Ieri il Garante per la protezione dei dati personali ha autorizzato l’attivazione della Piattaforma DGC per l’emissione dei certificati verdi e l’uso dell’app Immuni per l’accesso ai green pass. L’autorità ha invece bocciato l’uso dell’app IO, dopo aver riscontrato diverse criticità, tra cui l’invio di alcuni dati ai servizi di Google e Mixpanel. PagoPA ha smentito le affermazioni del Garante.
IO traccia gli utenti, PagoPA smentisce
In occasione del lancio delle iniziative Bonus Vacanze e Cashback, il Garante aveva autorizzato l’uso dell’app IO, chiedendo tuttavia alcune modifiche al suo funzionamento, tra cui la possibilità di offrire una modalità opt-in per l’adesione ai servizi, invece della modalità opt-out (oggi i servizi sono tutti attivati per impostazione predefinita).
Dato che l’app IO dovrebbe essere utilizzata per la memorizzazione e visualizzazione dei green pass, il Garante ha evidenziato un’ulteriore criticità. In seguito all’esame del codice sorgente e della documentazione sono state rilevate interazioni con i servizi di Google e Mixpanel. In particolare, all’avvio dell’app per Android viene creato un identificatore univoco che permette a Google di monitorare le installazioni.
Ancora più grave la creazione dell’identificatore univoco, associato al codice fiscale, che viene inviato a Mixpanel. In questo caso avviene il tracciamento di informazioni sensibili, come gli eventi relativi alla verifica dei requisiti per la richiesta del Bonus Vacanze, l’elenco delle transazioni che partecipano al programma Cashback e i cosiddetti hashpan degli strumenti di pagamento elettronico.
Il Garante ha pertanto imposto a PagoPA il blocco del trattamento di questi dati entro sette giorni e l’eliminazione delle interazioni con i servizi di Google e Mixpanel. Solo quando verrà rilasciata una versione aggiornata, l’app IO potrà essere utilizzata per conservare il green pass.
PagoPA ha pubblicato un comunicato stampa per smentire le affermazioni del Garante, affermando che l’app IO è sicura e affidabile. Verrà comunque avviato l’esame dei dettagli tecnici e giuridici del provvedimento per trovare una soluzione e quindi portare il green pass sull’app IO.
Aggiornamento (12/06/2021): il Garante ha pubblicato la relazione tecnica per rispondere al comunicato di PagoPA.