Ciao @Elena_S, il problema è serissimo e va affrontato con il giusto approccio critico.
Non sono dipendente di PagoPA, non ho nessun conflitto di interesse e non ho particolare interesse politico alla diffusione di Io. Quindi sono neutrale.
L’articolo, così come presentato, dice cose meritevoli di verifica quantomeno esaminando la privacy policy.
Dalla privacy policy confermo di aver preso conoscenza della lista dei fornitori extra-UE e delle finalità.
In questa pagina, accessibile direttamente da app IO, si vedono elencati i fornitori esterni che trattano i dati degli utenti.
Il problema sta nel come è presentato l’articolo, e in che modo può essere interpretato. L’articolo dice cose vere ma può essere interpretato con troppa leggerezza
Dal sottotitolo:
IO invia dati a soggetti terzi negli Stati Uniti
Vero. Invia dei dati. Ma quali dati? La questione va approfondita, perché i dati personali non vanno trattati con leggerezza, sia quando si parla della pizza che ti piace ordinare tanto quando si parla dei tuoi referti medici. Se i dati fossero scambiati con troppa leggerezza sarebbe gravissimo
senza specificare in alcun modo quali dati e per quali finalità
Falso. La finalità è specificata nella privacy policy. Letta così chiunque potrebbe gridare allo scandalo. Che per 150 euro stiamo svendendo (perché ormai sappiamo che tutti cliccano accetta senza leggere tutto) la nostra vita privata contrariamente a quando abbiamo rifiutato Immuni per timori sulla privacy.
l’invio di dati negli Stati Uniti è ormai ritenuto non sicuro da parte dell’Unione Europea. Il Governo USA, difatti, ha potere di accesso ai dati, un potere che, si badi, non è meramente ipotetico. Il Governo USA può accedere ai dati degli europei e, nei fatti, questo potere viene costantemente esercitato. Lo dice la sentenza Schrems, lo dicono le FAQ del Garante, lo dice la legge americana. Non si tratta quindi di uno scenario meramente ipotetico.
Vero. Quindi dobbiamo vedere quali dati e quanto sono sensibili
Tra i fornitori di IO mi piace in questa sede citare RTI Leonardo SpA, fornitore rigorosamente italiano ma di recente vittima di un gravissimo incidente di sicurezza. Sorvoliamo…
Il fornitore magnus di IO è Azure Microsoft Ireland Operations Limited che esercita il trattamento in Paesi Bassi e Irlanda, quindi in UE.
Sui dati trattati un USA, ripeto sto facendo un fact checking all’11/12/2020, ci sono
Mixpanel, che tratta dati di utilizzo (di solito anonimi, non posso mettere la mano sul fuoco) e che PagoPA sta valutando di sostituire (<<in corso di valutazione la sostituzione del fornitore>>). Per ora li tratta, comunque, e scommetto che i numeri delle carte e gli importi acquistati non vanno a MixpanelInstabug, che è un servizio per la gestione e la segnalazione dei bug con l’apposita icona
, così come eventualmente le segnalazioni crash automatiche. Può meritare un approfondimento ulterioreSlackè un sistema di chat e notifiche dei più popolari. Non è chiaro, in effetti, quali dati transitino da Slack, ma sicuramente le chat interne del personale di PagoPA, che deve ovviamente avere la diligenza nel trattare i dati sensibili dagli ambienti di produzione. Poi anche se per assurdo Slack usasse crittografia simile a Whatsapp, il trattamento è ufficialmente svolto negli USA. Può forse meritare una disamina più approfondita?Googleinvia solo le notifiche push. Ricordo un provvedimento del Garante, e mi scuso con tutto il pubblico per non essere in grado di fornire un link, nel quale si raccomanda che le notifiche push contengano solo l’indicazione dell’evento e non il payload. Può essere un tema complesso, dovrei organizzare un convegno con slide e app demo per dettagliarlo. Google sta spostando la sede del trattamento in Belgio ad ogni modo
In conclusione, il tema del trattamento dei dati degli utenti italiani negli USA o peggio altrove merita una disamina molto attenta, e l’intervento di Elena è comunque apprezzabile vista la oggettiva delicatezza del tema.
Tuttavia a me sembra che la modalità con cui il concetto viene presentato si presti eccessivamente all’amplificazione mediatica ed al fraintendimento. Non posso giudicare la qualità della testata Agenda Digitale nè Privacy Network, ma la modalità ricorda purtroppo lo sfortunato fenomeno del clickbait in cui una notizia inizialmente veritiera viene presentata ed ingigantita fino a stravolgerla.
Stiamo inviando in un luogo non sicuro i dati relativi alle abitudini finanziarie ed alle preferenze di acquisto di milioni di italiani
Se questa affermazione viene fatta in grassetto io rispondo che è, fino a prova contraria, fake news. Non mi risulta, e pongo l’onere della prova sull’autore dell’affermazione, che siano i dati finanziari a essere girati verso gli USA.
Questo mi dispiace perché rileggendo la mia penultima affermazione sul clickbait questa potrebbe essere facilmente interpretata come un’accusa alla testata di essere bufalara, quando invece ho giò detto di non poter/voler giudicare le fonti nel merito. Quindi ho fatto pure autocritica. Limitiamoci a dire che dopo questo fact checking sulla privacy policy la notizia di Agenda è fondata ma imprecisa.