Il Garante per la protezione dei dati personali è intervenuto ancora una volta a tutela della “privacy”, disponendo il «blocco provvisorio dei trattamenti dei dati personali nei confronti della Società che gestisce l’app “Mitiga Italia”». L’app era stata usata il 19 maggio scorso, in occasione della finale di Coppa Italia, per consentire l’ingresso allo stadio degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid.

Il 1° aprile scorso, la società che gestisce l’applicazione aveva presentato all’Autorità un’istanza per la sua valutazione e, in attesa della decisione, doveva astenersi dal suo utilizzo, non essendo decorso il termine previsto per la conclusione del procedimento. Ma l’app era già stata usata, come detto. 

Sul sito web del Garante si legge che «la misura si è resa necessaria essendo emersa la possibilità che l’app, nei prossimi giorni, potesse essere utilizzata per governare l’accesso a altri eventi e spettacoli o altre iniziative sportive».

L’Autorità ha sottolineato che al momento manca «una valida base giuridica per il trattamento di dati, anche particolarmente delicati come quelli di natura sanitaria effettuato mediante l’app e finalizzato ad accertare la situazione “Covid free” di quanti partecipino ad avvenimenti sportivi nonché ad altre manifestazioni pubbliche o accedano a locali aperti al pubblico». Si tratta di un tema ricorrente dal marzo 2020, quando erano state avanzate ipotesi di app di tracciamento di contagi da Covid: senza un adeguato fondamento normativo, conforme ai principi del Regolamento Ue sulla privacy (GDPR) - proporzionalità, limitazione delle finalità, minimizzazione ecc. – i dati non possono essere legittimamente trattati.

Si ricorda che già il 1° marzo scorso, riguardo a soluzioni anche digitali, come le app, «per rispondere all’esigenza di rendere l’informazione sull’essersi o meno vaccinati come condizione per l’accesso a determinati locali o per la fruizione di taluni servizi (es. aeroporti, hotel, stazioni, palestre ecc.)», il Garante aveva richiamato l’attenzione sul rispetto della disciplina in materia di privacy. «I dati relativi allo stato vaccinale, infatti, sono dati particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone»: conseguenze che «possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali».

Il Garante aveva, quindi, affermato che il trattamento di tali dati per l’accesso a locali o la fruizione di servizi dev’essere oggetto di una base legislativa nazionale, «in modo da realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza». In assenza di tale base normativa, «l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati è da considerarsi illegittimo».

Va pure rammentato che il 23 aprile scorso, in occasione del “Decreto riaperture”, il Garante aveva inviato un “avvertimento formale” al Governo, riscontrando gravi criticità per le “certificazioni verdi” nazionali - previste per potersi spostare tra Regioni non “gialle” ed eventualmente anche per usi diversi - destinate a essere sostituite da quelle Ue. L’Autorità aveva rilevato l’assenza di una base normativa idonea; di una precisa individuazione delle finalità «per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri»; dell’indicazione del titolare del trattamento, in violazione del principio di trasparenza, rendendo così difficile, se non impossibile, l’esercizio dei diritti degli interessati.

L’Autorità aveva inoltre sottolineato come la norma prevedesse un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione, e non disponesse tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza. Tale decisione è più volte richiamata nel provvedimento relativo all’app Mitiga.

 Il Garante era intervenuto sul tema anche il 26 maggio scorso, adottando un provvedimento con il quale aveva “avvertito formalmente” la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività, «promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli» violava la normativa sulla privacy. Peraltro, disposizioni di questo tipo, che limitano diritti e libertà, sono ammissibili «solo se previsti da una idonea normativa nazionale», non essendo sufficiente un’ordinanza regionale.

Dunque, «la misura della limitazione provvisoria del trattamento posto in essere per il tramite dell’App Mitiga Italia volto ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi Covid-19 ai fini della partecipazione ad eventi sportivi e ad altre manifestazioni pubbliche» non giunge inaspettata.

Ci si chiede come sia possibile che, dopo tanti interventi dell’Autorità, ancora non siano chiare le condizioni per un legittimo utilizzo di app e sistemi similari che comportino il trattamento di dati personali. Detto tutto questo, come si potrà accedere ai prossimi Europei di calcio a Roma, che iniziano tra qualche giorno?

© Riproduzione riservata