Key4biz

Green pass, quando quello del Governo? Per la finale di Coppa Italia schedate 4mila persone con l’app ‘Mitiga’. Dati sanitari in mano a chi?

App Mitiga_bloccata_da_garante_privacy

Non è ancora operativo il green pass nazionale promesso dal premier Mario Draghi “in vigore dalla seconda metà di maggio”. Così questa sera circa 4.300 persone (il 20% della capienza, come stabilito dal Comitato tecnico scientifico) saranno costrette a scaricare la app ‘Mitiga’, sviluppata da una società privata, per accedere al ’Mapei Stadium-Città del Tricolore’ di Reggio Emilia per vedere chi tra Atalanta e Juventus alzerà la Coppa Italia. I tifosi dovranno obbligatoriamente esibire il green pass attraverso questa app privata, mentre le strutture informatiche del Governo stanno ancora terminando il pass nazionale…

“Abbiamo un accordo con la Lega Serie A”, ci dice al telefono Fabio Traini, uno dei due fondatori dell’app, che ha ottenuto ok dal vertice del calcio italiano (qui il comunicato della Lega Serie A).

Istruzioni per accedere allo stadio con l’app Mitiga

Per accedere allo stadio è obbligatorio, si legge sul sito dell’applicazione, 

Ecco com’è la gestione della privacy dei tifosi allo stadio

Dall’informativa privacy dell’app si legge chiaramente che i dati verranno utilizzati per:

  1. Garantire la registrazione dell’Interessato sull’App;
  2. Gestire e garantire il corretto utilizzo dell’App e dei servizi connessi;
  3. Erogare il servizio di newsletter informative, di notifiche e rispondere alle richieste di informazioni dell’Interessato;
  4. Produrre articoli redazionali, effettuare analisi statistiche e procedere alla schedatura/profilazione interna degli utenti.

Quindi i dati personali e sanitari delle persone allo stadio, con l’eccezione di quelli degli under 14, saranno utilizzati per scopi pubblicitari e per la “schedatura/profilazione interna degli utenti”. Cosa significa? Siamo in attesa di una risposta da parte dell’avvocato della società.

Il titolare del trattamento dei dati è la Mitiga S.r.l. in persona del legale rappresentante pro tempore con sede a Roma.

Come è garantita la sicurezza dei dati?

“Qualsiasi dato eventualmente trattato e raccolto sarà custodito in un server privato e protetto situato in Italia. I dati raccolti tramite l’App saranno gestiti direttamente da Mitiga S.r.l., che li custodirà nel server” di cui sopra, spiega la società.

Butti (FdI): “Il Garante Privacy intervenga con urgenza per bloccare l’uso dell’app”

“Non c’è ancora traccia del green pass promesso dal premier Draghi. Così la Lega di Serie A è stata costretta ad utilizzare un’app di privati per consentire questa sera ai 4.300 tifosi l’accesso al ‘Mapei Stadium-Città del Tricolore’ di Reggio Emilia per vedere la finale di Coppa Italia. Una app che però presenta diverse criticità, come mostrato dal quotidiano online ‘Key4biz’, in merito alla privacy e sicurezza dei dati personali e sanitari, delle circa 4mila persone obbligate a scaricarla per potere accedere allo stadio”. L’ha dichiarato il deputato Alessio Butti, responsabile Tlc di Fratelli d’Italia. “Nell’informativa privacy si legge, chiaramente, che i dati verranno utilizzati anche per la ‘schedatura/profilazione interna degli utenti”. Non solo.

Per l’ingresso allo stadio”, aggiunge Butti, “non si accetta il certificato cartaceo di avvenuta vaccinazione o guarigione al Covid e chi ne è in possesso sarà costretto a caricarlo sull’app, con una successiva richiesta obbligata di dati sensibili, come quelli sanitari, ed anche in violazione del decreto legge che prevede il certificato verde Covid in formato cartaceo o digitale. Credo sia doveroso un intervento urgente del Garante della Privacy per bloccare l’uso dell’app”, conclude. 

Gli esperti di privacy. Del Ninno: “Informativa non conforme al quadro giuridico, violato il GDPR”

“L’informativa sul trattamento dei dati personali appare in più parti non conforme al quadro normativo”, ci spiega l’avvocato Alessandro Del Ninno, esperto di data protection e ICT. “Il titolare Mitiga Srl dimentica, per esempio,”, continua Del Ninno, “che il trattamento dei dati relativi alla salute (vietato in via generale dall’articolo 9, comma 1, del GDPR) è consentito solo in una serie di casi (si veda l’articolo 9.2 GDPR) tra i quali non sono previsti proprio quelli per cui l’app dichiara lecito il trattamento, ossia per ‘garantire la registrazione dell’interessato sull’App e gestire e garantire il corretto utilizzo dell’App e dei servizi connessi’.
Infatti, il GDPR non prevede quale condizione di inapplicabilità del divieto di trattamento dei dati di particolare natura (sanitari inclusi) l’adempimento del contratto o per riscontrare richieste precontrattuali dell’interessato. Per questo trattamento l’app, tuttavia, non richiede il consenso”.

“Lo chiede per l’invio della newsletter e la schedatura/profilazione”, osserva l’avvocato, “ma ne rende obbligatoria la prestazione, ció che è da sempre illecito. Prevede anche che i dati di profilazione siano comunicati a terzi, senza chiedere il previsto e separato consenso aggiuntivo”.

“L’app di privati”, conclude Del Ninno, “possono raccogliere dati sanitari purché ci sia un consenso libero non coartato ed informato dell’interessato. Nel caso di Mitiga abbiamo un’informativa inidonea, un consenso non libero e un consenso che non va a coprire i dati sanitari in violazione del GDPR”.

Lisi: “Fatta la valutazione d’impatto visto il trattamento dati su larga scala?”

“L’app è stata progettata seguendo scrupolosamente l’art. 25 del GDPR? Quindi è stata progettata seguendo rigidi criteri di privacy by design e by default, considerando la particolare natura dei dati trattati? Ha senso garantire l’accesso solo in questo modo, senza altre valide alternative? Sono previsti separati consensi per il trattamento dei dati ai fini dell’accesso allo stadio e per i trattamenti ultronei per finalità diverse?” ci dice l’avvocato Andrea Lisi, esperto in diritto dell’informatica e privacy.

Inoltre“, conclude, “considerata la natura dei dati e il trattamento su larga scala è stata effettuata dal titolare una data protection impact assessment? A mio avviso, potrebbe risultare necessaria. Come senz’altro andrebbero predisposte misure di sicurezza proporzionate ai rischi che si corrono e, leggendo la genericità delle informative fornite, mi sembra che si possa nutrire qualche dubbio in merito…”

Exit mobile version