Trattamento dati

Olimpiadi, tutti i problemi dell’app che spia gli atleti (e viola anche le leggi privacy cinesi)

L’app che tutti gli atleti che partecipano ai Giochi Olimpici devono obbligatoriamente usare ha numerose vulnerabilità che non parrebbero legittime nemmeno agli occhi della legge cinese. Ecco quali sono i problemi

03 Feb 2022
Diego Dimalta

Studio Legale Dimalta e Associati

pechino olimpiadi

Con il pretesto di monitorare eventuali cluster covid e di contenere eventuali situazioni critiche, gli atleti dei Giochi Olimpici di Pechino sono stati obbligati a dotarsi di una app creata dal governo cinese appositamente per questo evento e capace di trattare una importante mole di dati, esponendo gli sportivi a rischi non trascurabili.

Sono quindi numerosi gli interrogativi generati da questa imposizione del governo cinese di cui, i principali, sono:

  • quali rischi e quali vantaggi porta questa app?
  • la app rispetta i principi privacy?
  • qual è la legge applicabile in questi casi?

App IO e privacy, se l’Italia ignora i diritti base nell’era delle big tech

I rischi a cui espone l’app cinese per le Olimpiadi

Andando con ordine, secondo un report del Citizen Lab dell’Università di Toronto, i rischi a cui espone questa app sarebbero davvero parecchi.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Difatti la app MY2022 (questo il nome) che, come dicevamo, è obbligatoria per tutti gli atleti e per il personale di staff, ha un difetto semplice ma devastante essendo dotata di un sistema di cifratura particolarmente debole che, sempre secondo il citato report, potrebbe essere facilmente aggirato. Questo significa che, in modo semplice, un malintenzionato potrebbe accedere a messaggi vocali e file inviati dai partecipanti. Parimente vulnerabili appaiono poi i flussi di dati raccolti con i moduli presenti sulla app e che contengono dettagli sul passaporto, informazioni demografiche, informazioni mediche e informazioni relative al viaggio dei partecipanti sino a Pechino.

Insomma, vi è tutto e di più in questi database, motivo per cui sarebbe stato evidentemente opportuno progettarli in modo più sicuro. Arriviamo quindi al punto focale. Scrive letteralmente l’Università di Toronto “ it is unclear with whom or which organization(s) it shares this information”. Non c’è quindi solo un problema di bassa sicurezza, c’è quindi anche un tema di trasparenza che emerge dalle righe del report.

Chi legge i dati degli atleti e dello staff? È evidente che il dubbio che aleggia tra le righe è che il governo cinese possa in qualche modo raccogliere tali informazioni per poi usarle per motivi ulteriori (cosa che peraltro fa anche il governo americano, come attesta la Sentenza Schrems II).

Il rischio censura

Un altro motivo di preoccupazione deriva dal fatto che la app contiene dei filtri che riescono in qualche modo a censurare i contenuti politicamente sensibili rendendo quindi evidente il tentativo se non di controllare quantomeno di indirizzare le discussioni. Sono circa 2.500 le parole che vengono censurate e che consentono di catalogare il messaggio come “pericoloso”.

Tali parole vietate, di cui è pubblicata la lista per esteso, includono riferimenti negativi al sistema politico cinese e alle lotte di potere all’interno del partito, alcune invece riguardano il Movimento Tiananmen (es. “Tiananmen暴乱”, “Rivolta di Tiananmen”). In particolare, l’elenco include anche riferimenti ai nomi dei leader cinesi e delle agenzie governative (ad esempioThe China National Intellectual Property Administration). È legittima una simile intromissione nella vita privata degli atleti? Facciamo bene a sospettare della buona fede della Cina? In un’intervista a The Guardian, Electronic Frountier Foundation (EFF) ha precisato che, da un lato, c’è una tendenza a non fidarsi della Cina, magari ci si sbaglia, ma dietro a questa app, qualcosa di strano, in effetti, c’è.

EFF precisa infatti che, sì, il governo cinese dovrebbe sicuramente correggere i difetti di sicurezza evidenziati da Citizen Lab, ma non esiste ad oggi una prova che porti a ritenere che il governo cinese intenda davvero sorvegliare la vita dei partecipanti. In tal senso la dichiarazione di Kenton Thibaut, delegato in Cina del Digital Forensic Research Lab dell’Atlantic Council sotto un certo aspetto risulta confortante ma sotto altri aspetti ha un effetto esattamente contrario. Dice Kenton Thibaut che è improbabile che qualcuno abbia intenzionalmente sabotato la crittografia dell’app per accedere più facilmente alle informazioni degli utenti, ha sottolineato, perché tutte le informazioni andranno comunque al governo. Il ché, in sostanza risulta come un tentativo di calmare i complottismi in quanto, in sostanza, il governo cinese non ha bisogno di creare una app debole per rubare i dati, perché li prende direttamente senza troppi problemi.

Detto questo, le Olimpiadi sono un evento estremamente importante per Pechino, ha affermato Thibaut, ed è lecito aspettarsi un certo grado di monitoraggio. Del resto, come dice Callas, portavoce di EFF “nel momento in cui abbiamo deciso di fare le olimpiadi in Cina abbiamo in qualche modo accettato di sottostare alle loro regole”.

L’app delle Olimpiadi viola anche le leggi cinesi

Ma se è lecito aspettarsi un certo grado di monitoraggio, allora viene spontaneo chiedersi quale sia il limite oltre il quale questa intrusione non può andare e soprattutto, chi stabilisce questi limiti.

Naturalmente il diritto applicabile è quello cinese, ma ciò non deve far perdere le speranze in quanto le vulnerabilità evidenziate non parrebbero legittime nemmeno agli occhi della legge ivi applicabile.

E infatti, secondo lo standard nazionale cinese sulla sicurezza dei dati sanitari dati sanitari, tale tipologia di dati dovrebbero essere trasmessi e archiviati in modo crittografato, cosa che con MY2022 non avviene. Allo stesso modo, l’articolo 51 del PIPL prevede che i responsabili del trattamento delle informazioni personali adottino le misure tecniche di sicurezza corrispondenti, come la crittografia e l’anonimizzazione per salvaguardare i dati personali. L’articolo 27 della DSL richiede poi che i responsabili del trattamento dei dati particolarmente sensibili diano una corretta informazione in merito alle persone o le organizzazioni responsabili della sicurezza e della protezione dei dati. Come vediamo, quindi, tale app non risulterebbe compliant nemmeno se esaminata gli occhi dell’ordinamento cinese.

Non solo, è da evidenziare come tale app, essendo scaricabile dai principali app store dovrebbe rispettare le policy degli stessi.

Quali dati raccoglie l’app cinese

Ma quali dati raccoglie? Evidenzia Citizen Lab che, per gli utenti domestici, MY2022 raccoglie informazioni personali, tra cui nome, numero di identificazione nazionale, numero di telefono, indirizzo e-mail, immagine del profilo e informazioni sull’occupazione, condividendo le stesse con il Comitato Organizzatore di Pechino per le Olimpiadi del 2022. Per gli utenti internazionali, invece, l’app raccoglie un diverso insieme di informazioni personali identificabili, comprese le informazioni sul viaggio degli utenti e sul passaporto (ad esempio, date di emissione e di scadenza), nonché l’organizzazione a cui appartengono.

MY2022 prevede poi il trattamento di dati della salute. Nella sua policy privacy afferma chiaramente che raccoglie e utilizza lo stato di salute giornaliero degli utenti, lo stato di vaccinazione COVID-19 e i risultati dei test COVID-19. Proprio su questi che sono i dati più sensibili è da evidenziare come, sebbene il Playbook ufficiale dei Giochi Olimpici indichi che i dati personali come le informazioni biografiche e i dati relativi alla salute possono essere elaborati da un elenco di soggetti tra cui il Comitato Organizzatore di Pechino 2022,e le autorità cinesi (tra cui il governo nazionale cinese, le autorità locali e altre autorità in responsabile dei protocolli di salute e sicurezza), la stessa politica sulla privacy di MY2022 non specifica alcunché risultando quantomeno carente in tal senso. Di contro, come evidenzia Citizen Lab, allo stesso modo di quanto accade con altre app cinesi, MY2022 delinea tutta una serie di scenari in cui divulgherà informazioni personali senza il consenso dell’utente, che includono, a titolo esemplificativo, questioni di sicurezza nazionale, incidenti di salute pubblica e indagini penali. La politica sulla privacy di MY2022, tuttavia, non specifica se tale divulgazione per motivi di sicurezza debba essere in qualche modo preceduta da un ordine del tribunale o se può basarsi su basi giuridiche meno garantiste.

Conclusioni

Ebbene, le app sui telefoni Android possono essere rilasciate solo se non garantiscono di non raccogliere informazioni sensibili senza un adeguato sistema di cifratura. Come abbiamo visto, tuttavia MY2022 non è dotata di un sistema di cifratura adeguata, motivo per cui deve ritenersi non compliant nemmeno alle policy di Google (oltreché al suo ordinamento nazionale interno). Situazione non dissimile possiamo osservare nell’App Store di Apple ove le policy prevedono che gli sviluppatori devono implementare misure di sicurezza appropriate per garantire la corretta gestione delle informazioni degli utenti raccolte e impedirne l’uso, la divulgazione o l’accesso non autorizzati da parte di terzi.

Sono quindi molti i problemi di questa app, anche se osservati sotto l’occhio dell’ordinamento cinese, motivo per cui non può che essere auspicabile un aggiornamento se non, addirittura un ritiro dagli store con conseguente decadimento dell’obbligo di installazione per atleti e per lo staff.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3