Il Garante per la protezione dei dati personali ha disposto il blocco provvisorio dei trattamenti dei dati personali nei confronti della Società che gestisce l’app Mitiga Italia. L’applicazione era stata utilizzata per la prima volta il 19 maggio scorso per consentire l’ingresso alla finale di Coppa Italia tra Juventus e Atalanta degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19.
Il Garante ferma Mitiga
Mitiga è una piattaforma che permette in modo rapido e standardizzato di documentare il COVID status del cittadino (autodichiarazione dello stato di salute, test antigenico o molecolare per Sars Cov-2). L’autorizzazione all’ingresso avviene in maniera totalmente standardizzata e sicura mediante QR Code identificativo, senza rilevare ulteriori informazioni sensibili. Consentire l’accesso solo a persone che siano risultate negative al tampone, mitiga drasticamente il rischio di contagio. Ma come sottolineato all’interno del suo provvedimento, l’Autorità ritiene che ci sia la possibilità che l’app, nei prossimi giorni, possa essere utilizzata per governare l’accesso a altri eventi e spettacoli o altre iniziative sportive.
Anche se non esiste al momento una valida base giuridica per il trattamento di dati, anche particolarmente delicati come quelli di natura sanitaria, effettuato mediante l’app e finalizzato ad accertare la situazione “Covid free” di quanti partecipino ad avvenimenti sportivi nonché ad altre manifestazioni pubbliche o accedano a locali aperti al pubblico, l’Autorità ha ritenuto la misura necessaria, con il blocco che ha effetto immediato e si protrarrà per il tempo necessario a consentire all’Autorità la definizione dell’istruttoria avviata.
La società Mitiga, tra l’altro, avendo il 1° aprile sottoposto all’Autorità l’applicativo, avrebbe comunque dovuto astenersi da ogni trattamento di dati non essendo decorso il tempo previsto dal Regolamento per l’assunzione di una decisione da parte dello stesso Garante. Quest’ultimo, lo ricordiamo, anche a proposito dell’introduzione e dell’utilizzo dei certificati verdi su scala nazionale ha espresso perplessità, in quanto in contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri.