Trattamento dati

Olimpiadi, tutti i problemi dell’app che spia gli atleti (e viola anche le leggi privacy cinesi)

L’app che tutti gli atleti che partecipano ai Giochi Olimpici devono obbligatoriamente usare ha numerose vulnerabilità che non parrebbero legittime nemmeno agli occhi della legge cinese. Ecco quali sono i problemi

03 Feb 2022
Diego Dimalta

Studio Legale Dimalta e Associati

Con il pretesto di monitorare eventuali cluster covid e di contenere eventuali situazioni critiche, gli atleti dei Giochi Olimpici di Pechino sono stati obbligati a dotarsi di una app creata dal governo cinese appositamente per questo evento e capace di trattare una importante mole di dati, esponendo gli sportivi a rischi non trascurabili.

Sono quindi numerosi gli interrogativi generati da questa imposizione del governo cinese di cui, i principali, sono:

  • quali rischi e quali vantaggi porta questa app?
  • la app rispetta i principi privacy?
  • qual è la legge applicabile in questi casi?

App IO e privacy, se l’Italia ignora i diritti base nell’era delle big tech

I rischi a cui espone l’app cinese per le Olimpiadi

Andando con ordine, secondo un report del Citizen Lab dell’Università di Toronto, i rischi a cui espone questa app sarebbero davvero parecchi.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Difatti la app MY2022 (questo il nome) che, come dicevamo, è obbligatoria per tutti gli atleti e per il personale di staff, ha un difetto semplice ma devastante essendo dotata di un sistema di cifratura particolarmente debole che, sempre secondo il citato report, potrebbe essere facilmente aggirato. Questo significa che, in modo semplice, un malintenzionato potrebbe accedere a messaggi vocali e file inviati dai partecipanti. Parimente vulnerabili appaiono poi i flussi di dati raccolti con i moduli presenti sulla app e che contengono dettagli sul passaporto, informazioni demografiche, informazioni mediche e informazioni relative al viaggio dei partecipanti sino a Pechino.

Insomma, vi è tutto e di più in questi database, motivo per cui sarebbe stato evidentemente opportuno progettarli in modo più sicuro. Arriviamo quindi al punto focale. Scrive letteralmente l’Università di Toronto “ it is unclear with whom or which organization(s) it shares this information”. Non c’è quindi solo un problema di bassa sicurezza, c’è quindi anche un tema di trasparenza che emerge dalle righe del report.

Chi legge i dati degli atleti e dello staff? È evidente che il dubbio che aleggia tra le righe è che il governo cinese possa in qualche modo raccogliere tali informazioni per poi usarle per motivi ulteriori (cosa che peraltro fa anche il governo americano, come attesta la Sentenza Schrems II).

Il rischio censura

Un altro motivo di preoccupazione deriva dal fatto che la app contiene dei filtri che riescono in qualche modo a censurare i contenuti politicamente sensibili rendendo quindi evidente il tentativo se non di controllare quantomeno di indirizzare le discussioni. Sono circa 2.500 le parole che vengono censurate e che consentono di catalogare il messaggio come “pericoloso”.

Tali parole vietate, di cui è pubblicata la lista per esteso, includono riferimenti negativi al sistema politico cinese e alle lotte di potere all’interno del partito, alcune invece riguardano il Movimento Tiananmen (es. “Tiananmen暴乱”, “Rivolta di Tiananmen”). In particolare, l’elenco include anche riferimenti ai nomi dei leader cinesi e delle agenzie governative (ad esempioThe China National Intellectual Property Administration). È legittima una simile intromissione nella vita privata degli atleti? Facciamo bene a sospettare della buona fede della Cina? In un’intervista a The Guardian, Electronic Frountier Foundation (EFF) ha precisato che, da un lato, c’è una tendenza a non fidarsi della Cina, magari ci si sbaglia, ma dietro a questa app, qualcosa di strano, in effetti, c’è.

EFF precisa infatti che, sì, il governo cinese dovrebbe sicuramente correggere i difetti di sicurezza evidenziati da Citizen Lab, ma non esiste ad oggi una prova che porti a ritenere che il governo cinese intenda davvero sorvegliare la vita dei partecipanti. In tal senso la dichiarazione di Kenton Thibaut, delegato in Cina del Digital Forensic Research Lab dell’Atlantic Council sotto un certo aspetto risulta confortante ma sotto altri aspetti ha un effetto esattamente contrario. Dice Kenton Thibaut che è improbabile che qualcuno abbia intenzionalmente sabotato la crittografia dell’app per accedere più facilmente alle informazioni degli utenti, ha sottolineato, perché tutte le informazioni andranno comunque al governo. Il ché, in sostanza risulta come un tentativo di calmare i complottismi in quanto, in sostanza, il governo cinese non ha bisogno di creare una app debole per rubare i dati, perché li prende direttamente senza troppi problemi.

Detto questo, le Olimpiadi sono un evento estremamente importante per Pechino, ha affermato Thibaut, ed è lecito aspettarsi un certo grado di monitoraggio. Del resto, come dice Callas, portavoce di EFF “nel momento in cui abbiamo deciso di fare le olimpiadi in Cina abbiamo in qualche modo accettato di sottostare alle loro regole”.

L’app delle Olimpiadi viola anche le leggi cinesi

Ma se è lecito aspettarsi un certo grado di monitoraggio, allora viene spontaneo chiedersi quale sia il limite oltre il quale questa intrusione non può andare e soprattutto, chi stabilisce questi limiti.

Naturalmente il diritto applicabile è quello cinese, ma ciò non deve far perdere le speranze in quanto le vulnerabilità evidenziate non parrebbero legittime nemmeno agli occhi della legge ivi applicabile.

E infatti, secondo lo standard nazionale cinese sulla sicurezza dei dati sanitari dati sanitari, tale tipologia di dati dovrebbero essere trasmessi e archiviati in modo crittografato, cosa che con MY2022 non avviene. Allo stesso modo, l’articolo 51 del PIPL prevede che i responsabili del trattamento delle informazioni personali adottino le misure tecniche di sicurezza corrispondenti, come la crittografia e l’anonimizzazione per salvaguardare i dati personali. L’articolo 27 della DSL richiede poi che i responsabili del trattamento dei dati particolarmente sensibili diano una corretta informazione in merito alle persone o le organizzazioni responsabili della sicurezza e della protezione dei dati. Come vediamo, quindi, tale app non risulterebbe compliant nemmeno se esaminata gli occhi dell’ordinamento cinese.

Non solo, è da evidenziare come tale app, essendo scaricabile dai principali app store dovrebbe rispettare le policy degli stessi.

Quali dati raccoglie l’app cinese

Ma quali dati raccoglie? Evidenzia Citizen Lab che, per gli utenti domestici, MY2022 raccoglie informazioni personali, tra cui nome, numero di identificazione nazionale, numero di telefono, indirizzo e-mail, immagine del profilo e informazioni sull’occupazione, condividendo le stesse con il Comitato Organizzatore di Pechino per le Olimpiadi del 2022. Per gli utenti internazionali, invece, l’app raccoglie un diverso insieme di informazioni personali identificabili, comprese le informazioni sul viaggio degli utenti e sul passaporto (ad esempio, date di emissione e di scadenza), nonché l’organizzazione a cui appartengono.

MY2022 prevede poi il trattamento di dati della salute. Nella sua policy privacy afferma chiaramente che raccoglie e utilizza lo stato di salute giornaliero degli utenti, lo stato di vaccinazione COVID-19 e i risultati dei test COVID-19. Proprio su questi che sono i dati più sensibili è da evidenziare come, sebbene il Playbook ufficiale dei Giochi Olimpici indichi che i dati personali come le informazioni biografiche e i dati relativi alla salute possono essere elaborati da un elenco di soggetti tra cui il Comitato Organizzatore di Pechino 2022,e le autorità cinesi (tra cui il governo nazionale cinese, le autorità locali e altre autorità in responsabile dei protocolli di salute e sicurezza), la stessa politica sulla privacy di MY2022 non specifica alcunché risultando quantomeno carente in tal senso. Di contro, come evidenzia Citizen Lab, allo stesso modo di quanto accade con altre app cinesi, MY2022 delinea tutta una serie di scenari in cui divulgherà informazioni personali senza il consenso dell’utente, che includono, a titolo esemplificativo, questioni di sicurezza nazionale, incidenti di salute pubblica e indagini penali. La politica sulla privacy di MY2022, tuttavia, non specifica se tale divulgazione per motivi di sicurezza debba essere in qualche modo preceduta da un ordine del tribunale o se può basarsi su basi giuridiche meno garantiste.

Conclusioni

Ebbene, le app sui telefoni Android possono essere rilasciate solo se non garantiscono di non raccogliere informazioni sensibili senza un adeguato sistema di cifratura. Come abbiamo visto, tuttavia MY2022 non è dotata di un sistema di cifratura adeguata, motivo per cui deve ritenersi non compliant nemmeno alle policy di Google (oltreché al suo ordinamento nazionale interno). Situazione non dissimile possiamo osservare nell’App Store di Apple ove le policy prevedono che gli sviluppatori devono implementare misure di sicurezza appropriate per garantire la corretta gestione delle informazioni degli utenti raccolte e impedirne l’uso, la divulgazione o l’accesso non autorizzati da parte di terzi.

Sono quindi molti i problemi di questa app, anche se osservati sotto l’occhio dell’ordinamento cinese, motivo per cui non può che essere auspicabile un aggiornamento se non, addirittura un ritiro dagli store con conseguente decadimento dell’obbligo di installazione per atleti e per lo staff.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2