Non utilizzeranno l’app Mitiga le 1.000 persone che domenica vedranno allo stadio ‘Meazza’ Inter-Udinese, ultima partita di campionato in cui la squadra di Antonio Conte festeggerà in casa con i tifosi lo scudetto già ipotecato.
E come entreranno allo stadio i tifosi? I presenti sono da considerare ospiti della società nerazzurra: saranno dipendenti dell’Inter, sponsor e famiglie dei calciatori e dunque sarà la squadra a decidere la modalità di ingresso.
Invece, per la finale di Coppa Italia è stata l’app Mitiga a consentire l’accesso alle oltre 4mila persone allo stadio di Reggio Emilia.
“È andata bene, zero code e i numeri di download dell’app sono stati buoni. Non ci sono stati problemi nel primo uso di Mitiga”, ci racconta Fabio Traini, marchigiano, uno dei due fondatori dell’app. “Ora”, ci annuncia, “stiamo lavorando per usarla per il test in discoteca il 5 giugno in Puglia”.
L’intervista al legale dell’app Mitiga
Noi abbiamo intervistato il legale dell’app, che preferisce non rivelare pubblicamente il nome, per capire nel dettaglio come Mitiga gestisce i dati personali e sanitari degli utenti.
Key4biz. Mitiga chiede il consenso sul trattamento dei dati sanitari Covid degli utenti?
Sì, chiediamo il consenso esplicito e l’uso dell’app è finalizzato all’emissione del QR Code che si visualizza di colore verde per accedere, come è avvenuto mercoledì sera allo stadio per la finale di Coppa Italia.
Key4biz. Quali dati sanitari tratta l’app Mitiga?
L’applicazione effettua il trattamento del solo dato del tampone negativo effettuato in uno dei centri autorizzati e convenzionati con l’app. Mitiga non sa della positività del tampone, perché il QR Code dall’app si genera solo a seguito del caricamento del risultato negativo da parte del centro autorizzato. Il QR Code ha una validità di 48 ore, per cui trattiamo un dato sanitario, l’unico e minimizzato, che ha una breve validità, ma non conserviamo il referto del tampone, in possesso della farmacia che l’ha effettuato, di cui Mitiga non entra mai in possesso. Il dato negativo del tampone è indispensabile per usare l’app ai fini di accesso in un luogo, come lo stadio della finale.
Key4biz. L’app effettua anche il trattamento dei dati dei certificati cartacei dei vaccinati e guariti dal Covid?
No. Né sull’app né sul sito dell’applicazione sono caricati i certificati cartacei dei vaccinati o guariti. Queste persone firmano un’autodichiarazione sull’app grazie alla quale viene poi rilasciato sull’applicazione il QR Code di colore rosso, il cui possesso è stata definita dalla Lega di Serie A condizione necessaria per accedere allo stadio per vedere la finale di Coppa Italia mercoledì 19 maggio.
Key4biz. Ma mercoledì sul sito dell’applicazione era scritto “per i vaccinati e guariti, anche se in possesso del certificato cartaceo che lo attesti, sono costretti all’iter digitale, che sarà completato nelle postazioni allestite all’ingresso dello stadio, incaricate di trasferire il certificato vaccinale o quello di avvenuta guarigione sull’applicazione”
Questo è un aspetto della Comunicazione dell’app, io mi occupo degli aspetti legali. Nella realtà non avviene così. Il certificato cartaceo del vaccinato o guarito dal Covid viene mostrato al luogo dell’evento e, dopo aver verificato l’identità delle persone, si sblocca il QR Code sull’app. Mitiga ha concluso un accordo con la Lega di Serie A per l’utilizzo dell’app per accedere allo stadio della finale di Coppa Italia. L’applicazione rende più agevole il flusso delle persone e più veloci i controlli dei certificati cartacei e dei tamponi rispetto a una verifica tradizionale.
Key4biz. Qual è la base giuridica a cui fa riferimento l’app Mitiga?
La base giuridica è il consenso esplicito, libero ed informato dell’interessato, come previsto dai princìpi del GDPR.
Key4biz. Concretamente come è stata creata privacy by design l’app?
Con la minimizzazione dei dati richiesti all’utente, limitando temporalmente la conservazione dei dati e non cedendoli a terzi.
Key4biz. Come avviene il trattamento dei dati con Mitiga e perché l’esigenza di procedere alla “schedatura/profilazione interna degli utenti”?
Il consenso è la base di ogni trattamento dei dati effettuati dall’app. L’applicazione acquisisce il consenso più ampio possibile per consentire all’app di erogare il servizio richiesto (generazione di un QR Code) e la schedatura/profilazione dei dati altro non è che un normale sistema di archiviazione dei soli dati non sensibili/particolari (quindi no dati sanitari) per il corretto utilizzo della app.
Key4biz. Mitiga gestisce i dati su larga scala. Ha effettuato la valutazione d’impatto?
Nel rispetto del principio dell’accountability, sancito dal GDPR, Mitiga ha effettuato la data protection impact assessment e detiene il registro dei trattamenti dati, ovviamente a disposizione per eventuali controlli da parte del Garante della Privacy.
Key4biz. Come fa Mitiga ad ottenere il consenso aggiuntivo e separato per ricevere la newsletter e per la schedatura/profilazione?
Qui non parliamo più del dato sanitario del tampone negativo, qui il riferimento è ai dati come nome, cognome, email per i quali è richiesto un unico consenso fornito in modo esplicito.
I dubbi privacy
Ci lascia un dubbio la richiesta agli utenti di un unico consenso, quando si registra all’app, per
- “erogare il servizio di newsletter informative, di notifiche e rispondere alle richieste di informazioni dell’interessato” e per
- “produrre articoli redazionali, effettuare analisi statistiche e procedere alla schedatura/profilazione interna degli utenti”.
Sono questi i due punti a cui fa riferimento il testo della richiesta del consenso unico, come si vede dallo screenshot dell’app.
Perché il dubbio?
Perché, come indicato dal Garante Privacy nelle linee guida antispam di luglio 2003, è obbligatorio chiedere un consenso per il marketing e un altro consenso separato per la profilazione. Qui siamo di fronte a un unico consenso per prendere tutto. Sembra un’offerta al supermercato, “paghi uno, prendi due”.
“Il titolare del trattamento deve acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio: marketing, profilazione”, scrive il Garante della Privacy nelle linee guida sul consenso per le modalità di marketing.
“Non c’è libertà se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse”, è scritto, chiaro e tondo, a pagina 13 delle linee guida 5/2020 sul consenso redatto dal comitato europeo per la protezione dei dati, composto dai Garanti privacy nazionali e da quello europeo.
Infine, abbiamo scaricato l’app Mitiga e provato a registrarci, ma la registrazione è vincolata dal dare il consenso per ricevere la newsletter e per la schedatura/profilazione.
Come si vede dall’immagine, se non si spunta la voce, non è possibile cliccare su “prosegui” e procedere con la registrazione e quindi usare l’app.
E senza l’applicazione, le circa 4mila persone non avrebbero potuto vedere la finale di Coppa Italia allo stadio o il 5 giugno prossimo i giovani non potranno ballare nelle discoteche pugliese durante il test del green pass per la movida. E chissà in quante altre occasioni potrebbe essere utilizzata Mitiga in Italia, in attesa del green pass governativo…
La richiesta obbligatoria del consenso unico per ricevere la newsletter e per la schedatura/profilazione, altrimenti è impossibile usare Mitiga, mostra chiaramente che il consenso per gli utenti non è facoltativo, come, invece, deve essere in questi casi.
Secondo le norme, le persone devono avere la possibilità di non selezionare la voce del consenso per marketing e profilazione e procedere liberamente alla registrazione.
App Mitiga, ma non mitica sotto il profilo della gestione della privacy degli utenti.