Privacy e sicurezza dati

Buongiorno, ho scaricato la APP ma ho alcuni dubbi prima di utilizzare il servizio di Cashback che sarà attivato dal 1.12.2020 circa la protezione dei dati comunicati attraverso la APP e disponibili nei server del gestore del servizio:

  • tali dati o parte di essi sono archiviati anche sul dispositivo?
  • saranno archiviati dati anagrafici, codice fiscale, dati identificativi degli strumenti di pagamento utilizzati, IBAN (per consentire il rimborso)
  • saranno trasmessi direttamente dalle società che emettono e gestiscono i mezzi di pagamento: data e importo delle transazioni di pagamento effettuate, importo, data, ma sembra di capire, non saranno trasmessi dati che consentano l’identificazione e localizzazione del punto vendita e la classificazione merceologica del bene acquistato
  • per cui sarà possibile calcolare il numero e il totale delle spese effettuate nel periodo (mese dicembre 2020, semestre dal 2021)
    Grazie. Cordiali saluti
1 Mi Piace

per quanto so io

  1. no
  2. iban immagino di si, altrimenti come ti inviano i soldi? ma non su dispositivo
  3. non so
  4. non so

Salve, per questo tipo di informazioni bisogna aspettare la data di inizio del progetto che, salvo imprevisti, sarà il 01/12/2020!

1 Mi Piace

Eh si ma in teoria mancano 2 settimane…
Comunque ho letto che probabilmente la fase sperimentale verrà rimandata causa “confinamento”

Tutte domande lecite. Penso che occorra distinguere fra cio’ che e’ app IO (il punto di contatto) e cio’ che e’ il sistema/banca dati che gestirà i dati necessari all’erogazione del cashback (dati che ha già indicato).
APP IO non è molto prodiga di dettagli sui dati che transitano o sostano nei suoi sistemi:

IO è stato concepito e sviluppato secondo i principi e le regole imposte dalla normativa sulla protezione dei dati personali, ovvero il nuovo Regolamento (UE) 2016/679 (cosiddetto “GDPR”) e il Codice privacy italiano (d. lgs. 196/2003, come recentemente emendato); esso è quindi uno strumento sicuro che protegge le tue informazioni e i tuoi diritti. IO però rappresenta solo uno canale che le Pubbliche Amministrazioni utilizzano per interfacciarsi con i cittadini, quindi queste ultime restano titolari dei tuoi dati personali necessari per svolgere il loro mandato istituzionale, esattamente come avviene oggi. Il team di sviluppo di IO dialoga costantemente con il Garante per la protezione dei dati personali per rendere IO uno strumento che migliori l’esperienza del cittadino anche sotto il profilo di accessibilità e trasparenza delle informazioni relative alla sua privacy.

Questa la FAQ relativa a protezione dei dati personali, non pienamente centrata dal mio modesto punto di vista.

Da un punto di vista concettuale, immagino che IO si disinteresserà totalmente dei dati dei pagamenti che saranno comunicati dai prestatori dei servizi di pagamento allo Stato tramite canali ad hoc collegati al cervellone del cashback. IO dovrebbe essere solo il terminale di comunicazione lato cittadino/consumatore .

EDIT: segnalo che, in generale, l’informativa privacy in app è molto piu’ completa della faq sul sito

1 Mi Piace

@Crrd

L’informativa privacy definitiva IO/Cashback sta qui:

Qualcuno gia’ si pone il problema di quali dati siano trasferiti nello stato autoritario USA:

In effetti l’informativa e’ molto all’italiana, frasi fatte e ciclostilate.
Si scopre che “i dati sono trattati con strumenti automatizzati”, quando magari potevamo avere il sospetto che il ministro Gualtieri si appuntasse tutto su un taccuino, e che “sono protetti da misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti”. Grazie per le “adeguate” e per l’empatia verso i miei diritti e le mie libertà.

Io mi aspetterei una lista di dati che transitano verso il sistema IO/Cashback quando striscio la carta sul POS ma nulla. Mi dicono pero’ che: “i dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari per la determinazione dei rimborsi previsti dal Decreto, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono.” Sapere pero’ quali dati passano non sarebbe male, altrimenti di cosa parliamo?

Sarebbe interessante una richiesta di accesso civico a PagoPA per ottenere le specifiche dei flussi telematici oggetto di convenzione con gli acquirer. Poi io personalmente penso che queste cose, trattandosi di servizi pubblici e aziende pubbliche, dovrebbero essere open by design.

Per i non tecnici: il flusso di alimentazione è, semplificando, una sorta di tabella (es. Excel) che ogni notte finisce in pasto a PagoPA. I campi sono concordati e standardizzati. Guardando la prima riga di questa ipotetica tabella ci si rende conto di chi è identificabile e chi no.

Post scriptum, @frantheman ho visto che hai linkato quell’articolo, del quale ho provato a fare un fact checking in altro intervento, se la cosa ti interessa.

Massì, ma poi la cosa che lascia un po’ stupiti è che per Immuni c’è stato un dibattito molto “ideologico” e per IO-Cashback non ci si è neanche posti il problema…
Poi sappiamo che il “fallimento” di Immuni non dipende tanto da problemi tecnici di sviluppo dell’App ma da problemi “architetturali” l’uso dei servizi standard Google e Apple, la scarsa affidabilità della connessione via Bluetooth, ma soprattutto dalla assoluta inefficienza dei processi a valle della segnalazione di presunto contatto con individuo positivo.

2 Mi Piace

Infine, utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili. Google riceve dati personali di tali utenti esclusivamente nel caso di notifiche non generiche, ma contenenti informazioni relative agli stessi

Ecco, Cashback a parte, questo dovrebbe bastare a far riflettere sull’opportunità di puntare sul mobile only di IO per quelle funzioni chiave, come notifiche di atti e comunicazioni e partecipazione al procedimento, che i recenti aggiornamenti normativi riconducono a IO…

2 Mi Piace

@fpietrosanti penso che tu sia la persona più indicata per questa richiesta di accesso civico, che dici?

Non credo proprio, almeno se prendiamo i download come unità di misura. Se anche ci fossero problemi architetturali questi non giustificherebbero il flop delle installazioni rispetto al click day del cashback (e alle file alle Poste per fare SPID). Il cittadino non è è che non scarica Immuni perché l’architettura funziona male, che vuoi che ne sappia?

Il problema è, come detto da fonti di stampa (Gabanelli??? Non ricordo…), che

Con il cashback vinci un premio in denaro, con Immuni al massimo vinci un tampone o un isolamento coatto

Adesso è ancora presto per tirare delle somme, visto che Immuni non richiede SPID e per IO invece c’è la ressa alle Poste tutti i giorni. Quindi aspetterei un mese almeno e confronterei la crescita delle installazioni di Immuni a giugno con le attivazioni del cashback 2021. Più si va avanti, secondo me, più le statistiche potranno essere veritiere osservando naturalmente un periodo più ampio. La mia previsione sensazione è che IO batta Immuni di ordini di grandezza, ma questo credo sia scontato.

1 Mi Piace

Esatto, è proprio quello che volevo dire, questa avrà sicuramente più successo perchè tocca la tasca delle persone.
Però almeno una domanda prima di partecipare, uno se la dovrebbe fare.

Ehm… forse non ho capito io molto bene il contesto, ma questa frase mi è balzata all’occhio come un lampo!

Le “Notifiche di atti” sono iper-normate e possibili ad oggi solo tramite messi, raccomandate e PEC. Esempio classico la multa stradale.

A me personalmente va benissimo che certi Comuni stiano lavorando a introdurre una notifica IO all’atto della redazione del verbale, meglio se accompagnata dalla possibilità di estinguere il verbale subito online senza pagare spese di accertamento/notifica (do… ut des…), ma nello scenario normativo attuale e nel caso pratico, la notifica come atto a validità legale dovrebbe rimanere relegata alle modalità certe classiche.

Una notifica in-app può sfuggire facilmente ad un utente che magari nel marasma delle notifiche social/pubblicitarie le cancella tutte. Una raccomandata in busta verde passa particolarmente meno inosservata. La PEC già è normata, quindi il cittadino sa di dover leggere sempre tutte le PEC e non dimenticarsene nessuna “non-letta”.

Quindi ben venga secondo me un servizio in più, ma letta così l’affermazione mi preoccupo. Quali aggiornamenti normativi consentirebbero di dare validità legale, con tutto ciò che ne consegue in termini di “decorrenza dei termini”, ad una notifica in-app, benché l’utente sia autenticato con SPID?

O ho interpretato male io la frase?

[Edit] delle notifiche di atti possiamo parlarne in un thread separato del progetto IO

Se ne e’ discusso tanto. Gli ingredienti della notifica telmatica sono PEC/SERCQ, registro dei domicili digtali (IPA, INIPEC e futuro INAD), una piattaforma che non si capisce se e’ soluzione di backup o canale primo di notifica. Della realizzazione di quest’ultima, di cui si parla da sempre, da ultimo e’ stata investita - vado a memoria - la coppia PagoPA spa + Sogei. L’idea che ventilano e’ che la piattaforma sia intimamente connesso con IO. I dettagli poco contano. Lo stesso per la partecipazione al procedimento amministrativo: a un certo punto era Italia login, adesso IO è stata investita anche di questo compito, cioe’ di presnetare istanze, partecipare al procedimento, accedere al fascicolo (decreto semplificazioni che modifica la l.241/1990). Anceh qui i dettagli contano poco.

Il punto sulla privacy è: se la stessa PagoPA spa ammette candidamente che se manda una notifica push su un dispositivo Android non puo’ fare a meno di svelarne il contenuto a Google, siamo tanto sicuri che l’approccio “mobile-only” sia opportuno?

1 Mi Piace

Salve, vi riporto il comunicato di PagoPA Spa in merito alla privacy: https://www.pagopa.gov.it/it/pagopa-spa/comunicati-stampa/2020-12-11-comunicato

Mi chiedo che assistenza fornisca la cooperativa sociale, visto che chiunque abbia problemi finisce a scrivere qua…

1 Mi Piace