App IO, scontro PagoPa e Garante Privacy. Le ragioni dell’Autorità

La ricostruzione dello scontro tra PagoPa e Garante Privacy sull’app IO e l’analisi di come stanno i fatti attraverso la relazione tecnica.

Vìola la privacy degli utenti IO, l’app “fiore all’occhiello” del Governo. A stabilirlo è stato il Garante per la protezione dei dati personali che, con il provvedimento adottato ieri, ha imposto alla società partecipata dallo Stato sviluppatrice dell’app, PagoPa, la limitazione provvisoria, “da rendere operativa senza ingiustificato ritardo, e comunque non oltre 7 giorni dalla ricezione del presente provvedimento”, dei trattamenti effettuati mediante IO che prevedono l’interazione con i servizi di Google e quelli di Mixpanel.

Per quale motivo?

Perché, attraverso i servizi di Google e quelli di Mixpanel, dall’app IO è in corso un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), “effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”, ha accertato il Garante Privacy. L’Autorità l’ha spiegato anche nel comunicato stampa relativo al via libera al green pass, che, però, non sarà disponibile sull’App IO, bocciata, al momento, proprio per le violazioni in atto delle norme privacy.

La replica di PagoPa

A sorpresa, 5 ore dopo la pronuncia del Garante, PagoPa e il ministro dell’Innovazione diffondono una nota congiunta, in cui la società, che sviluppa IO, “smentisce l’affermazione del comunicato stampa” dell’Autorità per la protezione dei dati, perché, si legge, come giustificazione “lo stesso Garante ha dato parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze”.

È una mezza verità. Quindi una dichiarazione falsa.

La controreplica del Garante Privacy

Con riferimento al comunicato congiunto emesso ieri da PagoPa e Ministero per l’innovazione tecnologica e la transizione digitale, riguardo ai profili critici sollevati dal Garante per la protezione dei dati personali, l’Autorità, nel ribadire tutte le motivazioni del suo provvedimento,  ritiene opportuno – ai fini di una piena valutazione di quanto in esso affermato e stante la complessità della materia – rendere nota la relazione tecnica che ha accompagnato il provvedimento sull’App IO trasmesso il 9 giugno a PagoPa Spa.

Leggi la Relazione tecnica del Garante Privacy sui servizi di Google, Mixpanel e Instabug dell’app IO 

Cosa devono pensare gli utenti di IO?

In mezzo a questo scontro comunicativo istituzionale ci sono oltre 11,5 milioni di cittadini che hanno scaricato l’App IO e si sono chiesti: “l’applicazione che sto usando sta violando la mia privacy? E chi ha ragione tra PagoPa e il Garante Privacy?

Già nel 2020 il trasferimento di dati personali verso Paesi terzi sotto la lente d’ingrandimento del Garante

Nel leggere il testo integrale del provvedimento del Garante si scopre che quanto dichiarato da PagoPa è una mezza verità. È vero che l’Autorità ha dato l’ok al Cashback e al bonus vacanze, ma in quest’ultima autorizzazionedel 12 giugno 2020, il Garante ha già messo sotto la lente d’ingrandimento il trasferimento di dati personali verso Paesi terzi, chiedendo di comunicarla con trasparenza agli utenti. Nello stesso parere, infine, si legge: “il Garante si riserva di valutare la legittimità del trasferimento di tali dati, anche alla luce delle indicazioni che saranno fornite dalla Corte di giustizia dell’Unione europea, in ordine alla validità delle clausole contrattuali tipo utilizzabili nel contesto di trasferimenti di dati verso gli Stati Uniti, nell’ambito della decisione di cui alla causa C-311/18”. Il riferimento è al caso Maximilian Schrems e Facebook Ireland, conclusosi con il Privacy Shield dichiarato invalido nella sentenza del 16 luglio 2020. Un mese dopo l’ok del Garante al Bonus Vacanze. Lo scenario giuridico europeo è cambiato il mese successivo per il trasferimento dei dati dei cittadini ed aziende Ue verso gli Usa.

“Il tracciamento di Google e Mixpanel consente di ricondurre, a soggetti determinati identificati o identificabili”

Di recente, l’Autorità ha effettuato approfondimenti istruttori di carattere tecnico-giuridico sull’app IO riscontrando “gravi criticità”. Ecco quali. L’utilizzo delle librerie di Google e Mixpanel comporta, seppur in misura differente tra loro, un tracciamento che consente di ricondurre, a soggetti determinati identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO, che non risulta strettamente necessario per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO.

Il tutto, peraltro, senza che siano chiare le finalità dei trattamenti effettuati attraverso tali strumenti e senza che l’utente sia adeguatamente informato e possa esprimere quindi con piena consapevolezza il consenso, previsto dall’art. 122 del Codice.

In sostanza, 11,5 milioni di utenti di IO sono tracciati senza essere pienamente consapevoli. Ecco i 3 tracker trovati nell’app IO da Christian Berbieri, un Dpo, il 21 aprile scorso.

Basta eliminarli il prima possibile per ottenere il via libera dal Garante a rendere il green pass disponibile anche su IO. In questo modo sarà salva anche la privacy di 11,5 milioni di utenti dell’app.

Leggi anche:

 

Fonte: Key4biz | di Luigi Garofalo

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL