RISERVATEZZA DEI DATI

App IO: le risposte che attendevamo

Il comunicato stampa di PagoPa che risponde ad alcuni aspetti del programma Cashback

Tanto ha fatto discutere l’app IO sull’esportazione dei dati negli Stati Uniti, che PagoPA ha emesso un comunicato stampa con cui ha precisato alcuni aspetti del programma Cashback, rendendo anche pubblicamente consultabile la lista aggiornata dei fornitori e fornendo evidenza del riscontro del Garante Privacy alla valutazione d’impatto aggiornata svolta dal Ministero dell’economia e delle finanze. Il team Privacy di IO ha anche risposto alla richiesta di chiarimenti, indicando l’aggiornamento dell’informativa dell’app (10 dicembre 2020, v. 2.3), provvedendo così ad integrare quell’aspetto di trasparenza che appariva una mancanza piuttosto significativa.

Certamente, può sorprendere la scelta dello stile comunicativo in quanto sembra più concentrato a specificare quali trattamenti non vengono svolti (ad esempio, è espressamente specificato che il sistema non comporta profilazione né geolocalizzazione degli utenti), ma viene comunque indicato che la memorizzazione dei dati dei sistemi di pagamento avviene da parte di SIA s.p.a. all’interno di server europei adottando le misure di protezione rispondenti agli standard PCI DSS.

Circa i fornitori al di fuori dello SEE, l’ambito di trattamento affidato a questi riguarda “servizi marginali o residuali”, quali:

  • il supporto alla gestione delle segnalazioni degli utenti (Instabug, Inc.);
  • uno strumento di raccolta dei dati di utilizzo dell’app per l’attività di debug, incident response, assistenza tecnica e interventi di miglioramento (Mixpanel, Inc.);
  • la comunicazione interna aziendale di supporto alla divisione di PagoPA per attività di customer care (Slack Technologies Limited);
  • sistemi di Google per l’invio di notifiche push su dispositivi Android.

Per quanto riguarda i servizi di Microsoft, risulta attivata l’opzione di residenza dei dati all’interno dell’Unione Europea, e dunque non si pone un problema circa l’esportazione dei dati per i servizi di backup e cloud computing.

L’elenco fornitori consente di riscontrare per alcuni fra quelli residenti negli Stati Uniti un’attività di “valutazione sulla sostituzione del fornitore” e “negoziazioni su opzioni di residenza dei dati in UE”, con la liceità comunque garantita dall’adozione delle clausole contrattuali tipo, “in attesa di poter adottare il nuovo testo delle SCC”. Risolto così l’aspetto del trasferimento dei dati verso paesi terzi tramite un vero e proprio intervento di debugging informativo, le domande ora coinvolgono per lo più l’analisi degli aspetti di sicurezza dello strumento e alcune scelte strategiche assunte a monte per la progettazione dei database.

Back to top button