Il Regolamento Europeo non si traduce in semplice realizzazione di documenti per dimostrare l’accountability del titolare.
Il Regolamento GDPR richiede anche che processi e tecnologia rispettino quanto richiesto, secondo il principio della privacy by design e privacy by default.
Un esempio di questo ci è stato fornito qualche settimana fa dalla bocciatura dell’App IO da parte del Garante.
PERCHE’ IL GARANTE DELLA PRIVACY HA BOCCIATO LA APP IO?
Per capirlo dobbiamo innanzitutto tener presente alcuni principi fondamentali del GDPR:
- i dati devono essere trattati in maniera “lecita, corretta e trasparente” (art.5);
- Il trasferimento di dati personali in territorio extra-UE deve essere fatto con adeguate garanzie (art. 45,46)
L’app IO è stata scelta come uno dei punti di accesso telematico della Pubblica Amministrazione, scaricata da oltre 11 milioni di persone che accedono a circa 12 mila servizi; l’incremento dei servizi offerti ha reso necessario verificare che questa applicazione rispetti il regolamento europeo.
A seguito di una analisi tecnica (pubblicata qui) effettuata sull’app, il garante ha imposto le seguenti prescrizioni a Pago PA:
- l’utente deve essere informato della possibilità di disattivare le notifiche push e anche sui trattamenti effettuati in caso di attivazione delle stesse, assicurando, in ogni caso, che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’App, senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica;
- occorre garantire che la predetta App non preveda l’adesione automatica a tutti i servizi ivi disponibili e alla relativa messaggistica, adottando misure tecniche e organizzative necessarie a garantire agli utenti la possibilità di scegliere gli Enti erogatori da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale;
- deve essere assicurata la legittimità del trasferimento dei dati personali verso Paesi terzi, considerato che, per la gestione della Piattaforma IO, PagoPA si avvale di alcuni fornitori (tra cui Microsoft, Google, Instabug e Mixpanel) che effettuano trattamenti al di fuori dell’Unione europea.
Ma vediamo perchè: cosa è emerso dall’analisi?
ANALISI TECNICO – GIURIDICA DELL’APP
L’ufficio dell’autorità di controllo ha effettuato una analisi tecnica-giuridica (pubblicata qui) della App IO installata su un dispositivo con sistema operativo Android, dalla quale è emerso che:
- l’app interagisce con i servizi di Google LLC (di seguito, Google), Mixpanel Inc. (di seguito, Mixpanel) e Instabug Inc. (di seguito, Instabug), società stabilite negli Stati Uniti, responsabili del trattamento di PagoPA, che si avvalgono anche di sistemi informatici (risorse elaborative e di memorizzazione) ivi ubicati e di ulteriori fornitori anch’essi stabiliti in Paesi terzi.
- l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel.
- tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;
- l’utilizzo delle notifiche push per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica.
Da questa analisi sono emerse carenze individuabili nella fase di progettazione dell’app; il Garante non poteva quindi approvare l’uso di questa app che:
- trasferiva dati in territorio extra – UE;
- attivava di default, senza chiedere il consenso all’interessato, una serie di servizi non richiesti.
COSA HA FATTO PagoPA?
PagoPA è dovuta intervenire con urgenza modificando la app in modo da garantire la conformità alle prescrizioni del Garante:
- in relazione alle interazioni con i servizi di Google ha:
- disattivate i servizi diversi da quelli utilizzati per l’invio delle notifiche push (“è stata eliminata qualsiasi dipendenza riconducibile al servizio di Google Analytics nel codice sorgente, pur come già precisato il servizio non è mai stato attivato; la scrivente ha eliminato qualsiasi dipendenza riconducibile al servizio Google font nel codice sorgente, incorporando il font nell’App senza che per il suo recupero sia necessaria una chiamata al servizio esposto da Google”);
- ha utilizzato notifiche push a contenuto generico (senza cioè alcuna indicazione del mittente, dell’oggetto o del suo contenuto);
- in relazione alle interazioni con i servizi di Mixpanel ha:
- modificato l’attuale identificativo univoco dell’utente, presente all’interno del set di dati inviati a Mixpanel, sostituendo l’hash del codice fiscale con il c.d. ID hardware del dispositivo utilizzato;
- minimizzato i dati inviati a Mixpanel, disabilitando il tracciamento di alcuni eventi relativi al bonus vacanze e al cashback ed eliminando alcune informazioni dal set di dati trasmessi;
- disattivato la funzionalità di Geolocation Tracking;
- introdotto un meccanismo di opt-in per l’utilizzo delle librerie di tracciamento offerte da Mixpanel, informando adeguatamente gli utenti e richiedendo il consenso previsto dall’art. 122 del Codice;
- in relazione all’attivazione dei servizi e all’invio di notifiche via e-mail:
- ha introdotto un meccanismo di opt-in per l’attivazione dei servizi resi disponibili nell’App IO, garantendo così agli utenti una scelta esplicita, libera e specifica;
- ha introdotto un meccanismo di opt-in per l’attivazione della funzionalità di inoltro via e-mail dei messaggi ricevuti nell’App;
In questo modo il Garante ha potuto approvare l’uso della App anche per i servizi con contenuti “sensibili”, quali il Green Pass.