Mitiga Italia: un esordio col botto, ma il Garante Privacy dice no
“Mostra la tua negatività e torna a vivere i tuoi eventi in sicurezza”. Questo lo slogan di Mitiga Italia, un’applicazione disponibile per tutti i
sistemi operativi, che promette di “mitigare”, per l’appunto, il rischio di contagio.
Un’ottima idea, in teoria, tra l’altro non molto distante da quello che sarà, da inizio luglio, il “Digital Covid Certificate”. L’utente scarica Mitiga sul proprio cellulare, si registra, esegue un test presso una delle farmacie o strutture convenzionate, visualizza il risultato e, se negativo, accede a qualsiasi evento a cui voglia partecipare, semplicemente mostrando il relativo QR code, generato allo stesso modo anche per chi attesti di essere guarito dal Covid o di essersi sottoposto all’intero ciclo di vaccinazioni.
Facile. Così facile che l’applicazione ha riscosso immediatamente un grande successo, tanto da essere utilizzata, il 19 maggio scorso, per consentire l’accesso degli spettatori alla finale di Coppa Italia.
Ma che fine fanno i dati degli utenti? La domanda è più che lecita, soprattutto se si considera che l’app Mitiga tratta dati sanitari, che il GDPR annovera tra le “categorie particolari di dati personali”, ovvero quei dati che i non addetti ai lavori definiscono impropriamente “dati sensibili”. Il regolamento non esclude il trattamento di queste categorie di dati, ma lo sottopone a particolari cautele tra cui, per quanto qui rileva, il fatto che l’interessato (e cioè la persona i cui dati personali vengono trattati) vi abbia prestato il proprio consenso esplicito.
Niente a cui i programmatori dell’applicazione non abbiano ovviamente pensato. “I dati sono archiviati o condivisi solo con esplicito consenso informato”, ci dice il sito web di Mitiga. E c’è di più: l’app rispetta anche il principio della minimizzazione e quello della limitazione delle finalità.
Ottimo. Ma per il Garante Privacy non è abbastanza: con un provvedimento del 4 giugno scorso ha infatti disposto il blocco provvisorio dell’applicazione, ritenendo che “non sussista, allo stato, una valida base giuridica per il trattamento dei dati effettuato mediante l’utilizzo dell’app Mitiga Italia”. La decisione si è resa necessaria anche in virtù della concreta ipotesi che Mitiga venisse utilizzata per consentire l’accesso anche per le partite degli imminenti Europei di calcio 2021 o per altri eventi di tale portata, che avrebbero comportato una violazione del GDPR non trascurabile.
A ciò si aggiunga, oltretutto, che la società aveva presentato, in data 1° aprile, un’istanza di consultazione preventiva all’Autorità di controllo, che avrebbe dovuto pronunciarsi entro un termine di 8 settimane. Termine non ancora trascorso il 19 maggio,quando Mitiga ha posto in essere il trattamento, si potrebbe dire, doppiamente illecito.
Un’idea con del potenziale, che però è tramontata troppo presto. Ma nulla è perduto. Il blocco dell’applicazione è solo provvisorio, e non resta che attendere la definizione dell’istruttoria da parte del Garante: sarà Mitiga la nuova protagonista dell’estate 2021?
