Dopo l’intervento del Garante Privacy e l’iniziale levata di scudi da parte di PagoPA, la questione riguardante l’App IO sembra in fase di risoluzione.
Considerata l’attuazione di alcune misure “già immediatamente efficaci” da parte di PagoPA e ulteriori interventi per porre rimedio ai rilievi formulati, l’Authority ha emesso un provvedimento per disporre il venir meno della limitazione dei trattamenti che prevedono l’interazione con Google e Mixpanel. Viene però ingiunto di fornire entro il 19 luglio 2021 il riscontro documentato circa l’adozione di tutte le ulteriori misure indicate per superare le non conformità rilevate.
Con un secondo provvedimento, inoltre, viene fornito parere favorevole per l’utilizzo dell’App IO per recuperare le certificazioni verdi Covid-19 indicando le garanzie relative alla limitazione della conservazione dei dati di interazione con i servizi Mixpanel.
Tutto bene ciò che finisce bene, sebbene l’istruttoria sia ancora in corso.
Riemerge però un peccato originale commesso da parte di PagoPA. Infatti, così come nel comunicato stampa del 10 giugno, titolato “App IO: app sicura, presto operativa per Green Pass” veniva smentito “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”, nel comunicato del 16 giugno, titolato “App IO: ok dal Garante Privacy”, si chiarisce che le osservazioni “riguardavano aspetti secondari che infatti la Società, nello spirito di positiva collaborazione che da sempre contraddistingue le interlocuzioni con il Garante, ha implementato in poche ore dalla ricezione del provvedimento” e “il trattamento dei dati da parte dell’App IO segue in ogni caso il GDPR ed esclude ogni possibilità che dati ritenuti delicati possano essere trasferiti in Paesi extra UE”.
Nessuna ammissione di responsabilità, insomma. Un malpensante immaginerebbe una tecnica comunicativa condita di denial, deflection e distraction.
Che dire? Dalla relazione tecnica sulle interazioni dell’App IO con i servizi di Google, Mixpanel e Instabug messa a disposizione dall’Autorità Garante per la protezione dei dati personali, al punto 5.3 viene evidenziato che “indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento da parte di soggetti stabiliti al di fuori dell’Unione europea (Google, Mixpanel e Instabug) configura comunque un trasferimento di dati verso Paesi terzi”.
Senza entrare nella (auto)valutazione degli aspetti secondari (quali i principi di proporzionalità e di privacy by design e by default?), o delle poche ore per l’implementazione delle misure, che portano il sapore di una narrazione promozionale entusiasta.
Insomma: di fronte a una negazione (o sviamento) di alcune evidenze, anche il Candido di voltaireiana memoria avrebbe motivi per cui perplimersi.
