Ha dell’incredibile la vicenda che sta contrapponendo il Garante Privacy e il dipartimento Innovazione (insomma il Governo) più PagoPA (società pubblica che ha in mano alcuni servizi pubblici più importanti per il cittadino). I soggetti sono ora alla ricerca di una soluzione, ma il fatto è di per sé molto rivelatorio della considerazione che l’Italia ha per alcune questioni e della sensibilità verso il ruolo delle big tech nella società dell’informazione.

Considerazione e sensibilità molto scarse. Ben più che il resto d’Europa.

La vicenda Garante privacy contro Governo, PagoPa

Ricordiamo l’ultima vicenda: il governo vorrebbe usare l’app IO per l’erogazione del Green Pass. Non tutto però è andato secondo i piani, quando il 9 giugno 2021 il Garante Privacy ha bloccato alcuni trattamenti di dati realizzati tramite l’app, perché in violazione di legge.

Il Garante nel suo provvedimento identifica tre “gravi criticità”:

Le interazioni dell’app IO con alcuni servizi Google e Mixpanel , che comportano l’attivazione di servizi di analytics di Firebase (SDK Google) e di strumenti per “comprendere il comportamento degli utenti, visualizzarne e segmentarne i dati, e per offrire informazioni in tempo reale sull’uso dell’app da parte degli utenti” – in pratica, profilazione

L'attivazione automatica di servizi dell'App IO per impostazione predefinita. Più di 12 mila servizi, riferibili a 5 mila enti diversi, sono attivati automaticamente all'installazione dell'app

L’uso di notifiche push sempre attive per impostazioni predefinita e inoltro messaggi via mail per ciascun servizio attivo, con comunicazione di dati ai provider dei sistemi operativi dei dispositivi (Apple / Google)

I servizi Google e Mixpanel, ecco perché sono un problema

L’uso degli strumenti di analytics di Google e Mixpanel ha un doppio profilo di criticità.

Per prima cosa, non sono chiare le finalità del trattamento, e gli utenti non sono messi nelle condizioni di acconsentire o meno a questo tracciamento. I dati che in qualche modo sono tracciati sono molti e anche particolarmente sensibili: bonus vacanze (dati necessari ad ottenerlo), programma cashback (transazioni, codici hashpan dei metodi di pagamento), oltre ai dati relativi all’uso della piattaforma PagoPA e diversi identificativi univoci creati a partire dal codice fiscale dell’utente.

Tutti questi dati sono elaborati dall’app IO e resi accessibili anche a soggetti terzi come Google e Mixpanel, proprio a causa dell’interazione con i servizi di analytics. I sistemi dell’app sono stati configurati infatti per “inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi generati nel corso dell’utilizzo dell’app ai sistemi di Mixpanel”.

Questo, oltre ad essere già di per sé una palese violazione della normativa privacy, porta al secondo ordine di problemi.

Sia Google che Mixbase sono servizi erogati da aziende statunitensi. L’uso di questi servizi determina quindi un trasferimento di dati al di fuori dello spazio europeo, verso queste due aziende.

Trasferimento dati extra UE

Trasferire dati personali al di fuori dell’Unione Europea non è un fatto di poco conto. Non tutti i paesi offrono le stesse garanzie dell’Unione in merito alla protezione dei dati personali, e per questo motivo ogni trasferimento deve essere attentamente valutato.

A luglio dello scorso anno la Corte di Giustizia dell’Unione Europea ha affermato, con la sentenza Schrems II, che gli Stati Uniti non sono considerabili un paese affidabile per quanto riguarda il trattamento di dati.

Le numerose leggi statunitensi sulla sorveglianza elettronica sono infatti in evidente conflitto con l’ordinamento europeo – dove privacy e protezione dei dati dovrebbero essere valori e principi fondamentali.

Questo significa che prima di trasferire dati personali verso gli Stati Uniti (o qualsiasi altro paese ritenuto non affidabile) è necessario valutare i rischi concreti, e se possibile adottare misure tecniche e organizzative per evitare che terzi non autorizzati, comprese le autorità statunitensi (come l’intelligence) vi possano accedere.

In molti casi non è purtroppo tecnicamente possibile adottare misure adeguate. Nei casi in cui ciò non sia possibile, l’unica soluzione è evitare del tutto il trasferimento dei dati.

Nel caso dell’app IO ci sono certamente alcuni trasferimenti di dati extra-ue che possono essere evitati, come quelli indicati dal Garante in relazione ai servizi Google e Mixpanel. Altri trasferimenti invece sono inevitabili a causa dell’infrastruttura stessa dell’app IO.

Il Garante Privacy non ne parla nel suo provvedimento, ma sappiamo che l’app IO poggia su infrastruttura Microsoft Azure, che oltre ad offrire i servizi di cloud computing offre anche i servizi di backup di tutti i dati che transitano sulla piattaforma. A questo riguardo, con Privacy Network avevamo già a dicembre 2020 contattato PagoPA per contestare la mancanza di trasparenza nella privacy policy per quanto riguardava il trasferimento di dati verso paesi terzi. La questione, quindi, non è affatto nuova.

Oltre ad essere illegale, traferire dati verso paesi terzi senza le adeguate misure di garanzia può avere delle conseguenze gravi per la privacy dei cittadini italiani, che rimangono scoperti verso possibili attività di sorveglianza e accesso ai dati da parte di autorità straniere. Data la natura dei dati che transitano sull’app, il rischio per i cittadini italiani è particolarmente alto. Un’app di Stato, che dovrebbe diventare il punto nevralgico di tutti i servizi digitali italiani, dovrebbe garantire assoluta tutela contro operazioni di questo tipo.

Eppure, come affermato dal Garante stesso, non sembrerebbero esserci particolari garanzie per le persone: “il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento”

Che dire dei servizi Microsoft AZURE? Questo forse lo scopriremo in seguito.

In realtà, non serve neanche richiamare oscure operazioni di intelligence per comprendere la grande ingerenza degli Stati Uniti. Ci sono almeno due leggi recenti che vale la pena menzionare: il CLOUD Act, del 2018, e l’Executive Order 13984, l’ultimo emesso dall’amministrazione Trump.

Il CLOUD Act dà il potere alle autorità statunitensi di accedere a dati conservati presso data center situati anche al di fuori degli Stati Uniti.

A scanso di equivoci, vale la pena sottolineare che come ricordato anche dal Garante “l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi”.

Nel caso dell’app IO, basata su infrastruttura Microsoft, le autorità statunitensi potrebbero quindi obbligare Microsoft a dare accesso a tutti i dati trattati, anche se i data center sono fisicamente situati nel territorio europeo.

L’EO 13984 invece dispone che tutti i fornitori di servizi IaaS (come Microsoft AZURE) debbano obbligatoriamente raccogliere informazioni molto dettagliate e specifiche sui loro clienti d’oltreoceano, che saranno poi disponibili alle autorità in caso di controlli e indagini.

A questo punto dovrebbe forse essere chiaro che il tema del trasferimento di dati verso gli Stati Uniti non è soltanto relativo alla privacy delle persone che usano l’app, ma è anche una questione di sicurezza nazionale.

L’app IO è a tutti gli effetti un’infrastruttura strategica nazionale, a cui fanno capo 12mila servizi e più di 5mila enti diversi.

Sembra assurdo, in un periodo dove non si fa altro che parlare di sovranità digitale, lasciare in mano questa piattaforma a una potenza straniera più volte ritenuta inadeguata e pericolosa dalle massime autorità giudiziarie europee.

La risposta del dipartimento Innovazione

Quello che stupisce davvero è la risposta congiunta del 10 giugno di PagoPA e del MITD in relazione al provvedimento del Garante Privacy. Nella nota scrivono che: “In relazione al comunicato odierno del Garante per la protezione dei dati personali sulle Certificazioni verdi COVID-19, in cui si afferma che il funzionamento dell’App IO prevede “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”, la società PagoPA smentisce l’affermazione del comunicato sopra riportata.”

Non riesco a comprendere come PagoPA possa smentire l’affermazione del Garante Privacy in merito al trasferimento di dati verso Paesi terzi, considerando che è proprio l’architettura stessa (Microsoft Azure), ben prima che il funzionamento dell’app e dei sistemi di analytics, a determinare un trasferimento di dati verso paesi terzi. In ogni caso, non c’è molto da smentire, considerando che proprio a seguito dell’istanza di Privacy Network il team privacy di IO ha pubblicato l’elenco dei fornitori, da cui si evince chiaramente il trasferimento di dati extra-UE.

La nota prosegue poi affermando, con toni quasi propagandistici, che “L’App IO è un’applicazione sicura e affidabile nonché uno dei pilastri della strategia di trasformazione digitale dei servizi della Pubblica Amministrazione inseriti nel PNRR ed è già stata installata da oltre 11,5 milioni di cittadini.”

Non è chiaro il motivo per cui PagoPA e MITD abbiano scelto di rivolgere l’attenzione alla “sicurezza e affidabilità” dell’app IO, piuttosto che commentare le contestazioni (ben diverse) del Garante Privacy.

Tuttavia, a parere di chi scrive non è possibile neanche affermare che l’applicazione è sicura e affidabile, proprio perché soggetta all’ingerenza di una potenza straniera, che di certo non ha a cuore l’interesse dei cittadini italiani, come più volte dimostrato.

Forse, invece di fare proclami senza alcun valore, sarebbe stato preferibile avere una rassicurazione sulle misure tecniche e organizzative concretamente adottate per evitare che gli Stati Uniti (o altri paesi terzi) abbiano accesso ai dati di 11 milioni di cittadini e cittadine italiani.

Problemi di minimizzazione e privacy by design

Oltre il tema del trasferimento di dati verso paesi terzi, sicuramente centrale, il Garante ha sollevato altre due criticità che riguardano principalmente la minimizzazione dei dati e il rispetto del principio di privacy by design.

Non è certo ragionevole, oltre che in violazione della normativa, pensare di attivare per impostazione predefinita 12 mila servizi all’avvio dell’app – senza dare la possibilità di scelta alle persone. Quanti utenti conoscono davvero l’estensione del trattamento di dati effettuato con l’app IO?

La minimizzazione dei dati, anche questo un requisito di legge, passa anche attraverso il controllo degli stessi da parte delle persone. Un controllo che sembra invece mancare del tutto in questo caso.

E infine, per quale motivo è necessario dotare un’app di Stato di strumenti di profilazione, le cui finalità non sono chiare neanche al Garante?

In Europa più sensibili che in Italia al tema diritti e big tech

Il Garante Privacy sembra aver usato gli strumenti di analytics di Google e Mixpanel come cavallo di troia per portare finalmente alla luce un tema ben noto a tutte le persone che si occupano di questi temi, ma di cui nessuno vuole parlare. Gli Stati Uniti non sono un paese affidabile, e trasferire dati verso di loro è nella maggior parte dei casi una violazione di legge.

Che sia chiaro: la questione non è limitata solo all’app IO, ma a qualsiasi trasferimento di dati verso gli Stati Uniti o altri paesi terzi non adeguati. Ad esempio, già lo scorso anno abbiamo più volte scritto al Ministero dell’Istruzione di rimuovere le piattaforme Google e Microsoft tra quelle consigliate per la didattica a distanza, senza però ricevere alcun riscontro in merito.

Mentre in Italia si accusa il Garante Privacy di non aver capito nulla, la situazione è diversa negli altri paesi europei, soprattutto in Francia e Germania, che invece si dimostrano molto più attenti alla questione.

In Germania già lo scorso anno le Autorità federali per la protezione dei dati hanno iniziato un percorso di sensibilizzazione verso le aziende, per dismettere servizi basati negli Stati Uniti. Quest’anno sono già arrivate le prime sanzioni.

Guardando invece proprio agli Stati Uniti, possiamo notare come siano paradossalmente attenti alla privacy dei cittadini e alla sicurezza nazionale. Il presidente Biden, con un Executive Order proprio del 9 giugno, ha affermato che “l’acquisizione su larga scala di dati personali dei cittadini americani e di segreti industriali da parte di stati terzi avversari può comportare gravi rischi e minacce per gli Stati Uniti, che vanno adeguatamente affrontati”.

Perché allora in Italia, nonostante le sentenze della Corte di Giustizia dell’UE e della Corte Europea dei Diritti umani, a nessuno sembra interessare il rischio di dare in mano a paesi terzi i dati sensibili di milioni di cittadini italiani?

Perché allora il Ministro Brunetta si è dotato di un Comitato per la transizione amministrativa per la digitalizzazione della PA in cui figurano soggetti che lavorano per Microsoft? Perché il Ministro Colao vuole creare un Cloud nazionale al cui bando di gara parteciperanno soggetti come Google, Amazon, Microsoft?

Una situazione del genere sarebbe semplicemente inaccettabile negli Stati Uniti, in Cina, o in Russia. L’Unione Europea è ancora invece fermamente ancorata ai servizi statunitensi, nonostante i grandi proclami sulla transizione digitale e sulla sovranità digitale. E se gli altri Stati Membri danno qualche cenno di irrequietezza, in Italia si fa spesso finta di nulla – minimizzando il problema.

