Conosci IO, l’app dei servizi pubblici? Sì, quella che invia dati negli Stati Uniti.

Stefano Gazzella : 5 Ottobre 2022 07:29

Autore: Stefano Gazzella

Dopo la serie di provvedimenti del Garante Privacy riguardanti l’impiego di Google analyitics con declaratoria di illiceità per il trasferimento in difetto di misure supplementari adeguate, in linea con l’orientamento che stanno seguendo le autorità di controllo europee dopo la sentenza Schrems II nei confronti di servizi erogati da parte di fornitori statunitensi, può essere lecito nutrire dei dubbi relativamente alle cc.dd.

“app di Stato” e procedere ad un controllo a riguardo. Ad esempio, andando sull’iconica app dei servizi pubblici IO è sufficiente consultare la relativa privacy policy (aggiornata a luglio 2020 nella v. 4.0) per trovare qualche riscontro piuttosto sorprendente.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il punto 6 dell’informativa estesa, denominato Trasferimento dati fuori dall’UE, indica che “Alcuni dei fornitori terzi di cui ci avvaliamo per alcuni servizi essenziali all’operatività dei nostri prodotti e servizi risiedono all’estero, compresi gli USA.” con indicazione dell’adozione a riguardo delle Clausole Contrattuali Standard della Commissione Europea.

Clausole che però, stando a quanto indicato da EDPB e oggetto dei provvedimenti delle autorità di controllo, sono insufficienti se non sono accompagnate dalla predisposizione di misure supplementari adeguate ed efficaci. Ed ecco che dunque i sospetti emersi trovano una conferma con un leitmotiv del tipo “Non sei tu, sono IO”. Infatti, la lista dei fornitori pubblicata consente di individuare una serie di attività svolte con il coinvolgimento diretto di un fornitore statunitense o che possano comportare un trasferimento verso gli Stati Uniti, quali:

• Software gestionale per adempimenti privacy.
• Hosting infrastruttura e servizi di cloud computing.
• Debug funzionale, troubleshooting, diagnostica, analisi su dati aggregati anche a fini di reportistica.
• Piattaforma di gestione delle richieste di assistenza.
• Piattaforma di messaggistica per comunicazione interna alla PagoPA S.p.A.
• Invio di notifiche Push.
• Servizio per form, moduli e questionari online.
• Servizio di posta elettronica.

Certo, esiste una colonna dedicata le “Garanzie adottate in tema di trasferimento dati all’estero” ma per la maggior parte dei sono indicate o “clausole contrattuali standard della Commissione Europea” o altrimenti figurano delle misure indicate come “in negoziazione”. Diventa di particolare difficoltà per l’interessato comprendere quali siano le garanzie adottate, per cui l’unico strumento cui ricorrere può essere l’esercizio di un diritto di accesso al fine di ricevere le informazioni di cui all’art. 15.2 GDPR, ovverosia: “l’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento”.

Ma per quale motivo nonostante lo scenario che si sta delineando da settimane o addirittura mesi e che coinvolge una molteplicità di organizzazioni prosegua la scelta di questi trasferimenti è un mistero. Si spera che di fronte ad una richiesta di chiarimenti in tal senso da parte del Garante o dell’interessato non ci si ritrovi con una risposta che nella sostanza cita la celebre frase del Marchese del Grillo, per cui “IO so’ IO…”.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore