“Bending Spoons è autorizzata a trattare i dati personali” degli utenti “necessari per l’esecuzione delle attività oggetto dell’Atto”, ossia per lo sviluppo, assistenza e manutenzione di IMMUNI.
“Il tipo di dati personali che la Bending Spoons è autorizzata a trattare ai sensi del presente atto di designazione sono:
- dati comuni (identificativi e pseudo anonimizzati);
- categorie particolari di dati (ivi inclusi dati relativi allo stato di salute), ad esclusione dei dati giudiziari”.
Tutto questo è scritto nel contratto tra il Commissario straordinario Domenico Arcuri e Bending Spoons. Contratto finalmente reso pubblico a più di 1 mese e mezzo dall’ordinanza con cui Arcuri ha comunicato la scelta del Governo di affidare a Bending Spoons lo sviluppo dell’app per il contact tracing.
Nel contratto manca, però, la data della sottoscrizione. Quando è stato firmato?
A pagina 9 leggiamo solo che è stato firmato digitalmente dal Commissario Domenico Arcuri e il Presidente del Consiglio di Amministrazione di Bending Spoons, Francesco Patarnello.
Torniamo al ruolo di Bending Spoons per quanto riguarda il trattamento dei dati personali e sanitari di chi installa e usa IMMUNI. Abbiamo scoperto che tratta questi dati sensibili, ma fino ad oggi è stato comunicato il contrario.
La ministra Pisano: “Bending Spoons non tratterà in nessun modo i dati dell’applicazione“
“Bending Spoons non tratterà in nessun modo i dati dell’applicazione. Posso rassicurare il Parlamento e tutti i cittadini che non sussistono, neppure in astratto, rischi che i dati raccolti dall’app possono entrare nella disponibilità di soggetti stranieri o privati” ha assicurato Paola Pisano nell’Aula del Senato il 13 maggio scorso.
Perché la ministra Pisano ha detto “Bending Spoons non tratterà in nessun modo i dati dell’applicazione”?
Invece la società Bending Spoos tratta eccome i dati personali e deve farlo, da contratto, “per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali”.
Bengind Spoons può trattare i dati anche del personale di Sogei
Bengind Spoons può trattare i dati delle seguenti “categorie”:
- utilizzatori dell’App;
- personale sanitario che interagisce con la App;
- personale in forze (dipendente e non dipendente) all’Amministrazione; e
- personale in forze (dipendente e non dipendente) al Gestore del servizio (Sogei).
Le garazie chieste a Bending Spoons
Per il rispetto dell’obbligo di trattare i dati per le sole finalità specificate e nei limiti dell’esecuzione del contratto, il Commissario Arcuri ha posto le seguenti garanzie.
“Bending Spoons”, è scritto nel contratto, “riconosce e accetta che l’Amministrazione, nell’ambito dei poteri e obblighi ad essa spettanti in qualità di titolare del trattamento, possa verificare il rispetto da parte della Società degli obblighi imposti dal presente accordo, oltre a contribuire e consentire all’Amministrazione – anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione – verifiche periodiche, ispezioni e audit circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, l’Amministrazione informa preventivamente la Società con un preavviso minimo di quattro giorni lavorativi”.
Il Governo, qualora dovesse accertare il non rispetto di questo obbligo da parte di Bendig Spoons, “può rescindere il contratto e chiedere risarcimento danno”. Questo può avvenire qualora Bending Spoons si avvalga “di ulteriori sub-Responsabili per delegare attività specifiche, previa autorizzazione scritta dell’Amministrazione, per usare servizi di cloud platform”.
Come il personale di Bending Spoons può trattare i dati
Allo stesso tempo, Bending Spoons, per garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali,:
- si impegna a rispettare la riservatezza o ad essere sottoposta ad un obbligo legale appropriato di segretezza;
- faccia la formazione necessaria in materia di protezione dei dati personali ai dipendenti che lavorano ad IMMUNI;
- Dipendenti che trattino i dati personali osservando le istruzioni impartite dal titolare per il trattamento dei dati personali;
Il ministero della Salute ha chiesto a Bending Spoons il piano di misure di sicurezza dei dati?
Il ministero della Salute ha chiesto a Bending Spoons un piano di misure di sicurezza per mettere in atto misure tecniche ed organizzative idonee per garantire un livello di sicurezza dei dati personali e sanitari trattati dalla società che sviluppa IMMUNI? Un piano di misure di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento.
Bending Spoons può anche trasferire i dati trattati verso un paese terzo o un’organizzazione internazionale con l’ok del Governo
Infine, scopriamo anche Bending Spoons ha l’obbligo di “informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, l’Amministrazione di ogni violazione di dati personali (cd. data breach)” e “non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte dell’Amministrazione”.
Al termine della prestazione per IMMUNI, Bending Spoons si impegna a: i) restituire allo Stato italiani i supporti rimovibili eventualmente utilizzati su cui sono memorizzati i dati; ii) distruggere tutte le informazioni registrate su supporto fisso, documentando per iscritto l’adempimento di tale operazione.
IMMUNI, Bending Spoons tratta i dati personali e sanitari. Ma Pisano aveva detto di No