10maggio
G.D.P.R. E ASSOCIAZIONI SPORTIVE DILETTANTISTICHE: CONSIDERAZIONI IN TEMA DI TRATTAMENTO DI DATI
L’entrata in vigore del GDPR (General Data Protection Regulation, Reg. UE 679/2016) riguarda anche le associazioni sportive dilettantistiche, e con questo breve intervento cercherò di inquadrare alcuni degli aspetti problematici che le riguardano.
Il contenuto precettivo di tale Regolamento riveste infatti notevole rilevanza in vista del prossimo 25 maggio, data in cui avverrà la piena entrata in vigore della normativa UE, per le potenziali implicazioni che potrebbero riguardare migliaia di soggetti, peraltro per la gran parte minorenni, che svolgono attività sportiva in Italia.
Vi è infatti da considerare che le Autorizzazioni generali nn. 2 e 3 del 2016 del Garante della Privacy, che avevano sino ad ora consentito il trattamento di dati sensibili ad opera di associazioni, fondazioni, comitati ed altri organismi di tipo associativo senza la necessità di richiedere uno specifico consenso dell’interessato a tale trattamento, resterà in vigore e risulterà applicabile fino al 24 maggio 2018 ovvero fino all’entrata in vigore del Regolamento UE 2016/679.
***
Procedendo ad un breve inquadramento normativo, occorre considerare che in Italia la disciplina del Trattamento dei dati risulta ad oggi regolamentata dal Codice in materia di protezione dei dati personali D.Lgs n. 196 del 30.06.2003, in breve Codice della Privacy, modificato ed aggiornato da successivi provvedimenti legislativi.
Il Codice della Privacy, sulla base delle ultime notizie provenienti dal Parlamento, e contrariamente a quanto si pensava (completa sostituzione del corpus di norme), non sarà abrogato ma sarà integrato e modificato alla luce della normativa regolamentare europea contenuta nel GDPR.
Uno tra gli aspetti particolarmente delicati che dovranno essere affrontati è quello che riguarda il trattamento dei dati sensibili, cioè quelli che sono “idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale” raccolti dalle Associazioni sportive in relazione ai propri associati.
L’attuale codice della Privacy (art. 26), ad oggi vigente e non ancora integrato e/o modificato alla luce dei principi di cui al GDPR, prevede che:
“1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonche' dalla legge e dai regolamenti”
“4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento e' effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalita' hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalita' di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13”.
Come sopra anticipato, le Autorizzazioni generali n. 2 e 3 del 2016 rilasciate ai sensi dell’art. 40 del vigente Codice dal Garante, cesseranno entrambe la propria operatività il prossimo 24 maggio, determinando un regime incerto per tutte le associazioni sportive in ordine al trattamento di tali dati.
La questione appare molto rilevante in quanto la norma del Codice della Privacy succitata (art. 26 comma 4) vale ad autorizzare il trattamento di tali dati senza consenso dell’interessato.
Per una lettura orientata della fattispecie, occorre considerare che il Regolamento Europeo fonda il proprio impianto normativo su tre pilastri fondamentali:
1) il consenso libero ed informato dell’interessato,
2) la piena responsabilizzazione del Titolare del trattamento,
3) la valutazione del rischio del Trattamento stesso.
La norma interna attuale, pertanto, dovrà forzatamente essere resa omogenea con tali principi, anche alla luce del fatto che l’art. 4 del GDPR definisce Trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Data l’ampiezza della formulazione, coerente peraltro con i principi fondanti la ratio regolamentare europea in materia, le associazioni sportive dilettantistiche si troveranno di fronte ad una serie di obblighi che fino ad oggi non hanno avuto, e si corre il rischio, a pochi giorni dal 25 maggio, di entrare in un limbo legislativo nel quale l’operatore non riuscirà più a comprendere la corretta policy da seguire.
La soluzione migliore appare senza dubbio quella di operare senza indugio e di verificare le modalità di acquisizione del consenso al trattamento ed il contenuto delle informative rese agli interessati, specie se si tratta di minori, e sincerarsi che queste contengano i requisiti minimi previsti dal GDPR; in difetto, pare opportuno procedere all’adeguamento nel minor tempo possibile.
Inoltre, stante la precettività di tutte le norme contenute nel Regolamento Europeo, ed in attesa degli interventi normativi interni ancora in fieri, occorrerà a mio parere adeguarsi ai modelli di gestione imposti dal GDPR e dotarsi dei meccanismi di controllo e delle procedure idonee a garantire a tutti gli associati di poter esercitare i diritti introdotti dal Regolamento tra i quali, ad esempio, quello previsto dall’art. 20 relativo alla portabilità dei dati, applicabile nei casi di trattamento effettuato con mezzi automatizzati (come può accadere nel caso di entità di una certa dimensione), particolarmente rilevante in caso di trasferimento da una associazione sportiva all’altra.
Il tema, così come le problematiche sottese, è come si vede molto complesso specie in attesa di una normativa interna di adeguamento che si spera possa essere chiara anche sulle modalità operative da seguire.
Avv. G.M. Tavella