g-docweb-display Portlet

Provvedimento del 24 marzo 2022 [9762855]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE

- comunicato stampa del 4 giugno 2021

- provvedimento del 3 giugno 2021

 

[doc. web n. 9762855]

Provvedimento del 24 marzo 2022

Registro dei provvedimenti
n. 102 del 24 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d. lgs. 30 giugno 2003, n. 196, come modificato dal d. lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il provvedimento di limitazione provvisoria

Con il provvedimento n. 224 del 3 giugno 2021, da intendersi qui integralmente richiamato, l’Autorità, ha disposto, nei confronti di Mitiga S.r.l. (di seguito anche “Società”), la misura, prevista dall’art. 58, par. 2, lett. f), del Regolamento, della limitazione provvisoria del trattamento, effettuato tramite l’App “Mitiga Italia” (di seguito “App”), finalizzato ad attestare il possesso di condizioni legittimanti (l’avere effettuato un tampone con esito negativo al virus SARS-CoV-2) a consentire l’acceso delle persone agli eventi sportivi e ad altre manifestazioni pubbliche nel rispetto delle misure straordinarie adottate nel contesto dell’emergenza sanitaria.

Nel predetto provvedimento, il Garante aveva rilevato che “soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione della certificazione verde COVID-19” e che, “ai fini della legittimità del trattamento, è indispensabile che tale previsione normativa ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo e oggettivo, introducendo garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini e alla natura dei dati trattati” (v. provv. del 23 aprile 2021, doc. web [9578184] e Audizione informale del Presidente del Garante per la protezione dei dati personali, tenutasi il 6 maggio 2021 presso le Commissioni riunite I, II e XII della Camera dei Deputati, inerente alle tematiche relative alla certificazione verde COVID-19, doc web [9583365]).

In tale contesto, l’Autorità - tenuto conto dell’adozione del decreto legge n. 52 del 22 aprile 2021 (convertito successivamente, con modificazione, nella legge 17 giugno 2021, n. 87) recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19” con il quale è stato introdotto in Italia l’utilizzo delle certificazioni verdi, quale misura urgente per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19 - ha ritenuto non sussistente una valida base giuridica per il trattamento di dati effettuato mediante l’utilizzo dell’App Mitiga Italia (v. provvedimento n. 224 del 3 giugno 2021, cit.).

2. Il quadro normativo delle limitazioni all’accesso a eventi sportivi e ad altre manifestazioni pubbliche vigente all’epoca dell’adozione del provvedimento di limitazione.

Con il decreto legge n. 52 del 22 aprile 2021 (di seguito “d. l. n. 52/2021”) sono state introdotte diverse misure per regolare gli spostamenti delle persone e l’accesso delle stesse in vari contesti, tra i quali anche spettacoli aperti al pubblico ed eventi sportivi.

In particolare, l’art. 5, commi 2-4 del d. l. n. 52/2021 ha previsto che “a decorrere dal 1 giugno 2021, in zona gialla (..) gli eventi e le competizioni di livello agonistico (..) organizzati dalle rispettive federazioni sportive nazionali (..) devono svolgersi nel rispetto delle linee guida adottate dalla Presidenza del Consiglio dei ministri - Dipartimento per lo sport, sentita la Federazione medico sportiva italiana (FMSI), sulla base di criteri definiti dal Comitato tecnico-scientifico”; le predette linee guida “possono prevedere, con riferimento a particolari eventi, che l'accesso sia riservato soltanto ai soggetti in possesso delle certificazioni verdi COVID-19 di cui all'articolo 9”.

L’art. 9, del d. l. n. 52/2021, ha stabilito, al comma 1, che le certificazioni verdi COVID-19 sono “le certificazioni comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2 o guarigione dall'infezione da SARS-CoV-2, ovvero l'effettuazione di un test antigenico rapido o molecolare (…) con esito negativo al virus SARS-CoV-2” e ha istituito la “Piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC) per l'emissione e validazione delle certificazioni verdi COVID-19: sistema informativo nazionale per il rilascio, la verifica e l'accettazione di certificazioni COVID-19”.

Lo stesso articolo, al comma 10, ha inoltre previsto che “con decreto del Presidente del Consiglio dei ministri, adottato di concerto con i Ministri della salute, per l'innovazione tecnologica e la transizione digitale e dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono individuat[i] (...) i dati che possono essere riportati nelle certificazioni verdi COVID-19, le modalità di aggiornamento delle certificazioni, (...) la struttura dell’identificativo univoco delle certificazioni verdi COVID-19 e del codice a barre interoperabile che consente di verificare l'autenticità, la validità e l'integrità delle stesse, l'indicazione dei soggetti deputati al controllo delle certificazioni, i tempi di conservazione dei dati raccolti ai fini dell'emissione delle certificazioni, e le misure per assicurare la protezione dei dati personali contenuti nelle certificazioni”.

Con d.p.c.m. 17 giugno 2021 (“Disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da Covid19”) sono state poi adottate, previo parere favorevole del Garante, le disposizioni di attuazione dell’art. 9, comma 10, del d. l. n. 52/2021.

Il testo del predetto decreto, vigente all’epoca dei fatti in esame, ha previsto espressamente che la verifica delle certificazioni verdi sia effettuata esclusivamente attraverso l’App VerificaC19 (art. 13 del d.p.c.m. del 17 giugno 2021), predisposta dal Ministero della salute nel pieno rispetto di un complesso di misure volte a minimizzare i dati trattati e garantirne l’aggiornamento.

3. Il contenuto dell’istruttoria.

Le valutazioni dell’Autorità discendono dall’esame delle informazioni e della documentazione acquisite dalla Società, nel corso dell’istruttoria, rispettivamente il 31 maggio 2021, in riscontro alla richiesta di informazioni del 25 maggio 2021, il 12 e il 21 giugno 2021, ad integrazione della stessa, e il 1° ottobre 2021, in relazione a un’ulteriore richiesta di informazioni del 29 luglio 2021.

Con la nota dell’11 novembre 2021 l’Ufficio, nell’avviare un formale procedimento nei confronti della Società, ha contestato a quest’ultima, ai sensi dell’art. 166, comma 5, del Codice, la violazione dei principi di liceità e correttezza ex art. 5, par. 1, lett. a) del Regolamento in ragione della “non sussiste[nza di] una valida base giuridica per il trattamento di dati effettuato mediante l’utilizzo dell’App Mitiga Italia volto ad attestare il possesso delle condizioni oggetto delle certificazioni verdi Covid-19”. Ciò a conferma di quanto già prospettato con il provvedimento di limitazione provvisoria di cui in premessa.

Con la memoria difensiva depositata il 10 dicembre 2021, la Società ha rappresentato che:

“Mitiga non ha mai effettuato un trattamento volto ad “attestare” il possesso delle condizioni oggetto delle certificazioni verdi Covid-19 ma, piuttosto, si è limitata a trattare - su richiesta dell’interessato - i dati strettamente necessari alla digitalizzazione di informazioni che, altrimenti, sarebbero state prodotte in forma cartacea” (cfr. nota del 10 dicembre 2021, pag. 5);

l’immissione dell’App sul mercato è avvenuta “nei primi mesi del 2021 e fino al 3 giugno dello stesso anno” e la stessa è stata utilizzata “unicamente nell’ambito dell’Evento [calcistico “Finale Coppa Italia Tim Vision 2020-2021 del 19 maggio 2021”]” (cfr. nota del 10 dicembre 2021, pag. 4). Al riguardo, è stato altresì puntualizzato che, all’epoca dei fatti, “il contesto normativo e regolamentare estremamente caotico in cui la Società si è trovata ad operare, [è stato] caratterizzato dal susseguirsi e il sovrapporsi di atti aventi diversa natura e forza e, di conseguenza, da uno stato generalizzato di incertezza giuridica” (cfr. nota del 10 dicembre 2021, pag. 8);

il trattamento delle informazioni rientranti nelle categorie particolari di dati personali per il tramite dell’App “avveniva, coerentemente alla normativa generale di cui all’art. 9 del GDPR, sulla base del consenso prestato dall’interessato, consenso libero, specifico, informato e inequivocabile, nonché facilmente revocabile tramite un’apposita sezione dell’App” (cfr. nota del 10 dicembre 2021, pag. 6).

4. Valutazioni dell’Autorità.

Gli elementi addotti dalla Società nella suddetta memoria non consentono di giungere a conclusioni differenti da quelle già poste a fondamento del richiamato provvedimento d’urgenza; ciò in considerazione di quanto di seguito esplicitato:

rispetto alle modalità di funzionamento dell’App, la soluzione proposta da Mitiga si configura, di fatto, quale sistema di attestazione circa l’avvenuta effettuazione di un tampone per il test Covid-19 per consentire l’accesso a luoghi e ad eventi. L’App, invero, è infatti un’applicazione mobile volta a generare un QR code che, a tutti gli effetti, “attesta” -come dichiarato anche dalla stessa Società nella nota dell’11 giugno 2021 (cfr. par. IV; v., anche, riscontro della Società del 21 giugno 2021, pag. 4)- lo stato di negatività dal Covid-19 degli utenti registrati, ai fini dell’accesso a manifestazioni e luoghi aperti al pubblico. Nello specifico, con riferimento all’evento calcistico sopra citato, l’acquisizione del dato inerente all’esito negativo del tampone degli utenti ha comportato la generazione, ad opera della Società, di un QR code, leggibile tramite smartphone o altro strumento di lettura, che ha sostanzialmente svolto la stessa funzione di verifica del possesso dei requisiti richiesti, dalle disposizioni dell’emergenza, quale condizione per accedere all’evento;

in ordine alla liceità del trattamento, merita evidenziare che la previsione di subordinare l’accesso a luoghi al possesso di una certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19, costituisce una misura volta a comportare una limitazione delle libertà personali; la stessa può essere considerata ammissibile solo se prevista da una norma di legge statale (art. 6, paragrafi 2 e 3, e art. 9 del Regolamento e artt. 2-ter e 2-sexies del Codice; cfr. anche Corte cost., sent. n. 271/2005 e Corte cost., sent. n. 37/2021), adottata in conformità a quanto previsto dal Regolamento, ovvero definendo un complesso articolato di misure volte a consentire il conseguimento del rilevante obiettivo di interesse pubblico, nel contesto emergenziale, nel rispetto dei diritti e delle libertà degli interessati, secondo un criterio di proporzionalità. Come evidenziato dal Garante nel provvedimento recante il parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass (v. provv. n. 229 del 9 giugno 2021 doc. web [9668064]) “la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità (…) ha le caratteristiche per realizzare il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito”;

nel quadro complessivo sopra delineato, un trattamento di dati finalizzato a verificare il possesso delle condizioni per autorizzare l’accesso a locali ed eventi, che emuli, di fatto, le funzionalità del sistema pubblico di certificazione verde Covid-19, non può trovare fondamento nel consenso dell’interessato, quale base giuridica del trattamento (art. 6, par. 1, lett. a) del Regolamento) e quale condizione per il trattamento delle categorie particolari di dati degli utenti (art. 9, par. 2, lett. a) del Regolamento); considerato che il legislatore ha previsto la limitazione all’accesso a luoghi pubblici ed eventi come misura di sanità pubblica per il contenimento dei contagi, il trattamento dei dati connesso al perseguimento di tale finalità, come già esplicitato supra, può essere invece effettuato esclusivamente in virtù di una norma di rango primario, avente le caratteristiche di cui all’art. 6, paragrafi 2 e 3 e art. 9, par. 2, lett. i) del Regolamento. Ciò tenuto conto altresì che la disciplina pubblica ha previsto un trattamento centralizzato, aggiornato e omogeneo a livello nazionale, dotato di adeguate misure di sicurezza.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimento correttivo ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, né di disporre l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta quindi illecito, nei termini su esposti, in relazione all’art. 5, par. 1, lett. a) del Regolamento, e si rende necessario disporne il divieto ai sensi dell’art. 58, par. 2, lett. f) del Regolamento.

Con riferimento alle operazioni di trattamento oggetto di contestazione, occorre rilevare che le stesse sono state poste in essere limitatamente a un unico evento e a un numero circoscritto di interessati, anche in ragione del provvedimento di limitazione prontamente adottato d’urgenza dall’Autorità.

In ordine all’elemento soggettivo del trasgressore, occorre tenere presente che il quadro regolatorio in materia di modalità di controllo dei presupposti per l’accesso a luoghi pubblici ed eventi, ivi compresa l’adozione della certificazione verde Covid-19, si è definito solo successivamente alla data di immissione sul mercato dell’App, in un contesto nel quale l’urgenza nell’individuazione delle soluzioni, anche tecnologiche, più idonee alle diverse esigenze progressivamente delineatesi può aver indotto in errore il titolare del trattamento.

Ai fini delle valutazioni dell’Autorità, rilevano anche l’assenza di precedenti violazioni, il rispetto, da parte della Società, del provvedimento di limitazione provvisoria del trattamento sopra citato e la successiva attività di leale collaborazione con l’Autorità.

La natura, la gravità e la durata della violazione, il carattere colposo della stessa, nonché gli ulteriori elementi sopra richiamati inducono pertanto a qualificare la fattispecie in esame come “violazione minore”, tenuto conto, in particolare, del grado di responsabilità del titolare del trattamento e del particolare contesto in cui la violazione è avvenuta (emergenza sanitaria tutt’ora in atto) (v. art. 83, par. 2, e cons. 148 del Regolamento).

Si ritiene, quindi, che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per aver effettuato un trattamento in violazione dell’art. 5, par. 1, lett. a) del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento (UE) 2016/679, rileva l’illiceità del trattamento effettuato per il tramite dell’App “Mitiga Italia” posto in essere, nei termini di cui in motivazione, da Mitiga S.r.l., con sede legale in Roma, P.I. 15972101008, disponendone il divieto;

b) ai sensi del Considerando 148 e dell’art. 58, par. 2, lett. b) del Regolamento (UE) 2016/679 ammonisce Mitiga S.r.l. per aver effettuato un trattamento di dati personali in violazione dell’art. 5, par. 1, lett. a) del Regolamento;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. del 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei



Vedi anche (10)