GDPR è una parola che spaventa molto i titolari e gli operatori di associazioni e società sportive. Una paura aumentata dalle sanzioni legate a questa materia. Per questo motivo iniziamo oggi ad affrontarne alcuni aspetti del GDPR e degli adempimenti necessari.
NORMATIVA DI RIFERIMENTO
Da tempo i centri sportivi devono fare i conti con la privacy ma l’entrata in vigore del GDPR (Reg. UE 679/16) avvenuta nel 2018 e il decreto legislativo n. 101/18 di modifica del codice della privacy (d.lgs. 196/03) ne hanno mutato quadro e contenuti, lasciando spaesati gli operatori.
SANZIONI
Peraltro le conseguenze per chi non si adegua alla nuova disciplina e per chi non utilizza correttamente i dati personali possono essere molto gravi:
- sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo se superiore a questa cifra;
- cause per risarcimento del danno;
- nei casi più gravi condanne penali.
Il tutto senza considerare il danno d’immagine per un centro sportivo che usi i dati personali in maniera scorretta.
Questa la ragione di molta preoccupazione.
Vediamo quindi nel dettaglio la disciplina GDPR partendo proprio dal suo oggetto.
TRATTAMENTO DEI DATI E DATI PERSONALI
Il Regolamento Europeo 679/16 si occupa del trattamento dei dati personali. Dobbiamo allora concentrarci su due aspetti: il concetto di trattamento e quello di dati personali.
COS’E’ UN TRATTAMENTO
Possiamo dire, per sommi capi, che il trattamento è l’utilizzo di un dato personale con modalità digitali o mediante archivi cartacei. La raccolta, l’organizzazione, la diffusione o la comunicazione, il raffronto o l’analisi dei dati personali sono tutte ipotesi di trattamento se fatti con un computer o con un archivio cartaceo. E’ pertanto un trattamento inserire nome e cognome di un tesserato nel gestionale, è un trattamento chiamare un numero di telefono per ricordare di pagare le quote o mandare una mail per promuovere un’iniziativa, è un trattamento scattare la foto di alcuni atleti ed è un trattamento postare quella foto su facebook.
Sono poche le ipotesi che esulano dalla disciplina GDPR: ad esempio posso appuntarmi dei nomi e dei numeri di telefono su un quadernetto (purchè non in ordine alfabetico, pena ricadere nell’archivio), posso segnare i nomi di un atleta su di una tessera o appuntarmi su di un foglio i risultati di un test. Quindi quasi ogni attività che svolgiamo con i dati personali è trattamento per il GDPR.
QUALI SONO I DATI PERSONALI?
Cosa sono invece i dati personali? Sono tutte le informazioni relative ad una persona fisica (quindi non riguarda le società) identificate o identificabili. Tra i dati trattati da un centro sportivo ricordiamo nome, cognome, e dati della residenza, numero di telefono ed indirizzo mail, dati fiscali per le fatturazioni, dati relativi all’accesso alla palestra, le caratteristiche fisiche o psicoattitudinali di un atleta, le sue immagini (comprese quelle della videosorveglianza).
DATI DEI MINORI E DATI PARTICOLARI
Tra i dati personali ve ne sono due tipi a cui prestare particolare attenzione : quelli dei minori e i dati particolari (quelli che un tempo si definivano dati sensibili).
Ai dati dei minori dedicheremo un articolo a parte, per il momento si ricordi soltanto che devono essere conservati con particolare cura. Inoltri molti sostengono che il consenso al trattamento possa essere dato anche da chi abbia compiuto quattordici anni. In realtà questo si riferisce solo all’iscrizione ed all’utilizzo dei social networks. Per questa ragione il mio consiglio è di richiedere sempre il consenso di chi esercita la responsabilità genitoriale sul minore.
I dati particolari sono quelli inerenti l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché i dati genetici, biometrici e relativi a salute, vita sessuale ed orientamento sessuale. Tra i dati particolari trattati da un centro sportivo segnaliamo in particolari i dati sanitari: innanzitutto i certificati medici che ogni atleta deve fornire, poi tutti quei dati sanitari che caratterizzino l’atleta, dalle notizie circa limiti fisici o patologie, ai dati circa la massa corporea o i dati dei test di sforzo.
In questi casi dati possono esser trattati solo quando strettamente necessari (per obbligo di legge, per tutelare la salute dell’atleta o per migliorarne le prestazioni sportive) e si deve fare particolare attenzione nel loro trattamento e conservazione: vanno separati dai dati comuni affinché possa accedervi solo il personale che vi ha veramente necessità e devono essere assunte le iniziative necessarie a garantirne la conservazione ed impedirne la diffusione (ovviamente perdere un indirizzo mail non è grave quanto perdere dati relativi alla salute di una persona).
Nei prossimi articoli parleremo di come trattare tutti questi dati ed in particolare di informative e consensi.
|di Samuele Marchetti, Avvocato del Foro di Pisa|
