Contestato lo scambio di dati con Stati Uniti, India e Australia da parte di alcuni funzioni dell’app per i servizi pubblici: disposto un blocco provvisorio

Il Cashback si verifica sull’app Io di PagoPa (foto PagoPa)

Il Garante per la protezione dei dati personali ha bacchettato l’app Io e il suo titolare, la società pubblica PagoPa, in quanto alcuni dati degli utenti vengono trasferiti al di fuori dell’Unione europea, in India, Australia e Stati Uniti. Il provvedimento, che dispone “in via d’urgenza” il blocco provvisorio di alcune funzioni dell’app, arriva contestualmente al via libera dell’Autorità nei confronti del passaporto vaccinale (green pass), che potrà essere richiesto solo tramite il sito web della Piattaforma nazionale-Dgc (digital green certificate), il Fascicolo sanitario elettronico e l’app Immuni. Inizialmente il decreto “Riaperture” aveva previsto proprio l’uso dell’app Io, che a questo punto dovrà accettare il semaforo rosso di Piazza Venezia.

Realizzata dal Dipartimento per la trasformazione digitale e PagoPa, società interamente partecipata dal Ministero dell’economia e delle finanze, l’app Io dovrebbe diventare il portale unico d’accesso ai servizi della pubblica amministrazione. Tuttavia, il servizio ha già incrociato più volte le sue policy con gli interventi del Garante, che nel 2020 aveva evidenziato criticità legate “al previsto utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché al trasferimento di dati personali verso Paesi terzi”, come si legge in un provvedimento dell’autorità dello scorso ottobre, in relazione al cashback.

In una nota diramata da PagoPa (successivamente alla pubblicazione di questo articolo), l’azienda smentisce il trasferimento dei dati degli utenti verso Paesi terzi: “A riprova, lo stesso Garante ha dato parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze, che restano attivi per milioni di cittadini, proprio perché essa opera nel pieno rispetto del Regolamento europeo sulla protezione dei dati personali”, osserva la società, che adesso esaminerà il provvedimento del Garante, insieme al Dipartimento per la trasformazione digitale. A oggi l’App IO conta 11,5 milioni di utenti e ha registrato oltre 12 milioni di transazioni per un controvalore economico di circa 2,5 miliardi di euro nel solo mese di maggio.

Le funzioni nel mirino

Oggi l’Autorità chiede che si interrompano alcuni trattamenti di dati “che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso”, si legge in una nota.

“India, Australia e Stati Uniti non sono tra le nazioni per le quali vige una decisione di adeguatezza del Gdpr (Regolamento generale per la protezione dei dati), che è uno dei criteri che permettono il trasferimento dei dati”, ha commentato l’avvocato Giovanni Battista Gallus, esperto di protezione dei dati, a Wired: “Con l’app Io si è voluto creare un sistema centrale nell’erogazione di servizi ai cittadini da parte della pubblica amministrazione, ed è evidente che sia necessaria una base legale per permetterne il trasferimento all’estero, altrimenti non possono lasciare l’Unione europea”.

Problema che si pone in particolare con gli Stati Uniti, la cui decisione di adeguatezza era stata annullata nel 2020 in seguito a una decisione della Corte europea di giustizia, la cosiddetta Schrems II, che “ribadisce il principio che i dati dei cittadini devono essere protetti anche dalle intrusioni statali”, aggiunge Gallus: “Problema che si pone negli Stati Uniti dati i poteri ispettivi delle varie agenzie del Paese”.

Il sì al green pass

Resta tuttavia la decisione positiva dell’Autorità nei confronti del pass vaccinale, a patto che si individuino con chiarezza, in sede di conversione in legge del decreto, i casi in cui “può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali”, fa sapere l’Autorità: “Proprio l’attuale indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass ha favorito l’adozione, da parte di alcune Regioni e Province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel decreto riaperture e nei confronti delle quali il Garante è già intervenuto”.

Articolo aggiornato per integrare la nota di PagoPa, giovedì 10 giugno alle 20:30