13 minuti

 

IL GARANTE PRIVACY BLOCCA L’APP MITIGA.

 

Il Garante per la protezione dei dati personali ha disposto il blocco provvisorio dei trattamenti dei dati personali nei confronti della Società che gestisce l’app “Mitiga Italia”.

L’app era stata utilizzata per la prima volta il 19 maggio scorso per consentire l’ingresso alla finale di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19.

La misura si è resa necessaria essendo emersa la possibilità che l’app, nei prossimi giorni, potesse essere utilizzata per governare l’accesso a altri eventi e spettacoli o altre iniziative sportive.

Nel suo provvedimento il Garante ha sottolineato come non esista al momento una valida base giuridica per il trattamento di dati, anche particolarmente delicati come quelli di natura sanitaria, effettuato mediante l’app e finalizzato ad accertare la situazione “Covid free” di quanti partecipino ad avvenimenti sportivi nonché ad altre manifestazioni pubbliche o accedano a locali aperti al pubblico.

La società Mitiga, infine, avendo il 1° aprile sottoposto all’Autorità l’applicativo, avrebbe comunque dovuto astenersi da ogni trattamento di dati non essendo decorso il tempo previsto dal Regolamento per l’assunzione di una decisione da parte della stessa Autorità.

Il blocco ha effetto immediato e si protrarrà per il tempo necessario a consentire all’Autorità la definizione dell’istruttoria avviata.

Provvedimento del 3 giugno 2021

Registro dei provvedimenti
n. 224 del 3 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d. lgs. 30 giugno 2003, n. 196, come modificato dal d. lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

CONSIDERATO che recenti articoli di stampa hanno riportato la notizia dell’avvenuto utilizzo dell’App Mitiga Italia al fine di consentire l’accesso al Mapei Stadium di Reggio Emilia per assistere all’evento calcistico “Finale Coppa Italia TIM Vision 2020/2021” svoltosi il 19 maggio 2021;

TENUTO CONTO che l’utilizzo di tale Applicazione consente all’utente di attestare il possesso delle condizioni oggetto anche delle certificazioni verdi COVID-19 di cui all’articolo 9 del decreto legge 22 aprile 2021, n. 52 “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19” (di seguito “d. l. n. 52/2021”) e ha costituito condizione necessaria ai fini dell’accesso al predetto evento sportivo;

VISTE le richieste di informazioni nei confronti di Mitiga S.r.l. (prot. n. 28849/21) e nei confronti di Lega Nazionale Professionisti Serie A (prot. n. 29340/21) trasmesse dall’Autorità rispettivamente il 25 maggio e il 27 maggio 2021;

VISTO il decreto del Sottosegretario di Stato allo sport, con cui, il 6 maggio 2021, è stato stabilito che, “con riferimento alla Finale Coppa Italia TIM Vision 2020/2021 in programma a Reggio Emilia il 19 maggio 2021, ai sensi dell’articolo 5, comma 3, del decreto legge 22 aprile 2021 n. 52 (..), l’ingresso allo stadio è riservato alle persone in possesso di certificazione che attesti l’esecuzione di un test diagnostico negativo nelle 48 ore antecedenti l’evento o di certificazione che attesti il completamento della procedura di vaccinazione ovvero di certificato che attesti la guarigione dalla [infezione da] Covid-19 in epoca non antecedente a sei mesi dalla data dell’evento”;

VISTI, al riguardo, l’art. 5 del d. l. n. 52/2021 e l’art. 5 del decreto legge del 18 maggio 2021, n. 65 “Misure urgenti relative all’emergenza epidemiologica da COVID-19” (di seguito “d. l. 65/2021”) che hanno previsto specifiche misure per la ripresa di spettacoli aperti al pubblico e di eventi sportivi;

VISTO, in particolare, l’art. 5, commi 2-4 del d. l. n. 52/2021 ai sensi del quale “a decorrere dal 1 giugno 2021, in zona gialla (..) gli eventi e le competizioni di livello agonistico (..) organizzati dalle rispettive federazioni sportive nazionali (..) devono svolgersi nel rispetto delle linee guida adottate dalla Presidenza del Consiglio dei  ministri – Dipartimento per lo sport, sentita la Federazione medico sportiva italiana  (FMSI), sulla  base  di  criteri  definiti  dal Comitato tecnico-scientifico”; le predette linee guida “possono  prevedere, con riferimento  a  particolari  eventi, che l’accesso sia riservato soltanto ai soggetti in possesso delle certificazioni verdi COVID-19 di cui all’articolo 9”;

VISTO, inoltre, l’art. 9, comma 10 del d. l. n. 52/2021, ai sensi del quale, “con decreto del Presidente del Consiglio dei ministri, adottato di  concerto  con  i  Ministri  della   salute,   per   l’innovazione tecnologica  e  la  transizione  digitale  e  dell’economia  e  delle finanze, sentito il Garante per la  protezione  dei  dati  personali, sono individuat[i] (..) i dati  che  possono  essere  riportati nelle certificazioni verdi COVID-19, le modalità  di  aggiornamento  delle certificazioni, (..) la struttura dell’identificativo univoco delle certificazioni verdi COVID-19 e del codice a barre interoperabile che consente di verificare l’autenticità, la validità e l’integrità delle stesse, l’indicazione dei soggetti deputati al controllo  delle certificazioni, i tempi di conservazione dei dati  raccolti  ai  fini dell’emissione delle certificazioni, e le misure  per  assicurare  la protezione dei dati personali contenuti nelle certificazioni”;

CONSIDERATO che il Garante, con decisione del 23 aprile 2021, recante il provvedimento di avvertimento “in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19 prevista dal d. l. 22 aprile 2021” (di seguito “provvedimento del 23 aprile 2021”),  ha rilevato che il predetto decreto legge non costituisce una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale in quanto privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice (artt. 2-ter e 2-sexies);

TENUTO CONTO in particolare che, come ribadito nel sopracitato provvedimento, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione della certificazione verde COVID-19 e che, “ai fini della legittimità del trattamento, è indispensabile che tale previsione normativa ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo e oggettivo, introducendo garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini e alla natura dei dati trattati” (v. Audizione informale del Presidente del Garante per la protezione dei dati personali, tenutasi il 6 maggio 2021 presso le Commissioni riunite I, II e XII della Camera dei Deputati, inerente alle tematiche relative alla certificazione verde COVID-19);

PRESO ATTO altresì che, come già statuito dall’Autorità con il summenzionato provvedimento del 23 aprile 2021, non appaiono conformi alla disciplina in materia di protezione dei dati personali le previsioni del d. l. 52/2021 secondo cui, nelle more dell’adozione del decreto del Presidente del Consiglio dei ministri di cui all’art. 9, comma 10 sia ammesso l’utilizzo delle certificazioni verdi redatte prima dell’entrata in vigore del predetto decreto legge (art. 9, commi 4 e 10 del d. l. 52/2021); ciò “in quanto tali documenti risulterebbero essere rilasciati in assenza delle misure che saranno individuate con il succitato decreto delegato” (v. provvedimento del 23 aprile 2021, punto 2);

RILEVATO che la società in data 1° aprile 2021 ha presentato all’Autorità un’istanza ai sensi dell’art. 36 del Regolamento in ordine al trattamento di dati personali posto in essere mediante l’app Mitiga e che tale istanza non rientra tra i casi per i quali questa Autorità è tenuta ad esprimere pareri o autorizzazioni preventive, stante la mancata indicazione di un quadro completo e definito dei trattamenti complessivamente effettuati dalla società Mitiga s.r.l. utile a consentire all’Autorità una compiuta valutazione ai sensi dell’art. 36 del Regolamento;

CONSIDERATO, peraltro, che la società, nelle more del coinvolgimento dell’Autorità nell’ambito dell’asserita consultazione preventiva, doveva astenersi dall’effettuare i trattamenti oggetto di specifica istanza, non essendo decorso il termine previsto dal Regolamento in merito alla procedura suddetta;

VISTA la nota di risposta della società Mitiga s.r.l. inviata in data 31 maggio 2021 nella quale quest’ultima asserisce di trattare, attraverso l’applicativo, i dati in qualità di titolare del trattamento e dalla quale risulta che la società tratta anche dati personali appartenenti a categorie particolari di cui all’art. 9 del Regolamento (es. dato relativo alla guarigione dalla infezione da Covid-19) rispetto ai quali è necessario che il trattamento sia conforme ai principi di proporzionalità, minimizzazione, liceità e correttezza;

CONSIDERATO altresì che, per tutte le ragioni sopra esplicitate, è necessario che l’eventuale utilizzo di soluzioni informatiche volte a documentare la certificazione verde COVID-19 sia previsto in termini omogenei su tutto il territorio nazionale sulla base delle modalità di cui al decreto del Presidente del Consiglio dei ministri nei termini previsti dall’art. 9, comma 10, del d. l. n. 52/2021;

RITENUTO, pertanto, che, alla luce di quanto complessivamente evidenziato, non sussiste, allo stato, una valida base giuridica per il trattamento di dati effettuato mediante l’utilizzo dell’app Mitiga Italia volto ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi COVID-19 ai fini della partecipazione ad eventi sportivi nonché ad altre manifestazioni pubbliche;

VISTA la necessità, anche in ragione del possibile utilizzo della suddetta applicazione ai fini della partecipazione ad ulteriori eventi sportivi di analoga natura nonché della indicata possibilità che già a partire dal corrente mese di giugno tale applicativo sia adottato anche per consentire l’accesso ad altre manifestazioni pubbliche, di intervenire urgentemente per tutelare i diritti e le libertà degli interessati, adottando, nelle more degli accertamenti in corso, ogni possibile misura a tal fine;

RITENUTO, dunque, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, di dover adottare, in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento -, nei confronti di Mitiga S.r.l., la misura della limitazione provvisoria del trattamento;

RAVVISATA la necessità di disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;

TENUTO CONTO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lette e), del Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento dispone nei confronti di Mitiga S.r.l. la misura della limitazione provvisoria del trattamento posto in essere per il tramite dell’App Mitiga Italia volto ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi Covid-19 ai fini della partecipazione ad eventi sportivi e ad altre manifestazioni pubbliche;

b) detta limitazione è disposta, salva successiva ulteriore valutazione, per il tempo necessario a consentire a questa Autorità il completamento dell’istruttoria avviata con le richieste di informazioni citate in premessa;

c) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 3 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

Lascia un commento