito trasmessi al Sistema Lotteria dell’Agenzia delle dogane e dei monopoli;
  • la limitazione della finalità del trattamento di tali dati che, in ragione della loro natura e del contesto in cui sono raccolti, possono essere utilizzati solo ai fini della lotteria dei corrispettivi;
  • l’individuazione di misure tecniche e organizzative, adottate dall’Agenzia delle dogane e dei monopoli, necessarie ad assicurare che le informazioni aggiuntive per l’attribuzione dei dati personali a uno specifico interessato – quali le relazioni tra il codice fiscale di un consumatore e i codici lotteria allo stesso associati – siano conservate separatamente dai dati relativi alle singole operazioni commerciali, nonché a garantire che i soggetti, autorizzati al trattamento di questi ultimi dati, abbiano accesso alle informazioni aggiuntive solo ai fini della comunicazione della vincita;
  • l’adozione di misure per la registrazione delle operazioni di consultazione dei dati relativi alle singole operazioni commerciali e delle informazioni aggiuntive per l’attribuzione di tali dati personali a uno specifico interessato, effettuate da parte dei soggetti autorizzati, nonché
  • la definizione del relativo contenuto e dei tempi di conservazione;
  • le modalità di comunicazione ai vincitori, adottando procedure adeguate per garantire la riservatezza delle loro identità;
  • le modalità di accesso all’area riservata del Portale Lotteria, prevedendo la raccolta del solo codice fiscale del consumatore nell’ambito delle procedure di autenticazione informatica;
  • l’individuazione dei dati consultabili dagli interessati nell’area riservata del Portale Lotteria, circoscrivendo, nel rispetto dei principi di minimizzazione e limitazione della conservazione, i tempi di visualizzazione degli stessi, nonché rendendo disponibili al consumatore informazioni sui codici lotteria associati al suo codice fiscale quale strumento utile all’interessato per verificare gli pseudonimi a esso associati;
  • l’individuazione di modalità semplificate per l’esercizio dei diritti da parte degli interessati, con particolare riferimento all’inibizione della generazione di nuovi codici lotteria o dell’ulteriore utilizzo di quelli già generati, nonché all’eliminazione dell’associazione tra il codice lotteria e i documenti commerciali.

Il Garante ha, in fine, ritenuto che lo schema di provvedimento individui misure tecniche e organizzative adeguate al rischio elevato prodotto dal trattamento su larga scala, volte ad attuare, in modo efficace, i principi di protezione dei dati fin dalla progettazione, a integrare nello stesso le garanzie necessarie a soddisfare i requisiti del Regolamento e a tutelare i diritti degli interessati. Tali misure sono dettagliatamente descritte nelle valutazioni di impatto trasmesse dalle Agenzie.
Il Garante all’esito della procedura ha quindi espresso parere favorevole sullo schema ed ha autorizzato il trattamento effettuato dall’Agenzia delle dogane e dei monopoli e dall’Agenzia delle entrate alle condizioni sopra descritte. ©

Altri articoli di Elena Bassoli

Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio