“Bending Spoons è autorizzata a trattare i dati personali” degli utenti “necessari per l’esecuzione delle attività oggetto dell’Atto”, ossia per lo sviluppo, assistenza e manutenzione di IMMUNI.
“Il tipo di dati personali che la Bending Spoons è autorizzata a trattare ai sensi del presente atto di designazione sono:
- dati comuni (identificativi e pseudo anonimizzati);
- categorie particolari di dati (ivi inclusi dati relativi allo stato di salute), ad esclusione dei dati giudiziari”.
Tutto questo è scritto nel contratto, firmato il 16 maggio 2020, tra il Commissario straordinario Domenico Arcuri e il Presidente del Consiglio di Amministrazione di Bending Spoons, Francesco Patarnello. Contratto finalmente reso pubblico a più di 1 mese e mezzo dall’ordinanza con cui Arcuri ha comunicato la scelta del Governo di affidare a Bending Spoons lo sviluppo dell’app per il contact tracing.
La ministra Pisano: “Bending Spoons non tratterà in nessun modo i dati dell’applicazione“
Tre giorni prima la firma del contratto tra il Commissario Arcuri e Bending Spoons, Paola Pisano nell’Aula del Senato il 13 maggio scorso ha assicurato:
“Bending Spoons non tratterà in nessun modo i dati dell’applicazione. Posso rassicurare il Parlamento e tutti i cittadini che non sussistono, neppure in astratto, rischi che i dati raccolti dall’app possono entrare nella disponibilità di soggetti stranieri o privati”.
Tre giorni dopo l’intervento di Pisano, Arcuri fa il contrario. Designa Responsabile del trattamento dei dati personali Bending Spoons, che può trattare i dati personali e deve farlo “per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali”.
Poi 6 giorni dopo la sottoscrizione del contratto tra il Commissario Arcuri e Bending Spoons, c’è una marcia indietro.
AGGIORNAMENTO
Alle ore 17 abbiamo scoperto l’esistenza dell’addendum al contratto tra il Commissario Arcuri e Bending Spoons, con firma 24 maggio 2020. E c’è una marcia indietro:
“Il secondo comma dell’art. 8 del Contratto è sostituito dal seguente: ‘Non è previsto che la Società – nel quadro delle Attività previste nel presente Contratto – acceda o altrimenti tratti informazioni qualificabili come dati personali ai sensi del Regolamento, e in particolare i dati personali degli utilizzatori dell’App, operando esclusivamente come licenziante e manutentore del codice software qui concesso in licenza senza ruolo o responsabilità alcuna per quanto concerne la gestione del sistema che il Governo o soggetti da questo designati dovessero eventualmente implementare.”
L’addendum del contratto tra il Commissario Arcuri e Bending Spoons termina così: “Per quanto qui non diversamente previsto manterranno piena applicazione le previsioni del Contratto”.
Tuttavia, nell’informativa privacy dell’App IMMUNI si legge che:
Per cui il Titolare del trattamento è il ministero della Salute di tutto il sistema del tracciamento nazionale, anche di IMMUNI.
Ma il problema è a monte: se, come viene comunicato dal Governo, IMMUNI non tratta dati personali, ma tutto il sistema è anonimo allora non dovrebbe esserci, secondo il GDPR che non si applica ai dati anonimi, alcuna persona autorizzata ad accedere ai dati. E poi quali tipi di dati, se sono tutti anonimi?
La questione speriamo sia uno dei temi dell’audizione della Commissione Trasporta alla ministra Paola Pisano, in videoconferenza oggi alle ore 19. Il tema: l’applicazione per il tracciamento dei contatti e i voucher per la connettività per i cittadini e le imprese.
(Clicca qui per seguire l’audizione dalle ore 19:00).
AGGIORNAMENTO:
Il tema è stato oggetto dell’audizione di Pisano. “Per quanto riguarda l’utilizzo dei dati da parte della Bending Spoons, nel contratto abbiamo, semplicemente, previsto la nomina di Bending Spoons a Responsabile del trattamento qualora avesse dovuto trattare i dati nell’esecuzione di qualche attività di manutenzione”, ha risposto la ministra alla domanda posta dalla deputata Federica Zanella (Fi). “L’addendum al contratto non ha avuto oggetto il trattamento, ma solo i cambi di licenza e la concessione dei marchi di Immuni”, ha aggiunto Pisano, che, ha ribadito: “Bending Spoons non ha accesso al trattamento dei dati ed il Titolare del trattamento dei dati è il ministero della Salute ed i dati, pseudoanonimi e cifrati solo dei positivi, sono gestiti da Sogei“. Infine, la ministra ha spiegato che solo per il sito immuni.italia.it il titolare del trattamento è la Presidenza del Consiglio dei Ministri, Dipartimento per la Trasformazione Digitale.
