SPID

Green Pass: perché il Garante ha bloccato l'app IO (ma non Immuni)?

di pubblicata il , alle 13:01 nel canale Innovazione Green Pass: perché il Garante ha bloccato l'app IO (ma non Immuni)?

Approvato il certificato verde vaccinale, che potrà essere richiesto anche tramite Immuni. Il Garante della Privacy ha invece negato l'autorizzazione a richiederlo tramite l'App IO, quella usata anche per il Cash Back di Stato

 

Il green pass è in dirittura d'arrivo, e permetterà di muoversi più liberamente all'interno dei confini UE, certificando l'avvenuta vaccinazione, l'aver già contratto il Covid o il risultato negativo di un tampone. Sarà disponibile in forma cartacea e digitale, veicolato tramite app. A questo proposito, il Garante della Privacy ha approvato l'utilizzo di Immuni per il green pass, ma non dell'app Io, cosa che può sembrare bizzarra: come mai si può caricare un certificato su un'app che - sulla carta - dovrebbe garantire il totale anonimato (Immuni) e non su Io? Cerchiamo di capirlo.

APPIOIMMUNI

Il Garante dispone il blocco provvisorio di IO

C'è un motivo molto semplice per cui il certificato verde non potrà essere caricato su IO, l'app che milioni di italiani usano per il cashback di stato e altri servizi (per esempio bonus bici e vacanze): il Garante ha disposto un blocco (provvisorio) dell'app.

"In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa", si legge nel comunicato. Il giorno precedente a questo annuncio - il 9 giugno - il Garante ha infatti segnalato una serie di criticità sulla gestione dei dati dell'App IO, bloccandone alcune funzioni. Il motivo? Alcuni dati non rimangono all'interno dei confini UE ma sono trattati su server di altri Paesi, nello specifico India, Australia e Stati Uniti.

"Indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi", si legge nel comunicato del Garante. 

pagopagreenpass

Una visione contestata da PagoPA, responsabile dell'App IO, che ha subito replicato: "In relazione al comunicato odierno del Garante per la protezione dei dati personali sulle Certificazioni verdi COVID-19, in cui si afferma che il funzionamento dell’App IO prevede “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”, la società PagoPA smentisce l’affermazione del comunicato sopra riportata".

PagoPA poi prosegue specificando che "La società PagoPA, insieme al Dipartimento per la trasformazione digitale, sta esaminando i dettagli tecnici e giuridici del provvedimento per ogni opportuna iniziativa e, con spirito collaborativo e determinato, ha avviato un tavolo con le strutture del Garante per portare celermente il Green Pass su App IO, nell’interesse dei milioni di cittadini italiani utilizzatori della stessa app".

Dario Scorza, componente del Garante per la protezione dei dati personali, su Agenda Digitale ribadisce che è proprio l'interazione coi servizi Google e Mixpanel il problema. "Finché non si risolve questa criticità, abbiamo semplicemente rinviato ogni valutazione circa la possibilità di rendere disponibile il greenpass anche attraverso IO. Se, come ci auguriamo, queste criticità – che sono importanti lato privacy ma non centrali nell’economia di funzionamento dell’app – saranno eliminate, anche gli utenti di IO potranno presto trovare, se lo desidereranno, il loro Green Pass nell’App".

Una situazione intricata

Ma quali sono le funzioni che hanno attirato le attenzioni del Garante? Quelle che "che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso".

Sin qui sembra comprensibile: alcuni servizi si appoggiano a server ubicati fuori dall'UE e giustamente non sono conformi con le attuali normative. Ma qualcosa non torna, secondo PagoPA, che sottolinea come Garante abbia dato "parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze, che restano attivi per milioni di cittadini, proprio perché essa opera nel pieno rispetto del Regolamento europeo sulla protezione dei dati personali (GDPR)".

Riassumendo, il cosiddetto green pass (chiamato digital green certificate nei documenti ufficialisi potrà richiedere tramite, il Fascicolo sanitario elettronico e l’app Immuni. Al momento, invece, non sarà richiedibile tramite IO. 

Indipendentemente dalle criticità segnalate dal Garante, però, c'è qualcosa che non ci convince. Immuni è un'App che dovrebbe garantire l'anonimato, e il sospetto che non fosse realmente anonima è stata una delle difficoltà nel convincere le persone a installarla (all'8 giugno conta 10.544.079 installazioni, per un totale di sole 98.964 notifiche inviate, segno che molte installazioni sono state rimosse, o che non viene utilizzata da chi l'ha installata). 

Come si concilia il concetto di app anonima con un certificato che - per definizione - è nominale? 

54 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6911 Giugno 2021, 13:37 #1
Ed il Garante a suo tempo si è messo ad indagare lo sviluppo del Fascicolo Sanitario Elettronico su server AWS e relative policy sulla gestione dei dati e privacy?
igiolo11 Giugno 2021, 13:40 #2
Originariamente inviato da: giovanni69
Ed il Garante a suo tempo si è messo ad indagare lo sviluppo del Fascicolo Sanitario Elettronico su server AWS e relative policy sulla gestione dei dati e privacy?

a si?
che regione?
giovanni6911 Giugno 2021, 13:57 #3
In questo PDF vengono citati diversi servizi cloud in relazione al FSE:
https://www.soresa.it/Lists/Contenu...IA%20SORESA.pdf
Jack.Mauro11 Giugno 2021, 14:02 #4
Indipendentemente dalle criticità segnalate dal Garante, però, c'è qualcosa che non ci convince. Immuni è un'App che dovrebbe garantire l'anonimato, e il sospetto che non fosse realmente anonima è stata una delle difficoltà nel convincere le persone a installarla (all'8 giugno conta 10.544.079 installazioni, per un totale di sole 98.964 notifiche inviate, segno che molte installazioni sono state rimosse, o che non viene utilizzata da chi l'ha installata).

Come si concilia il concetto di app anonima con un certificato che - per definizione - è nominale?


92 minuti di applausi
Arioch11 Giugno 2021, 14:11 #5
Quindi i miei dati finanziari posso essere trattati su server di altri paesi, quelli sanitari no. Avrei preferito il contrario...
CrapaDiLegno11 Giugno 2021, 14:15 #6
Ma la tessera sanitaria serve solo come cartoncino per ricordarci il codice fiscale o ha anche qualche altra funzionalità?
Sono 10 anni che esiste e ancora con mille altri servizi/cartacce/timbri e bolli dobbiamo convivere?

Sarebbe questa la capacità dei nostri amministratori (e la colpa non ricade solo sui politi, ma proprio su quelli che sono addetti a fare le cose) di semplificare la burocrazia?

Non ne usciremo mai.
ghiltanas11 Giugno 2021, 14:20 #7
e ti pareva, ora che mi son deciso a mettere l'app io vengono fuori le beghe

Immuni ormai non lo metto, il green pass lo guarderò direttamente sull'app SST (servizio sanitario della toscana)
ghiltanas11 Giugno 2021, 14:21 #8
Originariamente inviato da: CrapaDiLegno
Ma la tessera sanitaria serve solo come cartoncino per ricordarci il codice fiscale o ha anche qualche altra funzionalità?
Sono 10 anni che esiste e ancora con mille altri servizi/cartacce/timbri e bolli dobbiamo convivere?

Sarebbe questa la capacità dei nostri amministratori (e la colpa non ricade solo sui politi, ma proprio su quelli che sono addetti a fare le cose) di semplificare la burocrazia?

Non ne usciremo mai.


era troppo facile, meglio inventarsi altra burocrazia e sistemi
Sandro kensan11 Giugno 2021, 14:43 #9
Riguardo all'esportazione dei dati in USA avete letto cosa dice il Garante in generale?

IMPORTANTE

La Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. "Sentenza Schrems II" in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor.


https://www.garanteprivacy.it/temi/privacy-shield

Penso sia molto interessante e sia chiaro come molte aziende sia fuori legge quando propongono l'esportazione dei dati personali in USA.

Tra l'altro ci sono degli accordi tra chi esporta i dati e chi importa che però richiedono in definitiva ci sia una sostanziale equivalenza tra le regole europee e quelle dell'accordo, cosa quasi impossibili da aversi in USA.

La possibilità o meno di trasferire dati personali sulla base di SCC dipende dall'esito della valutazione che dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.


SCC="clausole tipo di protezione dei dati ".
Marko_00111 Giugno 2021, 14:45 #10
i movimenti che sono relativi alle carte di credito
vanno già, da sempre, all'estero, quindi che siano o meno
inseriti nel meccanismo di cash back ha poca importanza
quelli dei bancomat non saprei

sul fatto di inserire il certificato di vaccinazione/guarigione/tampone
sulla tessera sanitaria, ma domandarsi come si fa a fare l'inserimento
e come poi vengono estratte le informazioni, in Italia, e all'estero,
non è che vi viene in mente prima di proporlo?

sul fatto che Immuni è slegato dall'identità, in effetti è
stata proprio una cosa geniale, tipico di chi è tanto attento alla privacy
ma che poi risulta veramente inutile alla resa dei conti.

l'app corretta credo possa essere quella della PA,
una volta sistemato il mezzo problema del passaggio dei dati a terzi.
mezzo per quello che ho scritto all'inizio,
e comunque non si capisce a che titolo lo faccia,
a meno che qualcun non ne tragga una remunerazione aggiuntiva,
perché all'atto pratico non si spiega questa necessità.
ovviamente dimenticando che siamo dal 1945 sotto tutela

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^