Sia la FCI che le singole società affiliate, per i motivi del tesseramento e dell’iscrizione alle manifestazioni sportive raccolgono, detengono e trattano i dati personali di atleti, dirigenti e tecnici.
Cosa si intende per raccogliere, detenere e trattare i dati personali dei tesserati?
Il legislatore ha voluto introdurre regole più chiare in merito all’informativa, al consenso ed al trattamento dei dati personali e sensibili.
I concetti sui quali si basa il nuovo regolamento sono quelli di:
Dato personale: i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
Trattamento del dato: Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
E’ sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personali.
Come possiamo vedere dai due concetti appena espressi, sia la FCI che le società affiliate rientrano pienamente negli ambiti indicati: infatti le società/associazioni affiliate e la FCI sono titolari della raccolta dei dati, che vengono registrati nel sistema informatico federale e possono essere consultati ed utilizzati per gli scopi previsti.
>> Perché e in che modo adeguarsi alle nuove normative.
Perché:
- il garante ha disposto controlli serrati e sanzioni pecuniarie pesanti nel caso si verifichino trattamenti dei dati non adeguati alla normativa
- questi controlli sono affidati alla guardia di finanza che potrà quindi, in occasione degli ormai numerosi controlli sulle ASD, verificare anche le modalità di trattamento dei dati personali.
Come:
- le società dovranno mettere in atto una serie di azioni che, se da un lato complicheranno un po’ le abituali procedure di tesseramento e di gestione societaria, dall’altro consentiranno alle stesse di adempiere alla nuova normativa.
>> Quali sono i requisiti necessari per adempiere correttamente al GDPR?
Il legislatore non indica quali sono i requisiti minimi necessari ma prevede che il titolare del trattamento dei dati elabori un piano che, sulla base del tipo di trattamento, del tipo si azienda e del tipo ci metodi di conservazione dei dati offra una adeguata sicurezza rispetto la raccolta, conservazione ed utilizzo degli stessi.
>> Quali sono i soggetti e le figure coinvolte nel trattamento?
- Titolare del trattamento
- Responsabile del trattamento
- Incaricato del trattamento
>> Chi è il titolare del trattamento?
Titolare del trattamento (data controller) è
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali“.
In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.
Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento.
Colui che prende le decisioni più importanti in merito, decidendo quindi il perché e il come gestire il trattamento dei dati personali. E’ il proprietario dei dati e coincide solitamente con l’impresa.
l titolare, tenuto conto della natura e delle finalità del trattamento dei dati, ha quindi, come principale responsabilità, quella di mettere “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento”
Nel nostro caso il “data controller” Titolare del trattamento dei dati è la Federazione Ciclistica Italiana in quanto
- stabilisce le finalità del trattamento
- predispone i mezzi del trattamento
Stabilisce le finalità in quanto l’utilizzo di tali dati deriva direttamente dalle norme che regolano le attività sportive di atleti e società. Norme sia legislative, come quelle relative alla tutela della salute, sia sportive, regolamenti del Coni, della federazione internazionale e della FCI.
Predispone i mezzi in quanto il sistema informatico che raccoglie, conserva e gestisce i dati è sviluppato e di proprietà di Federazione Ciclistica Italiana e le società affiliate che hanno la facoltà di utilizzarlo non possono in alcun modo modificarlo.
>> Chi è il responsabile del trattamento?
Responsabile del Trattamento (data processor) è
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta o elabora dati personali per conto del titolare del trattamento
Il responsabile del trattamento quindi tratta i dati personali solo per conto del titolare del trattamento. Tratta i dati attenendosi alle istruzioni del titolare ma assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.
Ma quali sono, oltre alla FCI, i soggetti che trattano o elaborano i dati personali e possono essere considerati responsabili del trattamento?
Nel nostro caso questi soggetti sono le società affiliate che trattano/elaborano i dati in quanto li raccolgono e li digitalizzano per conte della FCI utilizzando le procedure ed i sistemi messi indicati dalla federazione.
Per questo motivo la FCI nominerà ogni società affiliata “responsabile del trattamento” tramite l’adesione, in fase di affiliazione, ad uno specifico contratto definito “Atto di nomina a RESPONSABILE del trattamento ai sensi dell’Art. 28 del Regolamento EU 2016/679” che descrive nel dettaglio l’attività svolta dal responsabile per conto del titolare. Con la sottoscrizione dell’atto di nomina la società affiliata (data processor) si impegna a raccogliere e trattare i dati secondo le procedure e con i mezzi messi a disposizione dal titola (FCI)
>> Lo strumento “ Atto di nomina a RESPONSABILE del trattamento “.
E’ un documento contrattuale attraverso il quale il titolare del trattamento (FCI) nomina il RESPONSABILE del trattamento (ASD/SSD) e questa accetta di assumere il ruolo di RESPONSABILE del trattamento.
Con l’accettazione della nomina la società affiliata si impegna a raccogliere, gestire e trattare i dati nel rispetto della normativa e delle istruzioni e procedure indicate dal titolare del trattamento.
L’atto di nomina descrive le procedure che debbono essere utilizzate per queste operazione oltre ad indicare le normali attività che garantisco la tutela dei diritti degli interessati.
La sottoscrizione dell’atto di nomina è necessaria per poter procedere all’affiliazione della società
>> Chi è l’incaricato del trattamento?
Persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile.
Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Nel caso concreto, se le operazioni relative al trattamento dei dati sono affidate dal Rappresentante Legale della società (responsabile del trattamento) ad una o più persone queste devono essere espressamente autorizzate sotto l’autorità diretta del responsabile.
Dovrà essere redatto quindi uno specifico atto di nomina ad incaricato.
Perché per il 2019 abbiamo scelto la forma della nomina a responsabile invece dalla contitolarità come proposto la scorsa stagione.
Pur se la contitolarità è uno strumento previsto dalla normativa ed adeguato alla tipologia ed alle procedure di trattamento dei dati effettuata dalla Federazione Ciclistica Italiana abbiamo cercato comunque in questo periodo di analizzare le soluzioni e strumenti che potessero tutelare al meglio le società affiliate.
Abbiamo rilavato che la contitolarità comportava anche un qualche grado di corresponsabilità delle società nella gestione della piattaforma informatica.
Questo fatto, seppur marginale, non ci è sembrato corretto nei confronti delle società in quanto queste non hanno praticamente nessuna possibilità di agire nella determinazione dello sviluppo della piattaforma.
Per questo motivo abbiamo deciso di nominare le società Responsabili e non più titolari del trattamento.
Cosa cambia nella sostanza della raccolta e della conservazione dei dati con questo passaggio.
Nella sostanza e nella pratica il comportamento delle società dovrà essere identico a quello indicato dalla FCI e messo in atto la scorsa stagione dalle società.
Si dovrà porre la massima cura ed attenzione nel fornire le informative ai tesserati e nella raccolta dei consensi così come si dovrà avere la massima attenzione nella conservazione dei dati nell’incaricare soggetti interni o esterni al trattamento dei dati.
Da parte nostra cercheremo di fornire tutti gli strumenti necessari per una corretta gestione (informative, documentazione, modulistica ecc.).
Oltre a questo abbiamo approntato una procedura di tesseramento che impedirà (al netto di sempre possibili frodi) alle società di tesserare gli atleti in assenza del consenso.
Pur rendendoci conto che questo può comportare un aggravio nei processi di tesseramento dobbiamo sottolineare che la rigidità delle procedure è attuata nell’esclusivo interesse delle società affiliate onde evitare errori ed omissioni che potrebbero comportare sanzioni rilevanti.