Il Regolamento sul trattamento dei dati personali (GDPR) sembra aver inaspettatamente colto di sorpresa sia le federazioni sia le società sportive. Probabilmente, ciò è dovuto, da una parte, ad un ritardo endemico di tutti i titolari del trattamento, dall’altro al fatto che, in special modo nell’ambito del dilettantismo, è diffusa l’opinione secondo cui l’assenza di un beneficio economico per gli organizzatori degli eventi comporterebbe l’esclusione dell’applicazione della normativa privacy. Ovviamente così non è e il Regolamento riguarda tutti i trattamenti dei dati personali, a prescindere dalla natura del soggetto che realizza il trattamento.
Il tema è particolarmente interessante, anche alla luce delle specificità del mondo sportivo e delle relazioni che determinano i flussi di dati personali. Tuttavia, per ovvie ragioni di economicità della trattazione, il presente intervento si occuperà principalmente degli obblighi delle federazioni sportive e di alcune peculiarità del diritto alla protezione dei dati personali nel contesto considerato.
Nomina del DPO
Una delle questioni più dibattute, nell’ambito del diritto sportivo, attiene alla natura giuridica delle federazioni. Sono enti pubblici o privati? Sul tema, sia in dottrina sia nella prassi delle singole federazioni, non si registra un’univocità di vedute: basti pensare, di recente, alla discussione sull’inserimento di tali enti negli elenchi Istat.
Senza entrare nella questione, che meriterebbe altro spazio, la domanda da porsi è la seguente: è obbligatoria la nomina di un DPO? Tuttavia, si tratta di un cane che si morde la coda: se non si risponde al quesito preliminare relativo alla natura giuridica della federazione, la domanda è destinata a rimanere senza risposta.
È indubbio, tuttavia, che si tratti di una misura fortemente consigliabile, in un’ottica di accountability, tenuto conto del fatto che le singole federazioni trattano dati di migliaia di atleti, spesso minorenni, oltre ai dati degli altri tesserati (arbitri, allenatori, ecc.).
Non sorprende, quindi, che quasi la totalità delle federazioni si siano dotate di responsabili per la protezione dei dati personali, per lo più esterni alle proprie strutture.
Rapporti tra società/associazioni sportive e federazioni
In linea di principio, il ruolo delle associazioni e delle società sportive è quello di titolare autonomo dei dati personali dei propri atleti. Difatti, sebbene spesso i dati posseduti dalle associazioni/società siano simili a quelli trattati dalla federazione, detti trattamenti avvengono per finalità e con mezzi differenti. Si pensi, a titolo esemplificativo, all’ipotesi dei ritiri o delle trasferte, dove la società prenota alberghi, treni e aerei (ossia: utilizza i dati dei propri atleti) in totale autonomia, per finalità che esulano rispetto a quelle della federazione.
L’unica eccezione è rappresentata dal momento del tesseramento, nel quale l’associazione sportiva raccoglie, trasmette e (spesso) conserva i dati personali degli atleti per conto della Federazione. Sebbene non esista una prassi condivisa da tutte le federazioni, in merito al tesseramento, generalmente il dirigente della società scarica dal sito internet un modulo della federazione (con relativa informativa privacy allegata), lo stampa, lo fa sottoscrivere agli atleti e poi lo invia (per posta ordinaria o caricandolo su una piattaforma informatica) alla federazione. In tale contesto, e limitatamente a tale contesto, l’associazione/società sportiva è responsabile nei confronti della Federazione.
Non convince, invece, la ricostruzione del rapporto federazioni/società in termini di contitolari, dal momento che, come si è detto, il trattamento persegue, generalmente, finalità differenti.
Rapporti tra Federazione e comitati regionali
Tutte le federazioni sono coadiuvate, a livello territoriale, da comitati regionali.
La natura giuridica di tali enti non è univoca. In taluni casi, infatti, tali comitati sono diramazioni periferiche delle federazioni, ma non posseggono alcuna autonomia: il soggetto giuridico è quindi lo stesso e i comitati rappresentano, al più, delle sedi decentrate. In altri casi (ad esempio nel calcio), i comitati regionali sono enti separati rispetto alla federazione, come dimostrato, ad esempio, dalla diversità di codice fiscale e di partita Iva.
Questa distinzione si riverbera anche nel settore che ci interessa: nel primo caso, infatti, i comitati regionali non saranno (né potrebbero essere) responsabili del trattamento; nell’altro, invece, occorrerà ricorrere a tale nomina.
Dati sensibili e attività paraolimpica
La ricostruzione proposta è confermata anche dal trattamento dei dati sensibili. Per quanto riguarda le visite mediche, infatti, alla federazione è trasmessa unicamente l’idoneità sportiva che, di per sé, non è un dato personale. I dati relativi alle visite mediche, invece, non sono oggetto di trasmissione.
La federazione, per conto suo, può trattare dati sensibili in occasione delle convocazioni in nazionale degli atleti (o di altri eventi federali) e, in generale, tratta i dati sensibili dei tesserati non atleti (arbitri, allenatori, medici federali, ecc.).
Un’ipotesi peculiare è rappresentata dalle discipline paralimpiche, che sono inglobate solo in alcune federazioni, ma non in altre. In questi casi, le visite mediche, anche ai fini delle diverse classificazioni, sono svolte direttamente in sede federale e, quindi, i dati relativi agli atleti sono conservati anche dalla federazione.
Registri del trattamento
Sebbene sia discutibile che le federazioni siano vincolate alla tenuta di un registro (ai sensi dell’art. 30 del Regolamento), alla luce delle tipologie di dati e di trattamenti, tale adempimento risulta – a prescindere dalla sua effettiva obbligatorietà – fortemente consigliato, ancora una volta tenendo conto del numero di soggetti coinvolti nei processi di trattamento.
