By Order No. 224 dated 3 June 2021, the Italian Data Protection Authority has urgently ordered the temporary limitation of the processing carried out by smartphone application called “Mitiga Italia”, already used on May 19 to permit access to Reggio Emilia Mapei Stadium during 2020/2021 Italian Cup final.
IL FATTO:
Dopo i provvedimenti di avvertimento già emessi in materia di certificazioni verdi Covid-19 (che trovate qui e qui), l’Autorità torna sullo spinoso tema delle attestazioni digitali di non infezione utilizzate come mezzo per condizionare l’accesso a luoghi o servizi.
A finire nel mirino del Garante stavolta è stata l’applicazione sviluppata dalla società Mitiga S.r.l. impiegata per consentire agli spettatori di assistere alla finale di Coppa Italia sulla base di quanto stabilito da decreto del Sottosegretario di Stato allo sport, con cui, si condizionava l’ingresso allo stadio ai soggetti in grado di certificare, alternativamente, l’esecuzione di un test diagnostico negativo nelle 48 ore antecedenti l’evento, il completamento della procedura di vaccinazione o la guarigione dall’infezione in epoca non antecedente a sei mesi dalla data dell’evento.
Il Garante ha con forza ribadito che in assenza di una legge statale, ad oggi non ancora approvata, non è possibile subordinare l’esercizio di determinati diritti o libertà all’esibizione della certificazione di non infezione: non costituiscono un presupposto sufficiente a tal fine le previsioni del d. l. 52/2021 secondo cui l’utilizzo delle certificazioni verdi redatte prima dell’entrata in vigore del predetto decreto risulti ammesso nelle more dell’adozione del decreto del Presidente del Consiglio dei ministri che dovrebbe individuare gli estremi del connesso trattamento. Non esistendo una valida base giuridica per il trattamento di tali informazioni, che includono anche dati particolarmente delicati come quelli di natura sanitaria, il relativo trattamento risulterebbe illecito.
Alla luce di quanto sopra, l’Autorità ha ritenuto opportuno intervenire d’urgenza nei confronti della società Mitiga S.r.l., anche in considerazione della possibilità che l’app “Mitiga Italia” venisse utilizzata ai fini della partecipazione di altri eventi sportivi di analoga natura. Per questo motivo il Garante ha disposto il blocco provvisorio del trattamento posto in essere mediante l’app con effetto immediato, di modo da consentire all’Autorità la definizione di un’apposita istruttoria.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame conferma la posizione già espressa dall’Autorità in più occasioni: qualsiasi trattamento di dati personali assimilabile a quello connesso all’attestazione di certificazioni “covid free” è ad oggi da considerarsi illecito in quanto posto in essere in violazione dell’art. 6 del GDPR, non essendo ancora stata approvato un atto legislativo in grado di fungere da idonea base giuridica. È dunque importante diffidare di soluzioni che offrano, a enti pubblici e privati, questo tipo di servizio.