Cashback, App IO e privacy: cosa c'è da sapere
Cashback: si parla tanto di app IO e di privacy, ma qualcuno ha letto la policy ufficiale sul trattamento dei dati degli utenti? Noi sì.
L’avvio difficilissimo del Piano Cashback del Governo si riassume in due hashtag estremamente popolari sui social: #IOapp e #IOappPrivacy. Da una parte gli utenti continuano a lamentare gravi problemi di funzionamento dell’app IO, che vi abbiamo documentato ieri e che continuano anche oggi, dall’altro c’è chi fa ironia sul fatto che in appena due giorni IO ha quasi raggiunto il numero di download di Immuni, senza che nessuno si preoccupasse della questione privacy.
La questione, però, c’è e va ben oltre un semplice hashtag di sfottò su Twitter perché tramite IO e il nostro smartphone, ma anche tramite le carte di pagamento, se abilitate al Cashback (qui la procedura), stiamo trasferendo al Governo italiano una enorme quantità di dati a dir poco sensibili. Quasi nessuno, tuttavia, lo sta facendo dopo aver letto la privacy policy dell’app IO che esiste, è indicata sia dentro l’app che sul sito ufficiale, e va letta e compresa (la trovate qui). Cosa che andrebbe fatta prima di installare tutte le app, a dire il vero, ma ancor di più se l’app nasce per tracciare i nostri acquisti validi ai fini del cashback. Ecco perché è importante leggere la privacy policy di IO e cosa c’è scritto.
App IO e privacy: quali dati vengono inviati
In linea di massima potremmo dire che tutti i dati che l’app IO raccoglie ai fini del cashback sono dati che sono già a disposizione di qualcun altro: gli estremi della carta di pagamento, i dati identificativi del titolare della carta, gli importi degli acquisti, dove abbiamo comprato e quando sono infatti dati che vengono raccolti da chi ha emesso la carta.
Tramite questi dati, ovviamente, è possibile profilare in modo estremamente accurato l’utente della carta. Nel caso di IO, però, la questione è ancor più delicata perché se registriamo e abilitiamo al cashback più carte tutti i dati delle transazioni tramite tali carte vanno a finire dentro un unico grande contenitore. Il fatto che l’acquisto con metodo di pagamento elettronico sia incentivato dal cashback, poi, stimola l’utente a fare più transazioni con le carte e le app e, quindi, a concedere più dati di quanti non ne concederebbe normalmente.
Per capire di cosa stiamo parlando: se usiamo la carta X diamo i nostri dati alla banca o società finanziaria X; se usiamo la carta Y diamo i nostri dati alla banca o società finanziaria Y; X e Y normalmente non collaborano e non condividono i dati degli utenti, ma se associamo le due carte alla stessa app allora l’app in questione è ha sia i dati delle transazioni fatte con X che quelli delle transazioni fatte con Y. A questi dati si aggiunge l’IBAN sul quale versare il cashback, che può anche essere diverso dall’eventuale IBAN della carta di pagamento. Il sogno di qualsiasi azienda che lavora sui big data.
Aziende come Google o Apple, che con Google Pay e Apple Pay hanno tutti questi dati a disposizione se associamo tutte le nostre carte alle rispettive app. La mole di dati che trasferiamo a IO, quindi, è paragonabile a quella che trasferiamo a Google o Apple se usiamo le loro app di pagamento. Ma sono di più se, per ottenere più cashback, facciamo più acquisti con le carte.
Esattamente quello che ci dice di fare il Governo. Senza dimenticare, poi, che per usare IO dobbiamo anche comunicare il nostro SPID o la nostra CIE, che Apple e Google non hanno. Ricordiamo, a tal proposito, che è possibile ricevere il cashback senza SPID e CIE.
App IO: come viene gestita la privacy
La privacy degli utenti di IO è regolamentata dall’ormai ben noto Regolamento generale sulla protezione dei dati europeo (RGPD, meglio noto come GDPR). Il Titolare del trattamento dei dati personali è il Ministero dell’Economia e delle Finanze (MEF).
Il MEF gestisce IO tramite due società controllate pubbliche, PagoPA SpA e Consap Spa, che sono invece Responsabili del trattamento dei dati personali. In estrema sintesi a PagoPA spetta di organizzare e gestire tutto il funzionamento di IO e del cashback, mentre a Consap spetta il compito di gestire futuri eventuali richiami. Per gestire tali richiami Consap metterà in piedi una apposita piattafoma Web.
La privacy policy di IO specifica anche che i dati verranno gestiti in modo automatizzato e che è espressamente vietato qualsiasi trattamento a scopo di profitto o profilazione. I nostri dati, quindi, non verranno usati per inviarci pubblicità targettizzate, né verranno venduti a qualcuno, né usati dal Ministero per altri scopi al di fuori dell’erogazione del cashback.
Chi oggi aderisce al Piano Cashback può in seguito uscirne chiedendo la cancellazione dei propri dati. PagoPA e Consap sono autorizzate a nominare eventuali sub-responsabili, in caso alcune operazioni sui dati vengano subappaltate.
App IO: i fornitori Extra-UE di PagoPA e Consap
Un apposito paragrafo della privacy policy di IO specifica infine che alcuni dati potrebbero essere inviati a dei “fornitori terzi che hanno la propria sede in Paesi extra-UE (USA)“. Aziende americane, quindi. Ma chi sono?
Lo abbiamo chiesto, tramite gli indirizzi email ai quali qualunque cittadino potrebbe farlo, sia a PagoPA che a Consap. La prima non ha risposto, la seconda sì specificando che il fornitore americano è Oracle, sui cui server vengono ospitati i dati dei reclami (indirizzo di posta elettronica e password, codice fiscale, nome e cognome, dati dei documenti di identità allegati, dati relativi al reclamo stesso). I server in questione sono localizzati in Europa, non negli Stati Uniti, e la comunicazione avviene tramite connessione crittografata che impedisce la lettura dei dati a Oracle.
PagoPA, invece, non ha risposto alla richiesta di chiarimento inviata mentre l’indirizzo email dell’ufficio stampa di IO, che chiunque può trovare sul sito dell’app, risulta inesistente.