Green pass, app IO: ecco tutti i problemi privacy e perché sono urgenti - Cyber Security 360

Garante privacy

Green pass, app IO: ecco tutti i problemi privacy e perché sono urgenti

Da una parte il Garante pone alcuni paletti privacy al green pass dall’altra coglie l’occasione per un altolà a IO che riguarda in generale il suo funziomento, dove coglie un illecito trasferimento dati verso l’estero, tramite un tracker non necessario al funzionamento dell’app stessa. Ecco perché

10 Giu 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Il Garante Privacy, nel provvedimento odierno in cui dà via libera condizionato al green pass, ha bocciato l’app IO, altra app “candidata” ad ospitare questo certificato verde.

Ha evidenziato criticità davvero significative che mettono in dubbio il trattamento effettuato dall’app anche con riferimento agli ulteriori dati che le sono affidati dai cittadini. Tutto questo ha spinto il Garante addirittura ad adottare un separato provvedimento per bloccare l’app fino a che queste criticità non saranno risolte.

I rilievi su app IO si sommano a quelli relativi al funzionamento del Green Pass.

Insomma, se da una parte il Garante pone alcuni paletti privacy al green pass dall’altra coglie l’occasione per un altolà a IO che riguarda non solo il pass ma in generale il suo funzionamento, dove coglie un illecito trasferimento dati verso l’estero, tramite un tracker non necessario al funzionamento dell’app.

Green pass e la privacy

Il Garante, nel proprio provvedimento, offre una compiuta e diffusa analisi del Green Pass e del suo funzionamento, che prevede da un lato la possibilità per i cittadini di accedere al certificato su vari canali:

  • sito web dedicato della Piattaforma nazionale-DGC,
  • Fascicolo Sanitario Elettronico,
  • App Immuni,
  • App IO,
  • Sistema TS,
  • per il tramite di operatori sanitari autorizzati

Per rendere agevole la verifica dei codici ed evitare falsificazioni è prevista inoltre un’app “gemella”, ovvero l’app VerificaC19 che fa da strumento di controllo a disposizione del verificatore e consente di rilevare “l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato a cui la stessa si riferisce”.

L’app non consente di vedere il motivo per cui è stato rilasciato il Green Pass (vaccinazione, tampone o guarigione da COVID-19) nè la sua “scadenza” (informazione che avrebbe consentito al verificatore di intuire, in alcuni casi, il motivo del rilascio del pass).

Le richieste del Garante

Il Garante promuove l’app rilevando che le sue caratteristiche tecniche non prevedono la registrazione dei dati relativi ai controlli effettuati e chiede ora che solo quest’app sia usata per la verifica del pass.

I problemi nascono invece quando si guarda alle app dedicate al soggetto in possesso del Green Pass al fine di esibirlo.

Qui oltre agli strumenti disponibili su portali web (di fatto scomodi per l’utilizzo di uno strumento che, giocoforza, verrà esibito in mobilità), sono previsti solamente l’app Immuni e l’app IO.

E una delle due ha ricevuto, come detto, una severa bocciatura dal Garante.

L’app IO e i rilievi privacy

Per l’app IO, il Garante evidenzia problemi molto seri in riferimento all’applicativo, che potrebbero anche trascendere gli aspetti relativi al Green Pass e porre in dubbio la legittimità del trattamento effettuato dalla pubblica amministrazione con riferimento a tutti gli ulteriori dati trattati dall’app.

L’Autorità Garante, peraltro, aveva già in passato avuto occasione di “bocciare” l’app IO nel provvedimento relativo al c.d. bonus vacanze e al programma cashback, evidenziando criticità in merito all’utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché alle garanzie in materia di trasferimento dei dati verso Paesi terzi.

Nell’istruttoria relativa al Green Pass il Garante ha avuto occasione di approfondire alcuni degli aspetti già denunciati nei propri precedenti provvedimenti, facendo emergere gravi elementi di criticità, tanto da spingere l’Autorità ad adottare d’urgenza un provvedimento per la limitazione provvisoria del trattamento effettuato attraverso l’app IO (provvedimento n. 230 del 9 giugno 2021), indirizzato a PagoPA S.p.A. (la società che gestisce l’app).

Il provvedimento non comporta però necessariamente il fermo completo dell’app, che potrà continuare a funzionare ma senza condivisione dei dati con alcune società terze.

A questo punto il Garante afferma che tornerà ad esaminare l’app IO in relazione al trattamento dei dati relativi al Green Pass solo dopo che queste criticità saranno risolte. Ma quali sono queste criticità?

In primo luogo il Garante censura le interazioni dell’app IO con i servizi di Google e Mixpanel (società americani di analisi dati), l’app IO infatti, quando è in esecuzione archivia talune informazioni sul dispositivo dell’utente, anzi in alcuni casi accede ad informazioni già archiviate, e le trasmette a Google e Mixpanel.

Cosa fanno Google e Mixpanel

Per quanto riguarda Google il problema deriva dal fatto che l’app imposta di default l’identificativo per le notifiche push (che però comporta la condivisione di dati con Google che può così monitorare, quantomeno, su quanti e quali dispositivi è installata l’app).

Per quanto riguarda invece Mixpanel, si tratta di uno strumento acquistato da PagoPA proprio per monitorare il comportamento degli utenti (PagoPA stessa ha dichiarato al Garante, secondo quanto riportato dalla stessa autorità, che si tratta di uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” strumento che “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”). Di fatto Mixpanel (attraverso anche in questo caso un identificativo unico utente) secondo quanto rilevato dal Garante è a conoscenza di numerosi “eventi” che accadono sull’app e può (almeno in potenza) ricondurre questi comportamenti agli utenti.

In entrambi i casi l’utente non è compiutamente informato del trattamento e non gli è possibile esprimere o negare il consenso allo stesso.

Basti pensare che Mixpanel traccia eventi come l’adesione al programma cashback, il bonus vacanze, l’utilizzo della piattaforma PagoPA, tutte operazioni monitorate da questo partner tecnologico dell’azienda di pertinenza dell’Amministrazione finanziaria.

In secondo luogo l’app IO prevede l’attivazione di default, all’atto dell’installazione, di tutti i servizi offerti dalla piattaforma, e stiamo parlando di ben 12.000 servizi riferibili a più di 5.000 enti secondo quanto emerge dal provvedimento del Garante.

Spetta all’utente (con un illegittimo meccanismo di opt-out) disattivare tutti i servizi per i quali non ha interesse e non gli è nemmeno consentito farlo in blocco (o quantomeno per singolo ente), rendendo sostanzialmente impossibile il “contenimento” dei servizi offerti dall’applicativo da parte del singolo utente.

Non finisce qui, perché il ricorso ai servizi offerti da Google, Mixpanel e altri partner del servizio comporta in molti casi il trasferimento dei dati dei cittadini verso Paesi terzi (il Garante cita ad esempio Stati Uniti, India, Australia). Anche qui si tratta di trasferimenti con riguardo ai quali PagoPA non ha documentato l’adozione di garanzie adeguate per garantire una tutela dei dati sostanzialmente equivalente a quella esistente in UE come prescritto nel GDPR.

Va detto però che nell’informativa offerta agli utenti all’interno dell’app sia Google che Mixpanel sono elencati come fornitori di servizi che potrebbero trasferire dati in USA e sono disponibili per la consultazione i contratti stipulati che includono le Clausole Contrattuali Standard approvate dalla Commissione Europea e, nel caso di Mixpanel, alcune garanzie ulteriori (PagoPA menziona anche l’opzione per il mantenimento dei dati in UE, che però non pare estendersi a tutti i sub-responsabili dell’azienda).

Il Garante, alla luce di quanto emerso nell’istruttoria dedicata al Green Pass, ha quindi imposto a PagoPA di cessare tutti i trattamenti dell’app IO che prevedono l’interazione con i servizi Google o Mixpanel, salvo l’utente vi abbia esplicitamente acconsentito.

Le conseguenze su IO

Questo provvedimento dovrà essere eseguito da PagoPA senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del provvedimento.

Inoltre, entro 30 giorni, PagoPA dovrà attuare misure tecniche e organizzative per modificare le modalità di attivazione dei servizi disponibili nell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati “la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in)” PagoPA è inoltre tenuta ad “assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico”, infine la controllata del MEF dovrà presentare al Garante, sempre entro 30 giorni, un riscontro documentato sulle misure intraprese per risolvere le criticità evidenziate nel provvedimento.

L’app Immuni

Ma anche con riferimento all’app Immuni c’è qualche problemino ed, infatti, il Garante evidenzia come l’app, originariamente pensata per la gestione della fase più acuta dell’emergenza sanitaria, ha una vera e propria “data di scadenza” in quanto l’art. 6 del d.l. n. 28/2020 prevede espressamente che “l’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali” effettuato attraverso il Sistema di allerta Covid-19 siano “interrotti alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del Covid-19” e “comunque entro il 31 dicembre 2021”, data entro la quale “tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.

Il nodo, che potrebbe apparire più di forma che di sostanza, in realtà non è così banale da sbrogliare, in quanto da un lato le esigenze di compressione della riservatezza degli individui connesse con l’utilizzo dell’app Immuni sono giustificate fintantoché trovano ragione nell’emergenza sanitaria ed in secondo luogo perché Immuni “dipende” dal lavoro di Apple e Google che hanno già dichiarato di voler cessare il loro servizio al termine dell’emergenza sanitaria.

Sebbene quindi sembri improbabile una chiusura dell’emergenza COVID entro la fine del mese, senza un intervento normativo ad hoc l’app Immuni potrebbe veicolare i Green Pass per poco più di sei mesi.

 

Le ulteriori “condizioni” per il Green Pass

  • Tornando al provvedimento relativo al Green Pass (promosso salvo quanto visto per l’app IO), il Garante ha chiuso il proprio parere favorevole (provvedimento n. 229 del 9 giugno 2021) con ulteriori condizioni affinché la normativa sul Green Pass rispetti la normativa in tema di riservatezza dei dati, in particolare:
  • – dovrà essere introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare (per evitare il proliferare dei casi d’uso di queste certificazioni);
  • – le sanzioni per la violazione delle misure di contenimento dovranno essere estese nella loro applicabilità anche alle attività di controllo delle certificazioni Green Pass, così da assicurare tutela effettiva in caso di frodi;
  • – dovrà essere effettuata una valutazione circa la base giuridica del trattamento e l’adeguatezza delle misure di tutela approntate prima di procedere alla comunicazione alle regioni delle “informazioni relative a test molecolari/antigenici e certificati di guarigione trasmessi al Sistema TS direttamente da strutture sanitarie e medici per finalità epidemiologiche”;
  • – dovranno essere sottoposte al Garante le misure adottate per garantire l’integrità, la riservatezza e l’esattezza dei dati estratti dalla piattaforma dell’ISS e relativi a infezioni/vaccinazioni avvenute prima dell’entrata in vigore del D.L. 52/2021 prima del loro utilizzo per emettere Green Pass;
  • – dovrà essere precisata la finalità perseguita e la durata del trattamento con riguardo ai dati di contatto degli interessati (es. invio del codice univoco per il recupero della certificazione verde e comunicazione dell’eventuale revoca della stessa);
  • – il Ministero dovrà mettere in atto iniziative volte a informare gli interessati della delicatezza dei dati riportati nelle certificazioni e che gli stessi sono tenuti a esibire le stesse solo ai soggetti preposti ai controlli previsti dalla legge;
  • – dovranno essere precisati i dati registrati nella Piattaforma nazionale-DGC e relativi agli accessi, prevedendo che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento e per garantire l’integrità e la riservatezza dei dati personali.

Il provvedimento quindi impegna il legislatore a introdurre non pochi correttivi (sebbene questi siano dettagliati nelle modalità di esecuzione nel lungo provvedimento del Garante) correttivi la cui implementazione (necessaria per garantire un trattamento legittimo dei dati) inciderà sicuramente sulla conversione del D.L. 52/2021.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5