Le responsabilità e gli adempimenti in materia di trattamento dei dati personali connesse a modelli organizzativi “sportivi” e Codici di condotta

Negli ultimi anni la normativa in materia di trattamento dei dati personali è stata oggetto di un’importante Riforma

Nel 2018 è, infatti, diventato, esecutivo il Regolamento 2016/679/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (c.d. GDPR). Il Regolamento rappresenta il cardine della legislazione di riferimento in materia di protezione e trattamento dei dati personali, unitamente, a livello nazionale, al D.Lgs. 196/2003, recante il Codice in materia di protezione dei dati personali (c.d. Codice privacy), e al D.Lgs. 101/2018, con il quale si è provveduto ad armonizzare la legislazione nazionale vigente rispetto al Regolamento europeo in menzione.

Con specifico riferimento a quanto qui di interesse, in particolare in relazione all’applicabilità della normativa sopra richiamata in ambito sportivo, occorre preliminarmente precisare che, sebbene il mondo sportivo goda da sempre di agevolazioni e semplificazioni sotto vari profili, la disciplina sulla protezione e il trattamento dei dati personali in menzione è da sempre interamente applicabile al mondo sportivo e non sono previste deroghe o eccezioni. D’altronde, posto che le norme contenute nel Regolamento europeo sono giuridicamente vincolanti e immediatamente applicabili nei Paesi membri, appare evidente come nessun provvedimento legislativo a livello nazionale possa introdurre previsioni in contrasto con tali disposizioni e, ancor meno, deroghe o eccezioni non consentite.

Dal 2019 anche il mondo dello sport è stato interessato da una Riforma, una Riforma epocale, che ha innovato profondamente il quadro normativo di riferimento per il settore sportivo, senza tralasciare nessun aspetto di rilievo. Iniziata con la L. 86/2019, la Riforma dello sport si è poi articolata in diversi Decreti attuativi e correttivi; tra gli obiettivi primari previsti dalla Legge, vi erano il riordino e la semplificazione delle disposizioni in materia di ordinamento sportivo.

In conformità a quanto finora esposto, sebbene neppure la Riforma dello sport abbia potuto introdurre eccezioni o deroghe con riferimento agli obblighi in materia di privacy, le disposizioni introdotte con i Decreti attuativi hanno posto l’attenzione su molteplici aspetti, evidenziando soprattutto i profili della specialità delle norme, determinando importanti conseguenze anche sotto il profilo del trattamento dei dati personali.

Entrando nel dettaglio, il primo importante intervento si rileva con riferimento alle norme concernenti il lavoro sportivo e alla necessità di un adeguamento delle disposizioni inerenti al trattamento dei dati dei lavoratori in generale rispetto a quelle concernenti la figura del lavoratore sportivo. A tal proposito, il D.Lgs. 36/2021 ha, infatti, appositamente previsto che: “norme più specifiche sulla protezione dei dati personali dei lavoratori sportivi sono previste con accordo collettivo stipulato dalla Federazione Sportiva Nazionale, dalle Discipline Sportive Associate, dagli Enti di Promozione Sportiva e dai rappresentanti delle categorie di lavoratori sportivi interessate”.

Tale Decreto ribadisce, quindi, da un lato la piena applicabilità della disciplina concernente il trattamento dei dati personali e sottolinea, dall’altro, la necessità di provvedere a “norme più specifiche”, in questo caso con preciso riferimento alla disciplina introdotta relativamente al lavoro sportivo.

Le altre disposizioni introdotte dalla Riforma dello sport che hanno determinato un importante impatto in relazione al trattamento dei dati personali sono quelle concernenti le misure previste per il contrasto alla violenza di genere nello sport, di cui al D.Lgs. 39/2021, e quelle per la salute e sicurezza dei minori, di cui al D.Lgs. 36/2021.

Nel primo caso l’articolo 16, D.Lgs. 39/2021 ha individuato misure di prevenzione e contrasto alla violenza di genere nello sport, introducendo l’obbligo per le associazioni e società sportive di adottare dei modelli organizzativi e di controllo dell’attività sportiva, nonché dei Codici di condotta, conformi alle Linee guida emanate, a tal fine, dalle FSN, Discipline sportive associate, enti di promozione sportiva e associazioni benemerite di riferimento.

Per quanto concerne, invece, la figura del responsabile, con l’articolo 33, D.Lgs. 36/2021 era stata prevista l’introduzione di: “disposizioni specifiche a tutela della salute e della sicurezza dei minori che svolgono attività sportiva, inclusi appositi adempimenti e obblighi, anche informativi, da parte delle società e associazioni sportive, tra cui la designazione di un responsabile della protezione dei minori, allo scopo, tra l’altro, della lotta ad ogni tipo di abuso e di violenza su di essi e della protezione dell’integrità fisica e morale dei giovani sportivi”.

Successivamente, il Coni, con la delibera n. 255/2023, ha previsto l’obbligo per le associazioni e società sportive di nominare: “un Responsabile contro abusi, violenze e discriminazioni, con lo scopo di prevenire e contrastare ogni tipo di abuso, violenza e discriminazione sui tesserati nonché per garantire la protezione dell’integrità fisica e morale degli sportivi, anche ai sensi dell’art. 33, comma 6, del D.Lgs. 36/2021”.

Le 2 figure, il responsabile della protezione dei minori da un lato e il responsabile contro abusi, violenze e discriminazioni dall’altro, potranno anche coincidere, conferendo entrambi gli incarichi al medesimo soggetto che dovrà avere, conseguentemente, competenze idonee ad assolvere a entrambe le funzioni.

Misure analoghe a quelle sopra riportate sono state previste anche per le FSN, Discipline sportive associate, enti di promozione sportiva e associazioni benemerite.

Sebbene le disposizioni appena richiamate non contengano precise indicazioni concernenti gli aspetti legati al trattamento e alla protezione dei dati personali, l’introduzione delle misure ivi previste, ovvero l’adozione dei modelli e dei Codici di condotta e la nomina del/dei responsabile/i da parte degli organismi sportivi, avrà indubbiamente un notevole impatto in tal senso.

Per fare fronte agli obblighi introdotti dalla normativa richiamata e dalle disposizioni del Coni, infatti, gli organismi sportivi dovranno, innanzitutto, provvedere a una analisi dei fattori di rischio presenti al fine di individuare le misure di prevenzione e contrasto da adottare in relazione ad abusi, violenze e discriminazioni e, tra le misure previste a tal fine, molte avranno un notevole impatto in relazione al trattamento dei dati personali.

A titolo di esempio si segnala la previsione, nei Modelli, dell’obbligo di raccolta del certificato del casellario giudiziale ai sensi dell’articolo 25-bis, D.P.R. 313/2002. La previsione legislativa concerne l’obbligo di richiedere tale certificato: “per il soggetto che intenda impiegare al lavoro una persona per lo svolgimento di attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori, al fine di verificare l’esistenza di condanne per taluno dei reati di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quinquies e 609-undecies del codice penale, ovvero l’irrogazione di sanzioni interdittive all’esercizio di attività che comportino contatti diretti e regolari con minori.”

Nell’individuare le misure di prevenzione e contrasto alla violenza di genere da adottare al fine di adempiere agli obblighi sopra citati, l’adozione del certificato sopra indicato anche in situazioni ulteriori rispetto a quelle previste dalla normativa in menzione rappresenta uno degli strumenti maggiormente utilizzati, determinando “l’effetto collaterale” di una maggiore mole di dati personali, concernente anche dati giudiziari, raccolti dagli organismi sportivi e relativamente ai quali occorrerà adottare adeguate misure di protezione.

Un altro esempio del notevole impatto che le disposizioni richiamate avranno in termini di adempimenti privacy concerne la gestione delle segnalazioni di abusi, violenze e discriminazioni. I modelli dovranno prevedere indicazioni circa i contenuti e le modalità di gestione delle segnalazioni. Tale attività dovrà essere affidata al responsabile menzionato in precedenza (che potrà anche avere funzione sia di responsabile della protezione dei minori sia di responsabile contro abusi, violenze e discriminazioni), dovrà essere gestita nel rispetto delle modalità previste dai modelli e le informazioni potranno essere trasmesse all’organismo di affiliazione e alla procura ordinaria, a seconda delle circostanze. Appare evidente come, anche in questo caso, il corretto adempimento degli obblighi di legge sopra descritto non potrà prescindere da un’attenta analisi dei rischi inerenti il trattamento dei dati e dall’adozione di idonee misure a garantire il rispetto delle norme in materia di protezione dei dati personali, tenuto anche conto che i dati trattati per l’assolvimento di tale funzione potranno anche ricadere nelle categorie “particolari” di dati personali (ad esempio, dati relativi a salute, vita sessuale, origine razziale etc.), per le quali il Regolamento europeo prevede una maggior tutela, e che tali dati potranno essere anche trasferiti all’esterno del perimetro sociale (ad esempio, ai responsabili federali o alle procure ordinarie).

La gestione dei canali individuati per le segnalazioni, così come le procedure adottate, dovranno essere, quindi, attenzionate dai consulenti e dai responsabili per la protezione dei dati (c.d. D.P.O.), ove nominati, degli organismi sportivi, al fine di garantire il rispetto del Regolamento UE/2016/679 (c.d. GDPR) e della normativa di settore.

A tal proposito almeno una riflessione meritano le disposizioni emanate in materia di whistleblowing. Sebbene non direttamente applicabili alla gestione delle segnalazioni in tema di abusi, violenze e discriminazioni, stante alcune affinità tra le segnalazioni in menzione, si rileva come in materia di whistleblowing, al fine di introdurre misure di prevenzione e protezione in relazione alle criticità evidenziatesi sia in relazione alla tutela dei “segnalatori” sia alla gestione dei dati raccolti in seguito alle segnalazioni, siano state previste specifiche misure, tra le quali l’adozione di strumenti di crittografia, la durata dei tempi di conservazione e l’informativa.

Altri adempimenti che determineranno sicuramente un impatto dal punto di vista del rispetto della normativa privacy sono quelli concernenti le misure adottate dagli organismi sportivi in relazione all’utilizzo delle immagini, soprattutto con riferimento alle misure di protezione adottate per i minori, o ancora le misure introdotte con riferimento all’uso dei social network o di altri canali di comunicazione, che dovranno essere oggetto di nuova valutazione da parte degli organismi sportivi, anche in relazione alle finalità previste dai modelli organizzativi e dai codici di condotta.

Alla luce di quanto finora riportato, appare, quindi, evidente come, sebbene la Riforma dello sport non abbia introdotto nuovi obblighi diretti in materia di trattamento dei dati personali, il rispetto, da parte degli organismi sportivi, delle previsioni introdotte dal D.Lgs. 36/2021, dal D.Lgs. 39/2021 e dal Coni genererà una maggiore e diversa mole di dati da trattare, anche appartenenti alle categorie dei dati particolari, e, pertanto, determinerà, in maniera indiretta, la necessità di una maggiore attenzione e attività da parte degli organismi sportivi al fine di porre in essere tutte le misure necessarie a operare nel rispetto della normativa vigente in materia di trattamento dei dati personali e non incorrere nel rischio di pesanti sanzioni.