Il trattamento dei dati relativi alla salute in ambito sportivo

La gestione degli atleti e sportivi in genere passa necessariamente attraverso il regolare trattamento di dati particolarmente sensibili, quali quelli sanitari, ad esempio, per la gestione degli infortuni o in adempimento alla normativa anti-doping, vieppiù spesso riferibili a categorie di soggetti considerati particolarmente vulnerabili dalla normativa, quali minori d’età e lavoratori.

A ciò si aggiungano le criticità legate alla corretta regolamentazione di enormi banche dati createsi nel tempo grazie alla sedimentazione e accumulo delle più svariate informazioni relative ad atleti presenti e passati, che spesso non hanno più nemmeno un rapporto con la singola realtà sportiva.

Non è revocabile in dubbio che il monitoraggio e la profilazione degli atleti, soprattutto se effettuati mediante strumenti tecnologici di nuova generazione, siano in grado di comportare rilevanti vantaggi e benefici da un punto di vista della qualità della prestazione sportiva, grazie alla raccolta e successiva analisi dei dati raccolti per le finalità più varie, quali la personalizzazione dell’allenamento e della dieta, la valutazione delle performance, il monitoraggio delle condizioni di salute e la prevenzione degli infortuni, nonché l’elaborazione di nuove tattiche e strategie e il perfezionamento della fase di scouting.

Ma è altrettanto pacifico che tali trattamenti richiedono una delicata valutazione sotto il profilo della protezione dei dati personali, nonché l’attuazione di molteplici adempimenti che consentano di collocarli all’interno dei confini tracciati dalla normativa in tema, soprattutto sotto il profilo del necessario rispetto dei principi di liceità, trasparenza, esattezza del trattamento medesimo.

I dati relativi alla salute nel GDPR

L’articolo 4, Regolamento 679/2016/UE in tema di protezione dei dati personali[1], dopo aver definito in generale cosa sia “dato personale”, fornisce al n. 15) una definizione di “dati relativi alla salute” quali dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Il GDPR per i dati relativi alla salute, così come per i dati genetici e biometrici, che pure consentono o confermano l’identificazione univoca dell’individuo, crea cioè una sotto-categoria all’interno della più ampia categoria dei dati particolari disciplinati dall’articolo 9, Regolamento 2016/679/UE, per i quali la liceità del trattamento è ancorata al requisito alternativo del consenso esplicito oppure della necessità, consentendo agli Stati membri di introdurre garanzie supplementari (articolo 9, § 4, Regolamento 2016/679/UE).

Il consenso è quindi alternativo ad altre condizioni – indicate dallo stesso articolo 9, Regolamento 2016/679/UE, tra cui l’ipotesi in cui il trattamento sia necessario per motivi di interesse pubblico o per ragioni correlate alla sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi; ovvero il trattamento sia necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; o ancora sia necessario in relazione all’esercizio del diritto di difesa o per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro, della sicurezza sociale e protezione sociale.

In ambito nazionale, l’articolo 2-septies, D.Lgs. 101/2018 attua l’articolo 9, § 4, Regolamento 2016/679/UE, prevedendo che il trattamento dei dati biometrici, genetici e relativi alla salute sia subordinato all’osservanza di misure di garanzia, stabilite dal garante con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica, tenendo in particolare considerazione, oltre alle linee guida, raccomandazioni e migliori prassi pubblicate dal Comitato europeo per la protezione dei dati, anche l’evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte, nonché l’interesse alla libera circolazione dei dati nel territorio europeo. Le misure di garanzia sono adottate tenendo in considerazione le specifiche finalità di trattamento in relazione a ciascuna delle categorie di dati e in ogni caso nel rispetto delle condizioni di legittimità del trattamento, previste dall’articolo 9, § 2, Regolamento 2016/679/UE; in particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione.

Nel quadro degli obblighi generali incombenti sul titolare del trattamento ex articolo 24, e delle misure di sicurezza adottabili ex articolo 32, GDPR – letti in un’ottica di responsabilizzazione (o accountability) dello stesso, oltre che in funzione di protezione dei dati personali[2] – il livello di misure dovrà essere in questi casi molto elevato, trattandosi di trattamento che riguarda dati personali: “particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”[3].

Posto che nell’odierna società dell’informazione basata sui big data emerge una sostanziale difficoltà nell’individuare l’an, il quando e il quomodo (inteso in termini di finalità) dei singoli concreti trattamenti cui i dati vengono sottoposti. Il Legislatore europeo della privacy mostra ampia consapevolezza delle proporzioni massive che il fenomeno circolatorio dei dati è venuto assumendo negli ultimi decenni, avendo ben presente che “la portata della condivisione e della raccolta di dati personali è aumentata in modo significativo”, e ha reso “disponibili al pubblico su scala mondiale informazioni personali”[4], che consentono di effettuare “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato (…) per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”[5], con particolare riferimento al monitoraggio del comportamento dell’interessato attraverso tecniche di trattamento che ne consentano l’analisi, anche in termini predittivi, sotto il profilo delle preferenze, usi comportamentali o posizioni personali[6].

In tale contesto, assumono centrale rilevanza e maggiore complessità, in particolare, i profili di tutela dei diritti e delle libertà degli interessati sotto il profilo del trattamento di dati su larga scala di categorie di dati personali, tra cui i dati qui in commento.

La norma contenuta all’articolo 2-septies del nuovo Codice della privacy è forse tra le più interessanti del Decreto di adeguamento, rappresentando un bilanciamento all’ampliamento delle condizioni di liceità per il trattamento di dati particolarmente delicati come quelli attinenti alla salute e alla identità degli interessati.

Peraltro, a seguito della nuova formulazione dell’articolo 75 del codice in materia di protezione dei dati personali (e della abrogazione dell’articolo 76 del codice previgente) è chiarito che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura, anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante.

L’articolo 75, difatti, nella sua nuova formulazione sancisce che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, § 2, lettere h) e i), e 3, GDPR, dell’articolo 2-septies del codice, nonché nel rispetto delle specifiche disposizioni di settore.

L’articolo 9, GDPR, § 2, lettera h) riguarda il caso in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione Europea o degli Stati membri o conformemente al contratto con un professionista della sanità, mentre la lettera i) riguarda il caso in cui il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione Europea o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.

D’altra parte, il Garante privacy con il comunicato stampa dell’8 ottobre 2018[7] ha aggiornato le istruzioni sul registro dei trattamenti, precisando che: “sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica ecc.), o anche di dati relativi a condanne penali e a reati”.

In particolare, viene specificato che “rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, le fondazioni e i comitati”, con ciò includendosi, quindi, nell’obbligo di redazione del registro, ad esempio, associazioni, fondazioni e comitati ove trattino categorie particolari di dati e/o dati relativi a condanne penali o reati; associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti etc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso etc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso.

I dati relativi alla salute nella giurisprudenza della Corte europea dei diritti dell’uomo

Può risultare quindi utile in questa sede passare in rassegna alcune decisioni in relazione alla tipologia di dati in commento, per trarre qualche indicazione sul punto.

Anzitutto, nella giurisprudenza della Corte di Strasburgo in tema[8], da leggersi secondo i criteri della case law inglese[9], più in generale, la protezione dei dati personali riveste un ruolo quasi del tutto strumentale alla tutela del diritto al rispetto della vita privata[10], giocando un ruolo fondamentale per l’esercizio del diritto stesso, atteso che, a differenza rispetto alla Carta di Nizza, non esiste nella CEDU un riferimento esplicito alla protezione dei dati personali[11].

Per comprendere la portata di alcune importanti decisioni in tema di dati sanitari, conviene soffermarsi su un’importante pronuncia in tema di trattamento di un’altra categoria particolare di dati ex articolo 9, GDPR, quali i dati genetici: la sentenza Marper c. Regno unito del 2008 e avente a oggetto la c.d. privacy genetica, nella creazione di banche dati genetiche e del DNA a fini di giustizia.

La Corte, in questo caso, afferma che la conservazione delle impronte digitali e dei campioni biologici di DNA, a prescindere dall’effettivo utilizzo degli stessi da parte delle Autorità, rappresenta un’ingerenza nella vita privata dei soggetti, attesa la sicura qualificazione delle impronte e dei campioni di DNA alla stregua di dati sensibili nella nozione contenuta dalla Convenzione del 1981. In particolare, la Corte assimila tali dati alle fotografie e alla registrazione dei campioni vocali. Infatti, essa, al § 84 della sentenza Marper, ritiene che l’approccio adottato relativamente alla questione delle fotografie e dei campioni vocali possa senz’altro ricevere applicazione anche alle impronte digitali e richiama sul punto il già citato caso Friedl c. Austria (19 maggio 1994), in cui aveva stabilito che la conservazione di fotografie scattate nel corso di una manifestazione politica non costituisse un’ingerenza nella vita privata, attribuendo un peso particolare al fatto che le fotografie non erano state inserite in alcun sistema di trattamento automatico dei dati e che le Autorità non avevano adottato alcuna misura per identificare i soggetti fotografati attraverso il trattamento di detti dati. Invece nel caso PG e JH c. Regno Unito n. 44787 del 1998, la Corte aveva affermato che la registrazione dei dati e il carattere permanente o sistematico della registrazione sollevasse una questione relativa al rispetto della vita privata anche nel caso in cui dati fossero di dominio pubblico o disponibili in qualsiasi altra maniera; la Corte ha altresì osservato che la registrazione della voce di un individuo su un supporto fonetico permanente di fatto facilita, se combinato con altri dati personali, l’identificazione dell’individuo, concludendo pertanto che la registrazione delle voci costituisca di per sé un’ingerenza nel diritto al rispetto della vita privata.

Proprio in questa pronuncia è poi contenuta l’enunciazione chiara e forte da parte della Corte EDU che la protezione dei dati “è fondamentale per il rispetto della vita privata”[12]. E proprio su queste premesse la Corte poi sottolinea come la giustificazione prevista dall’articolo 8, comma 2, CEDU debba essere ancorata, per porsi in termini di necessarietà della misura per una società democratica, a regole chiare, dettagliate, oltre che a garanzie minime, che nel caso concreto il Regno Unito non assicurava affatto, dal momento che non venivano previste regole minime e neppure criteri di cancellazione o distruzione dei dati genetici. La Corte, anzi, in uno dei passaggi più interessanti della sentenza[13] – che peraltro compie una ricostruzione completa del quadro di riferimento in materia di protezione dei dati personali, facendo ampio richiamo a tutta la normativa di carattere nazionale e comunitario coinvolta – si dice addirittura “sorpresa” dal carattere generale e indifferenziato con cui in Inghilterra opera il meccanismo di conservazione di tali dati, laddove invece uno Stato che intendesse porsi in un’ottica pionieristica dal punto di vista dell’evoluzione tecnologica nel campo, dovrebbe prendersi anche in carico la responsabilità di compiere dei bilanciamenti[14], che nel caso concreto non sono stati compiuti affatto, con tutti i conseguenti rischi, anche in termini di stigmatizzazione sociale riconnessi al trattamento dei dati per i soggetti, tra l’altro minori all’epoca dei fatti.

L’ottica nella quale si pone la Corte pare la stessa anche quando si tratta di dati relativi allo stato di salute: la Corte nel tempo si è occupata in più casi, soprattutto quanto all’aspetto della divulgazione dei dati, come nel caso Roche c. Regno Unito del 2009 in cui la Corte ha affermato la necessità di garantire tale accesso in misura ancora maggiore laddove ci si trovi in presenza di specifici rischi per la salute, come nel caso concreto in relazione all’esecuzione di alcuni test effettuati con gas tossici[15].

Ancora, nel caso Z c. Finlandia del 1997, la divulgazione dell’identità e dei dati attinenti alla sieropositività del soggetto da parte della Corte d’Appello di Helsinki nel contesto di un processo per omicidio per contagio da HIV pendente a carico dell’ex marito della stessa, costituisce, nel ragionamento della Corte, una violazione dell’articolo 8, CEDU, laddove tale violazione non viene riscontrata invece nel sequestro delle cartelle mediche o nell’obbligo di testimoniare imposto ai suoi sanitari nel contesto del medesimo procedimento, a fini di accertamento e perseguimento dei reati. Anche in questo caso, la Corte ribadisce il ruolo fondamentale della protezione dei dati rispetto alla tutela della vita privata, già affermato nella sentenza Marper, in relazione al diritto alla confidenzialità con riguardo alle informazioni a carattere sanitario, istituendo anche in questa occasione un solido collegamento tra l’articolo 8, Convenzione e gli articoli della Convenzione del 1981 che “mutatis mutandis, perseguono i medesimi interessi di tutela”. La Corte di Strasburgo ha altresì censurato la divulgazione, in un procedimento penale per falso, di dati raccolti in occasione della perquisizione del domicilio professionale dell’imputato, relativi alle cure psichiatriche intraprese da quest’ultimo, nella misura in cui tali informazioni non erano rilevanti per il procedimento in corso[16]. In altri casi, invece la Corte ha ritenuto che il diritto alla confidenzialità dei dati fosse comprimibile al fine di salvaguardare altri interessi meritevoli di tutela secondo il § 2, articolo 8, CEDU, come nel caso della comunicazione di dati relativi allo stato di salute di una paziente da una struttura sanitaria all’istituto previdenziale nazionale, giustificata dall’esigenza di tutela del benessere economico del paese[17].

Ma dall’analisi della giurisprudenza, la più risalente poi confluita nel GDPR[18], emerge un dato comune e ricorrente, consistente nell’affermazione del carattere non assoluto del diritto alla protezione dei dati personali, e del conseguente necessario e costante bilanciamento delle suddette ragioni con le posizioni che di volta in volta risultino con esse confliggenti. Così nel considerando 4 del Regolamento si legge che “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

precisando altresì che: “il Regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, e enumera i diritti fra i quali può generarsi un potenziale conflitto: in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica”[19].

Allo stesso modo, nel nostro ordinamento interno, anche la Suprema Corte di Cassazione nel 2015 ha avuto modo di rilevare che “la protezione dei dati personali non è un totem al quale possono sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale, per cui la materia va coordinata e bilanciata da un lato con le norme che tutelano altre prevalenti diritti (tra questi, l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa); dall’altro, con le norme civilistiche in tema di negozi giuridici”[20], tenuto delle circostanze del caso concreto.

I dati relativi alla salute negli orientamenti del Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali pone un forte accento sulla sicurezza e sulla trasparenza nel trattamento dei dati relativi alla salute. La protezione della privacy degli individui è una priorità, e tutte le operazioni che comportano il trattamento di dati sanitari devono essere giustificate da una base giuridica solida, garantendo che vengano rispettati i diritti degli interessati e adottando misure di sicurezza adeguate.

Anche quando il trattamento dei dati sanitari è legittimo, è fondamentale il principio di minimizzazione, per cui devono essere trattati solo i dati necessari per raggiungere lo scopo specifico e non devono essere conservati più a lungo del necessario. Inoltre, il trattamento deve essere proporzionato agli scopi per cui i dati vengono raccolti.

Nel tempo, il garante non ha mancato di sottolineare la “natura assolutamente peculiare”[21] dei dati relativi alla salute, perché espressivi della più autentica essenza della privatezza: del corpo, delle sue patologie, delle sue carenze, delle sue irregolarità e per questo suscettibili di esporre il singolo alle più meschine discriminazioni, stigmatizzazioni, classificazioni. Non a caso, i dati sanitari sono tra quelli che beneficiano della maggiore tutela accordata dall’ordinamento: misure di garanzia rafforzate, presupposti di liceità del trattamento particolarmente stringenti, declinazione più tassativa del canone di proporzionalità, pari rango quale criterio rigoroso di legittimazione dell’accesso anche soltanto documentale, stretta indispensabilità a fini informativi quale parametro di ammissibilità della comunicazione giornalistica, divieto di divulgazione etc.[22].

Da un lato, infatti, essi necessitano di una tutela rafforzata rispetto ai rischi di accesso indebito, alterazione, manipolazione, connessi ad attacchi cibernetici sempre più spesso diretti a sistemi informativi sanitari, proprio in ragione del pregiudizio esponenziale derivante dalla paralisi dei servizi sanitari. Per altro verso, i dati sanitari necessitano di protezione anche in termini di esattezza e qualità che il loro trattamento deve assicurare, anzitutto per ridurre il rischio clinico. La qualità ed esattezza dei dati (principi essenziali del GDPR) sono, in questo senso, un presupposto di efficacia della big data analytics, soprattutto in un settore così delicato come quello sanitario. Ciò implica anche la necessità di evitare possibili – per quanto, pure, involontarie – forme di discriminazione (anche, appunto, algoritmica) nel patrimonio informativo utilizzato per il machine learning.

A riprova dell’atteggiamento rigoroso del garante, in generale, in tema di dati sanitari, si ricordi come lo stesso sia intervenuto pure recentemente con forza con i provvedimenti emessi l’11 aprile 2024 e il 9 maggio 2024 scorsi.

Il primo provvedimento dell’11 aprile 2024 concerne un caso emblematico di diffusione illecita di dati personali e immagini riguardanti la salute e la vita privata di un individuo sui social media e altri mezzi di comunicazione. Diversi i profili di violazione: l’articolo 5, GDPR, che stabilisce i principi fondamentali per il trattamento dei dati personali, quali liceità, correttezza e trasparenza; gli articoli 137 e 139, del codice privacy, che limitano la diffusione dei dati personali per fini giornalistici, imponendo il rispetto della riservatezza e della dignità degli interessati; infine, sono stati inoltre riscontrati il mancato rispetto dei diritti degli interessati, sanciti dagli articoli 15-22, GDPR.

Il provvedimento del 9 maggio 2024, GDPR, affronta un tema delicato e complesso; questo evidenzia un approccio ponderato e sofisticato del garante, che riesce a coniugare il rispetto dei diritti fondamentali con le necessità della ricerca scientifica: il trattamento dei dati sanitari per finalità di ricerca senza il consenso esplicito degli interessati. La questione si colloca nel delicato equilibrio tra la necessità di avanzamento scientifico e la rigorosa protezione dei diritti individuali, una problematica di primaria importanza in un contesto dove la tecnologia e la scienza si evolvono rapidamente.

Il quadro normativo rilevante include l’articolo 110, codice privacy, che disciplina i trattamenti di dati sanitari per ricerca senza consenso, e gli articoli 2-quater e 106, codice privacy, che promuovono e regolamentano l’adozione di regole deontologiche. Inoltre, l’articolo 35, GDPR, impone la necessità di una valutazione d’impatto sulla protezione dei dati, un elemento cruciale per garantire che i rischi associati al trattamento siano identificati e mitigati adeguatamente.

Le garanzie e le misure imposte dal garante sono stringenti e dettagliate e l’autorizzazione a trattare dati sanitari senza consenso è concessa solo in circostanze eccezionali, e solo quando il trattamento è strettamente necessario e le misure di garanzia sono rigorosamente rispettate. Detti provvedimenti, seppur distinti nelle specificità, condividono elementi fondamentali che evidenziano la rigorosa applicazione dei principi di tutela dei dati personali, specialmente di quelli sanitari. L’Autorità non si limita a monitorare, ma interviene con decisione attraverso l’adozione di misure correttive ben definite, che includono il divieto di ulteriore trattamento dei dati illecitamente gestiti e l’emissione di ammonimenti. Un aspetto particolarmente evidenziato dal garante è la sicurezza, che deve attingere al livello massimo laddove siano trattati dati relativi alla salute.

Tale trattamento deve essere effettuato in maniera non conforme al principio di “integrità e riservatezza” (articolo 5, § 1, lettera f) GDPR), adottando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (articolo 32, GDPR) e adeguate, fin dalla progettazione dei trattamenti effettuati nell’ambito dello stesso, ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in accordo con l’articolo 25 del Regolamento. In particolare, i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza, al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di milioni di interessati.

Come pure recentemente segnalato dal garante[23], gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’articolo 32, § 1, lettere da a) a d), GDPR, anche tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.

L’articolo 25, § 1, del Regolamento prevede che: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”[24].

In base al principio di “protezione dei dati fin dalla progettazione”, il titolare del trattamento è tenuto, pertanto, ad attuare i principi di protezione dei dati (articolo 5, GDPR) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Il considerando 78 del Regolamento suggerisce una responsabilità dei titolari, ossia quella di valutare costantemente se stiano utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, i titolari dovrebbero effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali, nonché della procedura per la gestione delle violazioni dei dati.

L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del GDPR devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace[25].

Nel caso specifico, l’obbligo di mettere in atto misure di sicurezza adeguate alla protezione dei dati personali oggetto di trattamento può includere la: “definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici, profili autorizzativi definiti in funzione del principio del “Need to Know” e della esecuzione di attività rivolte a individuare le vulnerabilità nelle applicazioni e nelle infrastrutture tecniche funzionali all’erogazione del servizio ed attivazione di opportuni piani di mitigazione”.

Casistica relativa ai dati relativi alla salute dell’atleta, certificazioni relative allo svolgimento dell’attività sportiva e valutazioni peritali medico-legali in caso di infortuni o sinistri

Il regime di particolare rigore applicabile ai sensi dell’articolo 9, GDPR, ai dati appartenenti a categorie particolari non impedisce tout court che i dati in questione possano essere resi pubblici direttamente dall’interessato, direttamente o tramite altri soggetti. Del resto, ciò appare in piena sintonia con quanto oggi previsto dall’articolo 9, § 2, lettera e), GDPR, laddove considera lecito il trattamento di dati particolari, inclusi quelli relativi alla salute, qualora “il trattamento riguarda dati personali resi manifestamenti pubblici dall’interessato”, senza necessità del consenso da parte di quest’ultimo.

Il Garante della privacy, già nella vigenza della normativa antecedente, con provvedimento del 1998[26] aveva sottolineato come – benché la L. 675/1996 e le autorizzazioni del Garante vietassero allora la diffusione dei dati idonei a rivelare lo stato di salute dell’interessato, pur con l’eccezione rappresentata dalla fattispecie contenuta nell’articolo 24, comma 4, L. 675/1996 – tuttavia l’interessato conserva il diritto di rendere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute.

Perciò, considerata la tendenza invalsa a rendere note e conoscibili talune circostanze relative alla forma degli atleti impegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atleti a trattare i dati relativi al loro stato di salute, possono ottenere, a latere, una sorta di “delega” a rendere pubbliche talune circostanze pertinenti, in quanto rilevanti per l’interesse pubblico sotteso alle attività stesse, da individuarsi con precisione, anche con riferimento a determinate categorie di informazioni.

Il consenso manifestato dall’atleta alla società sportiva a trattare i dati sensibili che lo riguardano, e a comunicare o diffondere i dati personali, deve essere oggetto di una specifica e idonea informativa, che renda chiare le circostanze relative alla finalità e modalità del trattamento, fornendo altresì informazioni specifiche circa l’ambito di diffusione dei dati e i diritti spettanti all’interessato. Ne deriva che il solo inserimento dell’informativa nei regolamenti federali non appare perciò idoneo a consentire all’interessato di rilevare con evidenza e immediatezza le informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consenso libero e consapevole.

In particolare, il garante rispondendo ad alcuni quesiti formulati dalla federazione medico sportiva italiana oltre a ribadire la necessità di acquisire da parte delle società sportive tale consenso degli atleti per poter diffondere i loro dati comuni e sensibili, chiarisce che i dati relativi al fenomeno del doping assumono la natura di dati sensibili nel momento in cui emergono informazioni sullo stato di salute degli atleti. Infatti, secondo il garante: “i dati personali relativi a fenomeni di doping non sono espressamente considerati dalla legge nell’ambito dei dati “sensibili”, ma possono assumere tale natura quando il loro trattamento comprenda o faccia emergere informazioni riguardanti, sotto qualunque profilo, lo stato di salute degli interessati, il che può avvenire in base alle concrete modalità del trattamento o alla quantità e alla qualità delle informazioni raccolte, ovvero al loro eventuale abbinamento con altre informazioni”.

Nello stesso provvedimento, peraltro, viene in rilievo la questione sulla possibilità per le società sportive di trattare dati relativi all’idoneità alla pratica sportiva e di divulgare le informazioni relative agli infortuni che determinano la temporanea interruzione dell’attività di un atleta.

Infatti, un altro aspetto approfondito dalla casistica del garante riguarda proprio le questioni attinenti alle certificazioni di idoneità o inidoneità allo svolgimento dell’attività sportiva, agonistica e non.

La questione principale attiene alla qualificazione dei dati: in particolare, è discusso se i dati contenuti nella valutazione di idoneità o di inidoneità all’esercizio dell’attività sportiva siano da classificare come dati comuni o se invece siano riconducibili alla categoria dei dati particolari. Sul punto, si segnala la nota del 31 dicembre 1998 del garante, resa in risposta a un quesito articolato dalla Federazione medico sportiva italiana, concernente il libretto sanitario sportivo[27]. La procedura prevista era la seguente: il meccanismo documentativo per l’esercizio dell’attività sportiva a livello agonistico è previsto in generale dal D.M. 18 febbraio 1982 emanato dal Ministro della sanità. L’individuazione delle modalità per l’accertamento di tale idoneità alla pratica agonistica è demandata alle Regioni e alle Province autonome dalla circolare del Ministero della sanità 18 marzo 1996 n. 500.4/MSP/CP/643 (“Linee guida per un’organizzazione omogenea della certificazione di idoneità all´attività sportiva agonistica”), che prevede la possibilità di utilizzare per tale finalità, alternativamente, i servizi pubblici di medicina dello sport, i centri privati autorizzati e accreditati ai sensi di legge o i singoli medici specializzati in medicina dello sport. Il giudizio di idoneità deve poi trovare espressione in un’apposita certificazione da rilasciare all’atleta. Sulla base di questo quadro di riferimento normativo la consulta permanente per la medicina dello sport costituita presso il Ministero della sanità ha predisposto una bozza di modello unico di libretto sanitario sportivo, al fine di uniformarne l’uso in tutto il territorio nazionale. Tale modello di libretto, una volta adottato, verrebbe stampato a cura del CONI e distribuito a tutte le regioni che ne cureranno poi la successiva diffusione.

Nella predetta nota il Garante precisa che: “il referto di inidoneità all’esercizio dell’attività sportiva agonistica, che presuppone nell’interessato o la presenza di patologie o, comunque, la necessità di evitare potenziali rischi indotti appunto dalla pratica agonistica, assume senza dubbio la connotazione di dato sensibile”.

Viceversa: “il giudizio conclusivo di idoneità all’esercizio dell’attività sportiva agonistica, inteso come dato denotante la normalità psicofisica del soggetto, può ritenersi compreso fra i dati personali “comuni””.

Da ciò consegue peraltro che le organizzazioni sportive sono tenute a rilasciare adeguata informativa e ad acquisire il consenso espresso e circostanziato, con riguardo sia al trattamento in questione, sia alla successiva eventuale comunicazione di dati ad altri al CONI o altre singole federazioni sportive.

Un altro ambito da prendere in considerazione è quello delle valutazioni peritali medico-legali in caso di infortuni o sinistri, nel contesto delle perizie medico-legali da parte di fiduciari delle compagnie assicuratrici, ai fini della liquidazione del danno.

Si registrano fattispecie nell’ambito delle quali, a seguito di infortunio occorso nello svolgimento di un’attività sportiva dilettantistica e di conseguente apertura di un procedimento per la definizione del sinistro da parte della società di assicurazione, l’atleta infortunato ha esercitato il diritto di accesso per ottenere copia anche delle valutazioni medico-legali rese in ambito peritale.

Sul punto, si veda ad esempio il provvedimento del Garante 258 del 22 maggio 2013, reso all’esito di un procedimento nel quale l’atleta infortunato, nella qualità di interessato al trattamento dei dati personali, aveva richiesto: “di ottenere la comunicazione intelligibile dei dati personali che lo riguardano contenuti nella perizia medico-legale redatta dal medico fiduciario incaricato dalla compagnia di assicurazioni, ivi compresa la valutazione peritale espressa dal professionista che l’ha curata”[28].

Il Garante ha qui rilevato che, a fronte dell’esercizio del diritto di accesso dell’interessato e dell’ottemperanza da parte del titolare del trattamento, che forniva copia della perizia senza tuttavia la sottoscrizione del documento da parte del medico legale, sorgeva contestazione in ordine alle modalità di esecuzione del riscontro da rendere all’interessato medesimo. Lo stesso contestava che pur accedendo alle valutazioni peritali, non aveva la possibilità di riscontrare o documentare la loro “riconducibilità all’apparente estensore della perizia medico-legale”. Secondo l’autorità di controllo, però, il riscontro fornito dal titolare alle richieste formulate dall’interessato appariva del tutto adeguato, ancorché tardivamente reso nel corso del procedimento, precisando che: “l’invio di una copia sottoscritta della relazione peritale [è] profilo … non strettamente connesso con l’esercizio del diritto di accesso ai dati, che può essere correttamente riscontrato dal titolare del trattamento attraverso l’estrapolazione e la messa a disposizione dei dati, senza dover obbligatoriamente fornire una riproduzione fotostatica completa del documento che li contiene”.

[1] Regolamento 2016/679/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati) In dottrina, Zorzi Galgano (a cura di), “Persona e mercato dei dati. Riflessioni sul GDPR,” Milano, 2019; Cuffaro, D’Orazio e Ricciuto (a cura di), “I dati personali nel diritto europeo”, Torino, 2019; Finocchiaro, “La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d.lgs. 10 agosto 2018, n. 101”, Bologna, 2019; Califano e Colapietro (a cura di), “Innovazione tecnologica e persona. Il diritto alla protezione dei dati personali nel regolamento UE 2016/679”, Napoli, 2018; nonché il volume collettaneo curato da Finocchiaro, “Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali”, Bologna, 2017; Cuffaro, Di Ciommo, D’Orazio, Mantelero e Gambini, “Trattamento dei dati personali e Regolamento UE n. 2016/679”, e-book speciale di Corriere giuridico; Bernardi e Messina, “Privacy e Regolamento Europeo”, Milano, 2017; De Franceschi, “La circolazione dei dati personali tra privacy e contratto”, Napoli, 2017; Bistolfi, Bolognini e Pelino, “Il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali”, Milano, 2016; Aa.Vv., “La nuova disciplina europea della privacy”, a cura di Sica, D’Antonio e Riccio, Milano, 2016; Pizzetti, “Privacy e il diritto europeo alla protezione dei dati personali”, tomo I (“Dalla dir. 95/46 al nuovo regolamento europeo”) e tomo II (“Il regolamento europeo 2016/679”), Torino, 2016; Busia, Liguori e Pollicino (a cura di), “Le nuove frontiere della privacy nelle tecnologie digitali: bilanci e prospettive”, Roma, 2016; Tra i contributi, Thobani, “La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità”, in Eur. dir. priv., 2016, pag. 513 e ss., Stanzione, “Il regolamento europeo sulla privacy: origini e ambito di applicazione”, in Eur. dir. priv., 2016, pag. 1249 e ss.; Spina, “Alla ricerca di un modello di regolazione per l’economia dei dati. Commento al regolamento (Ue) 2016/679”, in Riv. regolaz. merc., 2016, pag. 143 e ss..; Piraino, “Il regolamento generale sulla protezione dei dati ed i diritti dell’interessato”, in NGCC, 2017, pag. 369 e ss.; Guastalla, “Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori”, in Contr. e impr., 2018, 1, pag. 106 e ss.; Resta e Zeno Zenchovich, “Volontà e consenso nella fruizione dei servizi in rete”, in Riv. trim. dir. e proc. civ., 2018, pag. 411 e ss.; Cuffaro, “Il diritto europeo sul trattamento dei dati personali,” in Contr. e impr., 2018, 3, pag. 1098 ss.; Bravo, “Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto”, in Contr. e impr., 2019, 1, pag. 34 e ss..

[2] F. Mollo, “Gli obblighi previsti in funzione di protezione dei dati personali, in Persona e mercato dei dati. Riflessioni sul GDPR”, a cura di Zorzi Galgano, Milano, 2019, pag. 255-292.

[3] Cfr. considerando 51, Regolamento 2016/679/UE.

[4] Considerando 6 GDPR.

[5] Considerando 91 GDPR.

[6] Considerando 24 e 71, GDPR.

[7] Garante per la protezione dei dati personali, Regolamento UE: le istruzioni del Garante privacy sul registro dei trattamenti, doc. web 9047529.

[8] Cfr. Blasi, “La protezione dei dati personali nella giurisprudenza della Corte Europea dei diritti dell’uomo”, in Riv. intern. dir. uomo, 1992, pag. 543.

[9] Zagrebelsky, “La giurisprudenza casistica della Corte europea dei diritti dell’uomo. Fatto e diritto alla luce dei precedenti”, in L’essenza della democrazia. I diritti umani e il ruolo dell’avvocatura, a cura di Alpa, Roma, 2010, pag. 205 e ss..

[10] Cfr. Mastroianni (et al), “Carta dei diritti fondamentali dell’Unione europea”, Milano, 2017, pag. 137.

[11] Cfr. Corte EDU, sentenza 4 dicembre 2008, S. e Marper c. Regno Unito, ric. n. 30562/04 e 30566/04, part. par. 103, in cui “La protezione dei dati personali è di fondamentale importanza ai fini dell’esercizio individuale del diritto al rispetto della vita privata e familiare come consacrato nell’art. 8 della Convenzione”. Cfr. anche, nello stesso senso, Z. c. Finlandia.

[12] § 103 della sentenza.

[13] § 119 della sentenza.

[14] § 112 della sentenza.

[15] Cfr. Corte EDU Roche c. Regno Unito, 19 ottobre 2005, nonché McGinley e Egan c. Regno Unito, 9 giugno 1998, in relazione a rischi sanitari per ragioni professionali, quali la partecipazione a test nucleari

[16] Cfr. Corte Edu 29 giugno 2006 Panteleyenko c. Ucraina.

[17] Corte EDU MS c. Svezia del 27 agosto 1997.

[18] Per un approfondimento sul ruolo e influenza della giurisprudenza della Corte di Giustizia sui contenuti del nuovo regolamento, cfr. Mantelero, “Il futuro regolamento EU sui dati personali e la valenza “politica” del caso Google: ricordare e dimenticare nella digital economy”, in Dir. inform., 2014, p. 681 – 701, nonché Finocchiaro, “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems”, in Dir. inform, 2015, 4-5, pag. 779 e ss.; nonché Pollicino, “Un digital right to privacy preso (troppo) sul serio dai giudici di Lussemburgo? Il ruolo degli artt. 7 e 8 della Carta di Nizza nel reasoning di Google Spain”, in Dir. inform., 2014, pag. 7 e ss..

[19] Cfr. Ricci, “Sulla “funzione sociale” del diritto alla protezione dei dati personali”, in Contr. Impr., 2, 2017, pag. 586-612.

[20] Cfr. Cassazione n. 10280/2015, in Foro it., Rep. 2015, voce Persona fisica, n. 91.

[21] Sicurezza del dato sanitario e condivisione – Intervento di Pasquale Stanzione, Presidente garante per la protezione dei dati personali del 18 febbraio 2022.

[22] Audizione informale del Presidente del garante per la protezione dei dati personali, Prof. P. Stanzione – Esame delle risoluzioni Loizzo n. 7-00183 e Girelli n. 7-00183, in materia di raccolta e utilizzo dei dati sanitari, 13 febbraio 2024.

[23] Provvedimento del 27 novembre 2024.

[24] Cfr. anche considerando 75 e 78 del Regolamento.

[25] Cfr. “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7, 38, 39 e 84).

[26] Garante 22 giugno 1998, in Bollettino n. 5, pag. 46.

[27] Garante per la protezione dei dati personali, nota del 31 dicembre 1998.

[28] Garante per la protezione dei dati personali, Provvedimento n. 258 del 22 maggio 2013, doc. web n. 2575227.

Si segnala che l’articolo è tratto da “Associazioni e sport”.