Dal 1° gennaio 2004 al via il nuovo “CODICE DELLA PRIVACY” (D.Lgs. n. 196/2003): gli adempimenti per gli enti sportivi dilettantistici.

La Legge n. 675/96, ovvero l’attuale disciplina normativa in materia di tutela dei dati personali, con le sue successive (e numerose) disposizioni modificative, integrative e attuative, a partire dal 1° gennaio 2004 sarà sostituita dal nuovo “Codice in materia di protezione dei dati personali”, introdotto con il D.Lgs. n. 196 del 30.06.2003 (G.U. n. 174 del 29.07.2003 S.O. n. 123/L).

Dal 1° gennaio 2004 la normativa complessa e frammentaria in materia di tutela della riservatezza dei dati personali viene “concentrata” e raccolta in un unico testo “ufficiale”, suddiviso per comodità in diverse sezioni. Nella prima sezione vengono individuate le regole generali, nella seconda il legislatore disciplina singolarmente le specifiche tipologie di trattamento, nella terza, infine, vengono disegnati gli strumenti amministrativi e giurisdizionali (ricorso al Garante e al giudice ordinario) che spettano ad ogni singolo soggetto per la tutela della propria “privacy”. In quest’ultima sezione è disciplinato altresì il regime sanzionatorio applicabile alle violazioni delle disposizioni contenute nel nuovo codice.

Il decreto n. 196/2003 si pone l’obiettivo di semplificare una materia che ha sempre sollevato, soprattutto nel settore dell’associazionismo sportivo, dubbi ed incertezze in ordine ad esempio al concetto di “dato personale”, o alla necessità effettiva di richiedere ed ottenere il c.d. “consenso informato” per effettuare le operazioni di trattamento, con particolare riferimento ad esempio all’acquisizione dei dati inerenti alla salute dei propri associati e/o utenti delle rispettive attività sportive (dati sensibili a tutti gli effetti).

Vediamo in concreto quali saranno le novità (e quali le conferme) rispetto all’attuale quadro normativo (L. 675/96 e succ. mod.) e quali, in particolare, gli adempimenti incombenti e previsti anche per gli enti sportivi dilettantistici, così come riformulati dalla novella normativa (da una prima lettura sistematica del predetto decreto appaiono mantenuti gli attuali obblighi in ordine alle attività di trattamento dei dati personali svolte dalle associazioni e società sportive dilettantistiche).

Il nuovo codice stabilisce, in primo luogo, che “chiunque – sia persona fisica sia ente collettivo – ha diritto alla protezione dei dati personali che lo riguardano” (art. 1). Una norma contenente un principio fondamentale che trova in una normativa transnazionale, la Convenzione dei diritti dell’uomo, la sua massima espressione e tutela. Con l’art. 2 quindi il nuovo Codice garantisce che ogni trattamento dei dati personali si deve svolgere nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Questa finalità individuata con chiarezza dal legislatore impone, a garanzia, della sua realizzazione, facoltà e diritti in capo a tutti i soggetti interessati (ovvero i titolari diretti dei dati personali), nonché l’adempimento di particolari obblighi a coloro che effettuano il trattamento dei dati personali (i c.d. “titolari” del trattamento).

Definizioni classificatorie nel nuovo codice: il “trattamento”, il “dato personale”, i “dati sensibili”, il “titolare” del trattamento, il soggetto “interessato”.

L’art. 4 ai fini di una migliore comprensione delle norme contenute nel D.Lgs. n. 196/2003 introduce (tale è anche l’impostazione della legge 675/96 – art. 1) un’elencazione esaustiva contenente le principali “definizioni” delle operazioni e dei soggetti che esercitano attività rilevanti e connesse alla materia della privacy. Ai fini del nuovo codice (e per l’interesse specifico rappresentato dagli enti sportivi dilettantistici destinatari delle presenti note), s’intende per:

- "trattamento": il termine si riferisce a qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. L’ampiezza definitoria permette di rinvenire anche nello svolgimento quotidiano dell’attività istituzionale degli enti sportivi dilettantistici tale tipologia di operazione (per intenderci dovrà considerarsi quindi trattamento la raccolta dei dati personali effettuata al momento della presentazione della domanda dell’aspirante socio al sodalizio sportivo; oppure l’acquisizione della certificazione medica inerente lo stato di salute del socio partecipante al corso sportivo organizzato dall’ente, dell’atleta, o di altro soggetto, il quale, per espressa disposizione normativa o regolamentazione dello stesso ente sportivo, risulta obbligato al rilascio della suddetta documentazione; oppure e ancora, la raccolta dei dati personali necessari per la stipulazione di un contratto di lavoro e per lo svolgimento di un’attività sportiva dilettantistica a favore del sodalizio, ecc.);

- "dato personale": è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione. Sono ovviamente dati personali tutti quelli lasciati ed indicati ad esempio nella predetta domanda di ammissione, oppure i dati telematici (es. casella di posta elettronica) forniti dai visitatori del sito della società sportiva per ottenere informazioni sulle attività organizzate dall’ente medesimo, ecc.;

- "dati sensibili": sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Nella pratica la richiesta di certificazioni medico-sanitarie da parte degli enti sportivi integrano l’ipotesi descritta;

- "titolare": è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. L’ente sportivo che effettua in qualsiasi modo il trattamento dei dati personali dei propri associati o terzi viene così qualificato;

- "interessato": è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Normalmente quindi il socio, l’associato, il prestatore d’opera che intrattiene rapporti professionali con l’ente sportivo, l’atleta, il dirigente e/o il tecnico ovvero tutti quei soggetti che svolgono una prestazione sportiva a carattere dilettantistico a favore del sodalizio sportivo.

Gli obblighi imposti agli enti sportivi e i diritti dei soggetti interessati.

Premessa questa elencazione semplificativa volta ad individuare le più frequenti aree di trattamento dei dati personali, effettuate dagli enti sportivi dilettantistici nell’ambito delle proprie attività istituzionali, è ora opportuno procedere a chiarire quali sono i “diritti” nonché le facoltà che il soggetto “interessato” (ovvero colui al quale, come detto, il dato stesso si riferisce ed appartiene) può vantare ed esercitare anche nei confronti delle associazioni o società sportive dilettantistiche.

Il nuovo art. 7 (“Diritto di accesso ai dati personali ed altri diritti”) attribuisce al soggetto interessato numerosi diritti, confermando quanto già previsto nell’art. 13 della legge 675/96. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Ha altresì diritto di ottenere l'indicazione dall’ente sportivo: dell'origine dei dati personali; delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; degli estremi identificativi del titolare (e di eventuali altri soggetti – c.d. responsabili e/o incaricati – delegati dall’ente stesso al trattamento e/o diffusione dei dati personali raccolti); dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. L'interessato ha inoltre diritto di ottenere: l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati. L'interessato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta, e infine al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Rispetto al contenuto dispositivo di cui alla Legge 675/96 non appaiono differenze di rilievo. Si segnala comunque l’obbligo imposto agli enti sportivi titolari del trattamento di “riscontrare” senza ritardo, collaborando in maniera efficace (art. 10 D.lgs. 196/2003), le richieste dei soggetti interessati ai sensi del citato art. 7. La richiesta consistente in un vero e proprio esercizio di un diritto di accesso potrà essere effettuata senza particolari formalità, anche attraverso un soggetto delegato dallo stesso “interessato”. Gli enti sportivi, dotandosi di un’adeguata organizzazione interna, dovranno agevolare l’accesso ai dati personali da parte dei soggetti interessati e dovranno altresì semplificare le modalità e ridurre i tempi per il riscontro al richiedente socio o non socio.

Viene confermato l’obbligo dell’invio dell’informativa, scritta od orale, da parte dell’ente sportivo al soggetto interessato (art. 13 del nuovo codice in sostituzione dell’abrogato art. 10 L. 675/96). L'interessato dovrà essere previamente informato circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; i diritti di cui all'articolo 7; gli estremi identificativi del titolare.

Attraverso l’informativa come è noto, l’interessato può esercitare un controllo diretto sull’operato del soggetto che effettua il trattamento dei suoi dati. L’informativa deve essere rilasciata al momento della raccolta dei dati personali e costituisce una condizione di validità del consenso successivamente prestato dall’interessato (vedremo che trattasi del consenso necessario per autorizzare il trattamento) e comunque una condizione necessaria per l’esercizio da parte di quest’ultimo dei diritti di cui al citato art. 7.

Continuiamo nell’analisi degli obblighi che incombono agli enti sportivi che effettuano il trattamento di dati personali.

Art. 11 D.Lgs. n. 196/2003: i dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza; devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; devono essere raccolti in modo esatto e, se necessario, aggiornati; dovranno essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Art. 15 D.lgs. 196/2003: l’ente sportivo titolare del trattamento potrà rispondere dei danni cagionati per effetto del trattamento e tenuto al conseguente risarcimento ai sensi dell'articolo 2050 del codice civile. Il soggetto interessato (socio o non socio) che ritenga di essere stato leso a seguito dell’attività di trattamento (es. l’associazione ha comunicato i suoi dati a terzi senza il suo preventivo consenso) dei dati personali che lo riguardano, potrà ottenere il risarcimento dei danni senza dover provare la colpa dell’associazione stessa che ha trattato i suoi dati (dovrà esclusivamente provare il danno e il nesso di causalità tra il trattamento effettuato dall’associazione e il danno ritenuto tale e lamentato). In capo all’ente sportivo si configura la figura particolare della responsabilità per attività pericolosa (già presente nella legge 675/96) che pone in capo a quest’ultimo l’onere probatorio volto a dimostrare la sua personale assenza di colpa, dimostrando appunto di aver adottato tutte quelle misure idonee ad evitare il danno lamentato (e quindi l’ente sportivo dovrà dimostrare di aver adempiuto, quanto meno, agli obblighi sopra descritti ed imposti ai titolari del trattamento).

Art. 16 D.lgs. 196/2003: in caso di cessazione, per qualsiasi causa, di un trattamento i dati personali dovranno essere distrutti; ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione.

Art. 23 D.lgs. 196/2003: la norma impone agli enti sportivi l’acquisizione preventiva del consenso per effettuare il trattamento dei dati personali riferibili sia ai soci sia ai soggetti terzi. Il trattamento di dati personali è ammesso difatti solo con il consenso espresso dell'interessato. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto (da una lettura attenta della norma si evince tuttavia che il legislatore ha inteso imporre la forma scritta per il consenso in ordine al trattamento esclusivo dei dati sensibili e non invece per il trattamento dei dati comuni. Per quest’ultimi infatti l’art. 23, comma 3, D.lgs. 196/2003 precisa solamente che il consenso deve essere “documentato per iscritto”. Questa prescrizione sembra rispondere ad una ratio legislativa diversa. Nel primo caso infatti il consenso scritto costituisce condizione necessaria per effettuare il trattamento dei dati, in assenza di questo presupposto tale attività non è legittima; nel secondo caso invece la forma scritta del consenso dell’interessato acquisisce valore solo ai fini probatori in caso di accertamento di responsabilità in capo al titolare del trattamento. Da questo punto di vista quindi l’ente sportivo sarà libero di non acquisire, per quest’ultima tipologia di dati (dati comuni), una forma scritta del consenso, poiché la legge, per quanto detto, non la impone), e se sono state rese all'interessato le informazioni di cui all'articolo 13 (l’informativa quindi può essere anche orale, il soggetto che concede e comunica dati personali all’ente sportivo deve esprimere il suo consenso unicamente per forma scritta). Addirittura il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili (es. dati inerenti lo stato di salute).

Art. 31 D.Lgs. 196/2003: la norma impone a chiunque effettui un’attività di trattamento dei dati personali un generale obbligo di sicurezza, con conseguente custodia e controllo, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, dei dati personali in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 26 D.lgs. 196/2003: l’articolo disciplina il sistema di garanzie per il trattamento di dati sensibili. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere anche misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare. I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Così come previsto dalla legge 675/96 (art. 22), anche il nuovo codice prevede l’obbligo per gli enti sportivi che effettuano il trattamento di dati sensibili (le predette certificazioni medico-sanitarie), di richiedere un’autorizzazione al Garante (art. 41 decreto 196/2003). Il Garante emette un provvedimento teso a valutare esclusivamente che il trattamento in questione non comporti particolari rischi di danno o di pericolo per i diritti, le libertà fondamentali e la dignità dei soggetti interessati.

Il nuovo art. 41 del decreto prevede tuttavia un importante “salvagente” per questi enti (e in generale per tutti coloro che “trattano” dati sensibili). Nel caso infatti ci si trovi in una delle situazioni già previste e acconsentite nelle autorizzazioni generali emanate dal Garante, l’ente sportivo “titolare” non sarà tenuto presentare specifica richiesta di autorizzazione al Garante stesso (art. 41, comma 1, D.lgs. 196/2003). Si deve quindi segnalare che il Garante in data 31.01.2002 ha emanato un provvedimento di autorizzazione generale (n. 2/2002), valevole fino al 30.6.2004 (per effetto di una proroga concessa per la gestione della fase transitoria inerente al passaggio dalla Legge 675/96 al Decreto 196/2003), con il quale si autorizzano al trattamento dei dati sensibili, tra gli altri soggetti, le persone fisiche e giuridiche, gli enti, le associazioni e gli altri organismi che gestiscono impianti o strutture sportive, limitatamente ai dati e alle operazioni indispensabili per accertare l’idoneità fisica alla partecipazione ad attività sportive o agonistiche.

Tale provvedimento elimina, almeno fino alla data indicata del 30.6.2004 (è tuttavia verosimile ritenere che il provvedimento venga ulteriormente modificato dopo l’adeguamento normativo), l’obbligo generalizzato imposto ai titolari che effettuano il trattamento di dati sensibili, e tra questi quindi anche i sodalizi sportivi dilettantistici.

La tutela avanti al Garante e la tutela giurisdizionale: strumenti di difesa per il soggetto “interessato”.

Gli strumenti di tutela a disposizione del soggetto cui si riferiscono i dati oggetto del trattamento (si ricordi che “interessato” non è solo la persona fisica ma può essere anche una persona giuridica e quindi l’ente sportivo, i cui dati sono sottoposti a trattamento da terzi) sono diversi. Sinteticamente e sommariamente si elencano di seguito.

Davanti al Garante l’interessato potrà proporre:

- un reclamo al fine di rappresentare una qualsiasi violazione in materia di trattamento di dati personali;
- una segnalazione di eventuali violazioni della disciplina in materia di privacy;
- il ricorso amministrativo per denunciare la violazione delle norme contenute nel nuovo codice della privacy e in particolar modo per ottenere tutela in ordine ai diritti di cui all’art. 7 D.lgs. 196/2003.

Mentre davanti al giudice ordinario (tribunale in composizione monocratica) il soggetto danneggiato potrà esperire un ricorso avente ad oggetto in via principale la disapplicazione delle disposizioni del codice, ma altresì l’impugnativa dei provvedimenti emessi dal Garante stesso, se ed in quanto sfavorevoli.

Il ricorso al Garante e il ricorso all’autorità giudiziaria sono tra loro alternativi, la scelta quindi è lasciata al soggetto interessato.