Tra le gravi criticità evidenziate dal Garante Privacy riguardo all’App IO la più preoccupante riguarda il trasferimento di dati verso partner statunitensi per finalità, peraltro, non necessarie al funzionamento dell’app, come quelle destinate al “miglioramento” della piattaforma, attraverso l’analisi di una mole di dati davvero estesa.
Maggiore chiarezza sui problemi si ottiene leggendo la relazione tecnica pubblicata dal Garante a valle delle polemiche con PagoPa e il ministro dell’innovazione, che avevano negato ogni addebito.
Il problema princiale, Mixpanel
Il più preoccupante dei partner esterni a PagoPA è senz’altro Mixpanel e non deve essere un caso se l’app IO, nella nuova informativa privacy datata 14 giugno, ora segnala che se ne sta valutando la sostituzione.
Panetta, app IO: “Se lo Stato non capisce l’importanza dei dati e della privacy”
MixPanel, chi è e che fa
MixPanel società statunitense specializzata in analytics che è stata contrattualizzata dal gestore dell’app IO al fine di “comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” (come riportato nella determina di acquisto).
Per fare ciò Mixpanel associa un identificativo univoco a ciascun utente dell’app (e parliamo di un’app con oltre 11 milioni di download) e viene a conoscenza di dati relativi al bonus vacanze, al programma cashback (inclusi l’elenco degli strumenti di pagamento dell’utente, nonché l’elenco delle transazioni con data e ora, identificativi della transazione e del circuito di pagamento utilizzato) e ai pagamenti effettuati attraverso la piattaforma PagoPA.
Il problema
È evidente che la mole di dati che vengono trasferiti a Mixpanel è davvero estesa e che la stessa non è giustificata dalla finalità del servizio, senza considerare che manca l’opzione per l’opt out da parte dell’utente (che peraltro sarebbe insufficiente nel caso, essendo necessario implementare un meccanismo di opt-in) e che PagoPA, stando alla relazione tecnica diffusa dal Garante, non ha implementato alcune misure di sicurezza che avrebbero potuto ridurre l’impatto del trattamento dati (come la generazione di identificativi utenti non legati al codice fiscale, o il passaggio e selezione dei dati da un server del Ministero prima della trasmissione a Mixpanel).
PagoPA si era evidentemente resa conto del fatto che Mixpanel fosse un partner “a rischio” ed infatti, prima ancora dello scontro col Garante, ha negoziato con la società USA varie rivisitazioni del contratto, esercitando anche l’opzione per la residenza dei dati in UE (anche se questa pattuizione non si estende ai sub-responsabili), inserendo una clausola ulteriore rispetto alle Standard Contractual Clauses per il trasferimento data in USA (che obbliga il partner a informare PagoPA di eventuali richieste di accesso ai dati da parte dello stato di destinazione del dato e a predisporre procedure per resistere alle richieste) e valutando infine la sostituzione del partner (come riportato nell’elenco fornitori presente sul sito dell’app IO).
Questo trasferimento dati a Mixpanel (ed ai suoi sub-responsabili) presenta quindi seri problemi di compatibilità con la normativa GDPR, quanto al rischio concreto però che i nostri dati finiscano in mani sbagliate questo passa per un errore di Mixpanel e/o per una grave violazione del contratto (con Mixpanel che potrebbe approfittare della ghiotta occasione derivante dall’accesso ad una simile mole di dati per attività illecita di profilazione interna o per rivendere illecitamente i dati stessi a terzi).
Finché Mixpanel (peraltro azienda di primaria importanza nel settore) si comporta correttamente, i nostri dati non sono in pericolo (anche se va detto che nel 2018 Mixpanel è balzata agli onori della cronaca per un bug che le consentiva di acquisire le password di moltissimi degli utenti soggetti al suo tracciamento e che ha interessato “meno del 25% dei propri clienti”).
Il problema reale, che emerge dall’istruttoria del Garante, è quello dell’approssimazione con cui si affronta il tema privacy da parte della Pubblica Amministrazione, peraltro in un applicativo così centrale nell’ecosistema dell’amministrazione digitale (il che fa preoccupare non poco pensando agli altri applicativi sviluppati dalla PA e meno sotto i riflettori).
Gli appunti tecnici del Garante
La relazione tecnica diffusa dal Garante dettaglia le criticità che hanno portato al provvedimento di “blocco” temporaneo dell’app IO.
In particolare con riguardo a Google la relazione del Garante evidenzia come l’app IO generi di default un identificativo unico da associare all’applicativo (funzionalità che serve per l’invio di notifiche push da parte dell’app). Il problema è che nel caso dell’app IO questo identificativo viene generato di default (ed a prescindere dal fatto che l’utente attivi o meno le notifiche push) e non è possibile per l’utente intervenire per disattivarlo.
Il Garante evidenzia poi un annoso problema derivante dall’utilizzo di font presenti sui siti delle pubbliche amministrazioni a cui l’app IO rimanda (il problema, di cui avevamo già parlato qui, deriva dal fatto che i font utilizzati dalle PA sono estratti dalle librerie Google Font) e di fatto suggerisce di evitare il caricamento dei font di siti esterni utilizzando invece caratteri interni all’app.
Mixpanel
Con riguardo invece a Mixpanel la relazione evidenzia la creazione di un identificativo univoco a ciascun utente dell’app creato con una funzione di hash ricavata dal codice fiscale dell’utente (così anche cambiando telefono è possibile per Mixpanel tracciare l’utilizzo dell’app IO e si tratta evidentemente di un trattamento invasivo che è del tutto inutile per le finalità di miglioramento del servizio che sorregge il contratto fra PAgoPA ed il partner) e la stessa funzione è resa pubblica sulla repository GitHub dell’app IO. Il Garante evidenzia che Mixpanel stessa mette a disposizione dei clienti strumenti per creare identificativi pseudocasuali e così superare queste problematiche.
Il Garante evidenzia che alcuni dati sono trasferiti da Mixpanel su IP Google in Europa ed altri in USA (anche se si tratta di IP anycast – utilizzati da Google per effettuare il bilanciamento del carico – che non consentono di definire con sicurezza se poi il dato sia indirizzato su server USA o UE).
Il Garante poi elenca i dati che vengono trasmessi a Mixpanel (nella relazione c’è un allegato di tre pagine sul punto che elenca i vari dati trasmessi) e critica il fatto che questa accede anche ai dati di geolocalizzazione, che manca l’opzione per l’opt out da parte dell’utente e che PagoPA non ha implementato i meccanismi, messi a disposizione dalla stessa Mixpanel, per raccogliere i dati oggetto di tracciamento su proprio server con successivo invio dei soli dati necessari a Mixpanel (avendo così un maggior controllo sul flusso di dati.
Instabug
Con riguardo a Instabug è dimostrato il trasferimento dati in USA (su server AWS) che avviene ogniqualvolta l’utente utilizzi il servizio di bug report presente nell’app IO ovvero nell’ambito delle funzionalità di crash report.
La relazione evidenzia come PagoPA non abbia implementato le librerie Instabug su propri server o su cloud privato, soluzione che avrebbe permesso di contenere il trattamento di dati effettuato dal partner, anche se con riguardo a quest’ultimo responsabile esterno le problematiche evidenziate sono senz’altro minori ed infatti i servizi di Instabug non sono stati oggetto del provvedimento di sospensione provvisoria adottato lo scorso 9 giugno.
