Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEMPIMENTI PRIVACY

Privacy e associazioni sportive dilettantistiche: la guida pratica per il corretto adeguamento al GDPR

Anche le associazioni sportive dilettantistiche devono adeguarsi alla normativa privacy: la raccolta dei dati personali degli associati e la loro conservazione integra, infatti, il trattamento di dati personali. Ecco, dunque, una semplice guida pratica per il corretto adeguamento al GDPR

20 Feb 2020
S
Luca Sanna

Avvocato, Studium Cives


Anche le associazioni sportive dilettantistiche (ASD) hanno dovuto adeguarsi al quadro normativo che regola il trattamento dei dati personali.

Nei fatti la mera attività di raccolta dei dati personali (nome, cognome, codice fiscale, telefono, indirizzo, certificato medico) mediante compilazione di moduli cartacei o sul sito web e la loro conservazione presso cartelle digitali o cassetti e archivi cartacei integra il trattamento di dati personali.

Una semplice iscrizione in palestra ovvero presso un’associazione sportiva rappresenta il primo passo per rimettersi in forma e rappresenta il primo step del trattamento dei dati personali (la cosiddetta profilazione), che purtroppo molto spesso avviene senza alcuna osservazione delle prescrizioni in termini di privacy.

Privacy e società sportive dilettantistiche: l’informativa

Ai sensi dell’art. 13 del GDPR, l’informativa fornita dalla società sportiva deve contenere informazioni sull’identità e i dati di contatto del Titolare del trattamento, dell’eventuale Responsabile per la protezione dai dati/Data Protection Officer (cosiddetto DPO) del trattamento, delle diverse finalità dei trattamenti.

Tale documento dovrebbe essere consultabile e fruibile dagli aspiranti iscritti mediante locandine o copie cartacee reperibili in prossimità degli uffici di segreteria nonché sul sito web della ASD.

Soltanto dopo aver comunicato l’informativa la società sportiva può raccogliere e poi proseguire il trattamento dei dati previo rilascio del consenso scritto informato, consapevole ed espresso da parte del singolo atleta. Non sempre questo avviene.

Privacy e società sportive dilettantistiche: il consenso

In ottemperanza al principio di accountability ogni modulo di tesseramento, partecipazione a eventi sportivi, partecipazione a campionati e via dicendo dovrebbe contenere obbligatoriamente una sezione nella quale poter fare esprimere il consenso espresso a ogni tesserato/partecipante, anche solo visitatore in prova presso la struttura.

L’importanza di un’organizzazione interna

Con riferimento all’organizzazione interna, ogni dipendente che tratta dati personali deve essere nominato quale soggetto designato (che nel vecchio testo del Codice privacy erano denominati “incaricati”) al trattamento dei dati (art. 29 GDPR in combinato con l’art. 2-quaterdecies D.lgs. n. 196/2003).

Laddove presente, si dovrebbe procedere alla nomina di tutti i responsabili del trattamento, interno o terzi che siano: i tecnici, i medici, le persone fisiche che, ciascuno per uno specifico compito professionale, attive nel settore dello sport dilettantistico, così come le piccole aziende che offrono servizi per la per le singole associazioni e società sportive dilettantistiche.

Ovvero tutti i soggetti che svolgono i rispettivi compiti (istituzionali, a titolo gratuito o in esecuzione di un contratto) trattando dati personali di persone fisiche e, in particolare, i dati personali degli atleti, di soggetti minorenni e i dati sensibili (ora “categorie particolari di dati”) quali l’origine razziale o etnica, l’orientamento religioso o sessuale, condizioni relative allo stato di salute (interventi medici, patologie, intolleranze), devono necessariamente operare nel rispetto del nuovo assetto costituito non più dal solo D.lgs. n. 196/2003, ma a monte dal Regolamento UE n. 2016/679 (GDPR), il Codice privacy e i provvedimenti e le Autorizzazioni generali adottate dal Garante privacy italiano nonché dal Garante privacy europeo.

Privacy e società sportive dilettantistiche: accorgimenti

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Ogni titolare del trattamento dei dati personali (le singole associazioni e società sportive lo sono in merito ai dati dei propri iscritti) deve inoltre operare adottando misure organizzative interne rispettose dell’obbligo del trattamento dei dati in sicurezza ai sensi dell’art. 32 del Regolamento UE n. 2016/679.

Dunque, anche i piccoli uffici amministrativi (come le segreterie) degli enti che operano nell’ambito dello sport dilettantistico devono abolire condotte o prassi che possano esporre i dati personali e/o i dati sensibili contenuti in fascicoli cartacei o nelle cartelline digitali di un PC a distruzione, perdita, sottrazione ma anche solo a indebiti trattamenti.

Infatti, posto che integra il trattamento del dato personale anche la mera disponibilità del dato e la sua consultazione (su materiale cartaceo o a video di un PC), gli operatori di qualsivoglia ufficio non devono lasciare documenti, schedari, fascicoli incustoditi su scrivanie o presso un’area aperta al pubblico come una reception, non devono lasciate aperti i notebook, i personal computer, bensì ogni operatore deve avere utilizzare una propria password di accesso per non consentire a terzi estranei di accedere ai file informatici dei propri dispositivi di lavoro.

E, ancora, non possono essere comunicati dati personali telefonicamente o a mezzo e-mail a soggetti diversi dall’interessato al quale i dati personali si riferiscono (salvo ovviamente il richiedente la trasmissione dei dati si identifichi e sia munito di una delega scritta dell’interessato).

Le misure di sicurezza da adottare devono essere “adeguate” ovvero calibrate sulla base della singola realtà (dimensioni ufficio, volume e tipologia dei dati personali trattati, strumenti utilizzati, eventuali soggetti terzi destinatari dei dati, durata del trattamento), proprio per non appesantire e richiedere impegni e sforzi, anche economici, eccessivi rispetto alle concrete necessità del singolo titolare del trattamento.

È indubbio che un decalogo minimo (adozione password da modificare regolarmente, osservarne la segretezza, chiudere a chiave armadietti, schedari, librerie o stanze contenenti dati personali, adottare e aggiornare antivirus e firewall per i computer, separare le reti Wi-Fi – quella dell’ente/ufficio titolate del trattamento da quella “guest” per i clienti o ospiti della struttura -, sono alcuni esempi basilari delle misure di sicurezza che implementano un operato conforme a norme e principi fondanti un buon trattamento di dati personali.

Conseguenze di un mancato rispetto delle prescrizioni

Il concetto di responsabilizzazione con la susseguente responsabilità risarcitoria (art. 82 GDPR) e l’inasprimento delle sanzioni amministrative pecuniarie (art. 84 GDPR) – nonché la responsabilità penale di cui agli artt. 167 e ss. del Codice privacy – possono impattare sia sulle Federazioni sportive di appartenenza, nonché sulle singole società e associazioni dilettantistiche con conseguenze anche molto gravi sia in termini di capacità economica che sotto il profilo del danno reputazionale.

Come noto l’art. 84, parag. 4, GDPR stabilisce che:

la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.00000 EURO, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4”; e al paragrafo 5 prevede che “la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EURO, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1”. Il paragrafo 6 dell’art. 84 stabilisce inoltre che “l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EURO, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Sanzioni GDPR: alcuni esempi

Sul punto e sull’importanza dell’osservanza delle regole poste a tutela dei dati personali si ricordano alcuni provvedimenti sanzionatori adottati dal Garante Privacy, prima dell’entrata in vigore del GDPR quando vigeva solo il Codice Privacy.

Si tratta di due atti con cui il Garante privacy ha sanzionato due associazioni sportive dilettantistiche per il trattamento non corretto dei dati personali delle persone fisiche iscritte avvenuto mediante il sistema di videosorveglianza[1] e mediante un sistema di rilevamento dell’impronta digitale (dato biometrico equiparato a un dato sensibile) dei tornelli utilizzati per accedere alla struttura[2].

Nel primo caso il Comando Compagnia della Guardia di finanza di Verbania, nell’ambito di un’attività di controllo ai sensi degli artt. 52 e 63 del D.P.R. 26 ottobre 1972 n. 633 e 33 del D.P.R. 29 settembre 1973 n. 600, ha accertato che l’Associazione sportiva effettuava, quale titolare, un trattamento di dati personali mediante l’utilizzo, anche in orari notturni, di un impianto di videosorveglianza composto da due telecamere collegate a un apparecchio di videoregistrazione e 1 monitor, omettendo di rendere un’idonea informativa semplificata ai sensi dell’art. 13 del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) poiché priva dell’indicazione del titolare del trattamento effettuato.

Nell’ambito della medesima attività di controllo è stato altresì accertato che le immagini più remote e visibili registrate tramite il citato impianto di videosorveglianza erano conservate, dall’associazione sportiva dilettantistica in qualità di titolare del trattamento, dalla data del 30 giugno 2013 al giorno di effettuazione dell’attività di controllo (29 luglio 2013) e quindi per un periodo di 29 giorni superiore a quello (una settimana) prescritto, ai sensi dell’art. 154, comma 1 lett. c) del Codice, al punto 3.4 del provvedimento generale dell’Autorità in materia di videosorveglianza datato 8 aprile 2010.

Per le ragioni sopra indicate, seppur contestate durante il contraddittorio, il Garante della Privacy ha ingiunto il pagamento della somma pari ad € 14.400,00.

Nel secondo caso con il provvedimento n. 127 del 29 marzo 2012, il Garante per la protezione dei dati personali ha accertato, tra l’altro, che l’Associazione sportiva dilettantistica tramite un sistema di rilevazione delle impronte digitali degli utenti utilizzato per consentire l’accesso alla struttura, ha effettuato un trattamento di dati biometrici dei propri clienti, senza rendere loro l’informativa di cui all’art. 13 del Codice e senza acquisire il prescritto consenso ai sensi dell’art. 23 del Codice della Privacy.

Nel caso di specie il consenso al trattamento veniva sottoscritto da ogni interessato, purtroppo all’interno dell’informativa fornita non vi era alcuna menzione sul trattamento dei dati biometrici; tale dimenticanza ha prodotto una sanzione pari ad € 10.000,00 ingiunta dal Garante della Privacy.

Considerazioni finali

In conclusione – trattandosi di conseguenze che incidono sul rapporto di fiducia tra titolare del trattamento e soggetto interessato, sull’immagine delle Federazioni di appartenenza, nonché sul bilancio e conseguentemente, in taluni casi, anche sulla sopravvivenza di una società, è evidente come tutti coloro che trattano dati nel mondo dello sport dilettantistico – dove si raccolgono, conservano, detengono, comunicano, pubblicano i dati personali e sensibili di dipendenti, soci, volontari, atleti, allenatori e altri – debbano adeguarsi al vigente assetto normativo partendo da un’analisi della propria situazione rispetto ai dati gestiti, individuando le aree di intervento ed attivando le misure tecniche ed organizzative necessarie.

Infatti, proprio in forza del pilastro fondamentale del GDPR, ovvero l’accountability (responsabilizzazione), la circostanza che vede ciascuna società o associazione sportiva dilettantistica in grado di dimostrare il lavoro fatto per adeguarsi, adottando misure organizzative e di sicurezza minime adeguate alla propria specifica realtà, predisponendo nuove buone prassi, nuovi modelli e l’informativa sul trattamento adeguata ai dettami degli artt. 13 e 14 del Regolamento UE 2016/679, per un assetto rispettoso dei principi e degli obblighi introdotti dal GDPR e delle norme del Codice privacy, sarà valutata positivamente dal Garante privacy e potrà determinare la mancata irrogazione di sanzioni amministrative pecuniarie oppure l’applicazione di sanzioni ridotte.

NOTE

  1. Ordinanza di ingiunzione nei confronti di Associazione sportivo dilettantistica Feriolo Sporting Club – 25 febbraio 2016 [5422764], con cui il Garante ha irrogato complessivi 14.600,00 euro di sanzione amministrativa pecuniaria.
  2. Ordinanza di ingiunzione nei confronti di Associazione sportiva dilettantistica Sport Fashion (A.S.D. Sport Fashion) – 12 novembre 2014 [3801009], con cui la ASD è stata condannata a una sanzione amministrativa di euro 10.000,00.
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5