App IO, il problema non è la privacy ma il modo in cui vengono trattati (male) i nostri dati - Cyber Security 360

LA RIFLESSIONE

App IO, il problema non è la privacy ma il modo in cui vengono trattati (male) i nostri dati

Il provvedimento del Garante Privacy che ha disposto il blocco provvisorio di alcuni trattamenti dati effettuati con l’app IO ci ricorda che la privacy non è un ostacolo ma un diritto fondamentale. Non capirlo è grave ed è indice dell’incapacità di questa classe dirigente di portarci verso il futuro

16 Giu 2021
D
Diego Dimalta

Avvocato

Il blocco provvisorio per la gestione del green pass europeo all’interno dell’app IO di PagoPA, che il Garante Privacy ha disposto a causa delle criticità riscontrate in merito alla stessa, è l’occasione giusta per ricordare a tutti che i nostri dati personali sono una risorsa molto preziosa e molto ambita tanto dalle aziende quanto dalla criminalità.

Questo è il presupposto da cui partire se si vuole comprendere appieno il motivo stesso dell’esistenza di una legge a tutela dei dati.

Le aziende con i fatturati più alti del mondo non commerciano lance intagliate nella pietra, ma dati personali. Per questo motivo, in qualsiasi altro paese del mondo, parole simili a quelle pronunciate da Carlo Cottarelli o da altri che non nomino, decreterebbero la fine di qualsiasi ambizione politica o professionale di queste persone.

La “privacy” non è un ostacolo, ma un diritto fondamentale. Non capirlo è indice dell’incapacità di questa classe dirigente di portarci verso il futuro. Così, mentre all’estero cresce la data economy in Italia siamo qui a pensare che i dati siano una cosa da ragazzini, inutile, restando relegati alla seconda rivoluzione industriale.

Il provvedimento del Garante Privacy sull’app IO

Tutto nasce da un provvedimento del Garante con cui si dice che, in merito alle app per recuperare il green pass, la stessa Autorità per la protezione dei dati personali ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito al trattamento dei dati personali dei cittadini.

Questo evidenzia in primis come il Garante non abbia detto un “no” a priori ma, esaminati i documenti, abbia ritento che IO cashback non forniva sufficienti garanzie mentre invece Immuni sì.

L’Autorità, in relazione alle criticità riscontrate sul funzionamento dell’app IO, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso.

Tutto qui. Il Garante non ha bloccato in toto. Il Garante non ha fatto i capricci. Ci si è semplicemente limitati ad evidenziare la presenza di criticità.

Purtroppo, però, questo non è stato ben accettato né dal Ministero dello Sviluppo Economico né tantomeno da PagoPA che ha pubblicato un comunicato stampa in cui si afferma che, di fatto quanto espresso dal Garante non corrisponde al vero.

Ed è proprio qui che si appalesa in modo nitido il clima che si respira in Italia in merito alla data protection perché il Garante, a cui è stato detto di tutto per questo blocco parziale della App IO, si è sentito in obbligo di pubblicare la relazione tecnica dell’app in questione scoperchiando una sorta di vaso di Pandora dal quale emergono i peggiori incubi per ogni addetto ai lavori.

App IO, tracker e trattamento dati: perché è importante creare una corretta cultura privacy

Le criticità nel trattamento dei dati personali

La app IO secondo la relazione del Garante farebbe di tutto.

In primis interagisce con servizi Google i cui server sono collocati fuori dall’Unione Europea. Non solo, l’interazione con Google appare alquanto grave in quanto, come evidenzia l’Autorità, molti dei servizi offerti dal colosso americano sono in realtà configurabili dal programmatore in modo da rendere i dati praticamente anonimi. Questa facoltà però non è stata utilizzata dagli sviluppatori di IO, violando in questo modo il principio di minimizzazione.

Afferma il Garante: “Google mette a disposizione degli sviluppatori altre funzionalità per consentire una gestione del conferimento e della revoca del consenso di ciascun utente sulla base delle scelte effettuate dallo stesso all’interno dell’app installata sul proprio dispositivo. Nel caso in esame, l’app IO risulta essere configurata per generare automaticamente l’identificativo univoco dell’installazione dell’app (per la ricezione di notifiche push o per l’invio di dati relativi a eventi oggetto di tracciamento) senza che l’utente possa modificare tale impostazione predefinita”.

Non è quindi un problema della legge sulla privacy ma è un problema che gli sviluppatori non hanno eseguito i compiti a dovere, decidendo (anche magari involontariamente) di inviare i dati personali di milioni di italiani all’estero quando:

  1. ciò poteva essere evitato;
  2. ciò è ritenuto illecito in base alla sentenza Schrems II.

Non è da cambiare la legge sulla “privacy” (come scrivono in linguaggio volutamente semplicistico i suddetti politici su Twitter) ma è da cambiare il fornitore o i responsabili compliant che hanno dato l’approvazione a tale invio di dati personali.

I problemi dell’interazione col tracker Mixpanel

Ancora più problematica appare l’interazione con Mixpanel.

In primo luogo, l’Authority evidenzia che l’utilizzo del nome di dominio “api.mixpanel.com” comporta la raccolta, il trattamento e la conservazione dei dati su sistemi ubicati negli Stati Uniti, mentre l’utilizzo del nome di dominio “api-eu.mixpanel.com” comporta la raccolta, il trattamento e la conservazione dei dati su sistemi ubicati nell’Unione europea, fermo restando che l’accesso remoto a tali sistemi di trattamento da parte di un soggetto stabilito al di fuori dell’Unione europea configura comunque un trasferimento di dati verso Paesi terzi.

Non solo, dall’analisi del codice sorgente dell’app IO e del traffico generato verso i sistemi Mixpanel è stato verificato che l’app in questione è configurata per inviare alcune informazioni a Mixpanel in occasione di determinate azioni.

In tal senso, tra i diversi eventi oggetto di tracciamento risultano presenti:

  • bonus vacanze di cui all’art. 176 del d.l. n. 34/2020, tra i quali gli eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla sua generazione (dei quali tuttavia non è stato possibile acquisire ulteriori elementi nel corso delle attività di analisi dinamica dell’App IO);
  • programma cashback di cui all’art. 1, commi da 288 a 290, della l. n. 160/2019, tra i quali:
  1. evento “BPD_TRANSACTIONS_SUCCESS”, comprensivo dell’elenco delle transazioni che partecipano al programma cashback con l’indicazione del periodo di partecipazione, degli identificativi della transazione (idTrxAcquirer e idTrxIssuer), dell’identificativo e del circuito dello strumento di pagamento elettronico (hashPan e circuitType) e della data/ora della transazione (trxDate);
  2. evento “BPD_PAYMENT_METHOD_ACTIVATION_SUCCESS”, comprensivo dell’elenco degli strumenti di pagamento elettronico dell’utente con l’indicazione dell’identificativo della carta (hashPan), dello stato di adesione al programma cashback (activationStatus), della data/ora di adesione (activationDate) e della data/ora di revoca dell’adesione (deactivationDate);
  • piattaforma PagoPA di cui all’art. 5, comma 2, del d.lgs. n. 82/2005, tra i quali gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi (dei quali tuttavia non è stato possibile acquisire ulteriori elementi nel corso delle attività di analisi dinamica dell’App IO).

Non solo, Mixpanel effettua altresì i seguenti trattamenti: associa ai dati raccolti alcune informazioni relative all’ubicazione degli utenti di un’app (città, regione, Stato); tali informazioni sono ricavate a partire dagli indirizzi IP degli utenti (che, secondo quanto riportato da Mixpanel, sarebbero cancellati dopo tale elaborazione) mediante un servizio di una terza parte (MaxMind Inc. con sede negli Stati Uniti, di cui non è possibile escludere un’eventuale coinvolgimento nel trattamento degli indirizzi IP degli utenti).

Anche in questo caso, tuttavia, Mixpanel (come Google), consente di disattivare tale funzione ma gli sviluppatori di IO cashback non hanno fruito di questa possibilità. Perché? Si tratta di distrazione? Di mancanza di sensibilità? Oppure ci sono motivi che ad oggi non sono comunicati?

Del resto, in generale, Mixpanel mette a disposizione degli sviluppatori apposite funzionalità per attivare/disattivare la raccolta dei dati dai dispositivi degli utenti e per gestire il conferimento e la revoca del consenso da parte degli utenti all’invio di tali dati.

Questo consente agli sviluppatori di un’app di modificare, a seconda delle esigenze, le modalità di funzionamento delle librerie di tracciamento.

Mixpanel mette altresì a disposizione degli sviluppatori altre funzionalità per consentire una gestione puntuale dello “stato” di ciascun utente (“opt-out” o ”opt-in”) sulla base delle scelte effettuate dallo stesso all’interno dell’app installata sul proprio dispositivo; nel caso in esame, l’app IO risulta essere configurata per inviare a Mixpanel i dati relativi a tutti gli eventi oggetto di tracciamento di ciascun utente senza che quest’ultimo possa modificare tale impostazione predefinita.

Esistono poi interazioni con servizi di Instabug che, come le altre società fornitrici, parrebbe inviare dati negli USA consentendo tuttavia di configurare in modo più sicuro l’utilizzo dei dati, opzione questa di cui, ancora una volta Io Cashback ha deciso di non valersi.

Conclusioni

Insomma, come abbiamo visto, non è un problema della “legge sulla privacy” come affermato da alcuni, ma è un problema di configurazioni, programmazione e funzionamento di questa app che, come visto:

  1. non rispetta il principio di minimizzazione;
  2. invia i dati all’estero;
  3. traccia ingiustificatamente i suoi utenti.

Qualcuno potrebbe ribattere che il Garante fa la guerra contro mulini a vento visto che le persone ormai forniscono dati a chiunque. Forse è anche vero, ma questa app non è paragonabile alla (già sconsigliabile) app che invecchia la tua immagine, in quanto mentre quest’ultima la scarichi per svago, la app Io Cashback sarebbe in un elenco limitato di applicativi da utilizzare obbligatoriamente se si vuole circolare o accedere a determinati servizi.

È lo Stato Italiano che ha scelto l’app IO, non la casalinga di Voghera, per questo ci si aspetta che si tratti di un applicativo impeccabile, capace di tutelare al meglio i dati dei cittadini, non essendo accettabile che, pur avendo la possibilità di configurare in modo più garantista i sistemi, gli sviluppatori abbiano deciso comunque di “aprire tutto” come direbbe René Ferretti della famosa serie televisiva Boris.

I nostri dati personali sono una risorsa molto preziosa e molto ambita tanto dalle aziende quanto dalla criminalità. Le economie si fondano sul trattamento dei dati. Non capirlo è grave.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5