Regolamento europeo sulla protezione dei dati personali e Società sportive

Pubblicato il 06 Giugno 2019

Regolamento europeo sulla protezione dei dati personali e Società sportive

L’applicazione del GDPR (Regolamento europeo sulla protezione dei dati personali) 679/2016 in alcuni ambienti, tra i quali quello sportivo e associazionistico in genere, viene valutato in maniera superficiale a causa di una presunta e non giustificata estraneità all’applicazione di determinate normative in quanto l’attività viene svolta da volontari e quindi “non paragonabile” (altro errore) ad una organizzazione aziendale e agli obblighi che gravitano in capo a queste ultime.

La situazione è invece ben diversa; le varie Associazioni ricadono nella applicazione del GDPR in quanto:

  • Molte volte la quantità e il tipo di dati trattati è ben superiore, per esempio, ad aziende i cui clienti sono altre aziende o commercializzano prodotti e/o servizi che non sono legati a particolari categorie di dati quali quelli relativi alla salute fisica e/o mentale di un soggetto;
  • Vengono sicuramente trattati dati particolari (gli ex sensibili) legati allo stato di salute dell’atleta (nel caso di associazioni sportive) nel caso fossimo in presenza di infortuni, terapie mediche o fisioterapiche; aspetti assicurativi che potrebbero coinvolgere le varie Associazioni nel caso di incidenti occorsi durante eventi e maniffestazioni, ecc.;
  • Vengono scattate foto e realizzati video, ad esempio durante le competizioni sportive o durante gli eventi organizzati, che poi le Associazioni attraverso i social o il proprio sito web, pubblicano e rendono pubblici al fine di aumentare la propria visibilità e soprattutto quella di chi interviene economicamente nella vita dell’Associazione stessa (sponsor);
  • Vengono organizzate iniziative ed eventi promozionali al fine di poter raccogliere nuovi iscritti alle attività oppure semplicemente per “farsi conoscere” sul territorio;
  • Si sta assistendo ad un progressivo interessamento di tutte le Associazioni al fenomeno del marketing, mediante la richiesta, da parte degli sponsor, dei nominativi dei Soci al fine di poterli contattare e proporre i propri prodotti/servizi.

Il registro dei trattamenti

Il Garante della privacy con proprio provvedimento dell’ottobre 2018 ha chiarito le istruzioni sul Registro dei trattamenti; oggi …. “sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.), o anche di dati relativi a condanne penali e a reati”.

Viene chiaramente specificato che “rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, le fondazioni e i comitati”.

In buona sostanza, sono tenuti all’obbligo di redazione del registro:

  • associazioni, fondazioni e comitati dove vengono trattati “categorie particolari di dati” e/o dati relativi a condanne penali o reati;
  • associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.;
  • associazioni e movimenti a carattere religioso;
  • associazioni sportive con riferimento ai dati sanitari trattati;
  • associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
  • partiti e movimenti politici;
  • associazioni sindacali.

Come adeguarsi

Per potersi adeguare ed evitare quindi sanzioni o richieste risarcitorie le misure minime da adottare sono:

  • predisporre idonee informative ex art. 13 e 14 del Gdpr, da consegnare ad Associati e Giocatori, dove dovrà essere prevista la raccolta del consenso nel caso in cui i dati raccolti vengano utilizzati per scopi commerciali (marketing) o vengano trattati dati particolari (stato di salute);
  • nominare le figure dei responsabili esterni al trattamento quali medici, fisioterapisti, consulenti del lavoro, commercialisti, ecc.
  • predisporre idonee liberatorie all’utilizzo delle immagini e l’autorizzazione alla divulgazione delle stesse tramite il sito web o i social con la dovuta attenzione nei confronti dei minorenni che prevede l’autorizzazione dei genitori (entrambi) o dei tutori;
  • la redazione del registro dei trattamenti;
  • la valutazione del rischio di impatto sulla libertà e i diritti dei soggetti soprattutto qualora si trattino dati particolari e/o con l’utilizzo di sistemi informatici.
  • Valutare la necessità (anche se remota) di nominare un Responsabile della protezione dei dati, analizzando la quantità dei dati trattati (larga scala) e/o la presenza in Associazione (soprattutto quelle sportive) di Poliambulatori specialistici.

Il sistema documentale non sarà sicuramente strutturato e complesso come quello di una organizzazione aziendale, ma vi sono dei punti che devono essere assolutamente affrontati, valutati e risolti con le opportune misure.

Condividi:

Formazione professionale per la tua crescita.

Lisa Servizi è un Organismo di Formazione accreditato dalla Regione Veneto in ambito di Formazione Continua, e offre formazione di alto livello attraverso la business unit dedicata, che propone corsi interaziendali a catalogo, corsi aziendali personalizzati, e-learning e training su campi prove.

Rimani informato sugli aggiornamenti di settore