g-docweb-display Portlet

Provvedimento recante garanzie per l'utilizzo dell'App IO per recuperare le certificazioni verdi Covid-19 - 17 giugno 2021 [9670670]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE

COMUNICATO STAMPA DEL 18 GIUGNO 2021

COMUNICATO STAMPA DEL 16 GIUGNO 2021

COMUNICATO STAMPA DELL'11 GIUGNO 202

COMUNICATO STAMPA DEL 10 GIUGNO 2021

PROVVEDIMENTO DEL 16 GIUGNO 2021

PROVVEDIMENTO DEL 9 GIUGNO 2021

 

 

[doc. web n. 9670670]

Provvedimento recante garanzie per l'utilizzo dell'App IO per recuperare le certificazioni verdi Covid-19 - 17 giugno 2021

Registro dei provvedimenti
n. 243 del 17 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamentodei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il provvedimento n. 229 del 9 giugno 2021 (reperibile sul sito www.garanteprivacy.it, doc. web n. 9668064), con il quale il Garante ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri – da adottare ai sensi dell’art. 9, comma 10, del decreto legge 22 aprile 2021, n. 52, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze – concernente il trattamento dei dati personali effettuato attraverso la Piattaforma nazionale digital green certificate (di seguito, Piattaforma nazionale-DGC) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (di seguito, certificazioni verdi), subordinando, tra l’altro, l’utilizzo dell’App IO, come strumento a disposizione degli interessati per recuperare le certificazioni verdi Covid-19, alla condizione del superamento delle criticità rilevate con il provvedimento correttivo adottato nella medesima data nei confronti della società PagoPA S.p.A. (di seguito, PagoPA o Società) e dell’adozione di un successivo provvedimento da parte del Garante da rendere sulla base di ulteriori approfondimenti istruttori (punto 4) del dispositivo);

VISTO il d.P.C.M. adottato il 17 giugno 2021 ai sensi dell’art. 9, comma 10, del d.l. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, concernente il trattamento dei dati personali effettuato attraverso la Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi, in corso di pubblicazione sulla Gazzetta ufficiale;

CONSIDERATI gli elevati rischi connessi al trattamento che si intende effettuare, il numero di interessati potenzialmente coinvolti e le modalità con cui si intendono mettere a disposizione degli interessati le certificazioni verdi tramite l’App IO, gestita da PagoPA, che, nell’ambito del servizio “Certificazione Verde Covid-19”, agisce in qualità di responsabile del trattamento per conto del Ministero della salute;

VISTO il provvedimento n. 230 del 9 giugno 2021 (doc. web n. 9668051) adottato nei confronti di PagoPA S.p.A., con il quale il Garante, in via d’urgenza, ha, in particolare, imposto, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con i servizi di Google e Mixpanel, e ha ingiunto, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via email dei messaggi;

VISTO il provvedimento n. 242 del 16 giugno 2021 (doc. web n. 9670061), con il quale il Garante, nel prendere atto delle misure individuate da PagoPA al fine di rimuovere le criticità rilevate con il provvedimento n. 230 del 9 giugno 2021 – prevedendo l’adozione tempestiva di quelle relative alle interazioni dell’App IO con i servizi di Google e di Mixpanel, nonché, entro il 9 luglio 2021, di quelle, tra le altre, che comportano l’introduzione di un meccanismo di opt-in per l’attivazione dei servizi resi disponibili nell’App IO – ha dichiarato il venire meno dei presupposti alla base della limitazione provvisoria dei trattamenti di dati personali imposta con il richiamato provvedimento n. 230 del 9 giugno 2021, ferma restando la limitazione provvisoria relativa ai dati raccolti e archiviati da Mixpanel prima dell’introduzione delle misure stesse, che non potranno essere oggetto di trattamenti ulteriori rispetto alla mera conservazione, che dovrà essere garantita fino al termine dell’istruttoria in corso;

VISTA la valutazione di impatto sulla protezione dei dati personali trasmessa dal Ministero della salute in data 7 giugno 2021 e viste le note inviate da PagoPA in data 15 e 16 giugno 2021 (quest’ultima d’intesa con il Ministero della salute), che, nel sottolineare che la messa a disposizione della certificazione verde anche mediante l’App IO risulta rilevante al fine di assicurare una sua più immediata e agevole fruizione da parte degli interessati, forniscono indicazioni, in particolare, in merito ai seguenti profili:

I. con riferimento alle modalità di recupero della certificazione verde, è previsto che: nel momento in cui viene generata una certificazione verde, la Piattaforma nazionale-DGC trasmette ai sistemi di backend della Piattaforma IO il codice fiscale della persona a cui la stessa si riferisce, unitamente al codice di autorizzazione (“AuthCode”), utilizzato dall’App IO per il recupero della certificazione medesima. Se la certificazione si riferisce ad un utente dell’App IO che abbia preso visione dell’informativa e che abbia attivo il servizio “Certificazione Verde Covid-19”, lo stesso riceve all’interno dell’App un messaggio che gli consente di recuperare la certificazione verde; in caso contrario, il backend di IO provvede a cancellare i dati ricevuti dalla Piattaforma nazionale-DGC. Se l’utente ha la funzionalità relativa alle notifiche push attiva, lo stesso riceverà anche una notifica push a contenuto generico che lo avviserà della presenza di un messaggio all’interno dell’App. L’utente potrà quindi recuperare la propria certificazione accedendo all’App IO e visualizzando il messaggio ricevuto. L’App IO, tramite i sistemi di backend della Piattaforma IO, provvederà a recuperare la certificazione verde dalla Piattaforma nazionale-DGC e a mostrare all’utente le informazioni in essa contenute e il relativo QR Code, che possono essere salvate come immagine nel dispositivo dell’utente. Al fine di consentire il recupero della certificazione verde anche per gli interessati che dovessero installare l’App IO in un momento successivo alla sua generazione, è previsto che i sistemi di backend della Piattaforma IO comunichino alla Piattaforma nazionale-DGC i codici fiscali dei nuovi utenti dell’App IO, opportunamente protetti con l’applicazione di una funzione di hashing;

II. con riferimento alle modalità di attivazione del servizio “Certificazione Verde Covid-19”: nelle more dell’implementazione del meccanismo di opt-in per l’attivazione di tutti i servizi presenti all’interno dell’App IO (che sarà operativo a partire dal 9 luglio 2021), la Società ha rappresentato che, a fronte delle difficoltà di anticipare l’introduzione di tale meccanismo esclusivamente per il servizio in esame, intenderebbe renderlo già attivo per tutti gli utenti dell’App per impostazione predefinita. Quale misura temporanea a garanzia degli utenti, è stato previsto che, nella nuova versione dell’App IO di imminente rilascio, tutti coloro che effettueranno un accesso all’App visualizzeranno una c.d. “schermata bloccante” che li informerà dell’attivazione di default del servizio “Certificazione Verde Covid-19” e della possibilità di disattivarlo. Gli utenti che lasceranno attivo il servizio in questione, riceveranno, in caso di generazione di una certificazione verde (emessa in caso di vaccinazione, guarigione o test con esito negativo), una notifica push generica che li avvisa della presenza di un nuovo messaggio all’interno dell’App. Tale messaggio consente all’utente di avviare il recupero della propria certificazione tramite la funzione “Visualizza”;

III. con riferimento all’invio a Mixpanel dei dati di tracciamento degli eventi relativi al servizio “Certificazione Verde Covid-19”: atteso che la nuova versione dell’App IO, così come modificata in base ai rilievi del Garante, permetterà all’utente di esprimere il proprio consenso all’archiviazione di informazioni sul proprio dispositivo e all’accesso a quelle già archiviate, ai sensi dell’art. 122 del Codice, la Società ha rappresentato la necessità di trattare anche i dati personali relativi all’utilizzo del servizio in esame (ad es., l’avvenuto o il mancato completamento del recupero della certificazione verde sul dispositivo);

RILEVATO che, con nota del 16 giugno 2021, PagoPA ha altresì precisato che “avendo voluto attendere il provvedimento del Garante sull’App IO, notificato alla scrivente in data odierna, per il rilascio della versione dell’App con integrate le azioni e misure che la stessa nel suo primo riscontro dell’11 giugno 2021, detto rilascio avverrà stasera 16 giugno e la submission per la successiva versione dell’App contenente l’opt in per i servizi di mixpanel avverrà nella giornata di domani 17 giugno p.v. (non potendo effettuare una nuova submission prima che la versione precedente sia stata rilasciata)”;

CONSIDERATA la rappresentata necessità di rendere quanto prima disponibile il servizio di recupero delle certificazioni verdi anche mediante l’App IO, già scaricata da oltre 11 milioni di utenti;

CONSIDERATO, altresì, che, tra le informazioni relative all’utilizzo del servizio “Certificazione Verde Covid-19” oggetto di tracciamento sul dispositivo dell’utente che PagoPA intende trasmettere a Mixpanel, sono presenti dati idonei a rivelare lo stato di salute degli interessati, il cui trattamento richiede l’adozione di misure appropriate e specifiche per tutelare i diritti fondamentali delle persone fisiche, quali, ad esempio, la limitazione della conservazione;

FERMA RESTANDO la valutazione degli ulteriori elementi che dovranno essere forniti dalla Società nell’ambito dell’istruttoria ancora in corso sul complesso dei trattamenti effettuati tramite l’App IO, anche in relazione all’interazione con i servizi di Mixpanel;

RITENUTO che le misure introdotte da PagoPA a seguito dei provvedimenti n. 230 del 9 giugno 2021 e n. 242 del 16 giugno 2021, nonché di quelle prospettate dal Ministero della salute nella menzionata valutazione di impatto, siano idonee a soddisfare il rispetto della disciplina in materia di protezione dei dati personali, a condizione che i dati trasmessi a Mixpanel, relativi all’utilizzo del servizio “Certificazione Verde Covid-19”, siano conservati per un periodo limitato, non superiore a dieci giorni dalla raccolta, e successivamente cancellati senza ritardo, in ossequio al principio di cui all’art. 5, par. 1, lett. e), del Regolamento;

RISERVATA ogni altra determinazione, nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, ai fini dell’eventuale applicazione dei poteri correttivi previsti dall’art. 58, par. 2, del Regolamento all’esito dell’istruttoria in corso, anche con riferimento al rispetto di quanto stabilito dai citati provvedimenti del Garante nn. 229 e 230 del 9 giugno 2021 e n. 242 del 16 giugno 2021;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sull’utilizzo dell’App IO, con le modalità descritte in motivazione al par. 2 (c.d. schermata bloccante), come strumento a disposizione degli interessati per recuperare le certificazioni verdi Covid-19, in conformità al decreto del Presidente del Consiglio dei Ministri, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, adottato il 17 giugno 2021 ai sensi dell’art. 9, comma 10, del decreto legge 22 aprile 2021, n. 52, a condizione che i dati trasmessi a Mixpanel relativi all’utilizzo del servizio “Certificazione Verde Covid-19”, siano conservati per un periodo limitato, non superiore a dieci giorni dalla raccolta, e successivamente cancellati senza ritardo.

Roma, 17 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

Per IL SEGRETARIO GENERALE
IL VICE SEGRETARIO GENERALE
Filippi



Vedi anche (10)