App “IO” e operazione cashback

L’app IO, principale piattaforma attraverso cui saranno processate le operazioni di cashback realizzate dallo Stato italiano, trasferisce dati verso gli Stati Uniti.

Questo trasferimento di dati verso gli Stati Uniti avviene all’alba della storica sentenza della Corte di Giustizia Europea con cui è stato invalidato il Privacy Shield, il trattato internazionale con cui veniva reso lecito il trasferimento di dati verso gli Stati Uniti.

Venuto meno questo trattato, è onere di chiunque trasferisca dati verso gli Stati Uniti dimostrare la liceità del trasferimento e le misure adottate per garantire la tutela dei diritti dei soggetti interessati (in questo caso, gli utenti dell’app IO).

Ad oggi, queste informazioni sembrano mancare.

Per questo motivo il team legale di Privacy Network ha predisposto una formale richiesta di informazioni a PagoPA, società che gestisce l’app IO.

La speranza è quella di instaurare un dialogo costruttivo con PagoPA e con le istituzioni, per garantire la dovuta trasparenza e accertare che siano stati valutati adeguatamente tutti i rischi, come anche già richiesto dal Garante Privacy.


8 dicembre 2020 – la nostra richiesta

Abbiamo inviato a PagoPA una richiesta formale, chiedendo di fornire evidenza delle misure adottate per garantire un livello di tutela adeguato dei diritti dei soggetti interessati e maggiori informazioni riguardo al trasferimento di dati extra-UE, in particolare:

– natura dei trasferimenti

tipologie di dati oggetto di trasferimento

11 dicembre 2020 – la replica di PagoPA

Il team privacy di PagoPA ha accolto le nostre richieste, comunicandoci di aver aggiornato l’informativa privacy presente sull’App e di aver pubblicato una lista completa dei fornitori, comprensiva di descrizione dell’attività svolta, dati trattati, luogo del trattamento, e garanzie adottate.

Siamo felici di aver ottenuto questo importante risultato, grazie alla collaborazione del team privacy di PagoPA.

La questione non è chiaramente chiusa, rimanendo sul tavolo il tema della sostanziale inadeguatezza dei fornitori statunitensi, salvo l’introduzione di specifiche misure tecniche supplementari come previsto dal Comitato Europeo per la protezione dei dati.

Speriamo che questo possa essere un piccolo passo verso una pubblica amministrazione più attenta alla protezione dei dati, più trasparente e soprattutto più responsabile.