I sottoscritti chiedono di interpellare il Presidente del Consiglio dei ministri, il Ministro dell'economia e delle finanze, al Ministro per l'innovazione tecnologica e la digitalizzazione, per sapere – premesso che:

   Cashback è il programma ideato dal Governo per incentivare l'utilizzo di strumenti di pagamento elettronici e prevede un rimborso in denaro fino a 150 euro a fronte degli acquisti di beni e servizi effettuati con mezzi di pagamento elettronici;

   l'informativa sulla privacy che compare quando si scarica la app IO, necessaria a partecipare al cashback, dichiara che la app «si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in Paesi extra UE (Usa)»;

   di fatto quindi IO invia dati a soggetti terzi negli Usa, senza specificare in alcun modo quali dati e per quali finalità;

   l'invio di dati negli Usa è ormai ritenuto non sicuro da parte dell'Unione europea. Con la sentenza Schrems del 6 ottobre 2015 la Corte di giustizia europea ha stabilito che l'Unione europea non è stata in grado di garantire in pieno le adeguate garanzie per la protezione dei dati dei cittadini europei, e che le aziende statunitensi non garantiscono adeguata protezione alla loro privacy. Ha quindi consentito agli Stati di sospendere l'accordo «Safe Harbor» sugli standard privacy degli scambi di dati, nel caso in cui non sia garantito un «livello adeguato» di protezione delle informazioni;

   con sentenza del 16 luglio 2020 («Schrems II»), la Corte di giustizia ha dichiarato invalida la decisione 2016/1250 con cui la Commissione europea aveva certificato l'adeguatezza della protezione dei dati personali offerta dal Privacy Shield precedentemente ritenuto idoneo strumento per il trasferimento di dati personali tra Unione europea e Usa;

   l'11 novembre 2020 il Comitato europeo per la protezione dei dati (Edpb), l'organismo europeo indipendente il cui scopo è garantire un'applicazione coerente del Regolamento generale sulla Protezione dei Dati (Rgpd), ha emanato due raccomandazioni, immediatamente applicabili, estremamente stringenti sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dei cittadini dell'Unione europea;

   a fronte del trattamento di dati estremamente sensibili, come i dati personali, i conti bancari e soprattutto le abitudini di acquisto di ogni singolo utilizzatore della app IO, l'Edpb richiede che, alle clausole contrattuali standard, siano ora affiancate misure ulteriori rigorose e specifiche;

   non è quindi sufficiente che la piattaforma PagoPa, che gestisce la app IO, si limiti a dire che «in ogni caso, i Responsabili del trattamento si avvalgono esclusivamente di fornitori che adottano idonee garanzie, anche in forza di accordi contenenti clausole contrattuali standard o norme vincolanti di impresa, nel rispetto dei principi previsti dal RGPD»;

   il Governo Usa ha un potere di accesso ai dati che non è meramente ipotetico: lo dicono le Faq del Garante della privacy, lo dicono le leggi americane sulla sicurezza nazionale e i relativi diritti di sorveglianza. Nello scenario migliore, il Governo Usa potrebbe prendere i dati provenienti dalla app IO e catalogarli per creare dei profili da utilizzare per motivi di sicurezza nazionale. Nel peggiore, i dati potrebbero essere utilizzati per allenare sistemi di intelligenza artificiale o subire violazioni. Si tratta difatti di dati molto appetibili non solo per il mercato nero, ma anche per i gestori di BigData;

   non è ammissibile che una pubblica amministrazione, distribuendo una app finalizzata a raccogliere i dati di consumo di milioni di italiani, non fornisca un'informativa sulla privacy adeguata. Il Gdpr e le prescrizioni Edpb su questo sono chiari: il titolare (PagoPa spa) deve fornire notizie adeguate agli interessati, altrimenti già solo questo risulta un comportamento sanzionabile. Salvo fatto più grave;

   le evidenze portano gli interpellanti a dubitare della diligenza di PagoPa, interamente partecipata dallo Stato, nonché del Ministro vigilante. Ancora una volta le pubbliche amministrazioni sottovalutano l'importanza dei dati, l'affidabilità dei gestori degli stessi, nonché la sicurezza e l'adeguatezza dei server. Lo dimostrano i continui disagi, le falle operative, l'insufficienza delle reti, le perdite e le sottrazioni di dati. Emblematici, prima del caso in questione, sono stati i casi delle registrazioni informatiche per accedere al cosiddetto bonus biciclette o dell'accesso al server dell'Inps per le indennità da seicento euro;

   e questo in costanza di un Governo che fa della digitalizzazione dei rapporti economici, civili e con la pubblica amministrazione il suo vessillo –:

   se il Governo non ritenga opportuno bloccare il programma cashback in attesa della definizione delle informative supplementari per la tutela della privacy associate alla app IO descritte in premessa, in linea con le prescrizioni dell'Edpb;

   se non ritenga opportuno che PagoPA utilizzi in ogni caso fornitori terzi residenti sul territorio dell'Unione europea e quindi soggetti alle rigorose regole sulla gestione dei dati del Rgpd;

   se non ritenga opportuno verificare e fornire elementi al Parlamento su quali informazioni siano state inviate e gestite da fornitori terzi residenti negli Usa, adottando adeguate iniziative normative per prevedere sanzioni a carico dei responsabili dei procedimenti ove fosse verificato che sono stati inviati dati sensibili;

   se non ritenga che la messa in sicurezza dei dati sensibili dei cittadini debba essere considerata prioritaria questione di Sicurezza nazionale.
(2-01041) «D'Attis, Gelmini, Sisto, Pettarin, Vietina, Maria Tripodi, Pittalis, Saccani Jotti, Fitzgerald Nissoli, Anna Lisa Baroni, Tartaglione, Giacometto, Nevi, Pentangelo, Aprea, Sandra Savino, Torromino, Rossello, Porchietto, Ferraioli, Mazzetti, Casino, Rotondi, Milanato, Rosso, Baratto, Cortelazzo, Bagnasco, Pella, Baldini, Caon, Ripani, Polidori, Labriola, Versace».