IMMUNI, Bending Spoons “tratta i dati personali e sanitari”. Ma poi Arcuri fa marcia indietro

Bending Spoons è autorizzata a trattare i dati personali e sanitari degli utenti di IMMUNI. È scritto nel contratto con il Commissario Arcuri. Poi nell’addendum al contratto la marcia indietro.

Bending Spoons è autorizzata a trattare i dati personali” degli utenti “necessari per l’esecuzione delle attività oggetto dell’Atto”, ossia per lo sviluppo, assistenza e manutenzione di IMMUNI.

“Il tipo di dati personali che la Bending Spoons è autorizzata a trattare ai sensi del presente atto di designazione sono: 

  • dati comuni (identificativi e pseudo anonimizzati); 
  • categorie particolari di dati (ivi inclusi dati relativi allo stato di salute), ad esclusione dei dati giudiziari”.

Tutto questo è scritto nel contratto tra il Commissario straordinario Domenico Arcuri e Bending Spoons. Contratto finalmente reso pubblico a più di 1 mese e mezzo dall’ordinanza con cui Arcuri ha comunicato la scelta del Governo di affidare a Bending Spoons lo sviluppo dell’app per il contact tracing.
Nel contratto manca, però, la data della sottoscrizione. Quando è stato firmato?

A pagina 9 leggiamo solo che è stato firmato digitalmente dal Commissario Domenico Arcuri e il Presidente del Consiglio di Amministrazione di Bending Spoons, Francesco Patarnello.

Torniamo al ruolo di Bending Spoons per quanto riguarda il trattamento dei dati personali e sanitari di chi installa e usa IMMUNI. Abbiamo scoperto che tratta questi dati sensibili, ma fino ad oggi è stato comunicato il contrario.

La ministra Pisano: “Bending Spoons non tratterà in nessun modo i dati dell’applicazione

“Bending Spoons non tratterà in nessun modo i dati dell’applicazione. Posso rassicurare il Parlamento e tutti i cittadini che non sussistono, neppure in astratto, rischi che i dati raccolti dall’app possono entrare nella disponibilità di soggetti stranieri o privati” ha assicurato Paola Pisano nell’Aula del Senato il 13 maggio scorso.

Perché la ministra Pisano ha detto “Bending Spoons non tratterà in nessun modo i dati dell’applicazione”?

Invece la società Bending Spoons tratta eccome i dati personali e deve farlo, da contratto, “per le sole finalità specificate e nei limiti dell’esecuzione delle  prestazioni contrattuali”. Per farlo la società è stata designata dal Commissario Arcuri come Responsabile del trattamento dei dati personali.

Il trattamento dei dati personali degli utenti di IMMUNI da parte di Bending Spoons speriamo sia uno dei temi dell’audizione della Commissione Trasporta alla ministra Paola Pisano, in videoconferenza oggi alle ore 19. Il tema: l’applicazione per il tracciamento dei contatti e i voucher per la connettività per i cittadini e le imprese.

(Clicca qui per seguire l’audizione dalle ore 19:00)

Bending Spoons può trattare i dati anche del personale di Sogei

Bending Spoons può trattare i dati delle seguenti “categorie”:

  • utilizzatori dell’App;
  • personale sanitario che interagisce con la App;
  • personale in forze (dipendente e non dipendente) all’Amministrazione; e
  • personale in forze (dipendente e non dipendente) al Gestore del servizio (Sogei).

Le garazie chieste a Bending Spoons

Per il rispetto dell’obbligo di trattare i dati per le sole finalità specificate e nei limiti dell’esecuzione del contratto, il Commissario Arcuri ha posto le seguenti garanzie.

Bending Spoons”, è scritto nel contratto, “riconosce e accetta che l’Amministrazione, nell’ambito dei poteri e obblighi ad essa spettanti in qualità di titolare del trattamento, possa verificare il rispetto da parte della Società degli obblighi imposti dal presente accordo, oltre a contribuire e consentire all’Amministrazione – anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione – verifiche periodiche, ispezioni e audit circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, l’Amministrazione informa preventivamente la Società con un preavviso minimo di quattro giorni lavorativi”. 

Il Governo, qualora dovesse accertare il non rispetto di questo obbligo da parte di Bendig Spoons, “può rescindere il contratto e chiedere risarcimento danno”. Questo può avvenire qualora Bending Spoons si avvalga “di ulteriori sub-Responsabili per delegare attività specifiche, previa autorizzazione scritta dell’Amministrazione, per usare servizi di cloud platform”.

Come il personale di Bending Spoons può trattare i dati

Allo stesso tempo, Bending Spoons, per garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali,:

  • si impegna a rispettare la riservatezza o ad essere sottoposta ad un obbligo legale appropriato di segretezza;
  • faccia la formazione necessaria in materia di protezione dei dati personali ai dipendenti che lavorano ad IMMUNI;
  • Dipendenti che trattino i dati personali osservando le istruzioni impartite dal titolare per il trattamento dei dati personali;

Il ministero della Salute ha chiesto a Bending Spoons il piano di misure di sicurezza dei dati?

Il ministero della Salute ha chiesto a Bending Spoons un piano di misure di sicurezza per mettere in atto misure tecniche ed organizzative idonee per garantire un livello di sicurezza dei dati personali e sanitari trattati dalla società che sviluppa IMMUNI? Un piano di misure di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento.

Nelle privacy policy e nelle condizioni generali di contratto dell’App IMMUNI non c’è alcun riferimento a Bending Spoons. Ma si legge che:

Bending Spoons può anche trasferire i dati trattati verso un paese terzo o un’organizzazione internazionale con l’ok del Governo

Infine, scopriamo anche Bending Spoons ha l’obbligo di “informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, l’Amministrazione di ogni violazione di dati personali (cd. data breach)” e “non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte dell’Amministrazione”. 

Al termine della prestazione per IMMUNI, Bending Spoons si impegna a: i) restituire allo Stato italiani i supporti rimovibili eventualmente utilizzati su cui sono memorizzati i dati; ii) distruggere tutte le informazioni registrate su supporto fisso, documentando per iscritto l’adempimento di tale operazione.

AGGIORNAMENTO

Alle ore 17 abbiamo scoperto l’esistenza dell’addendum al contratto tra il Commissario Arcuri e Bending Spoons, con firma 24 maggio 2020. E c’è una marcia indietro:

“Il secondo comma dell’art. 8 del Contratto è sostituito dal seguente: ‘Non è previsto che la Società – nel quadro delle Attività previste nel presente Contratto – acceda o altrimenti tratti informazioni qualificabili come dati personali ai sensi del Regolamento, e in particolare i dati personali degli utilizzatori dell’App, operando esclusivamente come licenziante e manutentore del codice software qui concesso in licenza senza ruolo o responsabilità alcuna per quanto concerne la gestione del sistema che il Governo o soggetti da questo designati dovessero eventualmente implementare.​” 

L’addendum del contratto tra il Commissario Arcuri e Bending Spoons termina così: “Per quanto qui non diversamente previsto manterranno piena applicazione le previsioni del Contratto”.

Resta la domanda: nell’informativa privacy dell’app IMMUNI è scritto: “Il Titolare potrà avvalersi di soggetti abilitati ai suddetti trattamenti che tratteranno i dati in qualità di Responsabili del trattamento” secondo il GDPR. Per cui, oltre al ministero della Salute, chi sono gli altri Reponsabili del trattamento?

Fonte: Key4biz | di Luigi Garofalo

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL