Certificato di vaccinazione su IO

Ah beh, quand’è così…

Qui il Garante (uno che lavora là) spiega il perchè della decisione:

Io sono la prima a criticare lo zelo spesso eccessivo del Garante, ma vorrei veramente che ogniqualvolta si può fare a meno di aziende USA del web (giganti e non) se ne facesse a meno. Non c’è solo il problema dello spionaggio cinese, eh. Il rastrellamento massivo dei nostri dati e comunicazioni negli e dagli USA è altrettanto invasivo e pericoloso.

4 Mi Piace

Da quello che ho letto dovrebbe funzionare allo stesso modo con cui da Immuni segnali che sei stato contagiato, ti danno un codice da inserire sull’app per scaricare il certificato.

Per il resto il certificato sarà. con tutta probabilità, disponibile sul FSE, quindi non capisco quello che dici rispetto al perderlo…
Il QR code fornito lo puoi fotografare o salvare su qualunque app che gestisca QR code.

Fornire un QR statico, non tokenizzato (temporaneo), lascia aperta tutta una serie di hack.
Catturando i QR da una CAM ad alta risoluzione in un luogo pubblico dove viene esibito potrei collezionare dati di cittadini ignari del furto di dati della loro privacy.
Dovrebbe essere fatto con uno scambio di chiavi, una chiave dell’esercente/luogo in cui si vuole accedere da leggere che venga utilizzata per generare un QR che potrà essere letto solamente da chi è titolato a leggerlo ed ha fornito la chiave.

Comunque l’App IO spesso, senza motivo, se ne esce ed è necessario reinserire lo SPID. Se accade nel caso che uno abbia necessità di accedere in qualche luogo e casomai non ha con se i dati dello SPID la trovo più una “complicazione” che non una soluzione. :frowning:

Vabbe’, se tutto deve finire in caciara acritica cancello il mio intervento…
Chi vuole documentarsi trova sul sito del garante tutte le spiegazioni.

Ogni 30 giorni su IO è necessario effettuare nuovamente il login per motivi di sicurezza. É chiaramente specificato al primo accesso dopo il logout automatico

1 Mi Piace

Ok, ma l’App consente di accedere utilizzando il sensore biometrico, il fingerprint; che sicurezza avrebbe in più reinserire lo SPID rispetto ad un impronta? :thinking:

1 Mi Piace

Scusa, ma a chi stai rispondendo?

Trovo naturale che il certificato di vaccinazione sia disponibile sul FSE dell’interessato, come ovvio che debba/possa essere esibito (in qualunque forma: cartacea o digitale) a richiesta delle Autorità di polizia/sanitarie. Sono sempre molto scettico sulla “centralità” della app mobile IO, che non mi ha mai convinto (in primis per il fatto che è necessario utilizzare la procedura di autenticazione lunga, decorso il ‘periodo di grazia’ di 30gg col PIN: problema che non esiste con l’accesso a SPID da PC inquadrando il QRcode e usando la procedura semplificata del proprio gestore IdP). Penso che molti faranno una foto al certificato con dati e QRcode da conservare sul cellulare o stamperanno una copia cartacea: molto più veloce e funzionale … ve li vedete i passeggeri di un volo aereo in coda ai controlli aeroportuali a ricordarsi la password SPID da inserire in app? :roll_eyes: :joy:

1 Mi Piace

ma infatti è pensato proprio così. Il mio certificato vaccinale si può scaricare come PDF e, chiaramente, lo ho salvato sul telefono.

Al riguardo pongo un quesito… la firma del mio attestato vaccinale presenta il seguente errore che non riesco a capire a cosa si riferisca:

“la firma non rispetta la determinazione 147/2019”

Rilevata difformità nel campo SubjectDN del certificato
Campo agIDcert non presente nell’estensione del certificato

Qualcuno ha qualche idea ?

Ci sarebbe la privacy; solo chi è autorizzato potrebbe leggere tale certificato. Con la forma cartacea renderebbe il tutto più snello ma non garantisce la privacy, questo potrebbe essere facilmente carpito ed utilizzato senza autorizzazione. :frowning:
Già il datore di lavoro ed i colleghi non sono autorizzati ad avere queste informazioni, figuriamoci estranei che possono facilmente carpirle …

Sarebbe necessario che ogni consultazione fosse autorizzata dal titolare del certificato; con un cartaceo chiunque ne viene in possesso, anche dupicato/fotocopiato o catturato può accedere ad informazioni senza essere autorizzato.

Se una persona (qualunque sia il ruolo pubblicistico o privatistico che ricopra e in qualunque contesto operi) ha fondato titolo di richiedere l’esibizione del certificato, la questione “privacy” per quanto riguarda il consenso viene a scemare (esiste una base giuridica del trattamento es. per ragioni di pubblica sicurezza e profilassi sanitaria) e l’utilizzo dei dati conseguenti è limitato a soli compiti istituzionali. Se tale titolo non esiste non sussiste neanche l’autorità di chiederne l’esibizione.

Il tuo capo non può chiedertelo così come un tuo collega con cui lavori a stretto contatto. Se questi due non possono saperlo ho dei seri dubbi che questo possa essere richiesto così liberamente. Per evitare che chi non ne ha titolo lo chieda basta un sistema di controllo che consenta di sapere l’esito di un certificato solamente a chi ha titolo.
Così come il tuo dottore ha titolo di vedere il tuo fascicolo elettronico ci saranno anche in questo caso permessi che consentiranno di vedere il certificato vaccinale, viceversa rimane un dato privato.

Appena pubblicato sulla G.U. europea

REGOLAMENTO (UE) 2021/953 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 giugno 2021 su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19

1 Mi Piace

Appena installato l’aggiornamento di IO con nuovi termini e condizioni inclusivi dei dati trasferiti all’estero. Nel change log indicano che prevede il supporto per visualizzare e ricevere certificazioni verdi covid-19.

mi sembra assurdo che debba accettare per forza i nuovi termini per usare l’app…

Ho letto con attenzione prima di accettare e a meno che non mi sia sfuggito qualcosa effettivamente mi sembra che sia stata espressamente aggiunta solo la parte relativa al trasferimento dei dati all’estero tutelati però da specifici accordi. Per trasparenza mi piacerebbe leggere anche di questo però.

Guarda, @ettoremazza, che questo non è diverso da nessuno dei siti web che visitiamo normalmente.

In tutti gli altri siti/servizi/app del mondo, hai due sole scelte. Accettare :handshake: o andare a farti benedire :church:. Non mi pare che ci sia stato questo fuggi-fuggi dai vari Netflix ogni volta che aggiornano le privacy policy

[Edit] Anche io avevo interpretato la prescrizione del Garante come finalmente un opt-in facoltativo, ma evidentemente è solo un opt-in

Non sono tanto d’accordo, Quindi, secondo te, non posso più partecipare al cashback se non mi piacciono le nuove condizioni, dopo 6 mesi che gioco ?
Non posso avere il green pass se non mi piacciono le condizioni ?

non può funzionare così per questo tipo di app che includono millemila servizi (in alcuni casi questo è l’unico modo di partecipare).

Se serve cambiare le policy per un nuovo servizio, il rifiuto di accettarle deve impedire solo di accedere allo specifico nuovo servizio. Non a tutti quelli precedenti.

In realtà devi accettare le condizioni per consultare il cashback, non per partecipare da già iscritto. Altrimenti hai centrato in pieno. Immagina di essere al 12/2020, per poterti iscrivere al cashback sì, dovevi accettare le cavolo di condizioni.

I punti sono due. Da un lato ci sono condizioni imprescindibili, che non si possono rifiutare. Tipo il fatto che PagoPA tratterà i tuoi dati. Devi dare un consenso. Non puoi partecipare al cashback rifiutandoti di cedere i tuoi dati a PagoPA per quelle finalità.

Diverso è il discorso di Google/Mixpanel/Instabug che non sono strettamente necessari, fa notare il Garante, e potrebbero essere minimizzati. Lì se tutti rifiutassimo PagoPA non avrebbe abbastanza dati di utilizzo per migliorare le app. E le due aziende non farebbero il loro business di tracciare gli utenti.

1 Mi Piace