Il Regolamento Europeo 2016/679, meglio noto come GDPR (acronimo inglese di General Data Protection Regulation), introduce nuovi obblighi in tema di privacy e impone a tutte le strutture che promuovono e svolgono attività sportive norme di comportamento circa il trattamento dei dati personali degli interessati, al fine di ottimizzare il livello di sicurezza di tutte quelle informazioni sensibili che quotidianamente vengono raccolte, elaborate e conservate da terzi.
Naturalmente, anche le A.S.D. e le S.S.D. sono tenute al rispetto di tale normativa, poiché hanno uno specifico obbligo di protezione dei dati personali dei terzi con i quali vengono in contatto (iscritti, utenti, dipendenti, collaboratori sportivi e fornitori).
Il sodalizio è titolare del trattamento dei dati, pertanto deve provvedere al rilascio di idonee informative agli interessati, proprietari dei dati, non appena inizia a trattarli.
Gli interessati, infatti, hanno il diritto di essere informati sulle finalità per cui i propri dati sono raccolti e trattati, sulle modalità di elaborazione e dei tempi stabiliti per la loro conservazione. Per l’esercizio di tali diritti, l’interessato è titolare di facoltà che può esercitare nei confronti del titolare: l’accesso, la rettifica, la cancellazione dei dati, l’opposizione e la limitazione al trattamento.
Lo stesso dicasi per gli utenti che navigano sui siti internet (o hanno installato specifiche applicazioni), per i quali deve essere prevista una specifica privacy & cookie policy.
1. La figura dei responsabili del trattamento
Riprendendo il tema della delega già affrontato nel nostro precedente articolo (vedi “Le responsabilità nella gestione di un impianto natatorio” pubblicato il 23.3.2020), il titolare del trattamento, tramite idonea lettera d’incarico, individua e nomina formalmente i propri responsabili del trattamento (secondo il regolamento europeo, il Data Protection Officer, DPO), coloro ai quali è affidata l’elaborazione e la gestione dei dati per conto dello stesso titolare (art. 4, punto 8 GDPR).
Si tratta di una persona fisica, giuridica, pubblica amministrazione, servizio o altro organismo distinto dal titolare, che deve essere in grado di fornire specifiche garanzie al fine di assicurare il pieno rispetto delle disposizioni sul trattamento dei dati e la tutela dei diritti dell’interessato.
In questo rapporto, il titolare del trattamento continua a rispondere della gestione effettuata dal responsabile: ciò implica che quest’ultimo deve presentare garanzie in termini di conoscenza specialistica, affidabilità e risorse, mentre il titolare deve sempre valutare il rischio del trattamento in capo al responsabile.
Difatti, ai sensi dell’art.4, punto 7 del GDPR, il titolare è pur sempre quella: “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo” che: “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e, pertanto, dovrà sempre avere
l’ultima parola in tema di gestione dei dati personali, essendone pienamente responsabile.
Nella ratio della normativa europea il ruolo del responsabile è chiaramente riservato ad un soggetto esterno.
Infatti, non solo vi è l’obbligo specifico di predisporre un contratto per la designazione delle responsabilità (il c.d. Data Protection Agreement) specificandone gli obblighi e i limiti, ma è anche stabilito che non può sussistere alcun flusso di dati personali tra il titolare e i propri dipendenti o collaboratori. Il DPO assume responsabilità proprie nei confronti degli interessati, rispondendone sia all’autorità di controllo sia alla magistratura.
Tuttavia, l’esperienza italiana ha sempre ammesso la configurabilità del “responsabile interno”. Inizialmente, con la Legge 20 novembre 2017, n. 167 (“Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione Europea – Legge europea 2017”) il legislatore italiano modificava l’articolo 29 del Codice Privacy, mantenendo la possibilità di distinguere tra soggetto interno ed esterno, poi abrogata con la riforma del 2019.
Successivamente, con il nuovo Codice della Privacy (v. modifiche: D.L. 14 giugno 2019, n. 53; D.M. 15 marzo 2019; Decreto Legislativo 10 agosto 2018, n. 101 c.d. Decreto di adeguamento al GDPR), è stato introdotto l’art. 2 quaterdecies che cancella ogni dubbio a riguardo dichiarando che “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate che operano sotto la loro autorità”.
Date le proporzioni ridotte, le realtà che trattano principalmente dati dei loro associati per finalità di organizzazione delle attività sportive possono ricorrere a risorse interne oppure affidarsi a coloro che, offrendo servizi alle A.S.D., li gestiscono per conto di queste: si pensi al consulente del lavoro in presenza di dipendenti o ai consulenti di marketing per l’attività di promozione.
Le A.S.D. e le S.S.D., invece, agiscono come responsabili del trattamento ogni qualvolta un proprio associato richieda, loro tramite, il tesseramento presso la Federazione di riferimento.
Quest’ultima casistica implica la necessaria regolazione dei rapporti intercorrenti tra le Associazioni e le Federazioni mediante analogo atto di nomina a DPO. Dunque, in questo scenario il sodalizio diviene il responsabile per conto della Federazione, titolare del trattamento dei dati.
2. La formazione
Ciascun dipendente o volontario, in forza delle proprie mansioni, accede necessariamente ai dati personali degli iscritti, utilizzandoli per lo svolgimento di numerose attività, proprie di ogni realtà sportiva, quali: 1. il tesseramento; 2. la gestione di mailing list dei soci; 3. la gestione del sito web dell’associazione; 4. la pubblicazione di foto dei soci (di cui deve essere richiesto il consenso al soggetto interessato, in special modo se minorenne); 5. l’accesso ai dati da parte dei soci.
Partendo da questo presupposto, al fine di ridurre al massimo il rischio di violazione della privacy, tutto il personale deve essere formato ed istruito in maniera idonea. Al di là dell’esplicita autorizzazione, è dunque necessario predisporre piani di formazione e sensibilizzazione sulla disciplina della protezione e tutela dei dati personali per tutti gli incaricati del trattamento. L’obiettivo del personale incaricato è quello di agire in maniera corretta e consapevole, sotto le specifiche direttive dell’associazione. Pertanto, le Federazioni e gli organi competenti organizzano periodicamente specifici corsi di formazione, promuovendo anche la creazione di codici di condotta per le stesse.
Il documento che individua tutti i possibili processi di trattamento dei dati personali è il registro dei trattamenti (art. 30): strumento centrale della normativa GDPR, consente di tener traccia delle procedure eseguite dal titolare e dai responsabili, degli eventuali aggiornamenti e dei relativi consensi. È possibile affidare la mansione ad un collaboratore, ma è necessario autenticare il registro con la firma del legale rappresentante. Inoltre, la redazione del registro offre la possibilità di verificare l’effettiva adozione di una politica di data retention (ossia il periodo di conservazione dei dati) in quanto il Regolamento Europeo stabilisce che i dati debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, lett. E).
Infine, il titolare ha l’obbligo di adottare le adeguate misure di sicurezza fisiche, informative ed informatiche, per garantire la protezione di tutto il patrimonio dei dati al fine di ridurne i rischi di violazione e perdita. Le A.S.D. e le S.S.D. hanno dunque l’onere di provvedere all’adozione di soluzioni di sicurezza informatica tra cui le credenziali di accesso ai sistemi, firewall, procedure di back up e di ripristino dei dati in caso di incidenti di sicurezza.
Per quanto riguarda il materiale cartaceo, è fondamentale tenere separati i dati sensibili dalle altre categorie di documenti (come ad es. fatture o contratti) e archiviarli con chiusure di sicurezza, il cui accesso è riservato solo alle persone responsabili al trattamento.
Adottare quanto più possibile misure di “pseudonimizzazione” e “anonimizzazione” (come l’utilizzo di numerazioni che consentono di non vedere il nome del socio sulle cartelline di archivio) o sistemi di archiviazione a scomparsa diventa essenziale nelle aree di accesso a persone esterne alle strutture; in questa categoria sono ricomprese sia i collaboratori che non hanno l’incarico di trattare determinati dati, sia persone esterne all’organizzazione come clienti, addetti alle pulizie, consulenti esterni non incaricati.
Infine, qualora si volesse ricorrere ad eventuali impianti di videosorveglianza, dovranno essere predisposti gli adempimenti necessari per garantirne la conformità: la preventiva richiesta di
autorizzazione all’Ispettorato del Lavoro, l’informativa rivolta ai dipendenti e le lettere d’incarico per coloro che sono autorizzati ad accedere alle immagini oggetto di registrazione.
3. Sanzioni e responsabilità connesse al mancato adeguamento
Le violazioni riguardanti gli adempimenti essenziali e il mancato rispetto dei princìpi di base del Regolamento Europeo n. 679/2016 comportano l’irrogazione di sanzioni piuttosto severe.
Dopo la verifica e gli accertamenti della Guardia di Finanza e delle altre Forze dell’ordine (chiamate ad agire per conto dell’Autorità Garante), può scattare l’irrogazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83 GDPR: da 10.000 a 20.000 euro o dal 2% al 4% del fatturato mondiale annuo dell’esercizio precedente se superiori alle suddette cifre.
Gli artt. 167 e ss del Codice Privacy configurano anche le ipotesi di responsabilità penale per le seguenti fattispecie: trattamento illecito dei dati personali, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, inosservanza dei provvedimenti del Garante.
Il concetto di responsabilizzazione (c.d. accountability) comporta anche la responsabilità risarcitoria in sede civile (art. 82 GDPR) per danni conseguenti alla violazione della protezione dei dati. Determinate conseguenze possono impattare sia sulle Federazioni sportive di appartenenza, nonché sulle A.S.D. e S.S.D. le cui capacità economiche verrebbero seriamente messe alla prova (per non parlare del danno reputazionale).
Nel caso di trattamento in violazione delle norme, il responsabile risponde congiuntamente al titolare; risponderà unicamente il responsabile soltanto in caso di non corretto adempimento degli obblighi previsti dalle norme in capo allo stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare.
L’ art. 28 par. 3 del Regolamento Europeo stabilisce, altresì, l’obbligo del responsabile di informare immediatamente il titolare qualora ritenga che un’istruzione fornitagli sia in chiara violazione con la normativa europea o nazionale. Di conseguenza, sussiste in capo al responsabile un dovere generale di verifica e controllo circa la conformità delle procedure adottate.
Nel caso in cui più titolari o responsabili siano coinvolti nella opera di trattamento e figurano ugualmente responsabili del danno causato, ne risponderanno in solido così da garantire la soddisfazione dell’intero ammontare del risarcimento. Colui che si libera adempiendo alla sanzione pecuniaria avrà diritto di regresso nei confronti degli altri per la rispettiva quota.
Sono, invece, esonerati da qualunque responsabilità se riescono a fornire la prova che l’evento
dannoso non sia imputabile alla loro condotta, oppure se dimostrano di aver adottato tutte le misure idonee per evitare il danno stesso.
4. Aspetti pratici sugli adempimenti del gestore di una piscina
In conclusione, presa visione del Regolamento n. 679 del 2016 e degli obblighi da tarare all’interno di strutture organizzative di modeste dimensioni, cosa deve concretamente fare il gestore di una piscina per tutelare se stesso, i suoi collaboratori e i soci/iscritti?
Di certo, egli rientra tra i destinatari della disciplina GDPR ed è dunque tenuto a redigere e ad aggiornare correttamente il registro del trattamento. Questa risposta, per quanto pacifica, ha generato un vero e proprio dibattito interpretativo e pratico, come di seguito rappresentato.
L’art. 30 par. 5 stabilisce, infatti, che “gli obblighi non si applicano alle imprese o alle organizzazioni con meno di 250 dipendenti, a meno che (…) il trattamento non sia occasionale”.
Sulla vaghezza del concetto dell’occasionalità del trattamento viene in aiuto il Position Paper del Gruppo dei Garanti Europei (WP 29) del 19 aprile 2018, chiamato a supportare la corretta interpretazione delle deroghe di cui all’art. 30.
Il documento chiarisce che il trattamento dei dati personali in modo stabile attiva l’obbligo di tenere il registro. In tale prospettiva anche colui che gestisce una piscina tratta regolarmente i dati dei propri collaboratori (compresi i dati sensibili, come ad es. il certificato medico per lo svolgimento dell’attività); un simile trattamento non può certo essere definito occasionale.
Ma non è tutto.
Il sito istituzionale del Garante della Privacy, nel precisare che rientrano nella categoria delle “organizzazioni” di cui all’art. 30 par. 5 “anche le associazioni, fondazioni e i comitati”, stila un elenco a mero titolo esemplificativo in cui ricomprende “le associazioni sportive con riferimento ai dati sanitari trattati”.
Alla luce di queste indicazioni, anche il gestore di un impianto natatorio ha l’obbligo della corretta tenuta del registro. Egli, tuttavia, non deve disperare. Il par. 3 dell’art. 30 aggiunge che “I registri sono tenuti in forma scritta, anche in formato elettronico”. Questo passaggio assicura che il registro è a forma libera (potendo anche essere redatto per iscritto, oppure eseguendo un semplice documento Excel, e così via).
Inoltre, l’Autorità di controllo italiana ha predisposto un modello semplificato (insieme alle informazioni che deve contenere e alle modalità di tenuta dello stesso) specificatamente indirizzato alle PMI in cui rientrano, in questo caso, le A.S.D. e le S.S.D., date le modeste dimensioni.
Nel momento in cui scatta l’obbligo di mantenere un registro, automaticamente deve anche essere designato il già citato Data Protection Officer, ossia il c.d. responsabile del trattamento. Come detto, in base all’art. 2 quaterdecies il titolare del trattamento può attribuire incarichi interni designando per specifici compiti e funzioni sia le figure apicali che i collaboratori della propria struttura organizzativa.
Per quanto riguarda la possibilità di inviare e-mail o inserire i potenziali interessati all’interno di una newsletter? Se si trattano dati personali è necessario informare l’interessato delle attività effettuate, attraverso un’apposita informativa.
Potrebbe, quindi, rendersi necessaria la raccolta di un consenso da parte dell’interessato, in quanto il GDPR prevede sei basi giuridiche – (i) adempimento di obblighi contrattuali, (ii) obblighi di legge cui è soggetto il titolare del trattamento, (iii) interessi vitali della persona interessata o di terzi, (iv) legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, (v) interesse pubblico o esercizio di pubblici poteri e (vi) consenso – ed è specifico dovere del titolare valutare quale tra esse sia la base giuridica più idonea per il trattamento che intende operare.
Ciascuna di queste obbedisce a condizioni specifiche e fa ricadere sulle persone conseguenze giuridiche differenti. Non esiste una gerarchia, ma la base che viene prescelta deve essere indicata nell’informativa e nel registro dei trattamenti.
Per quanto riguarda le mail di marketing, è necessario (e più tutelante) ottenere l’esplicito consenso dei destinatari, ai quali si deve pur sempre concedere la possibilità di ottenere la rimozione dalla mailing list, direttamente attraverso una email spedita dal gestionale.
Definito all’art. 4 par. 11 come “qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato”, nulla vieta che il consenso possa essere ottenuto anche oralmente, anche se la forma scritta sgombera il campo da qualsiasi dubbio circa il suo lecito ottenimento.
Infine, occorre tener presente che un consenso non è come un diamante e non dura per sempre. Quando si raccolgono dati personali occorre informare l’interessato della durata della conservazione (un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati), scaduta la quale, il dato va anonimizzato oppure cancellato.
Gli Autori
-
Domenico Filosa – Avvocato del Foro di Torino, esperto di diritto sportivo. Coordinatore AIAS Piemonte e della Commissione eSports di AIAS. Consigliere Associazione Professione Volley
-
Matteo Buffetti – Dottore in Giurisprudenza presso la LUISS Guido Carli; Stagiaire in diritto sportivo, tesserato in qualità di tecnico LND.
-
Cristina Varano – Avvocato del Foro di Roma; esperto di giustizia sportiva; Procuratore Federale FIJLKAM/FIPE; Procuratore Aggiunto FISE
