Stop alle falle privacy dell’App Io: PagoPA ha introdotto misure tecniche di data protection cogliendo le richieste dal Garante privacy. Ora l’autorità valuterà con il Ministero della Salute la possibilità di usare l’applicazione anche per il Green Pass. Il Garante nei giorni scorsi aveva chiesto a PagoPA di bloccare in via provvisoria alcuni trattamenti di dati che interagivano con Google e Mixpanel tramite tracker, rinviando la decisione di utilizzare il passaporto vaccinale sull’app a un secondo momento: la priorità era sistemare questo aspetto.
Si trattava infatti di trasferimenti di dati all’estero che secondo il Garante, come spiegato dallo stesso Guido Scorza, son stati ritenuti non indispensabili per il funzionamento dell’app e quindi eliminabili senza comprometterne l’uso. Eppure la situazione ha suscitato un vivace dibattito. Un sintomo dello stato dell’arte della diffusione della cultura della data protection nel nostro Paese: “Non stupisce che il Garante abbia evidenziato le criticità – sottolinea l’avvocato Diego Dimalta -. Stupisce, invece, che alcuni politici si siano lamentati di questo. Insomma, come se in un ristorante non rispettassero le norme di igiene e la colpa di una eventuale sanzione venisse data all’ufficio igiene e non al ristoratore. Questa è la percezione della privacy in Italia, come se la colpa fosse del Garante, non di PagoPA che non ha fatto le cose per bene”.
Indice degli argomenti
App IO e data protection, le misure introdotte da PagoPA
Nello specifico, PagoPA si è impegnata a:
- minimizzare i dati degli utenti trasmessi a Mixpanel;
- modificare il set di dati per evitare che “non sia più trasferito alla società statunitense il codice fiscale dell’utente e altre informazioni non necessarie relative al bonus vacanze e al cashback”, spiega il Garante privacy in una nota ufficiale;
- informare gli interessati e chiedere il consenso preventivo dell’utente al trasferimento dei dati;
- disattivare certe funzioni che consentivano di risalire alla localizzazione dell’utente attraverso il suo IP;
- disattivare i servizi di Google non necessari e adottare misure perché il contenuto degli avvisi ai cittadini non venga più conosciuto da Google.
App IO, il problema non è la privacy ma il modo in cui vengono trattati (male) i nostri dati
Inoltre, dal 9 luglio “gli utenti potranno scegliere quali servizi attivare sull’app IO tra gli oltre dodicimila disponibili e finora attivati tutti di default. Anche l’inoltro alla propria mail di tutti messaggi ricevuti sull’app dovrà essere richiesto dai cittadini”, conferma il Garante nella sua comunicazione. Le misure saranno implementate con una nuova versione dell’app IO, che presto sarà rilasciata.
L’analisi tecnica dell’aggiornamento dell’app IO
“Con l’aggiornamento dell’app IO alla versione 1.27.0.0 sono stati finalmente risolte le criticità che il Garante alla Protezione dei dati Personali aveva sollevato con il provvedimento di novembre prima (n. 232) e con quello del 9 giugno scorso ma, lungi dal voler alimentare la polemica, occorre però puntualizzare due aspetti”, dice al nostro giornale Federico Fuga, ingegnere elettronico e coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona: “in primo luogo, l’adeguamento della app alle richieste del garante non può essere stato fatto nell’ottica di una positiva collaborazione, in quanto il GPDP è un ente regolatorio e sanzionatorio cui è data piena facoltà di legge di bloccare qualunque attività di trattamento di dati personali non effettuati in ottemperanza alle prescrizioni del regolamento europeo. Pertanto l’impressione è che lo scontro tra politica e garante sia tutt’altro che concluso”.
“In secondo luogo”, continua l’ingegner Fuga, “tecnicamente l’affermazione che il trattamento del codice fiscale dei cittadini fosse avvenuto un modalità “sicura” perché si utilizzava un hashing è da considerarsi fuori contesto. Il garante infatti rilevava non tanto il fatto che il dato fosse trattato in chiaro, ma che esso fosse utilizzato ripetutamente , pur “criptato”, legato ai dati del tracker, in questo modo permettendo una banale correlazione tra le varie sessioni dell’utente anche tra dispositivi e installazioni differenti”.
“Verificata invece sul campo il funzionamento della nuova versione”, aggiunge ancora Fuga, “si può rilevare che, effettivamente, solo dopo il primo avvio dell’app e il rifiuto del consenso alla “condivisione dei dati di utilizzo”, il tracker Mixpanel sembra non esser più attivo, mentre sembra che Instabug continui quanto meno a “chiamare a casa” almeno all’avvio dell’app”.
Tutto risolto, dunque? “Sì, riguardo gli aspetti decisamente più critici, ma rimane ancora moltissimo lavoro da fare, per esempio, disabilitare di default tutti i servizi cui il cittadino non sia interessato, aspetto richiesto dal garante nel suo provvedimento ma ancora non completato”, sottolinea l’ingegner Fuga, che conclude sottolineando che “bene ha fatto PagoPA a sanare le vulnerabilità più gravi della propria applicazione; peccato però che essa sia stata fatta in modo soltanto parziale, ma che soprattutto la collaborazione con il garante sia soltanto di facciata, facendo trasparire che ancora una volta il rispetto del regolamento europeo sia un ostacolo e non, come perfettamente espresso da Matteo Navacci su Agenda Digitale ieri, un mezzo per consentire la libera circolazione dei dati nel rispetto di regole per la tutela dei diritti delle persone”.
L’impatto: la decisione del Garante privacy
Il Garante privacy ha apprezzato le modifiche, riservandosi di vigilare “sull’adozione delle misure” e di valutare “l’adeguatezza delle garanzie assicurate da PagoPA per i trasferimenti di dati in Paesi extra Ue”. Il Garante ha spiegato inoltre di aver ritenuto “che siano venute meno le ragioni del blocco dei trattamenti effettuati dall’app che prevedono l’interazione con Google e Mixpanel. La decisione è stata presa all’esito delle interlocuzioni avute con PagoPA e degli sforzi intrapresi dalla società per porre rimedio tempestivamente ai rilievi formulati dal Garante nel suo recente provvedimento e ottemperare alle prescrizioni date”.
Attualmente, però, il blocco del trattamento rimarrà per i dati raccolti e archiviati da Mixpanel “che non potranno più essere usati, ma esclusivamente conservati fino al termine dell’istruttoria dell’Autorità”.
L’analisi: la percezione della privacy in Italia
La vicenda attorno all’app IO e alle falle privacy è interessante perché permette di riflettere sulla cultura della data protection in Italia: “Questa vicenda, ormai risolta, è a mio parere indice dell’umore italiano nei confronti della data protection. Insomma, abbiamo un diritto fondamentale come la privacy – data protection ed abbiamo un’autorità, il Garante Privacy, creata per far sì che tutti rispettino questo diritto. Poi abbiamo degli organi della Pubblica Amministrazione che si appoggiano ad una app creata in modo non confrome a principi quali la privacy by design, by default nonché al principio di minimizzazione”, precisa Dimalta.
E aggiunge: “Chi ha seguito la vicenda saprà del resto che il motivo per cui il Garante ha redarguito PagoPa è che l’app IO, utilizzava servizi di Google e Mixpanel i quali, e questo è il punto, in realtà prevedono la possibilità di configurare il servizio in modo da ridurre al minimo l’invio di dati. Questa possibilità però non è stata sfruttata dagli sviluppatori della app IO, di fatto abilitando circa 12.000 servizi su cui l’utente non aveva alcun potere”.
Il Garante Privacy ha agito secondo legge: “La riprova che non è un burocrate insensibile, spinto solo dalla voglia di dire no, è data dal fatto che, appena PagoPA ha sistemato le criticità evidenziate, l’Autorità ha dato il suo benestare. Ancora una volta, non stupisce il comportamento del Garante, assolutamente lineare, ma stupisce tutto quanto sta attorno”.
