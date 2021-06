Arriva il primo effetto pratico dello scontro che vede contrapposti da un lato il garante della Privacy e dall’altro PagoPa e ministero dell’Innovazione: PagoPa sta valutando la rimozione di MixPanel dall’app IO, che gestisce. È quanto si legge nell’Informativa Privacy che si apre all’interno della stessa app (anche se dopo un bel po’ di clic).

Secondo quanto scritto da PagoPa nell’app IO e comunicato all’utente, MixPanel (la societa statunitense che si occupa delle librerie software dell’app) dovrebbe analizzare i dati che le arrivano dall’app stessa, ma solo in 3 casi: per finalità di assistenza, debug e miglioramento dell’app. E invece farebbe un “monitoraggio sistematico” di tutte le attività dell’utente su IO, compresi i servizi che riguardano informazioni molto importanti, come i pagamenti verso la Pubblica Amministrazione e quelli con carta di credito tramite Cashback.

Le attività extra di MixPanel nell’app IO, dunque, sarebbero lesive per la privacy, almeno secondo l’analisi pubblicata dal garante italiano: “Le librerie di tracciamento di MixPanel presenti all’interno di IO sono configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di MixPanel unitamente a un identificativo unico dell’utente”, ha scritto il garante nella relazione tecnica pubblicata a valle del provvedimento su IO e in risposta alla smentita diramata da PagoPa e ministero.

Ancora: “Le librerie di MixPanel comportano un monitoraggio sistematico dell’utilizzo di IO, trattamento che non risulta necessario per il perseguimento delle asserite (da PagoPa, ndr) finalità di assistenza, debug e miglioramento dell’app né strettamente necessario per erogare servizi esplicitamente richiesti da un utente nell’ambito dell’app”. Tutto ciò “senza che l’utente sia adeguatamente informato di tale circostanza o che possa esprimere il proprio consenso previsto dalle regole sulla privacy”.

IO (qui la nostra guida all’utilizzo) è l’app che sovrintende ai rapporti tra cittadini e PA, ma gestisce anche il Cashback e il Bonus Vacanze e per il governo dovrebbe anche ospitare il Green Pass legato al coronavirus, anche su questa ipotesi è stata bloccata dal garante, appunto per le preoccupazioni sulla privacy.

L’Informativa Privacy dell’app evidenzia che la stessa PagoPa aveva avuto già un primo ripensamento su MixPanel, tanto che nella parte dell’app dedicata ai fornitori di servizi emergono varie rivisitazioni del contratto, con cui PagoPa ha ottenuto (in un secondo momento rispetto al debutto dell’app) che i dati fossero ospitati sul territorio europeo. Ma questo punto non si estende anche ai partner di MixPanel e quindi, ha fatto notare il garante, alcuni dati degli italiani possono comunque finire su server extra Ue.

“PagoPa si era già accorta che MixPanel era un partner a rischio e aveva cercato di correre ai ripari, ma non abbastanza“, è la riflessione dell’avvocato Riccardo Berti. La scorsa settimana, PagoPa e il ministero dell’Innovazione avevano minimizzato con una nota congiunta i rischi di cui parlava il garante, ma l’ipotesi di sostituzione del fornitore del servizio sembra ora andare proprio nella direzione indicata dall’Authority.