È stata resa più sicura l'applicazione utilizzata nel settore della ristorazione per il tracciamento dei contatti. Restano alcune criticità
L'applicazione "SocialPass", utilizzata nel settore della ristorazione per il tracciamento dei contatti (contact tracing), è adesso più sicura per quanto attiene alle protezione della sfera privata. Dopo complesse analisi, i gestori hanno deciso di uniformarsi in parte alle indicazioni dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Adrian Lobsiger. Tuttavia non tutti i problemi sono stati risolti.
In particolare, precisa una nota odierna di Mister dati, i gestori hanno accolto la raccomandazione di accrescere la sicurezza tecnica dell’app e di limitare in misura proporzionata le possibilità concesse alle autorità sanitarie cantonali di consultare i dati raccolti in modo centralizzato.
L'esame dell'app è incominciato nel dicembre scorso e ha messo in luce numerose carenze, cui hanno fatto seguito dieci raccomandazioni che i gestori hanno in maggioranza adottato dopo numerose videoconferenze cui hanno partecipato anche le autorità sanitarie dei Cantoni di Vaud e del Vallese.
Oltre a lacune di natura tecnico-organizzativa, è stato appurato che i gestori privati dell’applicazione accordavano alle autorità sanitarie dei due cantoni menzionati un accesso diretto alla banca dati centralizzata rendendola disponibile per ricerche personali mirate di vario genere, come denunciato anche da alcuni media, nonostante l’assenza di motivi che giustificassero tale atto, violando così anche il principio di proporzionalità.
I gestori hanno riconosciuto i problemi che contestavano ancora nell’aprile scorso e hanno dichiaro di averli risolti, un'affermazione che Mister dati si riserva però di verificare nei prossimi mesi.
Ulteriori raccomandazioni riguardavano la completezza delle informazioni nei confronti degli utenti, l’esportazione di numeri telefonici negli Stati Uniti nell’ambito della verifica dei numeri nonché la configurazione della piattaforma Microsoft Azure, sulla quale si trova la banca dati centralizzata. Queste raccomandazioni sono state accolte soltanto in parte e applicate solo parzialmente.
L’IFPDT si riserva di ritornare anche su queste raccomandazioni, in parte contestate, nell’ambito di controlli a posteriori e, se del caso, di promuovere un’azione dinanzi al Tribunale amministrativo federale.
SocialPass consta di tre componenti: il "SocialPass", il "SocialScan" e una banca dati centralizzata. Attraverso l’applicazione "SocialPass" i clienti inseriscono i dati di contatto sul loro smartphone. Quando vanno al ristorante sono tenuti a scansionare il codice QR dell’esercizio.
I dati forniti e quelli dell’esercizio pubblico vengono poi trasmessi automaticamente a una banca dati centralizzata, dove vengono memorizzati. Quest'ultima è ubicata su un server di Microsoft Azure situato in Svizzera.
Nell’ambito della prima notifica il numero di cellulare degli utenti viene verificato da Twilio, un servizio situato negli Stati Uniti, mediante l’invio di un codice SMS. Ha luogo così un trasferimento di dati in uno Stato terzo in cui non esiste un livello di protezione dei dati adeguato.