Green Pass: perché il Garante ha bloccato l'app IO (ma non Immuni)?

Il green pass è in dirittura d'arrivo, e permetterà di muoversi più liberamente all'interno dei confini UE, certificando l'avvenuta vaccinazione, l'aver già contratto il Covid o il risultato negativo di un tampone. Sarà disponibile in forma cartacea e digitale, veicolato tramite app. A questo proposito, il Garante della Privacy ha approvato l'utilizzo di Immuni per il green pass, ma non dell'app Io, cosa che può sembrare bizzarra: come mai si può caricare un certificato su un'app che - sulla carta - dovrebbe garantire il totale anonimato (Immuni) e non su Io? Cerchiamo di capirlo.

Il Garante dispone il blocco provvisorio di IO

C'è un motivo molto semplice per cui il certificato verde non potrà essere caricato su IO, l'app che milioni di italiani usano per il cashback di stato e altri servizi (per esempio bonus bici e vacanze): il Garante ha disposto un blocco (provvisorio) dell'app.

"In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa", si legge nel comunicato. Il giorno precedente a questo annuncio - il 9 giugno - il Garante ha infatti segnalato una serie di criticità sulla gestione dei dati dell'App IO, bloccandone alcune funzioni. Il motivo? Alcuni dati non rimangono all'interno dei confini UE ma sono trattati su server di altri Paesi, nello specifico India, Australia e Stati Uniti.

"Indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi", si legge nel comunicato del Garante. 

Una visione contestata da PagoPA, responsabile dell'App IO, che ha subito replicato: "In relazione al comunicato odierno del Garante per la protezione dei dati personali sulle Certificazioni verdi COVID-19, in cui si afferma che il funzionamento dell’App IO prevede “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”, la società PagoPA smentisce l’affermazione del comunicato sopra riportata".

PagoPA poi prosegue specificando che "La società PagoPA, insieme al Dipartimento per la trasformazione digitale, sta esaminando i dettagli tecnici e giuridici del provvedimento per ogni opportuna iniziativa e, con spirito collaborativo e determinato, ha avviato un tavolo con le strutture del Garante per portare celermente il Green Pass su App IO, nell’interesse dei milioni di cittadini italiani utilizzatori della stessa app".

Dario Scorza, componente del Garante per la protezione dei dati personali, su Agenda Digitale ribadisce che è proprio l'interazione coi servizi Google e Mixpanel il problema. "Finché non si risolve questa criticità, abbiamo semplicemente rinviato ogni valutazione circa la possibilità di rendere disponibile il greenpass anche attraverso IO. Se, come ci auguriamo, queste criticità – che sono importanti lato privacy ma non centrali nell’economia di funzionamento dell’app – saranno eliminate, anche gli utenti di IO potranno presto trovare, se lo desidereranno, il loro Green Pass nell’App".

Una situazione intricata

Ma quali sono le funzioni che hanno attirato le attenzioni del Garante? Quelle che "che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso".

Sin qui sembra comprensibile: alcuni servizi si appoggiano a server ubicati fuori dall'UE e giustamente non sono conformi con le attuali normative. Ma qualcosa non torna, secondo PagoPA, che sottolinea come Garante abbia dato "parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze, che restano attivi per milioni di cittadini, proprio perché essa opera nel pieno rispetto del Regolamento europeo sulla protezione dei dati personali (GDPR)".

Riassumendo, il cosiddetto green pass (chiamato digital green certificate nei documenti ufficiali) si potrà richiedere tramite, il Fascicolo sanitario elettronico e l’app Immuni. Al momento, invece, non sarà richiedibile tramite IO. 

Indipendentemente dalle criticità segnalate dal Garante, però, c'è qualcosa che non ci convince. Immuni è un'App che dovrebbe garantire l'anonimato, e il sospetto che non fosse realmente anonima è stata una delle difficoltà nel convincere le persone a installarla (all'8 giugno conta 10.544.079 installazioni, per un totale di sole 98.964 notifiche inviate, segno che molte installazioni sono state rimosse, o che non viene utilizzata da chi l'ha installata). 

Come si concilia il concetto di app anonima con un certificato che - per definizione - è nominale?