GDPR e mondo sportivo
Reading,
Royal County of Berkshire, South England.
Nel 1994, in una
delle contee più commerciali e meridionali del Regno di Sua Maestà Regina
Elisabetta II, vennero poste le fondamenta per l'approdo del mondo sportivo nel
World Wide Web. Mr. Graham Loader, all'epoca giovane informatico della East
Anglia e grandissimo tifoso del Reading FC, crea Hob
Nob Anyone, il
primo sito internet interamente dedicato ad un club calcistico, ancora oggi online.
L'idea di Mr. Graham, vista in ottica moderna, ricalca un'intuizione avuta, qualche tempo dopo, da un certo Mark Zuckemberg: creare una "piazza virtuale" - in questo caso, luogo di incontro dei tifosi dei Royals - dove poter essere aggiornati sull'andamento della squadra del cuore, leggere le anagrafiche dei propri beniamini e commentare le relative notizie, attraverso "l'innovativo" strumento della e-mail.
Sebbene tale primato sia, ancora oggi, conteso da altri club inglesi (in particolare dall'Ipswich Town F.C. e dallo Sheffield Wednesday F.C., che giurano di avere, nei meandri dei loro archivi, la prova dell'esistenza di siti Internet ancor più antichi a loro dedicati), appare evidente come, in quasi un trentennio, lo sport in generale abbia mutato la sua pelle, soprattutto sul Web, pur confermandosi al contempo settore leader nelle classifiche di seguito ed engagement nei confronti dei propri utenti e "seguaci".
Abbiamo, ad esempio, assistito ad un processo di "personificazione" delle società sportive: queste, permettendo ai loro utenti (per lo più tifosi, ma anche semplici curiosi o appassionati) di interagire con loro, ottengono in cambio "porzioni di conoscenza" sulle loro abitudini, gusti e persino sui loro comportamenti commerciali. Allo stesso modo, numerosi sportivi - non sempre in modo del tutto consapevole - condividono con una platea di sconosciuti informazioni e dati anche strettamente personali.
La repentina crescita degli strumenti informatici, le infinite potenzialità del World Wide Web e - soprattutto - l'adozione del Regolamento sul trattamento dei dati personali (GDPR) hanno quindi spinto l'intero apparato sportivo ad un ripensamento dei propri sistemi di gestione e trattamento dei dati personali, soprattutto quando questi vengono raccolti ed archiviati attraverso supporti informatici.
L'innalzamento
a diritto fondamentale della protezione dei dati personali rende così
necessaria una presa di coscienza, da parte del mondo sportivo, sull'importanza
del loro trattamento.
Sia le società (professionistiche e dilettantistiche) che
le Federazioni Sportive si trovano, nello svolgimento dei loro vari servizi, a
dover raccogliere e conservare una più o meno ampia varietà di dati personali,
relativi non solo ai loro associati (come calciatori, staff tecnico e medico),
ma anche ai tifosi/clienti che interagiscono con loro.
Pertanto, è di vitale importanza prevedere, sin dal principio, un'organizzazione interna che prenda in considerazione tutti i soggetti deputati a gestire - a vario titolo - i dati personali coinvolti, mettendoli a sistema in modo gerarchico.
Basti un esempio per comprendere la portata di tale fenomeno nel mondo sportivo. La conformità agli standard dettati dal GDPR va assicurata già all'atto dell'iscrizione in palestra da parte di uno sportivo "amatore": la raccolta di determinati dati personali (es. nome, cognome, codice fiscale, certificato medico), sia essa effettuata in modo "fisico" (ossia, attraverso un supporto cartaceo) che "digitale" (tramite appositi moduli e strumenti di archiviazione digitali), integra una specifica forma di trattamento (la cd. "profilazione"[1]), che dovrebbe avvenire in ossequio alle prescrizioni in tema di privacy.
Per comprendere la mole e la diversità di dati che possono essere gestiti dalle entità sportive, prenderemo in considerazione due figure: quella del tifoso che decide di acquistare un biglietto per assistere ad un incontro di Serie A (il "titolare del titolo di accesso") e quella dello sportivo che viene tesserato presso la Federazione.
- Nel primo caso, il tifoso, per poter ottenere il rilascio e l'emissione del titolo di accesso allo stadio, deve consentire al trattamento di determinati dati personali abbastanza "comuni" (come il nome, cognome, data di nascita), ma anche a certe informazioni più "riservate" (come gli estremi del documento di riconoscimento, la certificazione verde COVID-19, talvolta persino dati relativi alle caratteristiche, alle scelte e alle abitudini, ricavabili ad esempio dai social network), in alcuni casi autorizzando la società ad "utilizzare" la propria immagine, per ragioni di sicurezza (servizio di videosorveglianza all'interno all'infrastruttura sportiva). In queste specifiche ipotesi, la società sportiva che emette il titolo di accesso assume la posizione giuridica di titolare del trattamento rispetto ai dati raccolti, figura definita dal Regolamento quale "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali[2]". Si tratta di una figura "apicale" nel sistema normativo sulla privacy, essendo questi il principale soggetto deputato alla gestione del trattamento del dato.
- Pensiamo ora all'ipotesi del tesseramento di un calciatore alla Federazione di riferimento. In questo caso, secondo una parte della dottrina, la società sportiva che detiene il diritto alla prestazione sportiva del giocatore, pur dovendo raccogliere alcuni dei sopracitati dati per finalizzare il tesseramento (es. nome, cognome, data di nascita, estremi documento, ecc), svolge il ruolo di responsabile del trattamento per conto della Federazione. La differenza non è di poco conto: si tratta di una figura "ausiliare", con il compito di trattare i dati "per conto del titolare del trattamento", che sarebbe in questo caso la FIGC, soggetto deputato alla verifica sulla correttezza del tesseramento. Il club sarà così tenuto a comunicare una serie di informazioni (come sopra, il nome, cognome, data di nascita dell'atleta, ma anche dati molto personali sullo stato di salute per l'idoneità sportiva), al fine di poter completare in modo proficuo il tesseramento e godere delle prestazioni sportive del calciatore.
- Ciò non significa, tuttavia, che le società sportive assumano sempre la posizione di "responsabile del trattamento" nella gestione dei dati personali degli atleti. In una molteplicità di casi, infatti, queste svolgono il ruolo di "titolari del trattamento" in relazione ai medesimi dati personali di cui sopra (nome, cognome, ecc) dei propri atleti, in quanto l'utilizzo che ne fanno è autonomo rispetto a quello delle Federazioni: basti pensare all'ipotesi di ritiri o trasferte, dove è lo stesso club ad "utilizzare" e gestire i dati dei calciatori per prenotare treni, alberghi, aerei. L'appartenenza all'una o all'altra categoria, pertanto, varia a seconda della finalità del trattamento e della base giuridica che lo autorizza.
Dunque,
è evidente come la casistica di situazioni nelle quali le entità sportive
possono entrare in contatto con dei dati personali sia quanto mai ampia e
variegata. Per questo motivo, il trattamento del dato deve avvenire attraverso
modalità trasparenti, chiare e vincolanti, così come prescritto all'articolo 13
del GDPR[3].
Pertanto, sia nel primo caso (tifoso che rende i suoi dati per ottenere un titolo di accesso) che nel secondo (calciatore che deve essere tesserato o iscritto), la società è tenuta a fornire un'informativa privacy, ossia un documento riassuntivo volto ad indicare le modalità attraverso le quali l'ente sportivo intende raccogliere, gestire ed elaborare i dati dei proprio tifosi o dei propri calciatori. Questa, di norma, deve essere espressamente accettata, mediante consenso, dall'interessato.
Ai sensi del sopracitato articolo, l'informativa deve necessariamente riportare una serie di informazioni di carattere identificativo sull'entità che raccoglie i dati (es. dati di contatto del titolare del trattamento, sede legale, partita IVA), l'elenco dei diritti riconosciuti all'interessato (es. diritto di accesso ai dati personali, diritto di proporre reclamo all'autorità di controllo), nonché le finalità del trattamento (ossia, i "motivi" per i quali vengono trattati i dati).
Non di rado capita che le entità sportive si trovino a dover gestire, ai fini del trattamento, le cd. categorie particolari di dati personali, note anche come "dati sensibili". Il Regolamento disciplina questa tipologia all'articolo 9 del GDPR, facendovi rientrare quelle informazioni che rivelano "l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché [..] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".
Dato l'evidente carattere "personalissimo" di tali informazioni, la legge dispone particolari "restrizioni" ed accortezze in relazione al loro trattamento. Pertanto, le società e le Federazioni sportive (in quanto "titolari del trattamento" dei dati personali di tifosi o giocatori) si trovano a dover nominare un DPO, ossia un Data Protection Officer o Responsabile della protezione dei dati. Si tratta di una figura "ausiliare" ed "indipendente" rispetto al titolare del trattamento ma, in alcuni casi, imprescindibile nell'assetto organizzativo interno dell'ente sportivo, poiché svolge una funzione di raccordo tra il titolare del trattamento, i destinatari dello stesso e le autorità di controllo. Benché si tratti di una figura solo eventuale nell'organigramma privacy delle società, questa diventa obbligatoria nei casi elencati dall'articolo 37 del GDPR, ossia:
- Quando il trattamento sia effettuato da un'autorità pubblica o da un organismo pubblico;
- Quando le attività principali dell'organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati "su larga scala";
- Quando le medesime attività consistono nel trattamento di categorie particolari di dati (cd. dati sensibili).
In ambito sportivo, la norma dà luogo ad una serie di riflessioni, aprendo nuovi ed interessanti scenari. Ad esempio, in relazione al primo punto, l'intera questione verte intorno ad una considerazione preliminare: le Federazioni Sportive Nazionali possono essere riconosciute quali "enti pubblici" o "soggetti privati"?
Il dibattito in dottrina è, oggi, ancora aperto. Se si riconoscesse la natura pubblica della Federazione (in quanto "organo" del CONI, ente pubblico), queste sarebbero sempre obbligate a nominare un DPO, per la gestione ed il trattamento di qualsiasi dato personale.
Tuttavia, anche condividendo la tesi contraria (che nega la funzione pubblica delle FSN), la nomina del DPO risulterebbe ugualmente obbligatoria, in forza del secondo punto dell'articolo 37: le Federazioni, infatti, trattano una notevole quantità di dati personali sia a livello regionale che nazionale, coinvolgendo un'altrettanta vasta platea di soggetti interessati. Il dibattito è ancora oggi aperto, benché la dottrina maggioritaria protenda per il riconoscimento della natura pubblicistica delle Federazioni.
Resta il fatto che, dal 1994 ad oggi, la società ha sensibilmente cambiato il suo approccio e la sua sensibilità verso la gestione e la tutela dei dati personali degli individui. Mentre allora Mr. Graham "scommetteva" sul fatto che altri tifosi come lui avrebbero trovato interessante rimanere aggiornati sulle vicende sportive del proprio club del cuore, oggi questo processo può essere facilmente estrinsecato attraverso la valutazione dei dati e dei comportamenti di tifosi ed appassionati sulle varie piattaforme a disposizione di Club e Federazioni.
L'applicazione della disciplina sulla privacy, nell'ambito delle attività sportive, non può dirsi esaurita ai soli esempi sopra esposti, andando questa ad incidere su tutti i principali aspetti vitali dell'ente sportivo: dal tesseramento dello sportivo alla semplice iscrizione dell'amatore in palestra, dalla gestione dei sistemi di sorveglianza nell'impianto allo sfruttamento dell'immagine, dai controlli biometrici degli atleti all'accesso all'infrastruttura sportiva, financo il trattamento dei dati personali degli utenti nei siti Web delle società, associazioni e Federazioni sportive.
L'adeguamento da parte degli enti sportivi al Regolamento può così rappresentare il volano per un processo di rivalutazione, economica e sociale, del mondo sportivo. Il vantaggio competitivo dello sport, rispetto ad altri settori produttivi, si sostanzia proprio nella "fedeltà" dei suoi tifosi/utenti/clienti, non solo a livello professionistico ma anche dilettantistico ed amatoriale.
La possibilità - per le associazioni, le società sportive di ogni livello e per le stesse Federazioni - di ampliare la conoscenza della propria comunità di riferimento rappresenta la base per la creazione di un prodotto "sport" all'altezza delle aspettative di chi lo pratica e di chi lo segue da appassionato, garantendo la riservatezza e l'integrità delle informazioni che questi sono disposti a rendere.
Dott. Daniele Andaloro
[1] Definita all'articolo 4, n. 4) del Reg. UE 679/2016
[2] Definito all'articolo 4, n. 7) del Reg. UE 679/2016
[3] Articolo recante "Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato", nel quale vengono elencate le informazioni e le modalità per un trattamento corretto e trasparente.