Regolamento per la Protezione dei Dati: cosa cambia per le società sportive?
Dal 25 maggio 2018 è entrato in vigore il Nuovo Regolamento sulla privacy: chi raccoglie e utilizza dati personali per finalità aziendali deve osservare regole particolari e misure preventive per tutelare il diritto alla riservatezza. Vediamo più da vicino che impatto avrà il GDPR sulle Associazioni Sportive.
Tesseramento: i dati raccolti sono oggetto della nuova normativa sulla privacy?
La registrazione degli utenti in fase di tesseramento prevede la raccolta di dati di contatto, immagini, dati finanziari, certificati medici, misurazioni corporee, preferenze e abitudini comportamentali.
Tutti questi dati verranno considerati “dati personali”, cioè informazioni riguardanti una persona fisica identificata o identificabile.
E la gestione successiva all’acquisizione dei dati?
Per acquisizione dei dati si intende l’archiviazione, elaborazione e condivisione con terzi, cioè l’invio di mailing e messaggistica attraverso app dedicate.
Dal 25 maggio in poi, il trattamento dei dati inteso come raccolta, registrazione, organizzazione o conservazione di materiali sensibili dell’utente verrà applicato anche alle società sportive.
Ogni associazione sportiva dovrà quindi ribadire con quali finalità tratta i dati dei tesserati raccolti, precisare quali siano i dati raccolti e quali le modalità di trattamento. Infine dovrà indicare le modalità con le quali l’utente può far valere i suoi diritti.
GDPR: gli adempimenti per le ASD
Che adempimenti dovranno rispettare le società sportive alla luce della GDPR?
- INFORMATIVA: dovrà essere caricata sul sito web e affissa una copia sulla bacheca del centro sportivo ben visibile a tutti i tesserati
- CONSENSO: dovrà essere esplicito, trattandosi di dati particolari, genetici, di salute, nonché attività di profilazione
- DPO: verrà introdotta questa figura obbligatoria quando si trattano rilevanti quantità di dati personali (no per piccoli club e realtà societarie, sì per club e gruppi più grandi)
- REGISTRO: sarebbe escluso in considerazione del dato numerico – più di 250 dipendenti – tuttavia valgono gli stessi argomenti svolti per il DPO in relazione alla natura di dati sensibili e biometrici trattati;
- VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DATI: è obbligatoria in casi particolarmente sensibili. Casi applicativi: SI per attività di profilazione o targetizzazione marketing, NO per invio newsletter o email.
- NOTIFICAZIONE VIOLAZIONE DATI: segnalazione all’Autorità di vigilanza ed ai soggetti interessati, entro le 72 ore con motivazione. La mancata comunicazione comporta sanzioni fino ad un massimo di 10 milioni di euro o il 2% del fatturato annuo
CONCLUSIONI
In definitiva, il titolare del trattamento dovrà mettere in atto le misure tecniche ed organizzative adeguate per garantire che il trattamento venga applicato conformemente al regolamento (c.d. Accountability o principio di responsabilizzazione).
In concreto, quindi, sarà il titolare a decidere autonomamente quali saranno le misure da adottare e se saranno sufficienti a garantire il rispetto del regolamento.
Francesco Banchelli – Avvocato, ASI Toscana