Skip to content

app Io

Perché il Garante della Privacy stanga l’app IO di PagoPa (non solo per il Green Pass)

L'app IO della società statale PagoPa nella bufera dopo una decisione del Garante per la protezione dei dati personali a proposito del Green Pass. Ecco tutti i dettagli

Il Garante per la Privacy ha dato parere favorevole sullo schema di decreto attuativo che attiva la Piattaforma nazionale-DGC per il rilascio del green pass, prevedendo adeguate garanzie per l’utilizzo delle certificazioni verdi. In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate.

La delibera dell’Autorità per la garanzia dei dati personali stimmatizza in particolare – con un distinto provvedimento – l’app IO realizzata dal Dipartimento per la trasformazione digitale e PagoPa, società interamente partecipata dal ministero dell’Economia e delle finanze. L’app IO dovrebbe diventare il portale unico d’accesso ai servizi della pubblica amministrazione.

Oggi l’Autorità ha chiesto che si interrompano alcuni trattamenti di dati “che prevedono l’interazione con i servizi di Google e Mixpanel, e che  comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”, si legge in una nota.

“India, Australia e Stati Uniti non sono tra le nazioni per le quali vige una decisione di adeguatezza del Gdpr (Regolamento generale per la protezione dei dati), che è uno dei criteri che permettono il trasferimento dei dati”, ha commentato a Wired l’avvocato Giovanni Battista Gallus, esperto di protezione dei dati: “Con l’app Io si è voluto creare un sistema centrale nell’erogazione di servizi ai cittadini da parte della pubblica amministrazione, ed è evidente che sia necessaria una base legale per permetterne il trasferimento all’estero, altrimenti non possono lasciare l’Unione europea”.

Ma torniamo alla delibera del Garante. ll green pass, introdotto dal decreto “Riaperture” per consentire gli spostamenti tra Regioni e l’accesso a eventi pubblici e sportivi, è ora previsto, nelle zone gialle, anche per partecipare alle feste in occasione di cerimonie civili e religiose.

L’Autorità, che ha già avvertito il governo sulle criticità dell’attuale versione del decreto “Riaperture”, ricorda la necessità di individuare con chiarezza, in sede di conversione in legge del decreto, i casi in cui può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali.

Proprio l’attuale indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass ha favorito l’adozione, da parte di alcune Regioni e Province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel decreto riaperture e nei confronti delle quali il Garante è già intervenuto.

L’Autorità sottolinea, inoltre, che anche il Regolamento europeo sul green pass, attualmente in fase di adozione, prevede che lo stesso possa essere utilizzato dagli Stati membri per finalità ulteriori, rispetto agli spostamenti all’interno dell’Ue, ma solo se ciò è espressamente previsto e regolato da una norma nazionale. L’Autorità – pur valutando positivamente, nel complesso, lo schema di Dpcm, che recepisce gran parte delle indicazioni fornite del Garante nel corso delle interlocuzioni con il ministero della Salute – rileva alcuni profili sui quali ritiene necessario un intervento di modifica.

In particolare, il Garante chiede chiarezza sulle finalità per le quali potrà essere richiesto il green pass che dovranno essere stabilite con una norma di rango primario.

Inoltre, la norma dovrà prevedere che le certificazioni possano essere emesse e rilasciate solo attraverso la Piattaforma nazionale-DGC e verificate esclusivamente attraverso l’App VerificaC19.

Tale app infatti è l’unico strumento in grado di garantire l’attualità della validità della certificazione verde, in conformità ai principi protezione dei dati personali, garantendo inoltre che i verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone).

Altra misura, chiesta e ottenuta dal Garante nel corso delle interlocuzioni con il ministero della Salute, è che i soggetti deputati ai controlli delle certificazioni verdi siano chiaramente individuati e istruiti. Quanto alle modalità con le quali ottenere il green pass, lo schema di decreto prevede che venga messo a disposizione attraverso diversi strumenti digitali (sito web della Piattaforma nazionale-DGC; Fascicolo sanitario elettronico; App Immuni; App IO) che permetteranno agli interessati di consultare, visualizzare e scaricare le certificazioni. Inoltre gli interessati potranno rivolgersi anche al medico di famiglia e al farmacista per scaricare la certificazione verde. In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa.

+++

ECCO IL COMUNICATO STAMPA DEL GARANTE PER LA RISERVATEZZA DEI DATI PERSONALI:

Certificazioni verdi: via libera del Garante, con adeguate garanzie
Disposto il blocco provvisorio per l’App IO

Il Garante per la protezione dei dati personali, all’esito di lunghe e proficue interlocuzioni con il Ministero della salute, ha dato parere favorevole sullo schema di decreto attuativo, che attiva la Piattaforma nazionale-DGC per il rilascio del green pass, prevedendo adeguate garanzie per l’utilizzo delle certificazioni verdi. Il green pass, introdotto dal decreto “Riaperture” per consentire gli spostamenti tra Regioni e l’accesso a eventi pubblici e sportivi, è ora previsto, nelle zone gialle, anche per partecipare alle feste in occasione di cerimonie civili e religiose.

L’Autorità, che ha già avvertito il Governo sulle criticità dell’attuale versione del decreto “Riaperture”, ricorda la necessità di individuare con chiarezza, in sede di conversione in legge del decreto, i casi in cui può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali.

Proprio l’attuale indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass ha favorito l’adozione, da parte di alcune Regioni e Province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel decreto riaperture e nei confronti delle quali il Garante è già intervenuto.

L’Autorità sottolinea, inoltre, che anche il Regolamento europeo sul green pass, attualmente in fase di adozione, prevede che lo stesso possa essere utilizzato dagli Stati membri per finalità ulteriori, rispetto agli spostamenti all’interno dell’Ue, ma solo se ciò è espressamente previsto e regolato da una norma nazionale.

L’Autorità – pur valutando positivamente, nel complesso, lo schema di Dpcm, che recepisce gran parte delle indicazioni fornite del Garante nel corso delle interlocuzioni con il Ministero della Salute – rileva alcuni profili sui quali ritiene necessario un intervento di modifica.

In particolare, il Garante chiede chiarezza sulle finalità per le quali potrà essere richiesto il green pass che dovranno essere stabilite con una norma di rango primario. Inoltre, la norma dovrà prevedere che le certificazioni possano essere emesse e rilasciate solo attraverso la Piattaforma nazionale-DGC e verificate esclusivamente attraverso l’App VerificaC19. Tale app infatti è l’unico strumento in grado di garantire l’attualità della validità della certificazione verde, in conformità ai principi protezione dei dati personali, garantendo inoltre che i verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone).

Altra misura, chiesta e ottenuta dal Garante nel corso delle interlocuzioni con il Ministero della salute, è che i soggetti deputati ai controlli delle certificazioni verdi siano chiaramente individuati e istruiti.

Quanto alle modalità con le quali ottenere il green pass, lo schema di decreto prevede che venga messo a disposizione attraverso diversi strumenti digitali (sito web della Piattaforma nazionale-DGC; Fascicolo sanitario elettronico; App Immuni; App IO) che permetteranno agli interessati di consultare, visualizzare e scaricare le certificazioni. Inoltre gli interessati potranno rivolgersi anche al medico di famiglia e al farmacista per scaricare la certificazione verde.

In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa.

Nella stessa riunione del Collegio, con distinto provvedimento, l’Autorità, in relazione a criticità di ordine generale sul funzionamento dell’App IO, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che  comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso.

Profili sui quali l’Autorità aveva già richiamato l’attenzione con diversi provvedimenti del 2020 fornendo peraltro indicazioni per rendere conforme l’uso dell’app alla normativa sulla privacy.

Torna su