Dopo oltre un anno dall’entrata in vigore del nuovo regolamento sulla protezione dei dati, ci ritroviamo ancora una volta a parlare di GDPR, proprio perché molti dubbi non sono stati adeguatamente chiariti. Le Associazioni Sportive Dilettantistiche italiane, più in particolare, non sanno come comportarsi in materia di trattamento dei dati. Pertanto, andiamo a fare un po’ di chiarezza su GDPR e ASD: come ci si dovrebbe comportare per rispettare appieno il Regolamento europeo?
L’articolo 28 del GDPR
Sono più di 100.000 le ASD nate in territorio nazionale, che operano ogni giorno nel mondo dello sport. Fin dall’entrata in vigore del GDPR (General Data Protection Regulation – regolamento generale sulla protezione n. 2016/679), per molte di esse gli adempimenti da rispettare non sono stati chiari. Tuttavia, chi lavora all’interno delle Associazioni Sportive Dilettantistiche si trova ogni giorno ad occuparsi del trattamento dei dati personali degli associati e non solo. Pertanto, sapere come comportarsi è praticamente un obbligo, e in questo possono aiutare degli specifici corsi di formazione.
Ad ogni modo, è importante sapere che è necessario fare riferimento all’art. 28 del GDPR, in particolare nel caso di trattamento dei dati degli associati durante il tesseramento presso la Federazione di riferimento. Lo stesso vale per quanto concerne l’organizzazione delle varie attività sportive.
L’articolo 28 indica gli obblighi del responsabile del trattamento dei dati e disciplina il trattamento stesso (con durata e finalità), elencando i diritti e i doveri del titolare del trattamento. Questo stesso articolo regola anche i rapporti che intercorrono tra le ASD e le Federazioni, oppure tra le associazioni e i consulenti e le società che ad esempio offrono servizi di promozione alle stesse.
L’articolo 29 che disciplina i lavoratori delle associazioni
Mentre l’articolo 28 riguarda la protezione della privacy degli associati e i doveri del responsabile del trattamento, l’articolo 29 si riferisce al trattamento dei dati eseguito da collaboratori sportivi, eventuali lavoratori dipendenti e volontari. Prima di procedere, queste figure devono essere dettagliatamente istruite al fine di agire in maniera corretta e consapevole, sotto le specifiche direttive dell’Associazione. In questo modo potranno operare ai sensi dell’art. 29 del GDPR.
Cosa fare in seguito?
Oltre a considerare i suddetti articoli, è doveroso sottolineare l’importanza dell’informativa sulla privacy. Quest’ultima è obbligatoria: le ASD devono redarne una ai sensi dell’art. 13 del GDPR e metterla a disposizione dei propri associati. Queste informative dovranno essere presenti sia nei siti web delle associazioni che negli ambienti adibiti alle nuove iscrizioni. In ogni eventualità è doveroso avvalersi del consenso dei soggetti, con particolare attenzione per quanto concerne i minori (per i quali dovranno chiaramente firmare i genitori).
La Valutazione di Impatto Privacy
Quando necessario, è opportuno eseguire la redazione dell’informativa sul trattamento di dati “particolari”. In questa eventualità, sarà importante fare riferimento all’art. 35, paragrafo 1, del GDPR: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”
In poche parole, in caso di realizzazione di un progetto o dell’avvio di una particolare attività, si dovranno analizzare i dati personali utili ed eseguire la Valutazione di Impatto Privacy. In questo modo si potrà capire come procedere, nonché rilevare la necessità di elaborare un’ulteriore informativa che dovrà ottenere il consenso da ognuno degli associati.
Il Registro dei trattamenti e alcune conclusioni
Oltre alla redazione delle varie informative, è fondamentale avvalersi del Registro dei trattamenti (articolo 5, lett. E, del GDPR). Grazie ad esso si può tenere traccia del trattamento dei dati eseguito dal titolare e responsabile, degli eventuali aggiornamenti e dei relativi consensi. È possibile affidare la mansione ad un collaboratore, ma sarà importante autenticare il registro e i vari documenti con la firma del legale rappresentante.
In poche parole, le Associazioni Sportive Dilettantistiche sono tenute a seguire il GDPR proprio come una qualunque società commerciale. Nonostante questo, rispettare le norme attualmente in vigore non è difficile: con i giusti percorsi di formazione e con la necessaria attenzione, è possibile adeguarsi senza problemi alle normative europee. Infine, probabilmente, molte Federazioni forniranno alle ASD tutte le informazioni e gli strumenti per comprendere appieno gli adempimenti in materia di protezione dei dati.
