Pochissimi giorni fa il Garante ha bloccato l’uso dell’app Mitiga, usata per la prima volta per certificare la negatività al Covid19 per poter accedere ad un evento pubblico, in questo caso la finale di Coppa Italia tenutasi il 19 maggio scorso.
Nel suo provvedimento il Garante per la protezione dei dati personali ha dichiarato che il blocco dell’app si è reso necessario perché ancora non ci sono i presupposti legislativi per il trattamento dei dati sanitari rilevati dalla certificazione, così come già appurato per il cosiddetto Green Pass nazionale.
Il problema nasce dalla consuetudine di non considerare la privacy in maniera corretta fin dalla creazione dell’app. Esiste un principio, il concetto di Privacy by Design, che impone a tutti di considerare l’impatto che il nuovo asset aziendale, il nuovo software, la nuova app, la nuova campagna marketing, o qualsivoglia altra azione che comprenda una raccolta di dati personali, ha sul trattamento dei dati personali stessi, ovvero sulla privacy dei dati che vengono considerati. Tale principio ha lo scopo da un lato di tutelare i cittadini/utenti, dall’altro di tutelare l’azienda da blocchi del nuovo asset da parte del Garante e da eventuali sanzioni che ne possano derivare.
La Privacy by Design è il principio cardine della nuova normativa, che va a sconvolgere tutto l’impianto privacy delle aziende. Precedentemente all’uscita in vigore del GDPR si era soliti creare un nuovo progetto o un processo aziendale e, solo alla fine, e non sempre, si prendeva in considerazione la normativa sulla privacy. Il Nuovo Regolamento Europeo sovverte questo modo di lavorare imponendo sin da subito, quindi fin dalla parte embrionale dello sviluppo di un nuovo progetto o processo, la necessità di valutare l’impatto privacy del processo stesso e adottare già in fase di creazione le opportune tutele privacy.
Infatti, per quanto all’accesso in evento con l’app in questione si trattino i dati minimi necessari, come nome, cognome, foto identificativa e certificazione di negatività al tampone, e questi dati non vengano usati per nessun altro motivo, non vengano ceduti a terzi se non richiesto, vengano trattati e conservati esclusivamente in Italia e gestiti solo dalla società Mitiga Italia, manca la legislazione di base per la richiesta di certificazione Covid19 sul territorio italiano, come già espresso dal Garante nei confronti del decreto legge n. 52 del 22 aprile 2021.
Inoltre, la società Mitiga Italia aveva sì sottoposto l’app alla verifica da parte del Garante, già in aprile, ma quest’ultimo ancora non aveva espresso l’idoneità dell’app stessa. Questo punto, fondamentale, fa capire che è necessaria una giusta programmazione e non si può relegare la privacy ad ultimo step.
Quando si progetta un sito, un e-commerce, un applicativo o qualsiasi altro sistema che rilevi dati personali e ne proceda poi al trattamento, seppur minimo, occorre sempre tener presente il concetto di Privacy by Design sancito nell’art. 25 , ovvero la costruzione della privacy, e di tutto il protocollo di trattamento, in base a quelle che sono le leggi vigenti sia a livello europeo, tramite il GDPR, sia a livello nazionale, dove possono esserci ulteriori indicazioni, o restrizioni al trattamento, in special modo per dati sensibili quali sono quelli sanitari, e che possono susseguirsi e modificarsi anche in un breve lasso di tempo come sta accadendo nell’ultimo anno e mezzo, a causa di questa pandemia.
E’ proprio questo rincorrersi di leggi una dietro l’altra che sta complicando la costruzione di un protocollo idoneo al trattamento dei dati personali senza che questo violi i diritti fondamentali degli interessati, che rimane comunque un caposaldo della normativa privacy, come già detto, soprattutto in virtù di quello che il Regolamento Europeo 2016/679 definisce rischio, tramite gli articoli 75 e 76, ovvero:
art. 75 – I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Ancora, art. 76 – La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
Quanto una richiesta di certificazione di negatività al Covid19 per poter accedere ad un evento è una discriminazione e una violazione del diritto degli interessati, a fronte del rischio di contagio e alla possibilità di poter usare altre forme di prevenzione?
Per ciò che riguarda Mitiga, rimaniamo in attesa del responso del Garante, così come ha disposto nel suo provvedimento per il blocco dell’app.
Per il provvedimento del Garante, clicca sul seguente link:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9592623