g-docweb-display Portlet

Provvedimento del 16 giugno 2021 [9670061]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE

COMUNICATO STAMPA DEL 18 GIUGNO 2021

COMUNICATO STAMPA DEL 16 GIUGNO 2021

COMUNICATO STAMPA DELL'11 GIUGNO 2021

COMUNICATO STAMPA DEL 10 GIUGNO 2021

PROVVEDIMENTO DEL 17 GIUGNO 2021

PROVVEDIMENTO DEL 9 GIUGNO 2021

 

[doc. web n. 9670061]

Provvedimento del 16 giugno 2021

Registro dei provvedimenti
n. 242 del 16 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il provvedimento n. 230 del 9 giugno 2021 (reperibile sul sito www.garanteprivacy.it, doc. web n. 9668051) adottato nei confronti di PagoPA S.p.A. (di seguito, PagoPA o Società), con il quale il Garante, in via d’urgenza, ha, in particolare:

1) imposto, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi;

b) i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi;

2) ingiunto, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro trenta giorni dalla ricezione del provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

3) ingiunto, ai sensi dell’art. 157 del Codice, di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del provvedimento, un riscontro adeguatamente documentato in merito alle misure che intendeva adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

VISTE le note di riscontro inviate da PagoPA in data 11, 14 e 15 giugno 2021, con le quali la Società, anche all’esito delle interlocuzioni intrattenute con l’Ufficio, ha fornito indicazioni circa le misure già adottate, nonché quelle che intende adottare, al fine di rendere i trattamenti, effettuati tramite l’App IO, conformi alla disciplina in materia di protezione dei dati personali, alla luce di quanto ordinato dal Garante con il richiamato provvedimento del 9 giugno;

RILEVATO, in sintesi, che la Società ha dichiarato:

A. con riferimento al punto 1) del dispositivo del richiamato provvedimento del Garante, di aver intrapreso le seguenti misure “già immediatamente efficaci”:

1. in relazione alle interazioni con i servizi di Google:

• disattivazione dei servizi diversi da quelli utilizzati per l’invio delle notifiche push (“è stata eliminata qualsiasi dipendenza riconducibile al servizio di Google Analytics nel codice sorgente, pur come già precisato il servizio non è mai stato attivato; la scrivente ha eliminato qualsiasi dipendenza riconducibile al servizio Google font nel codice sorgente, incorporando il font nell’App senza che per il suo recupero sia necessaria una chiamata al servizio esposto da Google”);

• utilizzo di notifiche push a contenuto generico (senza cioè alcuna indicazione del mittente, dell’oggetto o del suo contenuto);

2. in relazione alle interazioni con i servizi di Mixpanel:

• modifica dell’attuale identificativo univoco dell’utente, presente all’interno del set di dati inviati a Mixpanel, sostituendo l’hash del codice fiscale con il c.d. ID hardware del dispositivo utilizzato;

• minimizzazione dei dati inviati a Mixpanel, disabilitando il tracciamento di alcuni eventi relativi al bonus vacanze e al cashback ed eliminando alcune informazioni dal set di dati trasmessi;

• disattivazione della funzionalità di Geolocation Tracking;

• introduzione di un meccanismo di opt-in per l’utilizzo delle librerie di tracciamento offerte da Mixpanel, informando adeguatamente gli utenti e richiedendo il consenso previsto dall’art. 122 del Codice;

B. con riferimento al punto 2) del medesimo dispositivo, di rendere operative, entro il 9 luglio 2021, le seguenti misure:

1. introduzione di un meccanismo di opt-in per l’attivazione dei servizi resi disponibili nell’App IO, garantendo così agli utenti una scelta esplicita, libera e specifica;

2. introduzione di un meccanismo di opt-in per l’attivazione della funzionalità di inoltro via e-mail dei messaggi ricevuti nell’App;

RILEVATO, al riguardo, che la Società ha dichiarato di voler dare attuazione alle misure di cui alla lett. A, predisponendo un aggiornamento obbligatorio automatico dell’App IO già installata sui dispositivi degli utenti, reso disponibile sugli store nella giornata del 16 giugno 2021;

CONSIDERATI gli sforzi intrapresi da PagoPA per porre rimedio ai rilievi formulati dal Garante e ottemperare tempestivamente al citato provvedimento, introducendo adeguate misure a garanzia dei diritti e delle libertà degli interessati volte a mitigare i rischi che caratterizzano i trattamenti in esame e a conformarli al Regolamento e al Codice;

RITENUTO, in particolare, che:

- con riferimento alle interazioni con i servizi di Google (lett. A, punto 1), oltre a prendere favorevolmente atto dell’eliminazione, dal codice sorgente, dei richiami ai servizi Firebase Analytics e Google Fonts, l’utilizzo di notifiche push a contenuto generico, come già rilevato nel provvedimento del Garante n. 102 del 12 giugno 2020 (doc. web n. 9367375), può ritenersi una misura adeguata, nelle more dell’introduzione di nuove modalità di attivazione dei servizi con il citato meccanismo di opt-in (da adottarsi entro il 9 luglio 2021), che consentirà agli utenti anche di scegliere quelli da cui ricevere le predette notifiche;

- in relazione alle interazioni con i servizi di Mixpanel (lett. A, punto 2), in attesa di ricevere l’elenco completo degli eventi oggetto di tracciamento e delle relative informazioni oggetto di trasmissione a Mixpanel che la Società è in procinto di rendere disponibile al Garante (come rappresentato nella nota dell’11 giugno 2021) e di valutare compiutamente le caratteristiche di tale trattamento, anche in relazione al nuovo identificativo univoco, si ritiene che le misure che PagoPA ha rappresentato di aver introdotto assicurino già un livello di protezione dei dati personali tale da consentire la prosecuzione dei trattamenti effettuati in tale ambito. Ciò, ferma restando la necessità che i dati raccolti e archiviati da Mixpanel, prima dell’introduzione delle predette misure, come disposto con il richiamato provvedimento del 9 giugno 2021, non possano essere oggetto di trattamenti ulteriori, rispetto alla mera conservazione per le eventuali verifiche da parte dell’Autorità, fino al termine dell’istruttoria in corso;

- con riferimento alle modalità di attivazione dei servizi e di inoltro dei messaggi via e-mail (lett. B, punti 1 e 2), si prende atto delle misure che la Società intende rendere operative, entro i termini specificati nella documentazione trasmessa all’Autorità (30 giorni), restando in attesa di conoscere le modalità con cui si intendono assicurare, nei medesimi termini, analoghe garanzie anche nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono già stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

RITENUTO, dunque che, alla luce delle misure introdotte e delle suesposte considerazioni, siano venuti meno i presupposti alla base della limitazione provvisoria dei trattamenti di dati personali di cui al punto 1, lett. a) e b), del provvedimento n. 230 del 9 giugno 2021, ferma restando la limitazione provvisoria relativa ai dati raccolti e archiviati da Mixpanel prima dell’introduzione delle misure stesse, che non potranno essere oggetto di trattamenti ulteriori rispetto alla mera conservazione, che dovrà essere garantita fino al termine dell’istruttoria in corso;

RILEVATO, altresì, che la Società, con la nota del 14 giugno 2021, ha precisato, tra le altre cose, che “sono già in corso le attività di stipula con i nostri fornitori esteri delle nuove Standard Contractual Clauses emesse dalla Commissione Europea e pubblicate in data 4 giugno 2021. Contiamo di avere le stesse sottoscritte entro mercoledì 16 giugno p.v. o al più tardi entro venerdì 18 giugno p.v.”;

CONSIDERATO, al riguardo, che la sottoscrizione di tali nuove clausole non esime l’esportatore dall’adottare comunque misure supplementari, nel caso in cui la legge del Paese terzo impedisca all’importatore di rispettare le garanzie contenute nelle clausole stesse, e che l’Autorità, in ogni caso, ritiene necessario riservarsi di valutare l’adeguatezza del livello di protezione delle persone fisiche che deve essere assicurato ai sensi degli artt. 44 ss. del Regolamento, anche sulla base della nuova versione delle “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE” che il Comitato europeo per la protezione dei dati è in procinto di adottare a seguito della consultazione pubblica;

RITENUTO necessario, quindi, ingiungere a PagoPA di fornire, entro il 19 luglio 2021, un riscontro adeguatamente documentato in merito all’avvenuta adozione, nel complesso, delle misure di cui alle lett. A e B del presente provvedimento;

TENUTO CONTO che il mancato riscontro a una richiesta di informazioni di cui all’art. 157 del Codice è soggetto, ai sensi dell’art. 166, comma 2, del Codice, alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RISERVATA ogni altra determinazione, nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, ai fini dell’eventuale applicazione delle misure previste dall’art. 58, par. 2 del Regolamento all’esito dell’istruttoria in corso;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

1) preso atto delle misure introdotte, per le ragioni esposte in motivazione, dichiara il venire meno dei presupposti alla base della limitazione provvisoria dei trattamenti di dati personali di cui al punto 1, lett. a) e b), del provvedimento n. 230 del 9 giugno 2021, ferma restando la limitazione provvisoria relativa ai dati raccolti e archiviati da Mixpanel prima dell’introduzione delle misure stesse, che non potranno essere oggetto di trattamenti ulteriori rispetto alla mera conservazione, che dovrà essere garantita fino al termine dell’istruttoria in corso;

2) ai sensi dell’art. 157 del Codice, ingiunge a PagoPA S.p.A. di fornire, entro il 19 luglio 2021, un riscontro adeguatamente documentato in merito all’avvenuta adozione, nel complesso, delle misure di cui alle lett. A e B del presente provvedimento;

3) dispone la trasmissione del presente provvedimento anche alla Presidenza del Consiglio dei Ministri, al Ministero dell’economia e delle finanze, al Ministero della salute, all’Agenzia delle entrate e all’AgID per le valutazioni di competenza.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 16 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9670061
Data
16/06/21

Argomenti


Tipologia

Prescrizioni del Garante


Vedi anche (10)