Sia la FCI che le singole societΓ affiliate, per i motivi del tesseramento e dellβiscrizione alle manifestazioni sportive raccolgono, detengono e trattano i dati personali di atleti, dirigenti e tecnici.
Cosa si intende per raccogliere, detenere e trattare i dati personali dei tesserati?
Il legislatore ha voluto introdurre regole piΓΉ chiare in merito allβinformativa, al consenso ed al trattamento dei dati personali e sensibili.
I concetti sui quali si basa il nuovo regolamento sono quelli di:
Dato personale: i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
Trattamento del dato: Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
E’ sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personali.
Come possiamo vedere dai due concetti appena espressi, sia la FCI che le societΓ affiliate rientrano pienamente negli ambiti indicati: infatti le societΓ /associazioni affiliate e la FCI sono titolari della raccolta dei dati, che vengono registrati nel sistema informatico federale e possono essere consultati ed utilizzati per gli scopi previsti.
>> PerchΓ© e in che modo adeguarsi alle nuove normative.
PerchΓ©:
- il garante ha disposto controlli serrati e sanzioni pecuniarie pesanti nel caso si verifichino trattamenti dei dati non adeguati alla normativa
- questi controlli sono affidati alla guardia di finanza che potrΓ quindi, in occasione degli ormai numerosi controlli sulle ASD, verificare anche le modalitΓ di trattamento dei dati personali.
Come:
- le societΓ dovranno mettere in atto una serie di azioni che, se da un lato complicheranno un po’ le abituali procedure di tesseramento e di gestione societaria, dallβaltro consentiranno alle stesse di adempiere alla nuova normativa.
>> Quali sono i requisiti necessari per adempiere correttamente al GDPR?
Il legislatore non indica quali sono i requisiti minimi necessari ma prevede che il titolare del trattamento dei dati elabori un piano che, sulla base del tipo di trattamento, del tipo si azienda e del tipo ci metodi di conservazione dei dati offra una adeguata sicurezza rispetto la raccolta, conservazione ed utilizzo degli stessi.
>> Quali sono i soggetti e le figure coinvolte nel trattamento?
- Titolare del trattamento
- Responsabile del trattamento
- Incaricato del trattamento
>> Chi Γ¨ il titolare del trattamento?
Titolare del trattamento (data controller) Γ¨
βla persona fisica o giuridica, lβautoritΓ pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalitΓ e i mezzi del trattamento di dati personaliβ.
In sostanza il titolare Γ¨ colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perchΓ©” e “come” devono essere trattati i dati.
Il titolare del trattamento non Γ¨, quindi, chi gestisce i dati, ma chi decide il motivo e le modalitΓ del trattamento.
Colui che prende le decisioni piΓΉ importanti in merito, decidendo quindi il perchΓ© e il come gestire il trattamento dei dati personali. Eβ il proprietario dei dati e coincide solitamente con lβimpresa.
l titolare, tenuto conto della natura e delle finalitΓ del trattamento dei dati, ha quindi, come principale responsabilitΓ , quella di mettere βin atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento Γ¨ effettuato conformemente al regolamentoβ
Nel nostro caso il βdata controllerβ Titolare del trattamento dei dati Γ¨ la Federazione Ciclistica Italiana in quanto
- stabilisce le finalitΓ del trattamento
- predispone i mezzi del trattamento
Stabilisce le finalitΓ in quanto lβutilizzo di tali dati deriva direttamente dalle norme che regolano le attivitΓ sportive di atleti e societΓ . Norme sia legislative, come quelle relative alla tutela della salute, sia sportive, regolamenti del Coni, della federazione internazionale e della FCI.
Predispone i mezzi in quanto il sistema informatico che raccoglie, conserva e gestisce i dati Γ¨ sviluppato e di proprietΓ di Federazione Ciclistica Italiana e le societΓ affiliate che hanno la facoltΓ di utilizzarlo non possono in alcun modo modificarlo.
>> Chi Γ¨ il responsabile del trattamento?
Responsabile del Trattamento (data processor) Γ¨
βla persona fisica o giuridica, lβautoritΓ pubblica, il servizio o altro organismo che tratta o elabora dati personali per conto del titolare del trattamento
Il responsabile del trattamento quindi tratta i dati personali solo per conto del titolare del trattamento. Tratta i dati attenendosi alle istruzioni del titolare ma assume responsabilitΓ proprie e ne risponde alle autoritΓ di controllo e alla magistratura.
Ma quali sono, oltre alla FCI, i soggetti che trattano o elaborano i dati personali e possono essere considerati responsabili del trattamento?
Nel nostro caso questi soggetti sono le societΓ affiliate che trattano/elaborano i dati in quanto li raccolgono e li digitalizzano per conte della FCI utilizzando le procedure ed i sistemi messi indicati dalla federazione.
Per questo motivo la FCI nominerΓ ogni societΓ affiliata βresponsabile del trattamentoβ tramite lβadesione, in fase di affiliazione, ad uno specifico contratto definito βAtto di nomina a RESPONSABILE del trattamento ai sensi dellβArt. 28 del Regolamento EU 2016/679β che descrive nel dettaglio lβattivitΓ svolta dal responsabile per conto del titolare. Con la sottoscrizione dellβatto di nomina la societΓ affiliata (data processor) si impegna a raccogliere e trattare i dati secondo le procedure e con i mezzi messi a disposizione dal titola (FCI)
>> Lo strumento “ Atto di nomina a RESPONSABILE del trattamento “.
Eβ un documento contrattuale attraverso il quale il titolare del trattamento (FCI) nomina il RESPONSABILE del trattamento (ASD/SSD) e questa accetta di assumere il ruolo di RESPONSABILE del trattamento.
Con lβaccettazione della nomina la societΓ affiliata si impegna a raccogliere, gestire e trattare i dati nel rispetto della normativa e delle istruzioni e procedure indicate dal titolare del trattamento.
Lβatto di nomina descrive le procedure che debbono essere utilizzate per queste operazione oltre ad indicare le normali attivitΓ che garantisco la tutela dei diritti degli interessati.
La sottoscrizione dellβatto di nomina Γ¨ necessaria per poter procedere allβaffiliazione della societΓ
>> Chi Γ¨ lβincaricato del trattamento?
Persona autorizzata al trattamento dei dati sotto l’autoritΓ diretta del titolare o del responsabile.
Incaricato, o autorizzato, Γ¨ il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Nel caso concreto, se le operazioni relative al trattamento dei dati sono affidate dal Rappresentante Legale della societΓ (responsabile del trattamento) ad una o piΓΉ persone queste devono essere espressamente autorizzate sotto lβautoritΓ diretta del responsabile.
DovrΓ essere redatto quindi uno specifico atto di nomina ad incaricato.
PerchΓ© per il 2019 abbiamo scelto la forma della nomina a responsabile invece dalla contitolaritΓ come proposto la scorsa stagione.
Pur se la contitolaritΓ Γ¨ uno strumento previsto dalla normativa ed adeguato alla tipologia ed alle procedure di trattamento dei dati effettuata dalla Federazione Ciclistica Italiana abbiamo cercato comunque in questo periodo di analizzare le soluzioni e strumenti che potessero tutelare al meglio le societΓ affiliate.
Abbiamo rilavato che la contitolaritΓ comportava anche un qualche grado di corresponsabilitΓ delle societΓ nella gestione della piattaforma informatica.
Questo fatto, seppur marginale, non ci Γ¨ sembrato corretto nei confronti delle societΓ in quanto queste non hanno praticamente nessuna possibilitΓ di agire nella determinazione dello sviluppo della piattaforma.
Per questo motivo abbiamo deciso di nominare le societΓ Responsabili e non piΓΉ titolari del trattamento.
Cosa cambia nella sostanza della raccolta e della conservazione dei dati con questo passaggio.
Nella sostanza e nella pratica il comportamento delle societΓ dovrΓ essere identico a quello indicato dalla FCI e messo in atto la scorsa stagione dalle societΓ .
Si dovrΓ porre la massima cura ed attenzione nel fornire le informative ai tesserati e nella raccolta dei consensi cosΓ¬ come si dovrΓ avere la massima attenzione nella conservazione dei dati nellβincaricare soggetti interni o esterni al trattamento dei dati.
Da parte nostra cercheremo di fornire tutti gli strumenti necessari per una corretta gestione (informative, documentazione, modulistica ecc.).
Oltre a questo abbiamo approntato una procedura di tesseramento che impedirΓ (al netto di sempre possibili frodi) alle societΓ di tesserare gli atleti in assenza del consenso.
Pur rendendoci conto che questo puΓ² comportare un aggravio nei processi di tesseramento dobbiamo sottolineare che la rigiditΓ delle procedure Γ¨ attuata nellβesclusivo interesse delle societΓ affiliate onde evitare errori ed omissioni che potrebbero comportare sanzioni rilevanti.
