privacy&covid

Green pass, quando quello del Governo? Per la finale di Coppa Italia schedate 4mila persone con l’app ‘Mitiga’. Dati sanitari in mano a chi?

di |

In attesa del certificato verde nazionale promesso da Draghi, questa sera circa 4mila persone saranno costrette a scaricare la app ‘Mitiga’, sviluppata da una società privata, per accedere allo stadio per vedere la finale di Coppa Italia. I tifosi dovranno obbligatoriamente esibire il green pass attraverso questa app. Il parere degli esperti privacy ed Alessio Butti (FdI) chiede al Garante di bloccarne l'uso.

Non è ancora operativo il green pass nazionale promesso dal premier Mario Draghi “in vigore dalla seconda metà di maggio”. Così questa sera circa 4.300 persone (il 20% della capienza, come stabilito dal Comitato tecnico scientifico) saranno costrette a scaricare la app ‘Mitiga’, sviluppata da una società privata, per accedere al ’Mapei Stadium-Città del Tricolore’ di Reggio Emilia per vedere chi tra Atalanta e Juventus alzerà la Coppa Italia. I tifosi dovranno obbligatoriamente esibire il green pass attraverso questa app privata, mentre le strutture informatiche del Governo stanno ancora terminando il pass nazionale…

“Abbiamo un accordo con la Lega Serie A”, ci dice al telefono Fabio Traini, uno dei due fondatori dell’app, che ha ottenuto ok dal vertice del calcio italiano (qui il comunicato della Lega Serie A).

Istruzioni per accedere allo stadio con l’app Mitiga

Per accedere allo stadio è obbligatorio, si legge sul sito dell’applicazione, 

  • Scaricare Mitiga e registrarsi. Il profilo del minore di anni 14 può essere associato a quello del genitore. Non saranno generati QR code per i minori ma saranno associati a quello del genitore. In caso di minori di 14 anni confermare sull’APP Mitiga l’autodichiarazione dello stato di salute a partire dalle ore 21.00 del 17 maggio 2021.
  • effettuare un tampone a partire dalle ore 21.00 del 17 maggio 2021 (48 ore prima della partita), esclusivamente presso uno dei centri convenzionati Mitiga (la lista dei centri è disponibile esclusivamente sul sito www.mitigaitalia.it e sugli smartphone Apple dotati di sistema iOS). 
  • presentarsi allo stadio muniti di documento d’identità, idonei dispositivi di protezione individuale, biglietto e smartphone con QR code Mitiga (che apparirà di colore verde)
  • Ecco la prima follia. La società dell’app consiglia ai vaccinati e a chi è guarito dal Covid di “eseguire la procedura con tampone, in modo da facilitare e sveltire le operazioni di ingresso. In questo caso indicare sullo stato di dichiarazione di salute della APP Mitiga “TAMPONE” così da avere il QR code verde ed avere un accesso più rapido allo stadio”.
  • In alternativa al tampone, per i vaccinati e guariti, anche se in possesso del certificato cartaceo che lo attesti, sono costretti all’iter digitale, che sarà completato nelle postazioni allestite all’ingresso dello stadio, incaricate di trasferire il certificato vaccinale o quello di avvenuta guarigione sull’applicazione. C’è un’eccessiva richiesta obbligata di dati sensibili, come quelli sanitari. Il decreto legge che introduce il certificato verde Covid-19 in Italia, prevede, nell’articolo 9, di ottenerlo, e quindi di mostrarlo, in formato digitale o cartaceo.

Ecco com’è la gestione della privacy dei tifosi allo stadio

  • Le circa 4.000 persone sanno a chi affideranno i loro dati personali e sanitari per accedere allo stadio? 
  • E sono davvero consapevoli dell’utilizzo che verrà fatto dei dati?

Dall’informativa privacy dell’app si legge chiaramente che i dati verranno utilizzati per:

  1. Garantire la registrazione dell’Interessato sull’App;
  2. Gestire e garantire il corretto utilizzo dell’App e dei servizi connessi;
  3. Erogare il servizio di newsletter informative, di notifiche e rispondere alle richieste di informazioni dell’Interessato;
  4. Produrre articoli redazionali, effettuare analisi statistiche e procedere alla schedatura/profilazione interna degli utenti.

Quindi i dati personali e sanitari delle persone allo stadio, con l’eccezione di quelli degli under 14, saranno utilizzati per scopi pubblicitari e per la “schedatura/profilazione interna degli utenti”. Cosa significa? Siamo in attesa di una risposta da parte dell’avvocato della società.

Il titolare del trattamento dei dati è la Mitiga S.r.l. in persona del legale rappresentante pro tempore con sede a Roma.

Come è garantita la sicurezza dei dati?

“Qualsiasi dato eventualmente trattato e raccolto sarà custodito in un server privato e protetto situato in Italia. I dati raccolti tramite l’App saranno gestiti direttamente da Mitiga S.r.l., che li custodirà nel server” di cui sopra, spiega la società.

Butti (FdI): “Il Garante Privacy intervenga con urgenza per bloccare l’uso dell’app”

“Non c’è ancora traccia del green pass promesso dal premier Draghi. Così la Lega di Serie A è stata costretta ad utilizzare un’app di privati per consentire questa sera ai 4.300 tifosi l’accesso al ‘Mapei Stadium-Città del Tricolore’ di Reggio Emilia per vedere la finale di Coppa Italia. Una app che però presenta diverse criticità, come mostrato dal quotidiano online ‘Key4biz’, in merito alla privacy e sicurezza dei dati personali e sanitari, delle circa 4mila persone obbligate a scaricarla per potere accedere allo stadio”. L’ha dichiarato il deputato Alessio Butti, responsabile Tlc di Fratelli d’Italia. “Nell’informativa privacy si legge, chiaramente, che i dati verranno utilizzati anche per la ‘schedatura/profilazione interna degli utenti”. Non solo.

Per l’ingresso allo stadio”, aggiunge Butti, “non si accetta il certificato cartaceo di avvenuta vaccinazione o guarigione al Covid e chi ne è in possesso sarà costretto a caricarlo sull’app, con una successiva richiesta obbligata di dati sensibili, come quelli sanitari, ed anche in violazione del decreto legge che prevede il certificato verde Covid in formato cartaceo o digitale. Credo sia doveroso un intervento urgente del Garante della Privacy per bloccare l’uso dell’app”, conclude. 

Gli esperti di privacy. Del Ninno: “Informativa non conforme al quadro giuridico, violato il GDPR”

“L’informativa sul trattamento dei dati personali appare in più parti non conforme al quadro normativo”, ci spiega l’avvocato Alessandro Del Ninno, esperto di data protection e ICT. “Il titolare Mitiga Srl dimentica, per esempio,”, continua Del Ninno, “che il trattamento dei dati relativi alla salute (vietato in via generale dall’articolo 9, comma 1, del GDPR) è consentito solo in una serie di casi (si veda l’articolo 9.2 GDPR) tra i quali non sono previsti proprio quelli per cui l’app dichiara lecito il trattamento, ossia per ‘garantire la registrazione dell’interessato sull’App e gestire e garantire il corretto utilizzo dell’App e dei servizi connessi’.
Infatti, il GDPR non prevede quale condizione di inapplicabilità del divieto di trattamento dei dati di particolare natura (sanitari inclusi) l’adempimento del contratto o per riscontrare richieste precontrattuali dell’interessato. Per questo trattamento l’app, tuttavia, non richiede il consenso”.

“Lo chiede per l’invio della newsletter e la schedatura/profilazione”, osserva l’avvocato, “ma ne rende obbligatoria la prestazione, ció che è da sempre illecito. Prevede anche che i dati di profilazione siano comunicati a terzi, senza chiedere il previsto e separato consenso aggiuntivo”.

“L’app di privati”, conclude Del Ninno, “possono raccogliere dati sanitari purché ci sia un consenso libero non coartato ed informato dell’interessato. Nel caso di Mitiga abbiamo un’informativa inidonea, un consenso non libero e un consenso che non va a coprire i dati sanitari in violazione del GDPR”.

Lisi: “Fatta la valutazione d’impatto visto il trattamento dati su larga scala?”

“L’app è stata progettata seguendo scrupolosamente l’art. 25 del GDPR? Quindi è stata progettata seguendo rigidi criteri di privacy by design e by default, considerando la particolare natura dei dati trattati? Ha senso garantire l’accesso solo in questo modo, senza altre valide alternative? Sono previsti separati consensi per il trattamento dei dati ai fini dell’accesso allo stadio e per i trattamenti ultronei per finalità diverse?” ci dice l’avvocato Andrea Lisi, esperto in diritto dell’informatica e privacy.

Inoltre“, conclude, “considerata la natura dei dati e il trattamento su larga scala è stata effettuata dal titolare una data protection impact assessment? A mio avviso, potrebbe risultare necessaria. Come senz’altro andrebbero predisposte misure di sicurezza proporzionate ai rischi che si corrono e, leggendo la genericità delle informative fornite, mi sembra che si possa nutrire qualche dubbio in merito…”

Leggi le altre notizie sull’home page di Key4biz