Il Garante per la protezione dei dati personali ha ritenuto che siano venute meno le ragioni del blocco dei trattamenti effettuati dalla App Io che prevedono l’interazione con Google e Mixpanel. PagoPa, che gestisce l’applicazione, ha infatti previsto per la piattaforma una serie di misure tecniche a tutela della privacy degli utenti, che saranno rese efficaci con l’imminente rilascio di una nuova versione dell’app.
I termini posti dall’Autorità
La decisione, si legge in una nota dell’Autorità, è stata presa all’esito delle interlocuzioni avute con PagoPa e degli sforzi intrapresi dalla società per porre rimedio tempestivamente ai rilievi formulati dal Garante nel suo recente provvedimento e ottemperare alle prescrizioni date.
Il blocco del trattamento rimarrà invece per i dati raccolti e archiviati da Mixpanel, che non potranno più essere usati, ma esclusivamente conservati fino al termine dell’istruttoria dell’Autorità.
PagoPa si è impegnata a minimizzare i dati degli utenti trasmessi a Mixpanel e al riguardo ha già modificato il set di dati, in modo tale che non venga più trasferito alla società statunitense il codice fiscale dell’utente e altre informazioni non necessarie relative al “bonus vacanze” e al “cashback”. La Società, dopo aver adeguatamente informato gli interessati, chiederà comunque il preventivo consenso dell’utente al trasferimento dei dati. Ha poi disattivato alcune funzioni che consentivano di risalire all’ubicazione dell’utente attraverso il suo Ip.
PagoPa ha inoltre disattivato i servizi di Google non necessari e ha adottato misure affinché il contenuto degli avvisi ai cittadini non venga più conosciuto da Google.
In più, a partire dal 9 luglio 2021, gli utenti potranno scegliere quali servizi attivare sull’App Io tra gli oltre 12 mila disponibili e finora attivati tutti di default. Anche l’inoltro alla propria mail di tutti messaggi ricevuti sull’app dovrà essere richiesto dai cittadini. L’Autorità vigilerà sull’adozione delle misure, riservandosi anche di valutare l’adeguatezza delle garanzie assicurate da PagoPa per i trasferimenti di dati in Paesi extra Ue.
Sulla base di queste nuove garanzie l’Autorità valuterà, con il Ministero della salute, le modalità per permettere l’utilizzo dell’App Io anche per il Green Pass.
Il punto di vista di PagoPa
“Le misure implementate nei giorni scorsi da PagoPa a seguito delle osservazioni formulate dall’Autorità nel Provvedimento emesso lo scorso 9 giugno 2021 riguardavano aspetti secondari che infatti la Società, nello spirito di positiva collaborazione che da sempre contraddistingue le interlocuzioni con il Garante, ha implementato in poche ore dalla ricezione del provvedimento”, commenta PagoPa in una nota. “Nei riscontri forniti tempestivamente all’Autorità, PagoPa ha ribadito e dato conto del rigoroso rispetto delle norme in vigore in merito al trasferimento dei dati. Quindi, il dialogo con il Garante per la protezione dei dati personali sull’app Io ha dato esito positivo e nessuna funzionalità dell’app sarà bloccata. Nel voler dar seguito alle richieste di ulteriore minimizzazione del trattamento dei dati formulate dal Garante, nelle prossime ore sarà disponibile sugli store un aggiornamento dell’app Io”.
Tra le novità introdotte, ci saranno anche l’utilizzo di notifiche push a contenuto generico (cioè senza indicazione dell’ente mittente o dell’oggetto) e, a breve, la possibilità di esprimere un consenso esplicito e specifico da parte del cittadino rispetto all’uso di sistemi che permettono di raccogliere eventi relativi alle azioni effettuate in app, informazioni raccolte per finalità di assistenza, debugging e monitoraggio dell’app stessa.
“Al fine di assicurare una corretta informazione ai cittadini”, precisa poi PagoPa, “giova chiarire che il trattamento dei dati da parte dell’App Io segue in ogni caso il Gdpr ed esclude ogni possibilità che dati ritenuti delicati possano essere trasferiti in Paesi extra Ue. Inoltre, in riferimento al codice fiscale dei cittadini, si precisa che il trattamento è sempre avvenuto in maniera sicura con meccanismi di hashing. Infine, si sottolinea che in nessun caso vengono trasferiti all’estero i dati delle carte di credito, che vengono conservati in Italia e in ambiente protetto secondo gli standard del settore Pci (Payment Card Industry). A seguito dell’ulteriore proficua riunione odierna, ci aspettiamo un pronto riscontro positivo anche all’introduzione della nuova funzionalità che consentirà ai cittadini di ottenere la Certificazione verde Covid-19, il cosiddetto Green pass, sulla App Io”.
