PRIVACY E ASSOCIAZIONI SPORTIVE: MINI GUIDA ALLA NUOVA NORMATIVA

PRIVACY E ASSOCIAZIONI SPORTIVE
Mini-guida all'adeguamento GDPR delle associazioni sportive.

In collaborazione con l’Avv. Andrea Baldrati

In questo contributo, proveremo a rispondere alle domande più frequenti che ci hanno posto le associazioni sportive con cui abbiamo collaborato per definire un percorso di adeguamento alla nuova normativa privacy (c.d. GDPR).

LE ASSOCIAZIONI SPORTIVE SI DEVONO ADEGUARE AL GDPR?

Sì, e non ci sono eccezioni: il GDPR si applica a:

  • le realtà sportive di qualunque genere (professionistiche, dilettantistiche e amatoriali);
  • le associazioni appartenenti a Federazioni Sportive Nazionali o a Discipline Sportive Associate;
  • le associazioni amatoriali affiliate ad Enti di Promozione Sportiva (es.: CSI e UISP).

Senza dimenticare che anche gli organismi sopra citati (FSN, DSA, EPS) sono chiamate a conformarsi alla normativa; anzi, l’obbligo per loro appare ancora più stringente, trattandosi di figure che in molti casi assumono – nei confronti delle associazioni affiliate – la veste di Titolari del trattamento, decidendo la modalità con cui devono essere raccolti e gestiti i dati personali degli atleti.

Ad esempio, in sede di tesseramento, la società affiliata si affida alle linee guida e alla modulistica fornita dall’organismo di riferimento, per acquisire i dati anagrafici dell’atleta e comunicarglieli.

Già solo questa procedura implica il trattamento di dati personali (es.: nome e cognome dell’atleta, il sesso o la sua data di nascita); informazioni come queste identificano l’atleta. Da qui, l’applicazione della normativa privacy.

È SUFFICIENTE AGGIORNARE L’INFORMATIVA?

È un pensiero piuttosto diffuso: che sia sufficiente modificare le vecchie informative aggiornandole alla nuova normativa.
Ma chi la pensa così, è ancorato ad una visione “burocratica” e “documentale” della privacy, che oggi non esiste più!
I dati personali sono il nuovo petrolio (lo ha scritto anche The Economist), un valore inestimabile che avrà un peso sempre maggiore nel nostro futuro digitale (sarà un caso che Amazon, Google o Facebook fatturano miliardi di dollari, fondando il loro business sull’utilizzo dei dati degli utenti?).

È dunque necessario proteggere questo valore, e per farlo le associazioni devono sapere chi tratta i dati dei loro atleti, a chi vengono comunicati, per quali finalità e se tutti coloro che ne vengono in possesso sono legittimati o meno a trattarli, onde impedire eventuali abusi o violazioni.

COSA FARE PER ADEGUARSI ALLA NORMATIVA?

Vediamo allora alcuni passi essenziali per procedere all’adeguamento GDPR.

1- AFFIDARSI AD UN CONSULENTE ESPERTO DELLA MATERIA.

È importante rivolgersi ad un professionista esperto, in grado di guidare l’associazione durante l’intero percorso di adeguamento alla normativa.La scelta può sembrare eccessiva per alcune realtà sportive, come quelle amatoriali, ma il discrimine non è la categoria in cui milita un’associazione, bensì i dati che è abituata a trattare e il modo in cui li elabora. La verità è che all’interno delle associazioni vengono gestiti molti più dati di quelli che si pensa, e tra l’altro, alcuni di essi sono anche piuttosto delicati da gestire (es. i dati di atleti minorenni). Occorre quindi la sensibilità di un consulente che sappia individuare le maggiori criticità rispetto al contesto specifico.

2- INDIVIDUARE I FLUSSI DI DATI.

Uno dei primi passi è quello di “mappare” i flussi di dati personali in entrata e in uscita, ovverosia individuare quali dati l’associazione raccoglie dall’interessato o da enti terzi, e quali dati invece comunica all’esterno a favore di responsabili o destinatari (categorie, queste, da tenere ben distinte).Più specificatamente, occorre accertare il c.d. ciclo vitale del dato, dal momento in cui l’associazione ne entra in possesso fino al momento in cui decide di cancellarlo. Per raggiungere questo obiettivo saranno necessari una serie di incontri (cc.dd. audit) tra i consulenti incaricati e le figure preposte all’interno dell’organizzazione sportiva, durante i quali verranno poste alcune domande utili ad avere un quadro complessivo circa le attività di trattamento di dati effettuati dalla associazione titolare.

3- REDIGERE IL REGISTRO DEL TRATTAMENTO (art. 30 GDPR). 

Una volta accertati i flussi di dati, lo step successivo è rappresentato dalla redazione del Registro del Trattamento. Sebbene per alcune realtà sportive la tenuta di tale registro non sia obbligatoria, tuttavia se ne raccomanda sempre la redazione, quale strumento di prova che dimostra la conformità del Titolare rispetto alla normativa privacy (in questo senso, si parla di accountability). Il Registro del Trattamento è infatti il documento che contiene in sé tutte le principali informazioni relative alle modalità di gestione dei dati da parte dell’associazione sportiva; per mezzo di esso l’associazione riesce ad avere una visione d’insieme dei trattamenti in essere all’interno della propria organizzazione. Proprio per questo motivo il Titolare dovrà sottoporre il registro a periodico aggiornamento, via via eliminando voci relative ad attività di trattamento che si è cessato di praticare, modificando quelle che sono mutate in corso d’opera (es.: introduzione del tesseramento telematico, in luogo di quello cartaceo) o in ipotesi aggiungendone delle nuove (es. quando la società si registra ad una piattaforma “social”, iniziando a pubblicare le foto degli atleti). Nel registro, dovranno inoltre essere indicati gli eventuali motivi della mancata nomina di un RPD (vale a dire il Responsabile della Protezione dei Dati personali, infelice traduzione italiana del più noto acronimo “DPO” – Data Protection Officer), oltre ad un elenco delle misure tecnico-organizzative adottate dall’associazione sportiva e che comprendono anche le buone pratiche in materia di sicurezza informatica (art. 32 GDPR) Solitamente il registro viene redatto su file excel, dando vita ad una sorta di tabella nella quale ogni riga rappresenta un’attività di trattamento, che viene esplicata lungo le colonne che la compongono. È inoltre il primo documento da esibire alla Guardia di Finanza in sede di controllo ispettivo.

4- DEFINIRE L’ORGANIGRAMMA PRIVACY: NOMINARE GLI INCARICATI AL TRATTAMENTO E I RESPONSABILI ESTERNI. 

Dopo questa lunga e scrupolosa indagine, l’associazione Titolare conosce i soggetti che a vario titolo trattano i dati dell’associazione. Si può quindi procedere con le nomine interne degli “incaricati” (es. tesoriere, segretario), cioè di coloro che fanno parte dell’organigramma associativo e che sono autorizzati al trattamento dei dati personali sotto l’autorità diretta del titolare. Gli incaricati dovranno essere adeguatamente formati al fine di evitare violazioni nel trattamento dei dati (es. perdita di documenti cartacei relativi al tesseramento, divulgazione illecita di foto relative ad eventi o gare sportive, accesso ai dati personali di persone non autorizzate ecc…). Segue quindi la nomina dei Responsabili (art. 28 GDPR), persone fisiche o giuridiche esterne all’associazione che hanno ricevuto un’espressa delega a trattare dati per conto dell’associazione stessa (es. il consulente del lavoro o il commercialista). Il contratto di nomina ha un ruolo cruciale nella definizione dei rapporti fra le parti perché definisce l’ambito entro cui il Responsabile può legittimamente trattare i dati del Titolare. In difetto di tale nomina, le violazioni dei dati che interessano il Responsabile potrebbero ricadere sul Titolare, con tutte le conseguenze del caso.

5- REDIGERE LE INFORMATIVE NECESSARIE.

Ora si può procedere con la stesura delle informative (informativa per soci o atleti, per dipendenti o fornitori, informativa del sito ecc…), le quali devono essere redatte con un linguaggio semplice, accessibile, perchè lo scopo è quello di far comprendere agli interessati quale sia la politica di protezione dei dati attuata dall’associazione.

6- L’EVENTUALE VALUTAZIONE DI IMPATTO. 

In corrispondenza di alcuni requisiti stabiliti dalla normativa, il Titolare è chiamato ad effettuare una valutazione di impatto rispetto a quelle attività di trattamento di dati personali che presentano un rischio elevato per i diritti e le libertà degli interessati (ad. es.: una società di basket è in procinto di introdurre una nuova app per coinvolgere maggiormente i propri tifosi, con giochi a premi e concorsi che implicano il trattamento di un cospicuo numero di dati personali).

7- ADEGUAMENTO INFORMATICO.

Un trattamento illecito dei dati, con conseguente responsabilità della società sportiva, si può verificare anche in caso di furto o perdita di dati all’interno del computer presente in sede non adeguatamente protetto (es. mancanza di cifratura del disco oppure di antivirus aggiornati). Per tale motivo, accanto agli adempimenti visti fino ad ora la società sportiva dovrà procedere a rendere sicuri i sistemi informatici certificando l’inviolabilità degli stessi. Questo può avvenire solamente in seguito all’operato di esperti in ambito di sicurezza informatica.

CONCLUSIONI

Se avete letto fin qui, certamente avrete compreso che adeguarsi alla nuova normativa sul trattamento dei dati personali non è per nulla cosa da sottovalutare (soprattutto alla luce delle pesanti sanzioni previste in caso di mancato o inesatto adeguamento). Non è quindi una attività che può essere effettuata tramite un semplice inserimento di qualche dato in qualche informativa presa su internet o “passata” da una realtà amica.

Chi gravita nel mondo sportivo ha il dovere, ed oggi anche l’obbligo, di rendere i dati dei propri associati e atleti sicuri, inviolabili, ben trattati. L’invito che viene fatto è quello di iniziare a sviluppare una sensibilità sul tema, richiedere – ove non compenti – informazioni e consulenze ad esperti del settore, in modo tale da non avere brutte sorprese in futuro.

Le società sportive non sono quindi esenti dall’adottare in maniera precisa le prescrizioni contenute nel GDPR e nel D.Lgs 101/2018 e chi non si è ancora attivato, è bene che lo faccia in fretta, magari simulando il miglior sprint del proprio atleta di punta.