Articolo pubblicato su altalex
Il Ministero dell’Innovazione smentisce ogni addebito, di fatto negando l’evidenza, con buona pace della riservatezza dei dati dei cittadini
L’Autorità, in relazione a criticità di ordine generale sul funzionamento dell’App IO, con il provvedimento del 9 giugno, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app. Il Ministero dell’Innovazione ha risposto con un comunicato nel quale smentisce ogni accusa definendo la contestata app come uno dei pilastri della strategia di trasformazione digitale dei servizi della Pubblica Amministrazione che ha ricevuto, a suo tempo, il parere favorevole del Garante.
Quelli appena trascorsi sono stati giorni di rapporti tribolati tra le istituzioni. Da una parte il Garante privacy che ha emesso un comunicato con cui ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la App Io allegando una dettagliata relazione tecnica. Il Ministero dell’Innovazione digitale, da par suo, ha risposto con un comunicato nel quale ha smentito, senza entrare nel merito delle scelte tecniche effettuate, l’affermazione dell’Autorità indipendente secondo cui “il funzionamento dell’App IO prevede “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”.
Il provvedimento del Garante appare di particolare interesse poiché elenca alcune gravi criticità emerse nel corso di approfondimenti istruttori disposti dall’Autorità, in ragione dei rischi di elevata probabilità e gravità che presentano per i diritti e le libertà degli interessati. Allo stesso modo desta qualche perplessità la mancata ammissione di ogni addebito di colpa del Ministero (e di PagoPA) che, tuttavia ha invocato il parere favorevole del Garante a tutti i servizi forniti dall’App IO fra cui il Cashback e il Bonus Vacanze.
| Sommario |
1. Interazione con i servizi Google e con le librerie software di Mixpanel
Venendo ora al merito dei rilievi tecnici avanzati dall’Autorità indipendente è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice.
Le librerie software Mixpanel rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”.
Ebbene, come non leggere tra le righe una attività di profilazione (anch’essa effettuata in assenza delle garanzie previste dal GDPR cfr. art. 4 n. 4 e considerando 71) che di per sé è consentita, ma a determinate condizioni, una delle quali è proprio la garanzia agli interessati del diritto ad opporvisi.
Gli accertamenti tecnici effettuati, infatti, hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che quest’ultimo, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice.
Si tratta di una pluralità di informazioni che riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi).
Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili dello stesso utente dell’App IO su diversi dispositivi.
Tali trattamenti non risultano strettamente necessari per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO, né, con riferimento a Mixpanel, né per il perseguimento delle finalità di “assistenza, debug e miglioramento dell’App IO” dichiarate da PagoPA (nell’informativa resa agli utenti e nella documentazione fornita al Garante).
La sistematica raccolta e i successivi trattamenti delle sopraccitate informazioni, aventi carattere estremamente personale (es. transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze) e riferite a milioni di interessati, sui sistemi di Mixpanel, non risultino conformi, oltreché ai principi di liceità, correttezza e trasparenza e di limitazione della finalità, anche ai principi di minimizzazione e di integrità e riservatezza (quest’ultimo con particolare riguardo alla mancata adozione di misure adeguate a garantire la riservatezza degli hashpan degli strumenti di pagamento degli utenti) di cui all’art. 5, par. 1, del Regolamento.
Altro elemento di assoluto allarme è il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), conseguente al ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Tanto più che dopo la sentenza Schrems II, chiunque esporti dati al di fuori dello spazio economico europeo avrà l’obbligo di verificare che il livello di protezione richiesto dal Regolamento europeo n. 679/2016 (GDPR) venga rispettato dal paese terzo.
2. Attivazione automatica dei servizi offerti all’interno dell’App Io
Risulta, inoltre, accertato che non è stata disattivata l’attivazione automatica dei servizi offerti all’interno dell’App IO, contrariamente a quanto già prescritto dal Garante con il provvedimento del 12 giugno 2020 (doc. web n. 9367375). All’atto del primo accesso da parte dell’utente, infatti, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare singolarmente ciascun singolo servizio non di interesse (c.d. modalità opt-out), non essendo ancora stata implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente.
Anche in questo caso l’attivazione, per impostazione predefinita, di tutti i servizi disponibili all’interno dell’App IO (oltre 12 mila), con la descritta abilitazione automatica della ricezione di notifiche push e di inoltro via e-mail, non lascia gli utenti liberi di scegliere gli enti e i servizi per i quali ricevere le predette notifiche e i messaggi in modalità opt-in, elemento che deve ritenersi necessario, nel caso di specie, anche in considerazione della mancata adozione di modalità semplificate per la disattivazione degli stessi da parte degli utenti, in contrasto, quindi, con i principi di proporzionalità e di privacy by design e by default.
3. Utilizzo delle notifiche push
L’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android di cui si è detto viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica.
All’esito di tale attività istruttoria, il Garante ha imposto a PagoPA S.p.A. la limitazione provvisoria, al massimo entro 7 giorni dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi ed i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi.
Entro trenta giorni PagoPA S.p.A. è chiamata ad adottare misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito.
4. La posizione assunta del Ministero per l’innovazione tecnologica e la transizione digitale
Rispetto alle puntuali eccezioni sollevate dal Garante privacy, il Ministero si trincera dietro un’inaccettabile atteggiamento di negazione di ogni addebito di colpa, smentendo tout court che il funzionamento dell’App IO preveda “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”.
In realtà le interazioni dell’App IO con i servizi di Google e Mixpanel, l’attivazione automatica dei servizi offerti all’interno della app, le notifiche push e le loro modalità di funzionamento sono per forza di cose note agli sviluppatori della app, che probabilmente si sarebbero dovuti aspettare un richiamo formale da parte del Garante nello svolgimento della sua attività di vigilanza.
Va da sè che, trattandosi di elementi già noti, sarebbe stato invece auspicabile un atteggiamento più collaborativo per risolvere quelle che a tutti gli effetti rappresentato gravi criticità in tema di trattamento dati e tutelare la credibilità della app “di Stato” e, più in generale, la fiducia dei cittadini nelle istituzioni.
Da parte sua il Garante privacy, che come anche correttamente rilevato dal Ministero, a suo tempo ha dato parere positivo alla App Io e a tutti i servizi ad essa associati, avrebbe probabilmente dovuto avanzare tali rilievi prima, visto il numero e la caratteristica dei dati personali trattati e il possibile impatto dei servizi oggetto del provvedimento sui diritti e le libertà dei cittadini.