Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

GDPR e associazioni sportive: linee guida per il trattamento dei dati nel mondo dello sport

Le associazioni sportive si trovano dunque in una situazione delicata nei confronti del GDPR, che non può essere affatto trascurata in quanto occorre tutelare i dati personali e particolari di associati, giocatori ed utenti. Ecco una breve guida pratica per l’adeguamento al GDPR delle associazioni sportive

05 Giu 2019
R

Andrea Radin

Business Analyst e Consulente GDPR


La pausa estiva rappresenta per molte associazioni e società sportive l’occasione buona per analizzare e rivedere l’organizzazione. In particolare, è utile affrontare, per chi non lo avesse fatto, la delicata questione dell’adeguamento al GDPR in merito al trattamento dei dati personali.

GDPR e associazioni sportive: l’importanza della compliance

Perché focalizzarci sul GDPR nel mondo dello sport? Per questi motivi:

  • perché le associazioni e società sportive avendo un fine “senza scopo di lucro”, basato generalmente sul volontariato, non si considerano delle “organizzazioni” simili alle aziende, con gli eventuali obblighi e aggiornamenti normativi che coinvolgono le seconde;
  • la mole e tipologia di dati personali trattati da associazioni, società ed enti sportivi è superiore, per esempio, ad un’azienda che ha un mercato B2B (Business to Business), i cui clienti sono altre aziende, o vende prodotti e servizi non legati allo stato di salute di una persona;
  • vengono trattati dati particolari (ex dati sensibili) legati allo stato di salute di una persona, nel caso di infortuni, terapie, controlli eccetera. C’è quindi uno stretto collegamento e coinvolgimento con il mondo scientifico e medico, come medici, fisioterapisti, specialisti, poliambulatori, centri medici e riabilitativi;
  • durante le attività sportive vengono fatte video e foto che poi le associazioni o società sportive pubblicano nei siti o nei social, come veicolo di comunicazione e promozione sia per la propria visibilità che per quella degli sponsor;
  • vengono organizzate attività collaterali, come iniziative ed eventi. sia a carattere sociale che promozionale per avere nuovi iscritti alle attività sportive o, semplicemente, nuovi soci;
  • il valore dello sport sta andando oltre al puro aspetto ludico e si stanno mettendo in piedi iniziative di “sport marketing” che coinvolgono sia le associazioni e società sportive che gli sponsor, i quali potrebbero ricevere dalle prime i dati per iniziative promozionali e commerciali.

GDPR e associazioni sportive: il registro dei trattamenti

Il Garante privacy con il comunicato stampa dell’8 ottobre 2018 ha aggiornato le istruzioni sul registro dei trattamenti (pubblicando anche le relative FAQ), indicando che “sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.), o anche di dati relativi a condanne penali e a reati”.

In particolare viene specificato che “rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, le fondazioni e i comitati”.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza);
  • associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.;
  • associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
  • associazioni sportive con riferimento ai dati sanitari trattati;
  • partiti e movimenti politici;
  • sindacati;
  • associazioni e movimenti a carattere religioso.

I passi da seguire per l’adeguamento

In altre parole, questa indicazione del Garante privacy chiarisce in modo inequivocabile che associazioni, società, enti e comitati in ambito sportivo devono essere adeguati alla normativa del Regolamento GDPR – UE 2016/679 in materia di protezione dei dati personali.

E i passi da seguire per rispettare i requisiti minimi sono:

  • la predisposizione delle informative, come previsto dagli articoli 13 e 14 del Regolamento GDPR, nei confronti degli associati e giocatori che fanno parte dell’ente sportivo, dove prevedere il consenso sia per il trattamento dei dati particolari, ex dati sensibili, (obbligatorio), che per attività di carattere promozionale e di marketing da parte di sponsor e partner dell’ente sportivo (facoltativo);
  • l’autorizzazione alla divulgazione di foto e video tramite il sito web e i social dell’ente sportivo, con la dovuta attenzione nei confronti dei minori, che prevede l’autorizzazione da parte dei genitori o tutori;
  • la nomina di responsabili del trattamento di collaboratori e figure professionali che ruotano nel sistema sportivo, come medici, fisioterapisti, strutture sanitarie ecc.;
  • la redazione del registro dei trattamenti, ponendo l’attenzione per quei trattamenti che prevedono il trattamento di dati particolari.

GDPR e associazioni sportive: quando serve il DPO

Occorre valutare attentamente, inoltre, se sia necessario prevedere in alcuni associazioni, società, enti o comitati in ambito sportivo, la designazione del DPO (Data Protection Officer), come indicato nell’articolo 37 del Regolamento GDPR.

Nel caso ci sia un trattamento di dati su larga scala e anche una promiscuità di attività, come la presenza di un poliambulatorio o centro di riabilitazione, inclusi o collegati a tali enti sportivi, prevedere il DPO è una condizione necessaria, la cui indicazione dev’essere prevista nell’informativa.

Le associazioni sportive si trovano dunque in una situazione delicata nei confronti del GDPR, che non può essere affatto trascurata: dovranno prestare un’adeguata attenzione al trattamento dei dati particolari degli associati, giocatori e/o utenti, in particolare a quelli “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Sarà necessario evidenziare le finalità del trattamento dei dati e rispettare il consenso o il mancato consenso del soggetto in questione.

Il sistema organizzativo e documentale non sarà complesso come una realtà aziendale, ma ha dei punti che vanno assolutamente affrontati per non ricorre in possibili risarcimenti e sanzioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5