È in corso una battaglia, anche a suon di relazioni tecniche, tra il Garante per la protezione dei dati personali e la società PagoPA che, va ricordato, è interamente partecipata dal ministero dell’Economia e delle finanze.
L’antefatto
Il Garante della Privacy, nel fornire il suo parere sul rilascio del Green Pass digitale attraverso alcune app, ha bloccato l’utilizzo dell’App IO responsabile, secondo le sue analisi, di condividere i dati degli utenti con aziende terze straniere. Il Garante ha emesso un provvedimento correttivo nei confronti della società PagoPA S.p.a la quale ha replicato negando gli addebiti.
La relazione tecnica
A questo punto il Garante ha pubblicato sul suo sito una dettagliatissima relazione tecnica in cui spiega, punto per punto, quali siano i dati degli utenti che l’App IO condivide con tre aziende: Google, Mixpanel e Instabug.
Le interazioni dell’App IO
L’App IO, secondo quanto emerge dalla relazione del Garante, al primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia alcune informazioni e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel. L’App curata da PagoPA, tra l’altro, invia delle notifiche push per comunicare agli utenti la ricezione di un messaggio, il che implica il trattamento di dati personali da parte dei gestori dei sistemi operativi. Le aziende in questione, a loro volta, hanno numerosi rapporti di scambio di dati con altre aziende collocate al di fuori del territorio dell’Ue, e dunque non interessate dalle disposizioni del GDPR.
Cos’è Instabug
Instabug è una società di software che fornisce segnalazione di bug, monitoraggio delle prestazioni delle app, segnalazione di arresti anomali, chat in-app e sondaggi utente per le app mobili. In aggiunta, come scrive il Garante, “implementa potenti tattiche per risolvere rapidamente i bug”. L’azienda è stata fondata nel 2014 a Il Cairo. Nasce in maniera molto romantica, dall’idea di due ragazzi, Omar Gabr e Moataz Soliman, al loro ultimo semestre all’Università del Cairo. I due fondano AStarApps, un’app che forniva servizi agli sviluppatori mobili. Dopo 2 anni, e un passaggio per Y Combinator, l’incubatore di startup più potente del mondo, cambia nome e Forbes la nomina “startup numero 1 in Egitto”. Oggi il suo headquarter è a San Francisco e lavora con aziende importantissime come Samsung, Ebay e Vodafone.
Cos’è Mixpanel
Mixpanel è una società che vende servizi di analisi aziendali. Offre strumenti di analisi dei prodotti tecnologici per comprendere il comportamento degli utenti, “a visualizzarne, segmentarne ed analizzarne i dati”, come scrive il Garante. In sostanza tiene traccia delle interazioni degli utenti con applicazioni web e mobili e fornisce strumenti per una comunicazione mirata con loro. Mixpanel è stata fondata nel 2009 da due informatici – Suhail Doshi e Tim Trefren – nel 2009, ha sede a San Francisco e, come Instabug, è sostenuto dall’incubatore Y Combinator.
Google traccia gli utenti dell’app IO
Nella relazione tecnica si legge che “è stato constatato che l’utilizzo delle librerie software di Google, Mixpanel e Instabug presenti all’interno dell’App IO determina, a tutti gli effetti, effetti di tracciamento in grado di ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO”. Inoltre, diversamente da quanto affermato da PagoPA, il Garante ha rinvenuto “nel codice sorgente, e rilevate nel traffico generato nel corso delle attività di analisi dinamica, alcune interazioni dell’App IO con i servizi Firebase Analytics di Google che consentono quantomeno di monitorare le installazioni dell’App IO sui dispositivi degli utenti“. La finalità di tale trattamento non è chiara e gli utenti non sono informati.
I dati che regaliamo a Mixpanel
Per quanto riguarda Mixpanel il Garante, tra le altre cose, si concentra sulle librerie di tracciamento, le quali sono “configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel unitamente a un identificativo unico dell’utente”. Le librerie di Mixpanel comportano, pertanto, un monitoraggio sistematico dell’utilizzo dell’App IO da parte degli utenti, trattamento che non risulta necessario per il perseguimento delle asserite finalità di “assistenza, debug e miglioramento dell’App IO” né strettamente necessario per erogare servizi esplicitamente richiesti da un utente nell’ambito dell’App IO”. Tutto ciò senza che l’utente sia adeguatamente informato o abbia espresso il proprio consenso.
Mixpanel: bonus vacanza e Cashback
Il Garante ha scoperto che “l’App IO è configurata per inviare ai sistemi di Mixpanel informazioni molto dettagliate in relazione ad alcune specifiche tipologie di servizi”. Tali informazioni riguardano, tra le altre cose, il bonus vacanze dell’Agenzia delle entrate “eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso”, il programma cashback del ministero dell’Economa e finanze, “elenco delle transazioni che partecipano al programma cashback e degli strumenti di pagamento elettronico dell’utente, e infine la piattaforma PagoPA “eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi”.
Instabug: non solo un report di errori
L’App IO comunica anche con l’azienda Instabug. “Le librerie di Instabug richiamate nel codice sorgente dell’App IO sono configurate per archiviare nel terminale dell’utente diverse tipologie di informazioni e per accedere a tali informazioni nel caso in cui l’utente, all’interno dell’area “IO ti aiuto” – si legge nella relazione -, effettui una segnalazione di eventuali problemi dell’app o invii suggerimenti per nuove funzionalità (allo stato non è stato possibile verificare se tali informazioni vengono accedute e inviate automaticamente a Instabug anche al verificarsi di un evento di crash dell’App IO)”. Tutto ciò senza che l’utente sia ì informato di tale circostanza o che possa esprimere il proprio consenso.