Nei giorni scorsi il Garante privacy italiano ha emanato un provvedimento a carico della nota app IO che semplifica i rapporti con la Pubblica Amministrazione, permette di fruire di tutti i servizi erogati dagli enti che partecipano al progetto senza alcun bisogno di recarsi agli sportelli, consente di accedere ad agevolazioni, bonus e cashback oltre che pagare avvisi senza muoversi da casa o dall’ufficio.
Il Garante ha messo su bianco le criticità rilevate nell’app IO realizzata dal Dipartimento per la trasformazione digitale in collaborazione con PagoPA e oggi gestita da quest’ultima osservando come l’applicazione contenga alcuni tracker ascrivibili ad aziende estere. I dati degli utenti venivano insomma raccolti e trasferiti oltre i confini dell’Unione Europea senza che gli interessati fossero informati e senza fornire loro gli strumenti per evitare di partecipare alla raccolta delle informazioni.
Dopo l’intervento del Garante, PagoPA ha previsto per l’app IO una serie di misure tecniche a tutela della privacy degli utenti che sono state rese efficaci attraverso il rilascio di una nuova versione dell’applicazione.
Cosa cambia nell’app IO
Le eccezioni sollevate dall’Autorità hanno indotto gli sviluppatori dell’app IO a modificarne il funzionamento.
Innanzi tutto all’avvio IO mostra un’informativa aggiornata oltre ai nuovi “termini e condizioni d’uso”. Viene spiegato che l’applicazione usa “strumenti di tracciamento per registrare dati relativi all’utilizzo dell’app da parte degli utenti adottando, ove possibile e nel rispetto del principio di minimizzazione, meccanismi di pseudoanonimizzazione o anonimizzazione”.
Viene chiarito che i dati non vengono acquisiti per finalità di profilazione e di marketing con l’utente che adesso può decidere se partecipare o meno alla raccolta dei dati accedendo alla sezione Profilo, Privacy e condizioni d’uso, Condividi i dati di utilizzo.
Con l’ultimo aggiornamento dell’app IO (versione 1.27.0.0) viene visualizzata all’apertura la schermata I tuoi dati di utilizzo: scegliendo Non condividere si nega l’autorizzazione ad effettuare qualsiasi tracciamento.
Per i trasferimenti di dati effettuati verso l’estero, compresi gli Stati Uniti, PagoPA osserva che i dati sono al sicuro perché i fornitori assicurano il rispetto delle misure di garanzia previste nel Regolamento generale sulla protezione dei dati (GDPR). A questo proposito dall’ufficio del Garante si fa sapere che l’effettiva adeguatezza di tali misure sarà puntualmente valutata.
Il Garante aggiunge che PagoPA si è impegnata a minimizzare i dati degli utenti trasmessi a uno dei tracker (Mixpanel). Al riguardo ha già modificato il set di dati in modo tale che non venga più trasferito alla società statunitense il codice fiscale dell’utente e altre informazioni non necessarie relative al “bonus vacanze” e al programma “cashback”.
PagoPA ha inoltre disattivato i servizi di Google non necessari e ha adottato misure affinché il contenuto degli avvisi ai cittadini non venga più conosciuto da Google.
Dal prossimo 9 luglio gli utenti potranno scegliere quali servizi attivare sull’app IO tra gli oltre 12.000 finora attivi per impostazione predefinita.
Alla luce dei nuovi interventi in corso di adozione da parte degli sviluppatori dell’app IO, il Garante ha dunque ritenuto che siano venute meno le ragioni del blocco dei trattamenti effettuati dall’app che prevedono l’interazione con Google e Mixpanel. Inoltre, l’app IO diventa a questo punto una soluzione adeguata per la distribuzione e il download del green pass vaccinale.