La app IO, per il cashback di Stato ha acceso nuovamente il dibattito sulla scarsa attenzione delle PA nei confronti della riservatezza e della sicurezza dei dati.
Ora, posto che, come denunciato già da qualche giorno da Privacy Network, IO invia dati a soggetti terzi negli Stati Uniti, senza specificare in alcun modo quali dati e per quali finalità, la domanda che bisogna porsi è: perché è così importante approfondire queste criticità e porvi rimedio?
Perché è importante il dibattito privacy su cashback
Porsi un simile quesito è utile in quanto, differentemente, anche per politici e per persone che non sono del settore, tutte queste critiche rischiano di tradursi in una gara a trovare i difetti nelle informative delle app di Stato.
È fondamentale che non passi questo messaggio ma che si capisca che da un’informativa scritta in modo impreciso (come quella di IO) deriva molto probabilmente una imprecisa cognizione dei trattamenti eseguiti dalla app da parte del Titolare del trattamento.
L’informativa privacy ci dice difatti che IO “si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA)”.
Vediamo come si parli di “alcune attività”, ma quali? E, soprattutto, quali fornitori?
Si tratta di quesiti dirimenti in quanto ci portano a due sole opzioni: o IO mette in pericolo i dati degli italiani; oppure sta “soltanto” violando il principio di trasparenza. Non i sono altre opzioni.
PagoPA: “Ecco perché rispettiamo privacy e sicurezza del dato”
Riceviamo questa nota da PagoPA e la aggiungiamo a quest’articolo.
- PagoPA S.p.A. opera ponendo la privacy dei cittadini al centro di tutte le soluzioni tecnologiche di cui è responsabile, quale valore irrinunciabile ed elemento essenziale della digitalizzazione della PA. Anche l’app IO, pertanto, assicura il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR).
- Quanto al programma Cashback, il Garante ha espresso parere positivo sul decreto del MEF (DM n. 156/2020) che ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma approvato la relativa valutazione d’impatto (DPIA).
- Il sistema alla base dell’app IO non comporta alcuna profilazione o geolocalizzazione degli utenti, non memorizza i dati delle carte di credito/debito aggiunti all’interno della sezione “Portafoglio” dell’app e non trasferisce all’estero i dati relativi a questi strumenti di pagamento.
- Nel caso del Cashback, il sistema non registra né la tipologia né il luogo in cui sono effettuati gli acquisti; memorizza solo: il codice crittografato in modo irreversibile che corrisponde allo strumento di pagamento, data, ora e importo dell’acquisto, unicamente ai fini del calcolo del rimborso.
Ma il Garante attende dal MEF chiarimenti su valutazione d’impatto
Ad Agendadigitale.eu il Garante Privacy fa sapere che sta ancora però aspettando rassicurazioni sui punti di quella valutazione d’impatto a cui ha risposto il 26 novembre. Sta inoltre aspettando la valutazione d’impatto sull’app IO per l’accesso a servizi PA.
Dati in pericolo su app io e cashback
In primo luogo, come sappiamo, l’invio di dati negli Stati Uniti è ormai ritenuto non sicuro da parte dell’Unione Europea. Il Governo USA, difatti, ha potere di accesso ai dati, un potere che, si badi, non è meramente ipotetico. Il Governo USA può accedere ai dati degli europei e, nei fatti, questo potere viene costantemente esercitato. Lo dice la sentenza Schrems, lo dicono le FAQ del Garante, lo dice la legge americana. Non si tratta quindi di uno scenario meramente ipotetico.
Ora, in primis è da considerare un azzardo anche il solo fatto di aver scelto un fornitore USA per il trattamento di dati che, lo stesso Garante Italiano ha definito quasi sensibili. Stiamo inviando in un luogo non sicuro i dati relativi alle abitudini finanziarie ed alle preferenze di acquisto di milioni di italiani. Perché correre un simile rischio?
L’unica risposta plausibile è che il partner selezionato (la cui identità attualmente non è nota) sia un soggetto che non ha un omologo europeo, rendendo quindi necessario ricorrere all’invio di dati in USA.
Se così fosse, allora, sarebbe opportuno che la PA non si limitasse a dire “in ogni caso, i Responsabili del trattamento si avvalgono esclusivamente di fornitori che adottano idonee garanzie, anche in forza di accordi contenenti clausole contrattuali standard o norme vincolanti di impresa, nel rispetto dei principi previsti dal RGPD”, perché questo, come sappiamo, ormai non è più sufficiente. L’EDPB, come evidenziato sempre su queste pagine, richiede difatti che alle Clausole Contrattuali Standard siano ora affiancate misure ulteriori, misure che non vengono nemmeno menzionate, lasciando intendere che, probabilmente, non esistono.
Poniamo, per un istante, che queste misure di sicurezza ulteriori non siano state adottate. Quai sono le conseguenze?
Nello scenario migliore il Governo USA potrebbe prendere i nostri dati e catalogarli per creare dei profili da utilizzare per motivi di (presunta) sicurezza nazionale. Nello scenario peggiore, invece, le generiche finalità a cui fa riferimento l’informativa potrebbero consentire al partner statunitense di utilizzare i dati per allenare sistemi di intelligenza artificiale (come già accaduto con lo scandalo della Human Review), oppure potrebbero essere trattati per le sole finalità di cui alla app IO, ma potrebbero essere messi in pericolo da possibili data breach esterni. Si tratta difatti di dati molto appetibili per il mercato nero (e non solo), motivo per cui serve la massima accuratezza.
Poca trasparenza su privacy app IO e cashback
Una accuratezza che, purtroppo, è mancata ancora una volta. Le pubbliche amministrazioni sottovalutano l’importanza dei dati. Lo dimostrano i continui disagi creati, ad esempio da INPS e dalla stessa app IO che il giorno di debutto si è bloccata non consentendo l’utilizzo ai cittadini. Tutti gli indizi ci portano a dubitare dell’effettiva diligenza da parte di PagoPA, e l’informativa presente sul sito, come dicevamo, in tal senso non aiuta.
Già, perché, poniamo anche solo per un istante che sotto il punto di vista tecnico i nostri dati siano davvero al sicuro, resta comunque un ultimo problema: l’informativa privacy non rispetta il principio di trasparenza.
Anche questo è grave in quanto, non è accettabile che una pubblica amministrazione, distributrice di una app finalizzata a raccogliere i dati di consumo di milioni di italiani, non fornisca un’informativa privacy adeguata. Il GDPR (articoli 12 e seguenti) su questo è chiaro, il Titolare deve fornire notizie adeguate agli interessati, se no, già di per sé, questo risulta un comportamento sanzionabile.
Sarà quindi il tempo a dirci se, nel concreto, la app IO ci condurrà nel primo o nel secondo scenario di cui sopra. Ciò che però conta è che si comprenda che quella che stanno evidenziando tutti non è una mera mancanza di forma ma un problema molto concreto capace di impattare sulla vita di tutti noi.