In Italia sono sempre più presenti le ASD – Associazioni sportive dilettantistiche, ovvero le Associazioni aventi ad oggetto attività sportive senza finalità di lucro. Ad oggi superano le 100.000 unità su tutto il territorio nazionale e di conseguenza nel settore sono aumentati anche i dubbi degli addetti ai lavori sugli adempimenti privacy ai quali le stesse sono tenute, soprattutto dopo l’entrata in vigore del GDPR e la novellazione del Codice Privacy. Vediamo quali sono e quali le soluzioni.
Indice degli argomenti
Lo scenario
Importante premettere che le Associazioni Sportive Dilettantistiche (in breve “A.s.d.”), sebbene non abbiano finalità di lucro, sono tenute al puntuale rispetto della normativa in materia di trattamento dei dati personali. Difatti le A.s.d. di norma trattano costantemente una grande quantità di dati personali, nonché di dati particolari come quelli riferiti allo stato di salute e quelli riguardanti interessati minorenni. Le A.s.d. agiscono, nella maggior parte delle loro attività, in qualità di Titolari del trattamento, visto che trattano principalmente dati di loro associati per finalità di organizzazione delle attività sportive. Agiscono, invece, come Responsabili del Trattamento ogni qualvolta un proprio associato richieda tramite loro il tesseramento presso la Federazione di riferimento.
Quest’ultima casistica implica la necessaria regolazione dei rapporti intercorrenti tra le Associazioni e le Federazioni mediante un atto giuridico che, come indicato dall’art. 28 del GDPR, “vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Altri rapporti che devono essere disciplinati, ai sensi dell’art. 28 del GDPR, sono quelli afferenti tutti i consulenti e società che, offrendo servizi alle A.s.d., trattano dati personali per conto di queste, come ad esempio il consulente del lavoro nel caso siano presenti dipendenti o consulenti di marketing nel caso in cui l’Associazione svolga attività di marketing per promuovere le proprie attività.
Le A.s.d. possono inoltre avere dei lavoratori dipendenti o volontari, i quali trattando dati sotto le direttive dell’Associazione devono, ai sensi dell’art. 29 del GDPR, ricevere adeguate istruzioni dall’Associazione stessa. Di conseguenza, le A.s.d. sono tenute a prevedere adeguati piani formativi per i propri dipendenti e volontari, preferendo la redazione scritta di lettere di nomina per gli incaricati al trattamento dei dati personali, contenenti tutte le indicazioni necessarie a garantire correttezza e liceità dei trattamenti svolti.
L’importanza del Registro dei trattamenti
Il Registro dei trattamenti, svolti nella duplice veste di Titolare e Responsabile del Trattamento, rappresenta lo “scheletro” degli adempimenti posti in essere, contenendo una descrizione esatta dei trattamenti svolti. Indispensabile rendere il più dinamico possibile tale documento, eventualmente anche designando all’interno dell’Associazione un soggetto dedicato al continuo aggiornamento di tale Registro, facendo sempre attenzione a tenere traccia delle versioni e autenticandolo con l’apposizione della firma del legale rappresentante.
La redazione del Registro è, inoltre, uno spunto per poter verificare la effettiva adozione di una politica di data retention, in quanto spesso può accadere che i dati siano archiviati senza tenere conto dei limiti temporali per la conservazione degli stessi. Difatti, l’articolo 5 lett. e) del GDPR stabilisce che i dati debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.”; quindi, è compito delle A.s.d. valutare la proporzionalità della data retention dei dati personali in relazione sia alle finalità (ad esempio Associazione, marketing) e sia alle misure di sicurezza poste in essere, in quanto più queste garantiscono una conservazione sicura dei dati più sarà possibile aumentare il periodo di data retention.
L’obbligo di informativa
Nei confronti degli associati le A.s.d. sono tenute all’obbligo di redazione e messa a disposizione degli interessati dell’informativa privacy, ai sensi dell’art. 13 del GDPR, avendo cura di aggiornare sia informative presenti sui siti web sia quelle fornite in sede di iscrizione all’Associazione. Si ricorda che per ogni trattamento di dati svolto è necessario individuare la base legale che lo legittima e che, inoltre, si richiede alle A.s.d. una speciale attenzione ai dati dei soggetti minori, per i quali è necessario il consenso dei genitori.
Non è escluso, infine, che le A.s.d. possano o debbano svolgere trattamenti di particolari tipi di dati che richiedano l’effettuazione di una Valutazione di Impatto Privacy. In merito, l’art. 35, par. 1 del GDPR dispone che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. Ad esempio, lo sviluppo di una app, da parte di un’Associazione, la quale preveda anche la geolocalizzazione o la profilazione degli utenti, richiede il compimento di tale Valutazione di Impatto Privacy da parte della A.s.d. stessa.
Conclusioni
In conclusione, come si è potuto comprendere da quanto scritto sinora, le Associazioni sportive dilettantistiche, seppur in proporzione alle proprie dimensioni e tipologie di trattamenti svolti, sono assolutamente tenute, al pari una società commerciale, a provvedere ad un puntuale adeguamento alla normativa europea e nazionale in materia di protezione dei dati. Si auspica che le Federazioni forniscano alle A.s.d. federate gli strumenti per comprendere l’importanza della tutela dei dati personali e, perché no, promuovano la creazione di codici di condotta per le stesse.
