Green pass: il Garante stabilisce le regole e bacchetta l'app IO. Ecco perché

Il green pass o “certificazione verde” è una certificazione con la quale il cittadino può provare l’avvenuta vaccinazione contro il SARS-CoV-2, la guarigione dall’infezione da SARS-CoV-2 o il referto di un test per la ricerca del virus con esito negativo eseguito nella 48 ore antecedenti.

Da mesi si sta discutendo sia in Italia che in sede europea delle modalità per l’emissione dei green pass, per la loro acquisizione da parte dei cittadini e per esibire la certificazione nelle situazioni in cui ciò è prescritto.

Introdotto con il “Decreto Riaperture“, obiettivo del green pass è quello di semplificare gli spostamenti tra le regioni, l’accesso a eventi pubblici e sportivi, permettere la partecipazione a feste in occasione di cerimonie civili e religiose nelle zone gialle del Paese.

Il Garante per la protezione dei dati personali si è espresso sul tema dei green pass approvandone l’impianto complessivo ma richiamando l’attenzione del Ministero su alcuni punti meritevoli di essere approfonditi.
Viene in particolare chiesta maggiore chiarezza sulle finalità per le quali potrà essere richiesto il green pass e prescritta l’erogazione del certificato solo attraverso la piattaforma nazionale DGC.

Cos’è la piattaforma DGC? Acronimo di Digital Green Certificate è uno strumento in fase di lancio che permetterà di scaricare il proprio green pass previa autenticazione con SPID, tessera sanitaria abilitata e lettore di smart card oppure CIE (la piattaforma risponderà all’indirizzo www.dgc.gov.it). Il green pass sarà stampabile o conservabile e trasportabile in digitale.

Il Garante ha inoltre stabilito che la validità e l’autenticità della certificazione potranno essere verificate unicamente con l’ausilio dell’app VerificaC19 sviluppata dal Ministero della Salute. VerificaC19 viene presentato come l’unico strumento capace di svolgere un controllo affidabile in conformità con i principi protezione dei dati personali.
Essa garantisce ad esempio che i verificatori possano conoscere solo le generalità dell’interessato con la scansione del codice QR senza visualizzare le altre informazioni presenti nella certificazione (i.e. guarigione, vaccinazione, esito negativo del tampone).

Lo schema di decreto approntato dal Governo attualmente prevede che il green pass sia messo a disposizione degli interessati attraverso diversi strumenti digitali: oltre alla piattaforma DGC, viene fatto riferimento al Fascicolo sanitario elettronico (FSE), all’app Immuni e all’app IO. La certificazione verde personale potrà essere richiesta anche al medico di famiglia e al farmacista.

Mentre il Garante ha approvato l’utilizzo dell’app Immuni non rilevando alcuna criticità ha invece severamente vietato allo scopo l’utilizzo dell’app IO che invece viene criticata su diversi aspetti per quanto riguarda il trattamento dei dati personali.

App IO, tracker e trattamento dei dati personali all’estero

Secondo il Ministero per l’innovazione tecnologica e la transizione digitale l’app IO, nata per semplificare i rapporti tra cittadino e Pubblica Amministrazione fornendogli informazioni utili, permettere l’accesso ad agevolazioni, bonus e cashback, pagare avvisi e molto altro, sarebbe ad oggi utilizzata da oltre 11,5 milioni di cittadini.

Eppure, come osserva il Garante nel provvedimento dello scorso 9 giugno, l’app IO contiene alcuni tracker ossia componenti che raccolgono informazioni sul funzionamento dell’applicazione e dello smartphone in generale trasferendole poi a soggetti terzi.
Il trasferimento dei dati avverrebbe inoltre verso soggetti situati all’estero, quindi in violazione delle disposizioni contenute nel GDPR (Regolamento generale sulla protezione dei dati), e inoltre gli utenti dell’app IO non solo non sarebbero stati informati ma non dispongono degli strumenti per evitare il tracciamento.

Abbiamo già visto come riconoscere le app Android che tracciano gli utenti tant’è vero che Exodus, citata più volte nei nostri articoli, riporta chiaramente la presenza dei tracker nell’app IO ed anzi segnala diverse criticità nei permessi richiesti (qui parliamo dei permessi potenzialmente pericolosi).

I tracker in questione vengono utilizzati per ottenere informazioni sulla stabilità dell’app, sui crash presentatisi, sulle modalità con cui gli utenti interagiscono e molto altro.
Come purtroppo fanno tante app, non viene data facoltà all’utente di accettare o negare i trattamenti dei dati che non sono anonimi né raccolti in forma aggregata.

Se da un lato il Ministero per l’innovazione tecnologica e la transizione digitale ha osservato “in relazione al comunicato odierno del Garante per la protezione dei dati personali sulle Certificazioni verdi COVID-19, in cui si afferma che il funzionamento dell’App IO prevede “un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze)”, la società PagoPA smentisce l’affermazione del comunicato sopra riportata“, il Garante Privacy ha ordinato in via d’urgenza alla società PagoPA (che ha co-sviluppato l’applicazione) di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante l’app IO che prevedono l’interazione con servizi di terze parti.

Al momento, quindi, i green pass non saranno prelevabili con l’app IO che invece necessita secondo il Garante di interventi correttivi immediati non procastinabili.