Le società e le associazioni sportive dilettantistiche fino ad ora sono sempre state dispensate da alcuni obblighi riguardanti la gestione dei dati personali degli iscritti. Con l’entrata in vigore del testo del Gdpr che uniforma le leggi europee sulla privacy, qualcosa dovrà cambiare.

In un nostro precedente articolo abbiamo parlato dell’introduzione della nuova normativa sulla privacy prevista dal Gdpr, il Regolamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Entrata in vigore lo scorso 25 maggio in risposta al bisogno di una maggiore tutela sempre più avvertita dai cittadini UE, la normativa prevede multe salate per chi trasgredisce il regolamento.

Un cambiamento che interessa imprese, aziende, professionisti, ma non solo. Anche le società e le associazioni sportive dilettantistiche si trovano a gestire moltissime informazioni personali, dati che sicuramente sono tenute anche a diffondere, come ad esempio quando si rivolgono al commercialista (per le ricevute), o ai dipendenti o al CONI o altre associazioni che organizzano gare o eventi per l’iscrizione degli allievi, o ancora per fare le polizze assicurative quando registrano un’iscrizione.

Avendo a che fare con i dati personali di molti iscritti di tutte le età, anche società e associazioni sportive devono adattarsi alle nuove regole a tutela della privacy in vista dell’apertura delle iscrizioni del prossimo Settembre.

Cosa fare per adeguarsi al GDPR 679/2016?

Sebbene il regolamento UE sia ampio, le società e le associazioni sportive dilettantistiche dovranno iniziare ad osservare numerosi obblighi, per rispettare i requisiti minimi previsti dal GDPR e adeguarsi alla normativa sia online che offline.

• I siti web delle società e delle associazioni sportive dilettantistiche dovranno offrire una maggiore chiarezza ai visitatori riguardo la privacy e il trattamento dei dati personali. Indispensabile chiedere il consenso al trattamento stesso al visitatore.
• Stessa procedura è prevista per le attività quotidiane offline della società o associazione sportiva. Ciò significa che per rispettare il Gdpr è d’obbligo un’adeguata attenzione alle modalità di acquisizione del consenso al trattamento dei dati sensibili dei propri associati e del contenuto delle varie informative proposte. Ci si riferisce non solo alle informazioni riguardanti atleti minorenni, ma più in generale anche alla raccolta, organizzazione o diffusione di tutti i dati “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”(art.4 Gdpr). Occorre specificare che il consenso dei minori è valido a partire dai 16 anni (limite che può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età deve esserci il consenso dei genitori o di chi ne fa le veci.

Nel dettaglio gli adempimenti sono tanti. Si dovranno:

• Adeguare le nomine di titolari, contitolari, responsabili dei trattamenti (come commercialista, consulente del lavoro, ma anche il trasferimento dei dati alle varie federazioni sportive per l’iscrizione alle gare degli atleti), persone autorizzate alla gestione dei dati (dipendenti, istruttori esterni, ecc);
• Nominare in tempi stretti il Data protection officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), una figura indispensabile introdotta dal nuovo regolamento europeo in materia di protezione di dati personali;
• Istituire il Registro delle attività di trattamento, in cui vanno descritti i trattamenti dati effettuati e le procedure per la sicurezza impiegate;
• Valutare i Rischi (DPIA): quando un trattamento dati può comportare un rischio elevato per i diritti e le libertà delle persone (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati, o per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio;
• A valle dell’analisi dei rischi, individuare delle attività per cui occorre eseguire la valutazione relativa agli impatti a cui andrebbe incontro un trattamento qualora dovessero essere violate le misure di protezione dei dati (rischio furto dati, cambi password ai pc, ecc);
• Rivedere la chiarezza di informative e consensi (dipendenti, collaboratori, clienti e fornitori);
• Eventualmente notificare la violazione dei dati personali entro 72 ore al Garante della Privacy.

Si tratta di un lavoro impegnativo che deve essere svolto in maniera meticolosa, seguendo con rigore la guida del Garante della Privacy.

Per evitare di incorrere in problemi e sanzioni, rivolgiti a professionisti qualificati. Con  Federterziario Firenze e Pisa avrai la certezza di una consulenza valida e un aiuto concreto nell’adeguare la tua attività alle nuove regole stabilite dal Gdpr.

Scegli la sede più vicina a te e contattaci!

Ti aspettiamo!