Cashback di Stato, un fallimento per la privacy?
Autore: Gabriele Ientile
Il Cashback “di Stato” è realtà da pochissime ore, ma ci sono già tutti i presupposti perché si dimostri un altro fallimento per il rispetto della privacy e per la protezione dei dati dei cittadini italiani.
Cos’è il cashback di Stato?
L’operazione “cashback” dovrebbe portare una ventata di innovazione: convincere anche i più restii ad utilizzare pagamenti elettronici e incentivare l’utilizzo di “IO”, la neonata app statale e opensource per l’accesso ai servizi digitali della pubblica amministrazione.
L’operazione dovrebbe poi incentivare i consumi e premiare chi spende di più, attraverso un ritorno economico del 10% sulle spese effettuate (fino ad un massimo di €150). Nulla di male, se non ci fossero tutti i presupposti per la tempesta perfetta della privacy.
Il parere del Garante Privacy
Il sistema cashback ha superato senza troppe difficoltà la valutazione preliminare da parte del Garante Privacy, il quale ha comunque tenuto a precisare che si tratta di un trattamento che «presenta rischi elevati per i diritti e le libertà degli interessati derivanti dalla raccolta massiva e generalizzata di informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione».
Insomma, non una cosa da prendere alla leggera.
Le transazioni economiche raccontano la vita più intima di una persona, le sue abitudini e passioni, il suo stato di salute, e molto altro.
Tutte queste informazioni sono una montagna d’oro (virtuale) a cui potrebbero essere interessati molti soggetti sia privati che governativi – e perfino cybercriminali.
Nonostante questo, i primi segnali sembravano positivi.
Il Garante aveva rilevato che alcuni elementi critici riscontrati durante la fase iniziale – come la necessità di svolgere una valutazione d’impatto, il corretto inquadramento dei ruoli giuridici, l’utilizzo di misure di sicurezza – «sono stati tenuti in debita considerazione dal Ministero nella redazione del testo».
Inoltre, si aggiungeva: «l’Autorità si riserva di esaminare le caratteristiche dell’APP, relative, in particolare, […] al trasferimento di dati personali verso Paesi terzi, peraltro da attualizzarsi alla luce della recente sentenza della Corte di giustizia relativa al caso Schrems II».
I problemi al lancio
Invece al momento del lancio la solita sorpresa.
Per prima cosa, la pagina informativa sul cashback presenta un banner cookie non conforme alla normativa.
Le sorprese, però, non sono finite.
Leggendo la Privacy Policy sembra che PagoPa S.p.A. e Consap S.p.A. si avvalgano, per la gestione dell’app e dei reclami, di fornitori che hanno sede negli USA.
Lo scorso 16 luglio la Corte di Giustizia Europea ha invalidato il Privacy Shield UE-US, che rendeva possibile il trasferimento di dati verso gli Stati Uniti senza bisogno di particolari misure.
Oggi gli Stati Uniti non sono più considerati dall’Unione Europea un paese adeguato per la protezione dei dati. Questo significa che trasferire dati verso gli USA è illegittimo se non previa adozione di misure tecniche e giuridiche supplementari che garantiscano, di fatto, un livello di tutela dei diritti pari a quello dell’UE.
Il Privacy Shield è finito nel mirino della Corte di Giustizia perché le pratiche di sorveglianza portate avanti dalle autorità statunitensi rendono pressoché impossibile il rispetto della normativa europea.
Le autorità statunitensi hanno il potere di accedere a dati trattati dalle aziende statunitensi in ogni momento, spesso con pochissime garanzie e tutele, perfino per i cittadini americani.
In altri termini, i dati sulle transazioni economiche di milioni di cittadini italiani finiranno su server di aziende che potrebbero non garantire un’adeguata protezione contro le ingerenze del governo statunitense e contro il rischio di sorveglianza di massa da parte dell’intelligence USA.
La questione, quindi, sembra non essere solo di privacy, ma anche di sicurezza nazionale. Dati con un elevatissimo livello di dettaglio riferiti cittadini italiani potrebbero essere potenzialmente accessibili all’intelligence di un altro paese.
Non sappiamo ancora con certezza quali sono i fornitori extra-UE, ma sembra che possa trattarsi anche di Google e Microsoft.
Mentre quest’ultima sembra aver fatto dei passi avanti per quanto riguarda il trasferimento dei dati all’estero, Google ad oggi risulta inadeguata.
Le risposte a questo dilemma non sono scontate: chi si occupa di privacy sta discutendo da mesi su quali siano le misure adeguate da adottare e le Autorità competenti stanno investigando in tutta Europa
Un fallimento non solo per la privacy
Quello che preoccupa è l’assoluta mancanza di trasparenza.
Da un servizio statale ci si dovrebbe aspettare il massimo grado di comunicazione, invece non viene detto nulla circa i dati oggetto di trasferimento o i loro destinatari.
L’unico modo per avere ulteriori informazioni occorre inviare una mail all’indirizzo dpo@pagopa.it. Ma si doveva fare meglio.
Un trattamento dal rischio così alto non impone solo di adottare misure di tutela ineccepibili, ma anche di comunicare in modo trasparente agli interessati quali sono i dati oggetto di trasferimento extra-UE e quali sono i rischi concreti derivanti dal trasferimento.
Invece, non solo le informazioni rese sono del tutto carenti, ma l’unico modo per ottenerle è all’interno del sito che peraltro fa uso di cookie di terze parti e non sembra utilizzare un banner conforme alla normativa.
Il servizio cashback è un fallimento proprio per questo: si tratta dell’ennesima occasione persa per affrontare il tema della privacy e protezione dei dati a livello istituzionale.
Se le misure aggiuntive per il trasferimento all’estero siano rispettate o meno è solo una parte del problema.
La questione principale, che forse sfugge anche agli esperti del settore, è il totale disinteresse delle istituzioni che per prime dovrebbero preoccuparsi della privacy dei cittadini.
Ignorare esplicitamente le istruzioni del Garante, non prestare attenzione nemmeno alla cookie policy, e rimanere inerti di fronte al rilevante tema del Privacy Shield e dell’inadeguatezza degli Stati Uniti, sono il sintomo della totale assenza di sensibilità sul tema.
Mentre in Europa si parla di sovranità digitale, in Italia si arranca. La tutela della privacy e la governance dei dati sembrano solo obiettivi residuali. I modelli virtuosi, che propongono la tutela dei dati come asset nazionale, un miraggio.
Il problema non è solo sul fronte della privacy, ma anche su quello della cultura digitale.
L’iniziativa avrebbe dovuto avvicinare i cittadini all’utilizzo di strumenti digitali per usufruire dei servizi della PA. Ma al momento del lancio i server erano completamente intasati e l’app in tilt. Il risultato sempre lo stesso: aumenta la distanza tra cittadini e digitale, ritardando ulteriormente un’evoluzione per la quale siamo già in ritardo.
Non si tratta di un caso isolato, le novità collegate all’emergenza pandemica hanno permesso di puntare i riflettori sull’arretratezza della cultura digitale in Italia: le critiche alla DAD, i bug sul sito INPS e il bonus bici sono soltanto la punta dell’iceberg. Quello che manca è il sistema.
Un problema sistemico
Non possiamo che perseverare: si tratta di un problema strutturale.
La protezione e la gestione dei dati personali potrebbero diventare un asset per rafforzare il rapporto di fiducia tra Stato e cittadini, ma sono visti come un ostacolo da aggirare o usate come una scusa per mascherare l’inefficienza.
La privacy è ancora il diritto di chi non ha nulla da nascondere, che viene liquidato in una battuta.
La strada è sempre la stessa: stimolare il dibattito e cercare di portarlo fuori dagli studi legali o dalle associazioni di settore, e farlo diventare un argomento di confronto quotidiano.
Nel frattempo, stiamo preparando una richiesta formale a PagoPA S.p.a., per ottenere maggiori informazioni circa la natura ed estensione del trasferimento di dati extra-UE.