Tensioni fra istituzionali sulle app IO pro Green Pass. Tutti i dettagli.
La ragione del contendere è la sicurezza dei dati dei cittadini italiani che transitano sull’app IO, scaricata da 11 milioni e mezzo di persone per dialogare con la Pubblica amministrazione e per richiedere, tra gli altri, il bonus vacanze e il cashless. A oggi l’app IO ha registrato oltre 12 milioni di transazioni per un controvalore economico di circa 2,5 miliardi di euro nel solo mese di maggio.
Immuni sì, app IO no
Il Governo aveva previsto che i cittadini potessero scaricare il codice QR per il Green Pass, il certificato che previa vaccinazione, tampone negativo o guarigione, consente spostamenti facilitati sul territorio nazionale, attraverso il Fascicolo elettronico, l’applicazione Immuni o l’app IO. Ieri il Garante per la protezione dei dati personali “all’esito di lunghe e proficue interlocuzioni con il Ministero della salute, ha dato parere favorevole sullo schema di decreto attuativo, che attiva la Piattaforma nazionale-DGC per il rilascio del green pass, prevedendo adeguate garanzie per l’utilizzo delle certificazioni verdi”. Il Garante, però, ha anche detto “no” all’utilizzo dell’app IO perché non abbastanza sicura.
I problemi di sicurezza dell’App IO
Con un provvedimento ad hoc il Garante ha detto che per ora l’app IO non potrà essere usata per scaricare il certificato “a causa delle criticità riscontrate in merito alla stessa”. Inoltre ha ordinato di “bloccare provvisoriamente alcuni trattamenti di dati effettuati” tramite IO perché l’applicazione sviluppata dalla società pubblica PagoPA trasferisce verso Paesi terzi come Stati Uniti, India e Australia dati delicati mediante l’interazione con i servizi delle americane Google e Mixpanel. Il Garante ha disposto “la limitazione provvisoria” dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con “i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi” e “i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi”.
Guido Scorza: “Lavorare per eliminare le criticità”
Guido Scorza, componente del Garante per la protezione dei dati personali, è intervenuto su Agenda Digitale, per spiegare il perché della decisione del Garante. “Finché non si risolve questa criticità, abbiamo semplicemente rinviato ogni valutazione circa la possibilità di rendere disponibile il greenpass anche attraverso IO – dice Guido Scorza -. Se, come ci auguriamo, queste criticità, che sono importanti lato privacy ma non centrali nell’economia di funzionamento dell’app, saranno eliminate, anche gli utenti di IO potranno presto trovare, se lo desidereranno, il loro Green Pass nell’APP”. Resta da capire perché avvengano i trasferimenti verso l’estero dei dati dei cittadini che hanno scaricato l’app. “La percezione dei nostri uffici è che si tratti di trasferimenti non indispensabili al funzionamento dell’app e – conclude Scorza -, quindi, eliminabili senza compromettere la tenuta dell’APP che ha sin qui svolto ed è auspicabile continui a svolgere un ruolo prezioso nella trasformazione digitale del Paese”.
India, Australia e USA paesi non adeguati al GDPR
“India, Australia e Stati Uniti non sono tra le nazioni per le quali vige una decisione di adeguatezza del Gdpr (Regolamento generale per la protezione dei dati), che è uno dei criteri che permettono il trasferimento dei dati”. A dirlo a Wired è l’avvocato Giovanni Battista Gallus, esperto di protezione dei dati. “Con l’app Io si è voluto creare un sistema centrale nell’erogazione di servizi ai cittadini da parte della pubblica amministrazione, ed è evidente che sia necessaria una base legale per permetterne il trasferimento all’estero, altrimenti non possono lasciare l’Unione europea – continua Gullus -. Si ribadisce il principio che i dati dei cittadini devono essere protetti anche dalle intrusioni statali. Problema che si pone negli Stati Uniti dati i poteri ispettivi delle varie agenzie del Paese”.
La replica di PagoPa
Dopo la pubblicazione dei provvedimenti del Garante è arrivata la replica di PagoPa, la società che ha sviluppato l’app IO. La società statale PagoPA “smentisce l’affermazione” del Garante e a riprova della bontà dei suoi prodotti la società ricorda che “lo stesso Garante ha dato parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze, che restano attivi per milioni di cittadini, proprio perché essa opera nel pieno rispetto del Regolamento europeo sulla protezione dei dati personali (GDPR)”. Cionostante PagoPA “insieme al Dipartimento per la trasformazione digitale, sta esaminando i dettagli tecnici e giuridici del provvedimento per ogni opportuna iniziativa e, con spirito collaborativo e determinato, ha avviato un tavolo con le strutture del Garante per portare celermente il Green Pass su App IO, nell’interesse dei milioni di cittadini italiani utilizzatori della stessa app”.
Cos’è PagoPa
PagoPaè una società creata nel dicembre 2018 con il cosiddetto decreto Semplificazioni. Al suo interno sono state accorpate alcune attività precedentemente svolte dalla Presidenza del Consiglio dei Ministri, dal Team Digitale e dall’Agid. PagoPa è interamente partecipata dal Ministero dell’economia e delle finanze. La società opera per diffondere i sistemi di pagamento elettronico e diventare il tramite unico di tutti i pagamenti verso la pubblica amministrazione italiana.