Garante per la protezione dei dati personali (Italy) - 9592298

From GDPRhub
Garante per la protezione dei dati personali (Italy) - 9592298
LogoIT.png
Authority: Garante per la protezione dei dati personali (Italy)
Jurisdiction: Italy
Relevant Law: Article 6 GDPR
§ 9 of the law decree 22 April 2021
Type: Complaint
Outcome: Upheld
Started:
Decided: 03.06.2021
Published: 03.06.2021
Fine: None
Parties: Mitiga Italia App
National Case Number/Name: 9592298
European Case Law Identifier: n/a
Appeal: Appealed - Confirmed
Original Language(s): Italian
Original Source: GPDP (in IT)
Initial Contributor: NN

The Italian DPA imposed a provisional limitation on the processing performed by the Mitiga Italia App, an app used to certify compliance with covid regulations by people wanting to attend sporting events. The limitation is be enforced for as long as necessary for the DPA to establish the legal basis of processing, and to establish whether the data processed was adequately limited.

English Summary

Facts

The Mitiga Italia App was used to allow access to the Mapei Stadium in Reggio Emilia to attend the football event "Final Coppa Italia TIM Vision 2020/2021," which took place on May 19, 2021. The app allowed attendees of the football event to certify certain health conditions which were necessary for access to a sporting event under current Italian decrees allowing for the gradual resumption of economic and social activities (edcree 22 April 2021, n. 52).

Entrance to the stadium was reserved for people with certification of a negative diagnostic test in the 48 hours prior to the event, certification of vaccination, or certification of recovery from infection with covid-19 in a period not earlier than six months from the date of the event.

Holding

The Italian DPA imposed a provisional limitation on the processing performed by the Mitiga Italia App to certify health conditions for the purpose of participation in sporting events. The limitation is to be imposed for as long as necessary for the DPA to investigate the basis of processing and to protect the rights and freedoms of the interested parties.

The app collects the same categories of health data as the “green certification" for COVID-19 provided for by Legislative Decree 22 April 2021. The problem is that the law decree does not constitute a valid legal basis for the introduction and use of green certifications at the national level.

Only a state law can make the exercise of certain rights or freedoms subject to the display of the COVID-19 green certification, and any health data collected for such certification must be subject to adequate limitations as to insure GDPR compliance.

Because the app mirrors the green certification—but is not the product of any state law—there is currently no valid legal basis for the processing of data carried out through the use of the Mitiga Italia app. It is furthermore unclear whether the processing of data by the Mitiga Italia app is adequately limited. It is these matters which the DPA will investigate.

Comment

Share your comments here!

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Italian original. Please refer to the Italian original for more details.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento generale sulla protezione dei dati, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d. lgs. 30 giugno 2003, n. 196, come modificato dal d. lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

CONSIDERATO che recenti articoli di stampa hanno riportato la notizia dell’avvenuto utilizzo dell’App Mitiga Italia al fine di consentire l’accesso al Mapei Stadium di Reggio Emilia per assistere all’evento calcistico “Finale Coppa Italia TIM Vision 2020/2021” svoltosi il 19 maggio 2021;

TENUTO CONTO che l’utilizzo di tale Applicazione consente all’utente di attestare il possesso delle condizioni oggetto anche delle certificazioni verdi COVID-19 di cui all’articolo 9 del decreto legge 22 aprile 2021, n. 52 “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19” (di seguito “d. l. n. 52/2021”) e ha costituito condizione necessaria ai fini dell’accesso al predetto evento sportivo;

VISTE le richieste di informazioni nei confronti di Mitiga S.r.l. (prot. n. 28849/21) e nei confronti di Lega Nazionale Professionisti Serie A (prot. n. 29340/21) trasmesse dall’Autorità rispettivamente il 25 maggio e il 27 maggio 2021;

VISTO il decreto del Sottosegretario di Stato allo sport, con cui, il 6 maggio 2021, è stato stabilito che, “con riferimento alla Finale Coppa Italia TIM Vision 2020/2021 in programma a Reggio Emilia il 19 maggio 2021, ai sensi dell’articolo 5, comma 3, del decreto legge 22 aprile 2021 n. 52 (..), l’ingresso allo stadio è riservato alle persone in possesso di certificazione che attesti l’esecuzione di un test diagnostico negativo nelle 48 ore antecedenti l’evento o di certificazione che attesti il completamento della procedura di vaccinazione ovvero di certificato che attesti la guarigione dalla [infezione da] Covid-19 in epoca non antecedente a sei mesi dalla data dell’evento”;

VISTI, al riguardo, l’art. 5 del d. l. n. 52/2021 e l’art. 5 del decreto legge del 18 maggio 2021, n. 65 “Misure urgenti relative all'emergenza epidemiologica da COVID-19” (di seguito “d. l. 65/2021”) che hanno previsto specifiche misure per la ripresa di spettacoli aperti al pubblico e di eventi sportivi;

VISTO, in particolare, l’art. 5, commi 2-4 del d. l. n. 52/2021 ai sensi del quale “a decorrere dal 1 giugno 2021, in zona gialla (..) gli eventi e le competizioni di livello agonistico (..) organizzati dalle rispettive federazioni sportive nazionali (..) devono svolgersi nel rispetto delle linee guida adottate dalla Presidenza del Consiglio dei  ministri - Dipartimento per lo sport, sentita la Federazione medico sportiva italiana  (FMSI), sulla  base  di  criteri  definiti  dal Comitato tecnico-scientifico”; le predette linee guida “possono  prevedere, con riferimento  a  particolari  eventi, che l'accesso sia riservato soltanto ai soggetti in possesso delle certificazioni verdi COVID-19 di cui all'articolo 9”;

VISTO, inoltre, l’art. 9, comma 10 del d. l. n. 52/2021, ai sensi del quale, “con decreto del Presidente del Consiglio dei ministri, adottato di  concerto  con  i  Ministri  della   salute,   per   l'innovazione tecnologica  e  la  transizione  digitale  e  dell'economia  e  delle finanze, sentito il Garante per la  protezione  dei  dati  personali, sono individuat[i] (..) i dati  che  possono  essere  riportati nelle certificazioni verdi COVID-19, le modalità  di  aggiornamento  delle certificazioni, (..) la struttura dell'identificativo univoco delle certificazioni verdi COVID-19 e del codice a barre interoperabile che consente di verificare l'autenticità, la validità e l'integrità delle stesse, l'indicazione dei soggetti deputati al controllo  delle certificazioni, i tempi di conservazione dei dati  raccolti  ai  fini dell'emissione delle certificazioni, e le misure  per  assicurare  la protezione dei dati personali contenuti nelle certificazioni”;

CONSIDERATO che il Garante, con decisione del 23 aprile 2021, recante il provvedimento di avvertimento “in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19 prevista dal d. l. 22 aprile 2021” (di seguito “provvedimento del 23 aprile 2021”),  ha rilevato che il predetto decreto legge non costituisce una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale in quanto privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice (artt. 2-ter e 2-sexies);

TENUTO CONTO in particolare che, come ribadito nel sopracitato provvedimento, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione della certificazione verde COVID-19 e che, “ai fini della legittimità del trattamento, è indispensabile che tale previsione normativa ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo e oggettivo, introducendo garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini e alla natura dei dati trattati” (v. Audizione informale del Presidente del Garante per la protezione dei dati personali, tenutasi il 6 maggio 2021 presso le Commissioni riunite I, II e XII della Camera dei Deputati, inerente alle tematiche relative alla certificazione verde COVID-19);

PRESO ATTO altresì che, come già statuito dall’Autorità con il summenzionato provvedimento del 23 aprile 2021, non appaiono conformi alla disciplina in materia di protezione dei dati personali le previsioni del d. l. 52/2021 secondo cui, nelle more dell’adozione del decreto del Presidente del Consiglio dei ministri di cui all’art. 9, comma 10 sia ammesso l’utilizzo delle certificazioni verdi redatte prima dell’entrata in vigore del predetto decreto legge (art. 9, commi 4 e 10 del d. l. 52/2021); ciò “in quanto tali documenti risulterebbero essere rilasciati in assenza delle misure che saranno individuate con il succitato decreto delegato” (v. provvedimento del 23 aprile 2021, punto 2);

RILEVATO che la società in data 1° aprile 2021 ha presentato all’Autorità un’istanza ai sensi dell’art. 36 del Regolamento in ordine al trattamento di dati personali posto in essere mediante l’app Mitiga e che tale istanza non rientra tra i casi per i quali questa Autorità è tenuta ad esprimere pareri o autorizzazioni preventive, stante la mancata indicazione di un quadro completo e definito dei trattamenti complessivamente effettuati dalla società Mitiga s.r.l. utile a consentire all’Autorità una compiuta valutazione ai sensi dell’art. 36 del Regolamento;

CONSIDERATO, peraltro, che la società, nelle more del coinvolgimento dell’Autorità nell’ambito dell’asserita consultazione preventiva, doveva astenersi dall’effettuare i trattamenti oggetto di specifica istanza, non essendo decorso il termine previsto dal Regolamento in merito alla procedura suddetta;

VISTA la nota di risposta della società Mitiga s.r.l. inviata in data 31 maggio 2021 nella quale quest’ultima asserisce di trattare, attraverso l’applicativo, i dati in qualità di titolare del trattamento e dalla quale risulta che la società tratta anche dati personali appartenenti a categorie particolari di cui all’art. 9 del Regolamento (es. dato relativo alla guarigione dalla infezione da Covid-19) rispetto ai quali è necessario che il trattamento sia conforme ai principi di proporzionalità, minimizzazione, liceità e correttezza;

CONSIDERATO altresì che, per tutte le ragioni sopra esplicitate, è necessario che l’eventuale utilizzo di soluzioni informatiche volte a documentare la certificazione verde COVID-19 sia previsto in termini omogenei su tutto il territorio nazionale sulla base delle modalità di cui al decreto del Presidente del Consiglio dei ministri nei termini previsti dall’art. 9, comma 10, del d. l. n. 52/2021;

RITENUTO, pertanto, che, alla luce di quanto complessivamente evidenziato, non sussiste, allo stato, una valida base giuridica per il trattamento di dati effettuato mediante l’utilizzo dell’app Mitiga Italia volto ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi COVID-19 ai fini della partecipazione ad eventi sportivi nonché ad altre manifestazioni pubbliche;

VISTA la necessità, anche in ragione del possibile utilizzo della suddetta applicazione ai fini della partecipazione ad ulteriori eventi sportivi di analoga natura nonché della indicata possibilità che già a partire dal corrente mese di giugno tale applicativo sia adottato anche per consentire l’accesso ad altre manifestazioni pubbliche, di intervenire urgentemente per tutelare i diritti e le libertà degli interessati, adottando, nelle more degli accertamenti in corso, ogni possibile misura a tal fine;

RITENUTO, dunque, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, di dover adottare, in via d’urgenza - essendo la notifica di cui all'art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento -, nei confronti di Mitiga S.r.l., la misura della limitazione provvisoria del trattamento;

RAVVISATA la necessità di disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;

TENUTO CONTO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lette e), del Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento dispone nei confronti di Mitiga S.r.l. la misura della limitazione provvisoria del trattamento posto in essere per il tramite dell’App Mitiga Italia volto ad attestare il possesso delle condizioni oggetto anche delle certificazioni verdi Covid-19 ai fini della partecipazione ad eventi sportivi e ad altre manifestazioni pubbliche;

b) detta limitazione è disposta, salva successiva ulteriore valutazione, per il tempo necessario a consentire a questa Autorità il completamento dell’istruttoria avviata con le richieste di informazioni citate in premessa;

c) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 3 giugno 2021