Sia la FCI che le singole societร affiliate, per i motivi del tesseramento e dellโiscrizione alle manifestazioni sportive raccolgono, detengono e trattano i dati personali di atleti, dirigenti e tecnici.
Cosa si intende per raccogliere, detenere e trattare i dati personali dei tesserati?
Il legislatore ha voluto introdurre regole piรน chiare in merito allโinformativa, al consenso ed al trattamento dei dati personali e sensibili.
I concetti sui quali si basa il nuovo regolamento sono quelli di:
Dato personale: i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa).
Trattamento del dato: Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
E' sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personali.
Come possiamo vedere dai due concetti appena espressi, sia la FCI che le societร affiliate rientrano pienamente negli ambiti indicati: infatti le societร /associazioni affiliate e la FCI sono titolari della raccolta dei dati, che vengono registrati nel sistema informatico federale e possono essere consultati ed utilizzati per gli scopi previsti.
>> Perchรฉ e in che modo adeguarsi alle nuove normative.
Perchรฉ:
- il garante ha disposto controlli serrati e sanzioni pecuniarie pesanti nel caso si verifichino trattamenti dei dati non adeguati alla normativa
- questi controlli sono affidati alla guardia di finanza che potrร quindi, in occasione degli ormai numerosi controlli sulle ASD, verificare anche le modalitร di trattamento dei dati personali.
Come:
- le societร dovranno mettere in atto una serie di azioni che, se da un lato complicheranno un po' le abituali procedure di tesseramento e di gestione societaria, dallโaltro consentiranno alle stesse di adempiere alla nuova normativa.
>> Quali sono i requisiti necessari per adempiere correttamente al GDPR?
Il legislatore non indica quali sono i requisiti minimi necessari ma prevede che il titolare del trattamento dei dati elabori un piano che, sulla base del tipo di trattamento, del tipo si azienda e del tipo ci metodi di conservazione dei dati offra una adeguata sicurezza rispetto la raccolta, conservazione ed utilizzo degli stessi.
>> Quali sono i soggetti e le figure coinvolte nel trattamento?
- Titolare del trattamento
- Responsabile del trattamento
- Incaricato del trattamento
>> Chi รจ il titolare del trattamento?
Titolare del trattamento (data controller) รจ
โla persona fisica o giuridica, lโautoritร pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalitร e i mezzi del trattamento di dati personaliโ.
In sostanza il titolare รจ colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perchรฉ" e "come" devono essere trattati i dati.
Il titolare del trattamento non รจ, quindi, chi gestisce i dati, ma chi decide il motivo e le modalitร del trattamento.
Colui che prende le decisioni piรน importanti in merito, decidendo quindi il perchรฉ e il come gestire il trattamento dei dati personali. Eโ il proprietario dei dati e coincide solitamente con lโimpresa.
l titolare, tenuto conto della natura e delle finalitร del trattamento dei dati, ha quindi, come principale responsabilitร , quella di mettere โin atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento รจ effettuato conformemente al regolamentoโ
Nel nostro caso il โdata controllerโ Titolare del trattamento dei dati รจ la Federazione Ciclistica Italiana in quanto
- stabilisce le finalitร del trattamento
- predispone i mezzi del trattamento
Stabilisce le finalitร in quanto lโutilizzo di tali dati deriva direttamente dalle norme che regolano le attivitร sportive di atleti e societร . Norme sia legislative, come quelle relative alla tutela della salute, sia sportive, regolamenti del Coni, della federazione internazionale e della FCI.
Predispone i mezzi in quanto il sistema informatico che raccoglie, conserva e gestisce i dati รจ sviluppato e di proprietร di Federazione Ciclistica Italiana e le societร affiliate che hanno la facoltร di utilizzarlo non possono in alcun modo modificarlo.
>> Chi รจ il responsabile del trattamento?
Responsabile del Trattamento (data processor) รจ
โla persona fisica o giuridica, lโautoritร pubblica, il servizio o altro organismo che tratta o elabora dati personali per conto del titolare del trattamento
Il responsabile del trattamento quindi tratta i dati personali solo per conto del titolare del trattamento. Tratta i dati attenendosi alle istruzioni del titolare ma assume responsabilitร proprie e ne risponde alle autoritร di controllo e alla magistratura.
Ma quali sono, oltre alla FCI, i soggetti che trattano o elaborano i dati personali e possono essere considerati responsabili del trattamento?
Nel nostro caso questi soggetti sono le societร affiliate che trattano/elaborano i dati in quanto li raccolgono e li digitalizzano per conte della FCI utilizzando le procedure ed i sistemi messi indicati dalla federazione.
Per questo motivo la FCI nominerร ogni societร affiliata โresponsabile del trattamentoโ tramite lโadesione, in fase di affiliazione, ad uno specifico contratto definito โAtto di nomina a RESPONSABILE del trattamento ai sensi dellโArt. 28 del Regolamento EU 2016/679โ che descrive nel dettaglio lโattivitร svolta dal responsabile per conto del titolare. Con la sottoscrizione dellโatto di nomina la societร affiliata (data processor) si impegna a raccogliere e trattare i dati secondo le procedure e con i mezzi messi a disposizione dal titola (FCI)
>> Lo strumento " Atto di nomina a RESPONSABILE del trattamento ".
Eโ un documento contrattuale attraverso il quale il titolare del trattamento (FCI) nomina il RESPONSABILE del trattamento (ASD/SSD) e questa accetta di assumere il ruolo di RESPONSABILE del trattamento.
Con lโaccettazione della nomina la societร affiliata si impegna a raccogliere, gestire e trattare i dati nel rispetto della normativa e delle istruzioni e procedure indicate dal titolare del trattamento.
Lโatto di nomina descrive le procedure che debbono essere utilizzate per queste operazione oltre ad indicare le normali attivitร che garantisco la tutela dei diritti degli interessati.
La sottoscrizione dellโatto di nomina รจ necessaria per poter procedere allโaffiliazione della societร
>> Chi รจ lโincaricato del trattamento?
Persona autorizzata al trattamento dei dati sotto l'autoritร diretta del titolare o del responsabile.
Incaricato, o autorizzato, รจ il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Nel caso concreto, se le operazioni relative al trattamento dei dati sono affidate dal Rappresentante Legale della societร (responsabile del trattamento) ad una o piรน persone queste devono essere espressamente autorizzate sotto lโautoritร diretta del responsabile.
Dovrร essere redatto quindi uno specifico atto di nomina ad incaricato.
Perchรฉ per il 2019 abbiamo scelto la forma della nomina a responsabile invece dalla contitolaritร come proposto la scorsa stagione.
Pur se la contitolaritร รจ uno strumento previsto dalla normativa ed adeguato alla tipologia ed alle procedure di trattamento dei dati effettuata dalla Federazione Ciclistica Italiana abbiamo cercato comunque in questo periodo di analizzare le soluzioni e strumenti che potessero tutelare al meglio le societร affiliate.
Abbiamo rilavato che la contitolaritร comportava anche un qualche grado di corresponsabilitร delle societร nella gestione della piattaforma informatica.
Questo fatto, seppur marginale, non ci รจ sembrato corretto nei confronti delle societร in quanto queste non hanno praticamente nessuna possibilitร di agire nella determinazione dello sviluppo della piattaforma.
Per questo motivo abbiamo deciso di nominare le societร Responsabili e non piรน titolari del trattamento.
Cosa cambia nella sostanza della raccolta e della conservazione dei dati con questo passaggio.
Nella sostanza e nella pratica il comportamento delle societร dovrร essere identico a quello indicato dalla FCI e messo in atto la scorsa stagione dalle societร .
Si dovrร porre la massima cura ed attenzione nel fornire le informative ai tesserati e nella raccolta dei consensi cosรฌ come si dovrร avere la massima attenzione nella conservazione dei dati nellโincaricare soggetti interni o esterni al trattamento dei dati.
Da parte nostra cercheremo di fornire tutti gli strumenti necessari per una corretta gestione (informative, documentazione, modulistica ecc.).
Oltre a questo abbiamo approntato una procedura di tesseramento che impedirร (al netto di sempre possibili frodi) alle societร di tesserare gli atleti in assenza del consenso.
Pur rendendoci conto che questo puรฒ comportare un aggravio nei processi di tesseramento dobbiamo sottolineare che la rigiditร delle procedure รจ attuata nellโesclusivo interesse delle societร affiliate onde evitare errori ed omissioni che potrebbero comportare sanzioni rilevanti.
