Il Cashback si verifica sull’app Io di PagoPa (foto PagoPa)

Il Garante per la protezione dei dati personali ha bacchettato l’app Io e il suo titolare, la società pubblica PagoPa, in quanto alcuni dati degli utenti vengono trasferiti al di fuori dell’Unione europea, in India, Australia e Stati Uniti. Il provvedimento, che dispone “in via d’urgenza” il blocco provvisorio di alcune funzioni dell’app, arriva contestualmente al via libera dell’Autorità nei confronti del passaporto vaccinale (green pass), che potrà essere richiesto solo tramite il sito web della Piattaforma nazionale-Dgc (digital green certificate), il Fascicolo sanitario elettronico e l’app Immuni. Inizialmente il decreto “Riaperture” aveva previsto proprio l’uso dell’app Io, che a questo punto dovrà accettare il semaforo rosso di Piazza Venezia.

Realizzata dal Dipartimento per la trasformazione digitale e PagoPa,  società interamente partecipata dal Ministero dell’economia e delle finanze, l’app Io dovrebbe diventare il portale unico d’accesso ai servizi della pubblica amministrazione. Tuttavia, il servizio ha già incrociato più volte le sue policy con gli interventi del Garante, che nel 2020 aveva evidenziato criticità legate “al previsto utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché al trasferimento di dati personali verso Paesi terzi”, come si legge in un provvedimento dell’autorità dello scorso ottobre, in relazione al cashback.

Le funzioni nel mirino

Oggi l’Autorità chiede che si interrompano alcuni trattamenti di dati “che prevedono l’interazione con i servizi di Google e Mixpanel, e che  comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”, si legge in una nota.

India, Australia e Stati Uniti non sono tra le nazioni per le quali vige una decisione di adeguatezza del Gdpr (Regolamento generale per la protezione dei dati), che è uno dei criteri che permettono il trasferimento dei dati”, ha commentato l’avvocato Giovanni Battista Gallus, esperto di protezione dei dati, a Wired: “Con l’app Io si è voluto creare un sistema centrale nell’erogazione di servizi ai cittadini da parte della pubblica amministrazione, ed è evidente che sia necessaria una base legale per permetterne il trasferimento all’estero, altrimenti non possono lasciare l’Unione europea”.

Problema che si pone in particolare con gli Stati Uniti, la cui decisione di adeguatezza era stata annullata nel 2020 in seguito a una decisione della Corte europea di giustizia, la cosiddetta Schrems II, che “ribadisce il principio che i dati dei cittadini devono essere protetti anche dalle intrusioni statali”, aggiunge Gallus: “Problema che si pone negli Stati Uniti dati i poteri ispettivi delle varie agenzie del Paese”.

Il sì al green pass

Resta tuttavia la decisione positiva dell’Autorità nei confronti del pass vaccinale, a patto che si individuino con chiarezza, in sede di conversione in legge del decreto, i casi in cui “può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali”, fa sapere l’Autorità: “Proprio l’attuale indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass ha favorito l’adozione, da parte di alcune Regioni e Province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel decreto riaperture e nei confronti delle quali il Garante è già intervenuto”.

The post Sì del Garante della privacy al green pass, ma non sull’app Io appeared first on Wired.



Leggi l’articolo su wired.it