La pratica dello sport, a livello dilettantistico, è sempre più diffusa in Italia. Ma con l’entrata in vigore del GDPR, per le società sportive (spesso basate sulla grande passione di alcune persone) si apre un nuovo problema: come rispettare il nuovo regolamento europeo, soprattutto in considerazione del fatto che detengono dati sensibili di minori? Lo abbiamo chiesto a Massimiliano Tavella, avvocato patrocinante davanti alle magistrature superiori ed esperto di diritto sportivo. Una domanda, quest’ultima, che anticipa anche i contenuti del webinar gratuito “IL GDPR è arrivato: cosa rischia la tua azienda?” in calendario mercoledì 16 maggio alle 14.30.
“Il GDPR riguarda migliaia di soggetti che praticano l’attività sportiva – spiega Tavella – soprattutto in considerazione del fatto che si tratta di soggetti minori e del fatto che le società sportive detengono dati considerati sensibili”.
In realtà, però, le società sportive hanno sinora goduto di una sorta di “esenzione” relativamente ad alcune norme legate alla privacy…
In effetti le Autorizzazioni generali nn. 2 e 3 del 2016 del Garante della Privacy, che avevano sino ad ora consentito il trattamento di dati sensibili ad opera di associazioni, fondazioni, comitati ed altri organismi di tipo associativo senza la necessità di richiedere uno specifico consenso dell’interessato a tale trattamento, resteranno in vigore e risulteranno applicabili fino al 24 maggio 2018 ovvero fino all’entrata in vigore del Regolamento UE 2016/679”.
Poi, cosa succederà?
Dal 25 maggio, anche le associazioni sportive dovranno rispettare le stesse norme di qualunque altra società. Il Codice della Privacy, sulla base delle ultime notizie provenienti dal Parlamento, e contrariamente a quanto si pensava (completa sostituzione del corpus di norme), non sarà abrogato ma sarà integrato e modificato alla luce della normativa regolamentare europea contenuta nel GDPR.
Quali aspetti verranno maggiormente coinvolti?
Data l’ampiezza della formulazione dell’art. 4 del GDPR, uno tra gli aspetti particolarmente delicati che dovranno essere affrontati è quello che riguarda il trattamento dei dati sensibili, cioè quelli che sono “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale” raccolti dalle Associazioni sportive in relazione ai propri associati.
Ma non sono previste deroghe, come in passato, per associazioni che lavorano con successo per i benessere dei minori?
Come sopra anticipato, le Autorizzazioni generali n. 2 e 3 del 2016, rilasciate ai sensi dell’art. 40 del vigente Codice dal Garante, cesseranno entrambe la propria operatività il prossimo 24 maggio, determinando un regime incerto per tutte le associazioni sportive in ordine al trattamento di tali dati. La questione appare molto rilevante in quanto la norma del Codice della Privacy succitata (art. 26 comma 4) vale ad autorizzare il trattamento di tali dati senza consenso dell’interessato.
La norma interna attuale, pertanto, dovrà forzatamente essere resa omogenea con tali principi, anche alla luce del fatto che l’art. 4 del GDPR, che definisce Trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Quindi, cosa dovranno fare le associazioni sportive dilettantistiche?
Data l’ampiezza della formulazione, coerente peraltro con i principi fondanti la ratio regolamentare europea in materia, le associazioni sportive dilettantistiche si troveranno di fronte ad una serie di obblighi che fino ad oggi non hanno avuto, e si corre il rischio, a pochi giorni dal 25 maggio, di entrare in un limbo legislativo nel quale l’operatore non riuscirà più a comprendere la corretta policy da seguire.
La soluzione migliore appare senza dubbio quella di operare senza indugio e di verificare le modalità di acquisizione del consenso al trattamento ed il contenuto delle informative rese agli interessati, specie se si tratta di minori, e sincerarsi che queste contengano i requisiti minimi previsti dal GDPR; in difetto, pare opportuno procedere all’adeguamento nel minor tempo possibile.
Però, mancano pochi giorni e siamo in attesa di una serie di decreti…
Stante la precettività di tutte le norme contenute nel Regolamento Europeo, ed in attesa degli interventi normativi interni ancora in fieri, occorrerà a mio parere adeguarsi ai modelli di gestione imposti dal GDPR e dotarsi dei meccanismi di controllo e delle procedure idonee a garantire a tutti gli associati di poter esercitare i diritti introdotti dal Regolamento tra i quali, ad esempio, quello previsto dall’art. 20 relativo alla portabilità dei dati, applicabile nei casi di trattamento effettuato con mezzi automatizzati (come può accadere nel caso di entità di una certa dimensione), particolarmente rilevante in caso di trasferimento da una associazione sportiva all’altra.
Ulteriori approfondimenti su questo argomento verranno proposti il 16 maggio nel corso del webinar “IL GDPR è arrivato: cosa rischia la tua azienda?”.
Nel frattempo potete inviare i vostri quesiti, ai quali risponderemo in diretta, all’avvocato Massimiliano Tavella all’indirizzo: avv.tavella@studiolegalectlaw.com o direttamente alla nostra redazione: redazione.bitmat@bitmat.it
