Il Garante della privacy ha approvato i “green pass”, ma con obiezioni

Il Garante della privacy, l’autorità italiana per la protezione dei dati personali, ha dato il via libera alla piattaforma nazionale per il rilascio dei cosiddetti “green pass”, cioè i certificati che attestano l’avvenuta vaccinazione contro il coronavirus, la guarigione dall’infezione o la negatività al virus tramite tampone molecolare o antigenico. Nella stessa delibera ha però rinviato l’utilizzo dell’app IO per il rilascio dei certificati, bloccando così, almeno temporaneamente, il più importante canale che il governo intendeva usare per il rilascio dei pass.

I certificati permetteranno di spostarsi liberamente nelle regioni in zona arancione e rossa, di partecipare a feste, cerimonie ed eventi sportivi, e di spostarsi liberamente all’interno dell’Unione Europea: i certificati rilasciati dalla piattaforma nazionale varranno infatti anche come “green pass europei”, il cui funzionamento è stato approvato dal Parlamento Europeo mercoledì.

I certificati, introdotti nel “decreto riaperture” del 23 aprile, dovrebbero essere rilasciati a partire dalla prossima settimana, e saranno disponibili in formato digitale o cartaceo con un codice QR. Dal 1º luglio saranno validi anche per i viaggi nell’Unione Europea.

I certificati potranno essere rilasciati attraverso diversi strumenti digitali: il sito web della Piattaforma nazionale-DGC; il fascicolo sanitario elettronico e l’app Immuni. I certificati avrebbero dovuto essere rilasciati anche dall’app IO, ma il Garante ha detto che questa possibilità è rinviata «a causa delle criticità riscontrate in merito alla stessa».

L’app IO, sviluppata dalla società pubblica PagoPA, serve ad accedere a numerosi servizi della Pubblica Amministrazione, e vi si accede con le proprie credenziali SPID o, in alternativa, con la carta d’identità elettronica (CIE). Al contrario degli altri metodi, il rilascio del certificato tramite l’app IO sarebbe stato immediato, dato che sull’app sono conservate tutte le credenziali che servono a ottenerlo, mentre negli altri casi sono necessari altri passaggi per ottenere l’autenticazione della propria identità. Per questo, l’app IO sarebbe stata lo strumento ideale per il rilascio dei certificati.

Le criticità sono spiegate in un provvedimento distinto reso pubblico in contemporanea, in cui l’autorità individua problemi «di ordine generale sul funzionamento dell’app IO», che dunque non riguardano soltanto i “green pass” ma tutta l’app, perché IO prevede «interazioni» con i servizi di Google e di Mixpanel, due aziende statunitensi. Benché i servizi di queste due aziende siano piuttosto comuni su moltissime app (i servizi Google sono necessari per l’invio di notifiche sugli smartphone Android, quelli di Mixpanel per dare agli sviluppatori informazioni su come gli utenti utilizzano l’app), il Garante ha ritenuto che la loro presenza su IO comporti un trasferimento verso paesi terzi, come Stati Uniti, India e Australia, di «dati particolarmente delicati» come le transazioni del cashback, i metodi di pagamento degli utenti e i dati del bonus vacanze.

In un comunicato dello scorso dicembre, rispondendo a rilievi simili sempre rivolti dal Garante, PagoPA aveva smentito che l’uso dell’app IO comportasse una profilazione degli utenti, che i dati delle carte di credito fossero memorizzati sul sistema dell’app (sono conservati dalla società pubblica SIA) e negava che i dati sui pagamenti degli utenti fossero trasferiti all’estero. PagoPA sosteneva inoltre che i fornitori extra UE sono usati «per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana». In un comunicato pubblicato giovedì sera, PagoPA ha smentito di nuovo che l’app IO trasferisca all’estero dati delicati.

In ogni caso, il Garante ha ordinato «di bloccare provvisoriamente alcuni trattamenti di dati effettuati» tramite IO. Questo non significa che l’app sarà bloccata, ma che, come confermato da PagoPA, è stato aperto un tavolo di negoziato con le strutture del Garante per appianare le differenze e «portare celermente il Green Pass su app IO».

Ad aprile il Garante aveva già inviato un avvertimento formale al governo per le criticità che comporterebbe l’introduzione dei green pass. Secondo quanto detto all’epoca dal Garante il “decreto riaperture” non garantiva «una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale» ed era «gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali».

Secondo quanto raccontato dal Foglio, dopo che il governo avrebbe respinto gli avvertimenti inviati dal Garante sui certificati, si sarebbe verificato «un inasprimento dei rapporti istituzionali tra l’authority e l’esecutivo», con il Garante che successivamente ha contestato parecchi dei provvedimenti del governo.

I dubbi del Garante nei confronti dei “green pass” rientrerebbero quindi in una più ampia difficoltà di collaborazione tra il Garante e il governo, che secondo il Foglio si starebbe osservando anche nei lavori preliminari  del dipartimento della Transizione digitale sul Piano Nazionale di Ripresa e Resilienza (PNRR), il documento con cui il governo spiega come intende spendere i finanziamenti che arriveranno dall’Unione Europea tramite il Next Generation EU, chiamato anche Recovery Fund. Il piano prevede che il 27 per cento dei fondi – 221,1 miliardi di euro, da utilizzare entro il 2026 – sarà dedicato alla digitalizzazione.