IO, la triste parabola dell’app italiana

“La storia è una parabola e la vera realtà sta dietro le apparenze.”
Bruno Maggioni

Il dibattito scoppiato qualche giorno fa dietro l’App IO, protagonisti il Garante della Privacy e il Ministero dell’Innovazione, non è il solito sterile screzio tra istituzioni: è, secondo me, qualcosa di ben più importante e dovrebbe servire, anche politicamente, ad aumentare la consapevolezza sul trattamento e gestione dei nostri dati personali.

In breve, accade che il Parlamento Europeo approva l’uso dei green pass per la circolazione in Europa. Questi “lasciapassare” dovranno essere gestiti in forma digitale, e così il Ministero dell’Innovazione, Insieme al Min. della Salute e quello dell’Economia, pensa di usare l’app IO, già scaricata oltre 11 milioni di volte, per gestire i green pass dei cittadini italiani. Viene ovviamente coinvolto anche il Garante della Privacy (i “green pass” sono a tutti gli effetti dati personali “particolari”, perché contengono informazioni sullo stato di salute dei cittadini) che risponde con una bella doccia fredda:

l’utilizzo dell’App IO, come strumento a disposizione degli interessati per recuperare le certificazioni verdi Covid-19, sia consentito solo al superamento delle criticità rilevate con il provvedimento correttivo adottato in data odierna nei confronti della società PagoPA S.p.a. e a seguito di una successiva valutazione favorevole da parte del Garante sulla base di ulteriori approfondimenti istruttori;

Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass – 9 giugno 2021

Come indicato nel citato provvedimento correttivo nei confronti della società PagoPA S.p.a, le criticità che emergono nell’uso dell’App IO sono:

  • le interazioni dell’App IO con i servizi di Google e Mixpanel: l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel;
  • l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google);
  • il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento;

Insomma, l‘App IO contiene al suo interno elementi di terze parti (“Google”, “Mixpanel”, “Instabug”) che potenzialmente sono in grado di “tracciare” gli utenti che la utilizzano, oltre ad accederne ad alcuni dati memorizzati sullo smartphone.

La risposta di PagoPA Spa e del Ministero per l’innovazione tecnologica e la transizione digitale non si è fatta attendere. Con un comunicato stampa congiunto del 10 giugno 2021, smentiscono le affermazioni sul “trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)” e rassicurano che

La società PagoPA, insieme al Dipartimento per la trasformazione digitale, sta esaminando i dettagli tecnici e giuridici del provvedimento per ogni opportuna iniziativa e, con spirito collaborativo e determinato, ha avviato un tavolo con le strutture del Garante per portare celermente il Green Pass su App IO, nell’interesse dei milioni di cittadini italiani utilizzatori della stessa app.

App IO: app sicura, presto operativa per Green Pass

Il Garante della Privacy non deve aver preso molto bene la smentita, pubblicando -a riprova di quanto affermato nel provvedimento del 9 giugno 2021– la dettagliata relazione tecnica sull’analisi dell’App IO.

Sarà poi una coincidenza –chissà!– ma in questi giorni abbiamo assistito, in diretta Twitter, a due begli “scivoloni” da altrettante personalità politiche di spicco, Calenda e Cottarelli:

Personalmente credo che il Garante della Privacy rappresenti una importantissima protezione per tutti noi cittadini. Un contrappeso fondamentale per le nostre garanzie costituzionali e diritti civili in tema di privacy e tutela dei dati personali, soprattutto quando parliamo di piattaforme digitali.

Se parliamo di “intoppi”, mi chiedo francamente perché all’interno di una app governativa come IO debbano essere presenti servizi offerti da terze parti commerciali e private. Mi chiedo anche come si possa attuare importanti iniziative per l’esercizio del diritto di spostamento come il green pass all’interno di strumenti così dipendenti dalla piattaforma (riferiscono che su alcuni smartphone, come alcuni modelli di Huawei, l’App IO non può essere installata). E parliamo di piattaforme commerciali private, che spesso sfuggono al controllo pubblico.

Vale la pena citare un editoriale del 25 marzo 2020 dell’attuale Min. dell’Innovazione e della Transizione Digitale, Vittorio Colao sul Corriere. In particolare quando, citando lo storico israeliano Yuwal Harari, afferma che “Harari direbbe che questo vuol dire sacrificare, per un periodo, la privacy dei cittadini. Mi domando quale italiano non vorrebbe esser avvisato immediatamente e decidere di fare un tampone se fosse stato a contatto con un contagiato” per poi concludere che “Non si tratta di spiare tutti per sempre, ma di salvare vite per una fase che richiede norme temporanee. E in secondo luogo, come è avvenuto per le comunicazioni digitali criptate in caso di rischi terroristici, in Europa e in Italia abbiamo saputo negli ultimi 20 anni introdurre sistemi di garanzia parlamentari e regolamentari che tutelano le libertà individuali e la privacy, permettendo tuttavia alle forze di sicurezza di difendere le nostre comunità e società”.

Mi permetto di dissentire su queste considerazioni. Non credo che abbassare le difese, e qui in gioco abbiamo la nostra sovranità digitale, oltre che i nostri dati (che ci rappresentano e rappresentano le nostre idee, la nostra identità), ci proteggerebbe. Le norme ci sono già, e sono a tutela di noi cittadini, l’anello più debole in tutta questa supply chain del dato personale a favore delle grandi realtà commerciali internazionali come GAFAM.

Proteggere i nostri dati personali da indebite intromissioni di terze parti, come Google, Apple o chissà quale altra azienda, non è quindi difendere la nostra comunità, la nostra società?

AGGIORNAMENTO del 17.06.2021App IO: PagoPA adotterà le misure richieste dal Garante privacy a tutela degli utenti

Questo articolo è stato visto 45 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

1 comment
  1. Magari se progettano ab initio tenendo in conto privacy e security tutte queste “complicazioni” spariscono …

    St

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.