Ricordate la app IO e la sua travagliata storia di trasferimenti di dati oltreoceano, con tanto di istruttoria dell’Autorità garante per la protezione dei dati personali che ha dato luogo prima ad un provvedimento di limitazione e dunque ad un parere favorevole (sebbene con riserva)? È stata premiata con il Compasso d’oro, “il più autorevole riconoscimento nel settore del design, nato nel 1954 da un’idea di Gio Ponti”.
Ma dopo che il Garante si è pronunciato sull’illiceità di Google Analytics, confermando quanto già indicato dall’EDPB circa la necessità di misure supplementari in ragione dell’inidoneità delle sole clausole contrattuali standard adottate da Google relativamente all’impiego di strumenti di tracciamento, probabilmente ci saranno nuove fibrillazioni dal momento che all’interno della lista aggiornata dei fornitori pubblicata da PagoPA figurano tutt’ora alcuni soggetti che risiedono negli Stati Uniti.
Un anno fa la questione era stata affrontata indicando tali destinatari come riguardanti “servizi marginali o residuali” riducendola così ad “aspetti secondari”. Ma l’argomento non riguarda la sensibilità del dato bensì la liceità del trasferimento che dipende dall’idoneità delle misure adottate a riguardo. Al momento, non è dato riscontrare alcuna evidenza per escludere la possibilità di accesso remoto da parte di soggetti stabiliti al di fuori dell’Unione europea (Google, Mixpanel e Instabug), qualificata a suo tempo dal Garante come un trasferimento di dati verso Paesi terzi.
Per quanto riguarda Mixpanel, Inc., Instabug, Inc. e Amazon Web Services EMEA SARL vengono indicati dei link (alcuni dei quali invero non raggiungibili) con delle “clausole contrattuali aggiuntive a supplemento delle clausole contrattuali standard della Commissione Europea per tutelare i trasferimenti di dati al di fuori dell’UE”, mentre per Slack Technologies Limited e Google LLC si menzionano e vengono riportati i link delle sole “clausole contrattuali standard della Commissione Europea” adottate rispettivamente da ciascuno dei fornitori. Insomma: per questo secondo gruppo di fornitori, che tratta dati “eventualmente inclusi in messaggi scambiati internamente tramite lo strumento di messaggistica interna per risoluzione di problematiche urgenti” (Slack) o “forniti dagli interessati nei campi compilabili di uno specifico form”, “forniti dagli interessati nelle richieste di assistenza indirizzate alla Società”, “eventuali dati inclusi nella notifica push (se presenti) e solo per utenti Android” (Google), quali misure supplementari sono state adottate? Dov’è l’evidenza a riguardo?
Non sarebbe male un aggiornamento per precisare tale aspetto – ora divenuto d’interesse pubblico ma già da tempo attenzionato – tutt’altro che secondario per garantire una migliore trasparenza nei confronti degli interessati. Garanzie più dettagliate rispetto al semplice “i tuoi dati sono al sicuro” presente nell’Informativa privacy (v. 3.2, aggiornamento: 4 maggio 2022) consultabile all’interno della sezione Profilo in-app.
