SPORT&DIRITTO/ Ecco la nuova Privacy per le società sportive

Primo appuntamento con la rubrica di diritto sportivo, curata dall'avvocato Piergiovanni Cervato per PadovaSport.tv

GDPR: ARRIVA LA NUOVA PRIVACY ANCHE PER LE SOCIETÀ SPORTIVE

Dal 25 maggio 2018 entra in vigore il GDPR (General Data Protection Regulation, Reg. UE 2016/679), il nuovo Regolamento europeo Privacy che disciplina la protezione e la circolazione dei dati personali delle persone fisiche.

Il GDPR cambia la prospettiva della privacy: d’ora in poi i dati dovranno essere tutelati per progettazione predefinita (privacy by design) e fin dall’inizio del trattamento (privacy by default), il tutto in ossequio al principio di accountability, ossia di responsabilizzazione dei titolari e dei responsabili del trattamento.

Molti gli adempimenti pratici nuovi. Alcuni di questi sono obbligatori per tutti gli enti e riguardano la protezione dei diritti di informazione e prestazione del consenso da parte degli interessati:

1) la mappatura dei processi e dei flussi di trattamento dei dati, preliminare a qualunque tipo di intervento in base al principio di accountability, privacy by design e privacy by default; all’esito di tale mappatura saranno individuate le linee per la corretta adozione delle misure di sicurezza necessarie ed idonee a tutelare i dati personali dai rischi di trattamento;

2) la redazione di informative adeguate secondo le nuove disposizioni che prevedono ulteriori informazioni rispetto alle attuali previste ed imposte dall’art. 13 del Codice Privacy, tra cui ad esempio la figura del DPO (Data Protection Officer, i.e. Responsabile della protezione dei dati personali) o il termine di conservazione dei dati;

3) la redazione di modelli di consenso univoco e preventivo, tranne i casi per cui vi sia esenzione di legge (ad esempio per le finalità contrattuali):

4) la redazione di contratti con i Responsabili del trattamento, che rappresentano figure diverse dal DPO, in quanto il Responsabile in oggetto costituisce l’alter ego del titolare che opera per suo conto in relazione al trattamento dei dati e non una figura di “consultazione” quale è il DPO; accanto alla contrattualizzazione dei Responsabili del trattamento, sarà necessario prevedere (come del resto già in vigore dal Codice Privacy) le designazioni / nomine degli Incaricati, ossia dei soggetti deputati a compiere le operazioni materiali di trattamento dei dati personali.

5) come detto, le misure di sicurezza, sia fisiche e soprattutto tecnologiche, che organizzative.

Altri adempimenti sono invece obbligatori ricorrendo solo determinate casistiche:

6) la valutazione di impatto (Data Protection Impact Assessment) per il caso di trattamenti con elevati rischi;

7) il registro dei trattamenti, per imprese o organizzazioni con più di 250 dipendenti, oppure qualora il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie di dati sensibili o giudiziari;

8) la nomina di un DPO (Data Protection Officer / Responsabile della protezione dei dati), ossia di una figura professionale di “consultazione” per il titolare e della sua struttura, per i casi in cui il titolare sia un organismo pubblico o l’attività principale preveda un monitoraggio regolare e sistematico dei dati su larga scala o preveda il trattamento di dati particolari o penali.

Infine, altri adempimenti sono dovuti per casi ulteriormente particolari, ad esempio per il caso di avvenuta violazione dei dati (data breach) o per l’esercizio dei diritti da parte degli interessati, per cui il titolare deve rispondere entro il termine massimo di 1 mese.

La riforma si applica certamente negli adempimenti minimi e salvi anche gli adempimenti ulteriori accennati in precedenza che dovranno essere valutati caso per caso, anche alle società ed associazioni sportive, al pari delle altre realtà che trattano dati personali dei propri utenti.

Il trattamento dei dati anche in ambito sportivo dovrà quindi prevedere gli adempimenti di tutela dei dati sin dal primo tesseramento o comunque dal primo contatto, con un’attenzione specifica per la gestione dei dati particolari (ad esempio quelli sulla salute), per quelli dei minori e per quegli altri che possano essere soggetti a rischi specifici.

Avv. Piergiovanni Cervato