Come evitare violazioni

GDPR e palestre, come gestire le informative sulla privacy

Nelle palestre vengono trattati i dati personali degli utenti per svariate ragioni: questo rende necessario l’adeguamento al GDPR non trascurando le informative sulla gestione dei dati. Particolare attenzione va prestata nel caso il centro sportivo offra consulenza nutrizionale e prepari diete ad hoc, che vanno tenute riservate

18 Feb 2019
E
Marcella Esposito

Avvocato, Consulente privacy


All’interno delle palestre vengono svolte attività che richiedono rilevanti operazioni di trattamento dei dati personali. Grazie alla tecnologia che ha ormai assunto un aspetto rilevante in centri sportivi ma anche piccole palestre, si palesa sempre più l’esigenza di rendere questi posti luoghi dove i dati personali, di dipendenti e iscritti, siano tutelati e il loro trattamento avvenga in maniera conforme al GDPR.

Ciò può avvenire attraverso la predisposizione di idonee misure di sicurezza ed un piano di investimento che rafforzi quelle già esistenti, in quanto, è bene ricordare che la miglior protezione dei dati, avviene attraverso un buon processo di prevenzione del rischio.

La distribuzione degli incarichi

Primo passo da muovere verso l’adeguamento è quello relativo alle nomine, tenendo bene presente la distribuzione, all’interno della struttura, delle responsabilità di ogni soggetto in relazione ai dati personali trattati, al fine di evitare che prevalga un inutile formalismo che porti alla copiosa produzione di “carte”, con un eccesso di nomine di responsabili del trattamento.

Sarà, pertanto, importante procedere ad una attenta valutazione di ogni singolo ambito operativo e stabilire un governo di tali attività, attraverso la designazione da parte del titolare del trattamento, dei “delegati interni” del trattamento, al fine di garantire l’attuazione delle misure tecniche ed organizzative individuate dalla Policy Privacy. Successivamente a tale processo di individuazione delle figure e di un formale atto di nomina quali delegati interni, sarà consigliabile, per ossequiare l’anima sostanzialistica del GDPR, fornire a tali soggetti una idonea istruzione in merito alle responsabilità connesse alle funzioni svolte in riferimento alla protezione dei dati personali, soprattutto in riferimento alle finalità di trattamento consentite e contenute nel Registro.

Sarebbe auspicabile che il titolare del trattamento provveda ad organizzare momenti formativi, in particolare sugli obblighi derivanti dal GDPR, che possano garantire ai delegati interni e, ove presenti, ai loro collaboratori con nomina di “incaricati” autorizzati a svolgere operazioni di trattamento sui dati personali, le nozioni necessarie per non incappare in alcuna violazione della normativa e assicurare la protezione dei dati personali degli interessati.

Relativamente agli interessati, in particolare, dovrà assicurarsi che siano rispettati gli adempimenti relativi al rilascio di idonea informativa, alla richiesta di consenso, all’esercizio dei diritti garantiti in loro favore, soprattutto quando il trattamento abbia ad oggetto dati di natura sensibile o riferiti a minori.

L’informativa: deve sottoscriverla ogni interessato?

In riferimento alla informativa, i titolari chiedono spesso se sia necessario farla sottoscrivere ad ogni interessato. Sul punto, non vi è una risposta univoca, benché non sembra peccare di approssimazione la soluzione che preveda l’esposizione della stessa in un luogo chiaro e ben visibile, ad esempio sotto il vetro del banco della reception, oppure in un “quadretto” affisso in più punti focali dello spazio operativo. Per la sottoscrizione del consenso, invece, non ci sono dubbi sulla sua necessità, soprattutto quando richiedono quelli ulteriori per l’invio di mail con finalità di marketing o cessione dei dati a terzi.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Qualora la palestra sia presente anche con un proprio sito internet sul web, non bisogna mai tralasciare la pubblicazione della policy privacy al suo interno, rendendola quanto più chiara possibile e di facile comprensione.

Far la dieta rispettando la privacy

Poiché sempre più spesso ai programmi di allenamento viene associato un regime alimentare specifico, nelle palestre potrebbe essere presente anche la figura di un nutrizionista. In conformità a quanto prevede la normativa sul trattamento dei dati particolari, in tal caso, lo stesso sarà subordinato all’adozione dei relativi accorgimenti che ne garantiscano la protezione.

Tra questi, mentre la raccolta del consenso è la condizione di base del trattamento stesso, ve ne sono altri, spesso trascurati. Uno, esemplificativo, è quello di evitare di renderli noti, in qualsiasi modo, a soggetti non autorizzati. Pertanto, assolutamente sconsigliabile, è l’affissione delle diete in una bacheca “pubblica”, parimenti le schede degli allenamenti, entrambe, infatti, risultano idonee a rivelare dati sulla salute dell’interessato, ad esempio un allenamento dimagrante, oppure un regime alimentare particolarmente restrittivo possono essere sintomatici di obesità.

Un ultimo aspetto da non trascurare, benché vi renderà un consulente pignolo, è quello relativo ad un trattamento che deriva da un esame che, molto spesso, nelle palestre viene offerto gratuitamente, ossia l’esame impedenzometrico.

Attraverso questo esame si rileva la percentuale di massa magra e massa grassa che compongono il peso del soggetto in questione, la ritenzione idrica, al fine di predisporre il piano alimentare più adeguato al risultato che si mira ad ottenere. Ebbene, se appare anche superflua la raccomandazione di procedere solo previo consenso scritto dell’interessato ad eseguire tale esame, forse, non lo sarà altrettanto consigliare di verificare molto bene i dati raccolti se e a chi verranno ceduti.

Ci sono casi in cui, infatti, la strumentazione per effettuare questa tipologia di esame, viene data in dotazione da aziende che fanno della nutrizione il loro business, in cambio della cessione dei dati dei soggetti esaminati. Potrebbe così accadere che tali soggetti, in seguito, siano destinatari di messaggi sulla loro posta elettronica che contengono la pubblicità di prodotti dimagranti, integratori, tisane drenanti, commercializzati proprio dall’azienda, o da una collegata, fornitrice dell’apparecchiatura per eseguire l’esame che la loro palestra gli ha offerto gratuitamente.

In tal caso, non sarà necessario che il Titolare rinunci alla vantaggiosa convenzione stipulata con tali aziende ma sarà indispensabile al fine di evitare violazioni della privacy, procede a raccogliere un ulteriore consenso, specifico per la cessione dei dati a terzi, per il marketing e per l’invio di materiale pubblicitario.

@RIPRODUZIONE RISERVATA