Il Garante per la protezione dei dati personali ha bloccato provvisoriamente l’utilizzo dell’app Mitiga, piattaforma recentemente utilizzata per gestire l’accesso degli spettatori alla finale di calcio di TIM Cup.
L’applicazione in esame permetteva infatti all’utente di attestare il possesso delle condizioni oggetto anche delle certificazioni verdi COVID-19 – già oggetto di attenzione da parte del Garante – e accedere alla struttura sportiva in sicurezza. In certi termini, l’utilizzo dell’applicazione è stato individuato dal d.l. 52/2021 ove si è previsto come a decorrere dal 1 giugno, gli eventi e le competizioni a livello agonistico organizzati dalle federazioni sportive debbano svolgersi nel rispetto delle linee guida adottate dalla Presidenza del Consiglio dei Ministri sulla base dei criteri definiti dal Comitato tecnico scientifico; le suddette linee guide hanno previsto altresì come, in particolari eventi, l’accesso fosse riservato ai soggetti in possesso delle cd. certificazioni verdi di cui al citato decreto legge. L’applicazione Mitiga permetteva così all’utente di accertare il proprio status attraverso la generazione di un codice qr univoco, ad esempio con l’inserimento del test negativo effettuato presso farmacie convenzionate.
In tale contesto normativo, la società titolare dell’applicativo Mitiga aveva presentato nell’aprile 2021 all’Autorità Garante istanza di consultazione preventiva ai sensi dell’art. 36 del GDPR per l’approvazione dell’utilizzo del descritto strumento; ciononostante il Garante non aveva potuto esprimersi in merito stante un quadro non completo e definito dei trattamenti complessivamente effettuati e rappresentati dalla società dell’applicazione. Si ricorda infatti che un applicativo di tal tipo permetterebbe un trattamento di categorie particolari di dati da parte della società titolare, ovvero il trattamento del dato relativo alla guarigione dall’infezione da Covid-19.
Il Garante ha così ricordato come in tale contesto normativo non sussista alcuna base giuridica idonea a permettere un trattamento così definito. Tale affermazione era già stata avanzata dall’Autorità lo scorso maggio nei confronti del Ministero della Salute nel contesto di introduzione del d.l. del 22 aprile 2021, n. 52 ove venivano introdotte misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale, venivano regolate le modalità di svolgimento di spettacoli aperti al pubblico ed eventi sportivi e di fiere, convegni e congressi. Il Garante ha ribadito che, seppur la normativa nazionale prevedesse un coinvolgimento dell’Autorità, quest’ultima non era stata consultata nell’approvazione del citato decreto legge comportando pertanto una mancata e tempestiva risposta concernente modalità e garanzie che avrebbero contribuito a rispettare la normativa vigente in materia di protezione dei dati personali.
In via principale, l’impianto normativo del decreto legge non forniva altresì un’esplicita e tassativa descrizione delle finalità perseguite dalla certificazione verde, fondamentale per valutare la proporzionalità della norma così come richiesto dall’articolo 6 e 9 del GDPR. Come ulteriormente rappresentato dal Presidente dell’Autorità nella citata memoria, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione. Alla luce di ciò, si palesa l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.
Relativamente al blocco temporaneo dell’app Mitiga, si sottolinea come tale provvedimento sia stato assunto in quanto il titolare avrebbe dovuto astenersi da qualsiasi trattamento di dati personali a seguito del mancato riscontro ricevuto da parte dell’Autorità.
Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9592623