IO vs IMMUNI: Informative Privacy a confronto

Read 12 min

Si dice che l’App Immuni non abbia riscosso il meritato successo per un problema di privacy. Ma come mai questa preoccupazione non si è presentata con l’App Io per il cashback? A tal fine abbiamo confrontato le privacy policies.

Dall’8 dicembre 2020 è operativo il “Cashback”.

Il Cashback è una delle iniziative del “Piano Italia Cashless” previste dalla Legge di Bilancio 2020 (art. 1, commi da 288 a 290, Legge del 27 dicembre 2019, n. 160, come successivamente modificata e integrata) e dal Decreto 24 novembre 2020, n. 156 emesso dal Ministro dell’Economia e delle Finanze.

Il Cashback ti offre la possibilità di ottenere un rimborso in denaro in base agli acquisti effettuati, entro un certo periodo e a titolo privato, con strumenti di pagamento elettronici registrati.

La finalità è intuibile. In buona sostanza si tratta di una misura per contrastare l’evasione fiscale con la tracciabilità delle transazioni.

Tuttavia questo strumento è riservato alle persone fisiche maggiorenni residenti in Italia che utilizzano gli strumenti di pagamento al di fuori dell’esercizio di impresa, arti o professioni e si applica solo agli acquisti realizzati tramite dispositivi fisici presso gli esercenti che partecipano al Programma sul territorio nazionale.

[Per informazioni più specifiche: Link]

Per aderire al programma Cashback – che avviene esclusivamente su base volontaria – vi sono due modalità:

• accedere al servizio tramite l’app IO, dopo aver scaricato e installato l’applicazione sul tuo smartphone o tablet compatibile; oppure
• registrarsi sugli altri sistemi messi a disposizione dagli Issuer Convenzionati, cioè dai soggetti che emettono gli Strumenti di Pagamento elettronici che hai scelto per partecipare all’iniziativa e che hanno sottoscritto una convenzione con PagoPa S.p.A.

Dal numero considerevole di download registrato (in una settimana si è arrivati a ben 8.848.442 installazioni) il sistema maggiormente impiegato (ad oggi) è senza dubbio l’app.

Non senza difficoltà, attesi i numerosi intoppi dovuti al traffico massiccio, molti utenti per ottenere il tanto ambìto rimborso hanno deciso di fornire i propri dati personali, tra cui:

• il Codice Fiscale;
• gli estremi identificativi di uno o più Strumenti di Pagamento elettronici utilizzati dall’utente ai fini del programma;
• il codice IBAN intestato all’utente per l’erogazione dei rimborsi tramite bonifico.

Per le anime più attente alla propria privacy qualche dubbio è sorto, se non altro perché la stessa partecipazione non si è registrata con l’APP Immuni, nota per le sue finalità sociali, principalmente – si vocifera – per preoccupazioni legate alla privacy (sic!).

Le domande che si ci pone sono essenzialmente due:

1. Quante persone hanno seriamente preso visione e letto la privacy policy della App?
2. E se avessero offerto soldi a fronte dell’iscrizione all’app anticovid avrebbe avuto la stessa sorte?

Sarcasmo a parte abbiamo messo le due App a confronto sotto il profilo del trattamento dei dati personali per comprendere realmente se sono giustificate le remore di molti italiani.

Come di consueto, per ordine espositivo, suddivideremo la questione privacy per argomenti.

Chi raccoglie e tratta i dati

Quali dati vengono raccolti e per quali finalità

Quale base giuridica legittima il trattamento

Per quanto tempo verranno conservati tali dati

Dove vengono trattati i dati

Quali diritti può esercitare l’interessato

TITOLARE DEL TRATTAMENTO

IO. PagoPA S.p.a. (società incaricata dalla Presidenza del Consiglio dei Ministri) è titolare del trattamento unicamente rispetto ai trattamenti relativi a progettazione, gestione e sviluppo dell’App.

Tutti gli enti che aderiscono al progetto (pubbliche amministrazioni, le società a controllo pubblico e i gestori di publici servizi ai cittadini) sono titolari del trattamento per i servizi che erogano tramite l’App (come noto IO ti consente di usufruire, in una unica App, di molteplici servizi).

Con riferimento ai suddetti trattamenti PagoPA S.p.A., cui è affidato, ai sensi dell’art. 8, commi 2 e 3 del D. Lgs. n. 135/2018, il ruolo di gestire e mantenere la piattaforma IO prevista all’art. 64 bis del Codice dell’Amministrazione Digitale (D. Lgs. n. 82/2005), agisce in qualità di responsabile del trattamento.

In ultimo alcuni Enti aderiscono a IO in qualità di aggregatori di altri enti, e in tal caso agiscono come responsabili del trattamento, mentre PagoPA S.p.A. agirà come sub-responsabile del trattamento.

IMMUNI. E’ il Ministero della Salute il Titolare del trattamento dei dati personali raccolti nell’ambito del sistema di allerta COVID-19 e si avvale di Sogei S.p.a. e del Ministero dell’economia e delle finanze, limitatamente all’utilizzo del servizio di interazione con gli operatori sanitari che utilizza il Sistema Tessera Sanitaria, che operano in qualità di responsabili del trattamento (art. 28 GDPR).

TIPOLOGIA di DATI e FINALITA’ del TRATTAMENTO

IO. L’app tratta queste categorie di dati:

• Dati trattati al momento dell’autenticazione. Per usare l’App si accede tramite un sistema di identità digitale (SPID o CIE). IO ottiene direttamente dal fornitore dell’identità digitale i dati identificativi e di contatto necessari alla tua identificazione. Questi dati vengono trattati per permettere l’uso dell’app, le sue funzionalità e i servizi forniti dagli Enti, e vengono memorizzati per permetterti di gestire le preferenze dell’utente. Tra questi, gli Enti utilizzeranno il suo codice fiscale per raggiungerlo tramite l’App IO.
• Dati trattati nella sezione “Messaggi”. L’App IO consente di ricevere messaggi da parte degli Enti erogatori, ivi inclusi messaggi di cortesia, notifiche e avvisi di pagamento. Tali messaggi possono contenere dati personali e particolari categorie di dati personali. Ad eccezione dei Messaggi inviati direttamente da IO con il proprio servizio, tutti i dati presenti in questa sezione vengono trattati da PagoPA in qualità di responsabile del trattamento per conto dell’Ente che invia i messaggi, al fine di consentire all’utente di utilizzare lo specifico servizio che l’Ente erogatore offre su IO.   
• Dati trattati nella sezione “Portafoglio”. Dalla sezione Portafoglio dell’App IO l’utente può salvare e gestire i suoi metodi di pagamento con cui desidera pagare gli avvisi pagoPA o abilitare Servizi degli Enti o Funzionalità di IO. Se non possiede già una utenza pagoPA, occorre crearne una che permetterà di gestire i metodi di pagamento ed avere lo storico delle transazioni. Quando l’utente effettua pagamenti verso la PA o inserisce un IBAN tramite l’App IO, PagoPA tratta i dati in qualità di responsabile dell’Ente erogatore. Nella sezione Portafoglio è possibile richiedere e abilitare sui metodi di pagamento Servizi e Funzionalità che consentono di attivare carte sconto, benefici, vantaggi o agevolazioni, anche in forma di beni e servizi e compresi i pagamenti in denaro (“Bonus”). Per la verifica del diritto, la determinazione dell’importo e per l’erogazione e l’utilizzo dei Bonus saranno trattati dati personali relativi anche (ove applicabile) al nucleo familiare, nonché quelli ottenuti tramite enti terzi, per conto dell’Ente. Le informazioni sui dati personali richiesti ai fini dei Bonus e sui relativi trattamenti sono contenute nelle informative privacy messe a disposizione in ciascuna scheda Bonus dagli Enti che agiscono in qualità di titolari del trattamento.
• Dati trattati nella sezione profilo: L’App IO permette di gestire anche le preferenze dell’utente, ovvero
  • abilitare/disabilitare il riconoscimento biometrico;
  • scegliere il calendario in cui potrà aggiungere le scadenze relative ai messaggi degli Enti,
  • indicare l’indirizzo email e gestire l’inoltro tramite email dei messaggi che riceve su IO,
  • conoscere l’email e il numero di telefono associato alla propria identità digitale e
  • indicare la lingua che preferisce. L’App raccoglie e memorizza queste informazioni, oltre allo storico degli accessi, al fine di poter personalizzare i servizi che l’utente riceve tramite l’App IO e per poter utilizzare queste funzionalità. Non vengono raccolte informazioni biometriche, ma l’App riceve dal dispositivo dell’utente unicamente la conferma se il riconoscimento biometrico è attivo/non attivo, autorizzato/non autorizzato.
• Dati trattati per assistenza, debug e miglioramento dell’App. Quando l’utente utilizza la funzione chat oppure segnala un bug o un malfunzionamento, vengono trattati i suoi dati personali, inclusi quelli che eventualmente comunicherà nel testo del messaggio/segnalazione e, se la richiesta riguarda un pagamento, i dati che identificano il pagamento, al solo fine di raccogliere feedback, fornire una risposta e migliorare il funzionamento dell’App IO. Inoltre, per tali finalità, l’App utilizza degli strumenti di tracciamento automatico che consentono di raccogliere dati relativi alle azioni che l’utente compie all’interno dell’App e dati relativi al dispositivo (es. sistema operativo, modello del telefono, versione dell’App, indirizzo IP, area geografica). Questi dati sono raccolti tramite sistemi di fornitori terzi nominati responsabili del trattamento, e utilizzati esclusivamente per finalità di assistenza tecnica (dietro richiesta dell’utente) e al fine elaborare statistiche sul funzionamento dei sistemi, e mediante l’adozione di meccanismi di pseudonimizzazione.

IMMUNI. I dati personali vengono utilizzati al fine di allertare gli utenti che hanno avuto un contatto a rischio con altri utenti risultati positivi al SARS-CoV-2 (il virus che provoca il COVID-19) e tutelarne la salute attraverso le misure di prevenzione previste nell’ambito delle iniziative di sanità pubblica legate all’emergenza COVID-19, come previsto dall’art. 6 del D.L. del 30 aprile 2020, n. 28. Inoltre, i dati potranno essere utilizzati, in forma aggregata e anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica.

Per impostazione predefinita, i dati personali raccolti dall’App non consentono l’identificazione diretta dell’utente, o del suo dispositivo, e sono esclusivamente quelli necessari ad avvisarlo di essere stato esposto a un rischio di contagio, nonché ad agevolare l’eventuale adozione di misure di prevenzione e assistenza sanitaria. In nessun caso saranno tracciati gli spostamenti degli utenti, escludendo quindi ogni forma di geolocalizzazione.

In particolare, l’app tratta queste categorie di dati:

Elenco A (per tutti gli utenti dell’App):

• provincia di domicilio: permette al Ministero della Salute di monitorare lo sviluppo dell’epidemia;
• indicatori di corretto funzionamento: permettono di individuare e correggere eventuali difetti nel funzionamento dell’App che impedirebbero di avvertire gli utenti in caso di rischio di contagio;.
• token temporanei: permettono all’App di validare gli indicatori di corretto funzionamento e gli altri dati statistici inviati dall’App;
• Indirizzo IP: per far comunicare i dispositivi con il server dell’App;

Elenco B (per i soli utenti esposti al rischio di contagio)

• ricezione notifica di esposizione: questo dato permette di stimare quanti utenti vengono avvertiti dall’App di un potenziale rischio di contagio, senza poter risalire alla loro identità, e permette al Servizio Sanitario Nazionale di predisporre le iniziative e le risorse necessarie per prendersi cura degli utenti che hanno ricevuto la notifica.
• data dell’ultimo contatto a rischio: questo dato permette di stimare quando potrebbero manifestarsi eventuali sintomi e quindi permette al Servizio Sanitario Nazionale di predisporre le iniziative e le risorse necessarie per prendersi cura degli utenti che sono stati avvertiti del rischio di contagio.

Elenco C (per i soli utenti risultati positivi al covid)

• chiavi di esposizione (Temporary Exposure Key – TEK): consente di avvertire del rischio di contagio gli utenti che sono entrati in contatto nei giorni precedenti con l’utente risultato positivo senza che l’App possa risalire alla loro identità, né al luogo dove il contatto è avvenuto.
• Indicatori di rischio di precedenti contatti: questi indicatori permettono al Ministero della Salute di rendere più accurato il modello con cui l’App decide se un contatto è sufficientemente a rischio da far scattare una notifica.
• Paesi di Interesse: consente di avvertire del rischio di contagio gli utenti di analoghe APP europee interoperabili che siano entrati in contatto nei giorni precedenti con l’utente di Immuni risultato positivo al SARS-CoV-2, senza che l’App possa risalire alla loro identità, né al luogo dove il contatto è avvenuto.
• codice OTP: la combinazione va dettata dall’utente risultato positivo all’operatore sanitario che la utilizzerà per permettere all’utente di caricare volontariamente le chiavi di esposizione e gli indicatori di rischio.
• data di comparsa dei sintomi o di prelievo del tampone: la data va comunicata all’operatore sanitario insieme al codice OTP. L’ App avvertirà soltanto gli utenti che siano entrati in contatto con l’utente positivo a ridosso della comparsa dei sintomi o del prelievo del tampone per ridurre al minimo i falsi allarmi.

BASE GIURIDICA

IO. Tutti i dati personali oggetto di trattamento, inclusi eventuali particolari categorie di dati (es. dati relativi allo stato di salute), potranno essere oggetto di trattamento da parte degli Enti erogatori per le finalità e sulla base giuridica costituita dalla regolamentazione normativa del singolo servizio erogato, per la quale si rinvia alle informative messe a disposizione dai singoli Enti (prevalentemente, Art. 6, comma 1, lett. e) e Art. 9, comma 1, lett. g) del GDPR).

Per tutti i trattamenti relativi al funzionamento dell’App IO e alla sua gestione, PagoPA S.p.A. tratta i tuoi dati in qualità di titolare del trattamento in ragione dell’esercizio di un compito di interesse pubblico, di cui all’Art. 6, comma 1, lett. e) del GDPR, e in particolare progettazione, gestione e sviluppo del punto di accesso di cui all’art. 64-bis del CAD, affidate a PagoPa S.p.A. dalla Presidenza del Consiglio dei Ministri ai sensi dell’art. 8, commi 2 e 3 del D. Lgs. 135/2018.

IMMUNI. I dati sono trattati ai sensi dell’art. 6 del D.L. del 30 aprile 2020, n. 28, in conformità agli artt. 6, co. 1. lett. e, e 9, co. 2 lett. i e j, del GDPR, e agli artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali (D. Lgs 196/2003 e s.m.i.).

SOGGETTI ABILITATI al  TRATTAMENTO e CATEGORIE di DESTINATARI

IO. Sia per l’erogazione dei servizi di enti erogatori sia per lo svolgimento delle operazioni di trattamento proprie di PagoPA, i dati personali saranno comunicati ai soggetti appartenenti alle seguenti categorie di destinatari:

• Soggetti terzi che forniscono servizi per la gestione del sistema informatico in qualità di responsabili del trattamento (o sub-responsabili), previa designazione degli stessi ai sensi dell’art. 28 GDPR.
• Autorità competenti per gli adempimenti di obblighi di legge e/o disposizioni di autorità pubbliche su richiesta.

IMMUNI. Ai dati potranno accedere esclusivamente soggetti autorizzati debitamente istruiti, anche con riguardo al rispetto delle misure di sicurezza e agli obblighi di riservatezza.

Il Titolare potrà inoltre avvalersi di soggetti abilitati ai suddetti trattamenti che tratteranno i dati in qualità di Responsabili del trattamento ai sensi dell’art. 28 GDPR.

TRASFERIMENTO dei DATI fuori dall’UE

IO. Nella privacy policy si evince che alcuni dei fornitori terzi di cui si avvale l’app  per alcuni servizi essenziali all’operatività dei prodotti e dei servizi offerti risiede negli USA, con cui sono stati conclusi “accordi di servizio” ex art. 28 GDPR.

PagoPA Spa chiarisce che tutti  fornitori sono conformi al GDPR, e con essi sono state concluse le clausole contrattuali della Commissione europea al fine di garantire adeguati livelli di tutela.

PagoPA S.p.a rassicura inoltre che laddove sia possibile seleziona opzioni che consentano di mantenere i dati nell’UE.

PagoPA S.p.a. garantisce il diritto di minimizzazione dei dati nonché la sua applicazione rigorosa nell’ambito del trattamento affidati ai fornitori, comunicando loro solo i dati strettamente necessari.

IMMUNI. I dati, raccolti e gestiti dal Ministero della Salute e da soggetti pubblici, sono salvati su server che si trovano in Italia. L’informativa non dice nulla su presunti trasferimenti di dati extra UE (in particolare USA) pertanto si ritiene una eventualità non contemplata.

CONSERVAZIONE dei DATI

IO. I dati saranno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati, conformemente a quanto previsto dagli obblighi di legge. Nello specifico:

• Dati relativi ai messaggi inviati per conto degli enti erogatori: cancellati dopo 3 anni dalla loro ricezione, salvo che sia specificamente diversamente nella specifica normativa, e in ogni caso, qualora l’ente erogatore non aderisca più ad IO (in quest’ultimo caso l’utente verrà informato con adeguato preavviso).
• Dati relativi ad altri servizi offerte dagli enti erogatori: i tempi di conservazione e cancellazione saranno disponibili nelle informative dei relativi servizi.
• Dati di log delle richieste di accesso tramite SPID/CIE: consentiti per 24 mesi dall’invio della richiesta di autenticazione, nel rispetto delle prescrizioni di legge. (I log delle altre attività sull’App IO svolte sono conservati per un massimo di 12 mesi a scopo di tracciamento).

A seguito della richiesta di cancellazione verranno conservati esclusivamente i dati necessari per perseguire le finalità di pubblico interesse ovvero per consentire l’esercizio di diritti in giudizio da parte di PagoPA o degli enti, nel rispetto delle prescrizioni di legge e delle istruzioni degli enti stessi.

La conservazione avviene attraverso l’implementazione di misure destinate a rendere i dati personali incomprensibili a chiunque che non sia autorizzato ad accedervi, compresa la cifratura su componenti segregate e criptate, secondo le migliori prassi del settore.

IMMUNI. I dati sono conservati per il periodo indicato per ciascuna tipologia di dato e comunque non oltre il 31 dicembre 2021. Entro la medesima data tutti i dati personali trattati saranno cancellati o conservati in forma anonima e aggregata. In particolare:

• Elenco A (per tutti gli utenti dell’App):
  • conservati fino alla cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19, anche a carattere transfrontaliero, e comunque non oltre il 31 dicembre 2021:
    • provincia di domicilio;
    • indicatori di corretto funzionamento.
  • conservati fino a 2 mesi
    • token temporanei.
  • non viene conservato nell’ambito del sistema di allerta COVID-19.
    • indirizzo IP.
• Elenco B (per i soli utenti esposti al rischio di contagio):
  • conservati fino alla cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19, anche a carattere transfrontaliero, e comunque non oltre il 31 dicembre 2021:
    • ricezione notifica di esposizione;
    • data dell’ultimo contatto a rischio.
• Elenco C (per i soli utenti risultati positivi al covid):
  • conservati fino a 14 giorni:
    • chiavi di esposizione (Temporary Exposure Key – TEK);
    • Paesi di Interesse.
  • conservati fino alla cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19, anche a carattere transfrontaliero, e comunque non oltre il 31 dicembre 2021:
    • Indicatori di rischio di precedenti contatti;
    • data di comparsa dei sintomi o di prelievo del tampone.
  • conservati fino a 2 minuti e 30 secondi:
    • codice OTP.

DIRITTI degli INTERESSATI

IO. Attesa la pluralità di titolari l’interessato dovrà esercitare i propri diritti secondo le rispettive informative di ciascun ente erogatore.

DIRITTO alla CANCELLAZIONE. L’interessato può, in ogni momento, richiedere la cancellazione dei propri dati personali. Di contro PagoPA ha il diritto di disattendere l’esercizio del suddetto diritto se prevale il diritto alla libertà di espressione e di informazione ovvero per l’esercizio di un obbligo di legge, l’esercizio di finalità di pubblico interesse o per difendere un proprio diritto in giudizio.

Inoltre la sospensione e/o cancellazione da IO comporta la cancellazione dei dati personali all’interno di IO, ma NON comporta la cancellazione degli stessi dati da parte dell’Ente erogatore, cui sarà necessario rivolgere apposita richiesta ai sensi e in conformità con la relativa informativa.        

DIRITTO di ACCESSO. L’interessato può, in ogni momento, richiedere l’accesso ai suoi dati personali e avere contezza di tutti i trattamenti effettuati ed in corso d’opera, nonché riceverne una copia.

DIRITTO di RETTIFICA. Nei limiti di quanto applicabile, all’interessato è riconosciuto il diritto di ottenere la rettifica dei propri dati personali inesatti nonché, tenuto conto delle finalità del trattamento, il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

DIRITTO alla LIMITAZIONE del TRATTAMENTO. L’interessato può richiedere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

• per il periodo necessario a PagoPa per verificare l’esattezza dei dati personali se se ne contesta l’esattezza;
• in caso di trattamento illecito dei dati personali se ci si oppone alla cancellazione dei dati personali chiedendone una limitazione del trattamento;
• nel caso in cui, pur essendo i dati non più necessari e dovendo essere cancellati, vi è la necessità che vengano trattati per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
• per il periodo necessario alla verifica in merito all’eventuale prevalenza dei motivi legittimi di PagoPa rispetto alla richiesta di opposizione al trattamento.

DIRITTO alla OPPOSIZIONE al TRATTAMENTO. L’interessato, a fronte di una situazione particolare, può opporsi all’ulteriore trattamento dei propri dati basati sull’esercizio di un compito di interesse pubblico, salvo il caso in cui prevalga l’esistenza di motivi legittimi cogenti di PagoPA alla prosecuzione dell’attività di trattamento che prevalgano sui tuoi diritti e libertà ovvero vi sia l’esigenza di mantenere i dati per l’accertamento o la difesa di un diritto in sede giudiziaria.

DIRITTO di proporre RECLAMO. È sempre garantito il diritto di rivolgersi all’Autorità per la protezione dei dati competente in caso di trattamento illecito dei dati dello stesso (art. 77 GDPR).

IMMUNI. L’interessato può, in ogni momento, esercitare il diritto di opposizione di cui all’art. 21 GDPR e far cessare il trattamento semplicemente disinstallando l’App. Le chiavi di esposizione saranno via via cancellate, al termine del quattordicesimo giorno di vita, anche sull’infrastruttura centrale.

L’utente che intenda opporsi solo temporaneamente al trattamento dei dati potrà servirsi della funzionalità di disattivazione temporanea del servizio.

L’utente ha inoltre la possibilità in ogni momento di cancellare tutte le chiavi di esposizione e i codici casuali memorizzati sul proprio dispositivo utilizzando la funzione messa a disposizione dai produttori dei sistemi operativi iOS e Android, senza necessità di disinstallare l’App.

In considerazione dell’impossibilità di identificare l’interessato, NON saranno applicabili gli artt. dal 15 al 20 del GDPR, relativi all’esercizio dei diritti degli interessati, in conformità a quanto previsto dall’art. 11, co. 2, del medesimo Regolamento.

Potrà in ogni caso proporre reclamo all’Autorità garante per la protezione dei dati personali, in qualità di autorità di controllo o in alternativa può proporre reclamo presso l’Autorità Garante dello Stato dell’Unione Europea in cui risiede o abitualmente lavora oppure nel luogo dove si è verificata la presunta violazione.

In via generale, l’utente per esercitare i suoi diritti potrà rivolgersi al Ministero della Salute.

VP

Leggi anche: FaceApp VS App Immuni: informative sulla privacy a confronto