App IO: il Garante per la Privacy ne impone un blocco parziale.

Argomenti:
Pubblicato il: 22-06-2021 12:32 , Ultimo aggiornamento: 05-07-2021 16:13

L’app IO, disponibile sugli app-store da aprile 2020 e sviluppata dal Team per la Trasformazione Digitale afferente al Ministero per l’Innovazione Tecnologica e la Digitalizzazione, è uno strumento informatico rapido ed efficace che ha il compito di semplificare la vita dei cittadini che hanno necessità di richiedere certificazioni agli enti pubblici o per altri aspetti legati al rapporto utente/PA. Dopo aver dato il via libera all’utilizzo della piattaforma per inviare ai cittadini il Green Pass vaccinale con il quale sarà possibile spostarsi entro i confini dell’Unione Europea e prendere parte alle manifestazioni pubbliche per cui ne è richiesto il possesso, il Garante della Privacy ha sottolineato alcune criticità insite nel sistema e ha disposto che queste vengano risolte al più presto. Vediamo insieme dove si è focalizzata l’attenzione del Garante.

App IO: cos’è e come scaricarla.

L’App IO è l’interfaccia di una piattaforma informatica messa in campo dal Ministero per l’Innovazione Tecnologica e la Digitalizzazione che ha il compito di semplificare la gestione di alcune pratiche burocratiche e servizi forniti da enti centrali e periferici in modo tale da rendere più agevole e veloce la richiesta e il rilascio di documenti e prestazioni burocratiche nel rapporto cittadino-PA. Ad essa è stata affidata, ad esempio, la gestione del Cashback, così come si può controllare la scadenza del Bollo Auto e altri servizi inerenti l’ACI e, di recente, è stato attribuito, tra gli altri, anche all’App IO il compito di recapitare il Green Pass che consentirà ai possessori di viaggiare entro i confini comunitari e partecipare a fiere, manifestazioni culturali e altri eventi in cui è previsto un notevole afflusso di partecipanti.

L’App è completamente gratuita ed è scaricabile nei principali app-store del web. Per poterla utilizzare occorre essere in possesso di SPID o di Carta d’Identità Elettronica.

Foto di Gerd Altmann da Pixabay

Le obiezioni del Garante per la Privacy.

Con il provvedimento n°230 del 9 giugno 2021, l’autorità Garante per la Privacy ha rimarcato alcune criticità insite nella piattaforma dando ai gestori dell’app 30 giorni di tempo per comunicare all’Ente stesso le soluzioni che verranno adottate per risolverle e 40 per iniziare gli interventi correttivi.

Nello specifico il Garante ha sottolineato come alcune informazioni personali che dovrebbero essere riservate, in realtà, vengono dirottate e trattate da gestori di servizio esterni alla Comunità Europea (e, come tali, non soggetti al rispetto delle normative per la privacy per come disposto dalle autorità nazioanli e comunitarie), mentre alcune impostazioni predefinite del sistema contrastano con il diritto di esserne informati proprio degli utenti.

Analizzando il provvedimento (e citandolo testualmente) al punto “A” dei rilievi si evince che:

con riferimento all’utilizzo delle librerie software di Google, è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice;

Scopriamo così che l’invio delle notifiche push da parte dell’App IO è, se non completamente gestito, per lo meno filtrato da Google che, di riflesso, ha accesso al trattamento dei dati senza che gli utenti ne siano a conoscenza ed esprimano il loro consenso al trattamento stesso.

Andando avanti scopriamo anche che:

con riguardo, invece, alle librerie software di Mixpanel, si osserva che, come anche evidenziato da PagoPA nella determinazione di acquisto di tale servizio, disponibile sul sito della Società, queste rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”. Gli accertamenti tecnici effettuati hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che l’utente, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice. Le informazioni inviate a Mixpanel riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi). Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili degli utenti dell’App IO e identificarli, essendo generato mediante una funzione deterministica, peraltro resa pubblica (cfr. repository GitHub dell’App IO), che, a partire dal codice fiscale di un utente, produce sempre lo stesso identificativo, anche in caso di utilizzo di un diverso dispositivo mobile, consentendo così la reidentificazione degli interessati. Ciò, in quanto tale identificativo presenta un elevato grado di associabilità al codice fiscale dell’utente, tenuto anche conto che, nel caso in esame, l’identificativo è trasmesso dall’App IO ai sistemi di Mixpanel unitamente all’indirizzo IP del dispositivo dell’utente e ad altre informazioni relative al suo dispositivo e agli eventi oggetto di tracciamento;

Il Garante ha quindi accertato che i nostri dati vengono girati dall’App IO alle librerie software di Mixpanel che, a sua volta, li utilizza per il tracciamento commerciale degli stessi. Come esplicitato nel provvedimento, va da sè che, gestendo l’app anche iniziative come il cashback e il bonus vacanze e passando tramite la stessa app gli acquisti da noi fatti nell’ambito di tali progetti, Mixplanet ha accesso ai dati relativi alle nostre preferenze di spesa che poi può rivendere ad altri a fini commerciali e di tracciamento, tutto ciò senza che l’utente ne sia informato.

I punti “B” e “C” dei rilievi mossi dall’Autorità Garante per la Privacy nel provvedimento che stiamo esaminando, pongono l’attenzione sulle notifiche push deducendo che:

B) l’attivazione automatica dei servizi offerti all’interno dell’App IO: risulta accertato che, contrariamente a quanto già prescritto dal Garante con il citato provvedimento del 12 giugno 2020, all’atto del primo accesso da parte dell’utente, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;

C) l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android (cfr. lett. A), punto 1) viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica;

Secondo le normative per la privacy, dunque, è l’utente a dover decidere se e quali notifiche debbano essere attive nell’app installata sul suo dispositivo così come l’inoltro di email.

Ora, come già detto in precedenza, il Garante ha imposto al Team per la Trasformazione Digitale del Ministero per l’Innovazione Tecnologica e la Digitalizzazione di risolvere le problematiche evidenziate nel più breve tempo possibile, in manera tale che l’App Io possa tornare rapidamente ad essere pienamente operativa.

Dato che in questi giorni si sta parlando tanto di Green Pass, sottolineiamo che il provvedimento che abbiamo visionato non blocca o rallenta in alcun modo la consegna delle certificazioni sanitarie.

5/5 (1)

Che te ne pare?

Grazie per aver letto App IO: il Garante per la Privacy ne impone un blocco parziale. di Saverio Chiodo su Trovalost.it
App IO: il Garante per la Privacy ne impone un blocco parziale. (News, Nuove tecnologie)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost