Green Pass e privacy: puoi stare tranquillo

Non sono totalmente d'accordo. Io ho provato l'applicazione che genera e legge i QR code, la parte col codice sorgente aperto, e ti assicuro che nel QR code sono compresi dati sensibili. Ma se anche l'applicazione che legge il QR code fosse come dici tu, la persona che te lo scansiona ha firmato la legge sulla privacy per ogni persona a cui scansiona il codice? Perché lui in quel momento sa se sono vaccinato e questo è un dato di salute molto sensibile. Chi mi assicura che questo la qualunque non vada in giro a sbandierare i fatti miei?

"Il QR Code non rivela l'evento sanitario che ha generato la Certificazione Verde": non è vero, il QR lo rivela eccome. Tutti i dati mostrati nella parte "nascosta" del certificato cartaceo sono presenti nel QR! ALTRA cosa è che l'app VerificaC19 non li mostri... questo è vero, ma dire che non sono nel QR crea solo confusione! Con un'altra app (quella di altri governi, ad esempio il "wallet" del governo svizzero che permette di scansionare anche i QR italiani) quei dati ci possono vedere. Inoltre, SÌ, in parte il certificato verde serve "per sapere chi sono": infatti, senza nome, cognome e data di nascita (che assolutamente SONO nel QR e anche visualizzati da VerificaC19) non si potrebbe verificare, chiedendo di esibire un documento d'identità con fotografia, che il QR mostrato sia effettivamente quello della persona che lo mostra. Ciò non comporta di per sé alcuna mostruosa violazione della privacy; diciamo, però, le cose chiare e precise come stanno, altrimenti basta che uno si scarichi l'app svizzera per perdere fiducia in quello che dite.

Fare allarmismo è profondamente inutile. Chiaramente la frase estrapolata dal contesto può assumere un senso diverso, ma leggendola nel contesto è ovvio che il significato è: "La lettura del QR Code non rivela l'evento sanitario che ha generato la Certificazione Verde". Ora, il fatto che l'app svizzera (non installabile tramite il Play Store) mostri tutte le informazioni, è un dettaglio che a noi non deve interessare, in quanto nessun controllo verrà mai fatto con tale applicazione in territorio italiano. Del resto, esistono già numerosi sistemi per leggere i dati contenuti nel QR Code, compresi alcuni siti web. Il fatto che il GPDP si sia espresso positivamente sul sistema di verifica, è già una sicurezza. In Italia si può usare solo VerificaC19, mentre nei paesi dell'UE avranno app simili con le medesime funzionalità; la Svizzera, non essendo membro dell'UE, può permettersi di avere un'app che "legge" più dati rispetto al solo nome e data di nascita. Se non vi piace, non andate in Svizzera. Riguardo ai "controllori" in Italia, bisognerebbe abbandonare quel provincialismo paranoico che fa scrivere cose come "Chi mi assicura che questo la qualunque non vada in giro a sbandierare i fatti miei?". Già, e chi mi assicura che il medico che mi ha fatto il vaccino non lo dica in giro? E chi mi assicura che lo scrutatore di seggio non vada a dire in giro dove abito? E chi mi assicura che chi lavora all'Enel non racconti al cognato quanto pago di bolletta? Chi controllerà i Green Pass avrà un cellulare e ne verificherà migliaia, vedendo solo nome, cognome e data di nascita; mi piacerebbe capire cosa avrebbe di speciale il vostro Pass rispetto a quello degli altri. Questi "controllori" sono ben inquadrati dal DPCM 17.06.2021, che vi consiglio di leggere per intero. Concludo dicendo che non vi sono elementi che possano far discutere su una eventuale violazione della privacy.

Questa giustificazione è illogica e irrazionale. Se il QRcode contiene dei dati sensibili (e i miei dati personali, la mia vaccinazione LO SONO) allora chi mi legge il GreenPass dovrebbe ricevere dal sottoscritto autorizzazione scritta al trattamento dei dati sensibili. Punto e basta. Che il garante abbia acconsentito e la Corte Costituzionale abbia coperto gli occhi questo non significa che sia giusto.

L'applicazione svizzera non è presente sul Play Store visualizzato in Italia, ma è comunque tranquillamente scaricabile a F-Droid essendo anch'essa un'app open source. Alex, tu pensi che quando un operatore (ad esempio un ristoratore) effettuerà un controllo sul tuo green pass, chiederai a questo operatore di mostrarti quale app, precisamente, sta girando sul suo telefono? D'altronde, app svizzera o meno, dici tu stesso che esistono altri "numerosi sistemi" per leggere le informazioni più sensibili del QR, tra cui persino semplici siti web. E ciò non deve stupire, visto che il sistema è totalmente aperto. Che poi, LEGALMENTE, in Italia sia consentito agli operatore solo l'uso di VerificaC19 è un'altra questione: se tu, nello specifico, ti fidi che ciò avverrà, e ti fidi che VerificaC19 come pubblicata sul Play Store (il codice sorgente in quel caso non è tecnicamente verificabile, in quanto al contrario dell'app svizzera, che tu sembri ritenere offra "meno privacy", NON è concepita per offrire build riproducibili, che permetterebbero di affermare con certezza TECNICA, non legale, che l'app è esattamente quella il cui codice sorgente è pubblicato), va benissimo, e come ho detto, non esiste nessuna "mostruosità" di per sé sulla privacy offerta da questo sistema. Però io ho semplicemente detto che l'affermazione "Il QR Code non rivela l'evento sanitario che ha generato la Certificazione Verde" è tecnicamente falsa, e falsa lo è. Tu concludi dicendo che non ci sono elementi che passano far discutere su una eventuale violazione della privacy; io dico che la discussione in merito alla privacy è sacrosanta, e non capisco come fai a erigerti a decisore di cosa vada discusso e cosa no: questo articolo parla della privacy del green pass, e se ci sono alcune affermazioni tecnicamente non corrette, ci mancherebbe anche che non si possano far notare solo perché "il GPDP si è espresso positivamente" e "i controllori sono ben inquadrati"!!! Questo è innanzitutto un sito TECNICO sull'informatica, e i fatti tecnici su cosa contiene il QR sono quelli che metto in discussione. Se tu parli d'altro, allora per favore non riferirti a quello che dico io, accusandomi implicitamente di fare allarmismo inutile. Grazie.

Se permetti, ti ricordo che non hai letto la parte più importante del mio post, ovvero: "Chiaramente la frase estrapolata dal contesto può assumere un senso diverso, ma leggendola nel contesto è ovvio che il significato è: "La lettura del QR Code non rivela l'evento sanitario che ha generato la Certificazione Verde" VerificaC19 è su GitHub; in che modo sarebbe concepita per "non avere build riproducibili"? Rispondendo al resto, il pensiero che qualcuno (il titolare di un ristorante, una maschera al cinema od a teatro) "raccolga" in qualche strano modo informazioni personali (magari usando l'app svizzera e copiando i dati con un taccuino ed una matita, mentre ci sono decine o centinaia di persone in coda, come se gli fregasse qualcosa del tuo vaccino o della tua passata malattia), a mio modo di vedere rasenta la paranoia. Ma è il mio modo di vedere la vita. Il fatto che il GPDP abbia già verificato gli scenari ed abbia dato il via all'operazione, per me è un discreto motivo per non continuare a parlare di problemi di privacy; se poi emergeranno falle nel sistema, è chiaro che si cercherà di porvi rimedio. Chiudendo, riguardo l'allarmismo, perché pensi che parlassi del tuo post? Non sei l'unico ad avere scritto qualcosa su questo articolo.

Se la tutela dei propri diritti è una "paranoia" allora non esiste alcuna discussione. Cancelliamo la norma sulla Privacy e non ne parliamo più. Qui non si tratta di disquisizioni in punta di diritto ma di diritti fondamentali. Se VerificaC19 legge dati sensibili per verificare il mio stato allora viola la mia privacy. Cosa c'è di difficile da capire ??? Non è l'applicazione svizzera o una maschera al cinema che possono influenzare la validità di una procedura sbagliata nei suoi concetti fondativi.

Mi rispondo da solo riguardo le build riproducibili; ho visto che non è previsto da VerificaC19, ma mi risulta che non lo sia neanche l'originale dgca verifier (la base europea), di cui è un fork; quindi la cosa non mi stupisce affatto. La mancanza di Reproducible Builds non significa che vi sia necessariamente un rischio concreto di leak di dati personali; tutto è stato fatto seguendo la normativa EU.

Certo, tutto secondo la normativa EU.... Questo è il regolamento europeo Document 32021R0953 e all'art. 36 recita : " It is necessary to prevent direct or indirect discrimination against persons who are not vaccinated, for example because of medical reasons, because they are not part of the target group for which the COVID -19 vaccine is currently administered or allowed, such as children, or because they have not yet had the opportunity or chose not to be vaccinated." Ora traducilo e controlla se è lo stesso che leggi nella norma italiana...

io ho la sclerosi multipla, e faccio trapie in aism, per accedere in sezione è obbligatorio esibire il qr, visto che una dioendente dell'aism, pubblica sempre cose contro il GP, vorrei sapere se è un mio diritto sapere se ha il GP, visto che mi ha risposto che lei non deve far vedere niente per la tutela della privacy