Privacy nelle palestre: un vademecum pratico

Scarica PDF Stampa

I dati personali sono elementi caratteristici dell’identità personale di ogni individuo. Sono, in sostanza, veri e propri “frammenti di personalità” e “pezzi di vita” delle persone.
In tale quadro, . È quindi necessario che queste organizzazioni non solo si focalizzino sullo sviluppo fisico ma si impegnino, con la stessa serietà, nella tutela delle informazioni personali, rispecchiando un impegno complessivo per il benessere completo dei loro clienti.
Peraltro, comprendere e applicare rigorosamente la normativa unionale e nazionale sulla protezione dei dati personali è certamente un obbligo legale ma può anche trasformarsi in un notevole vantaggio competitivo, poiché una palestra “privacy friendly” attrae certamente più clienti.
Vediamo allora una serie di adempimenti essenziali da porre in essere, precisando che non può e non deve essere intesa come “serie completa”, per ottenere la quale è, invece, necessaria una contestualizzazione della progettazione dei trattamenti, che andrebbe realizzata tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità degli stessi trattamenti, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Per approfondimenti sulla privacy consigliamo Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici

Indice

1. La teoria

1.1. I ruoli privacy dei players


Le palestre sono generalmente gestite da persone giuridiche che hanno la natura di società (talvolta sono gestite da associazioni). In tale veste determinano finalità e mezzi dei trattamenti di dati personali, assumendo, così, il ruolo privacy di “titolare del trattamento”.
Al titolare del trattamento il Considerando 74 del Regolamento UE 2016/679 (c.d. GDPR: General Data Protection Regulation) attribuisce la responsabilità generale di tutti i trattamenti eseguiti:

  • sia direttamente, tramite i propri dipendenti (personale amministrativo ed istruttori) che assumono il ruolo di “autorizzati al trattamento”
  • sia tramite soggetti esterni all’organizzazione che assumono il ruolo privacy di “responsabile del trattamento”.

Il Considerando 78 del GDPR fornisce precise indicazioni su come gestire questa responsabilità generale, stabilendo che il titolare del trattamento deve adottare politiche interne e attuare misure che soddisfino in particolare i principi di privacy by design e di accountability.
In termini semplici, bisogna:

  • predisporre misure organizzative che garantiscano che tutte le attività che comportano il trattamento di informazioni personali siano allineate ad alcuni principi chiave (che fra poco esamineremo nel dettaglio). Questo allineamento va assicurato fin dalla progettazione delle stesse misure (by design, appunto);
  • documentare le misure organizzative predisposte al fine di dimostrare all’Autorità Garante di avere responsabilmente rispettato i citati principi chiave (questo è il principio di accountability).

Esaminiamo ora i principi ai quali bisogna allineare tutte le attività di trattamento di dati personali svolte dagli operatori delle palestre.

1.2. I principi chiave da rispettare “by design”


Tutti i trattamenti di dati personali eseguiti dagli operatori delle palestre devono essere pienamente rispettosi dei principi fissati dall’art. 5 del GDPR che sono declinati nella tabella seguente.

PrincipioModalità di implementazione
LiceitàOgni trattamento di dati personali deve risultare necessario per realizzare una delle 6 condizioni poste dall’art. 6 del GDPR che costituiscono le basi giuridiche (consenso, contratto, obbligo legale, salvaguardia di interessi vitali dell’interessato o di un’altra persona, compito di interesse pubblico o connesso all’esercizio di pubblici poteri, legittimo interesse del titolare o di terzi).
CorrettezzaI dati personali necessari a realizzare le finalità del trattamento dovranno essere trattati in modo che non sia discriminatorio nè imprevisto o fuorviante per gli interessati.
TrasparenzaPrima di iniziare il trattamento bisogna fornire all’interessato un’informativa su chi, perché, come, per quanto tempo tratta i suoi dati e su come egli può esercitare i suoi diritti.
Limitazione della finalitàOgni trattamento di dati personali deve necessariamente avere il suo punto di inizio nella determinazione e specificazione della finalità. Ciascuna finalità va estrapolata dall’oggetto sociale della società che gestisce la palestra.
Minimizzazione dei datiI dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
Per cui bisogna riconoscere la necessità di trattare ben determinati dati personali per realizzare la finalità già definita.
EsattezzaBisogna trattare solo dati esatti e, se necessario, aggiornati. devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
Limitazione della conservazioneBisogna definire e specificare l’arco di tempo in cui i dati saranno conservati che non deve superare il periodo di tempo necessario a conseguire la finalità specifica.
Integrità e riservatezzaBisogna eseguire il trattamento in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Per approfondimenti sulla privacy e la sua teoria consigliamo Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici

FORMATO CARTACEO + ILIBRO

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | Maggioli Editore 2021

2. La pratica

2.1. Il censimento e la registrazione dei dati personali che vengono trattati


In genere nell’ambito delle palestre vengono raccolte e trattate informazioni che possono essere utilizzate per identificare un individuo, come nome, indirizzo, email, numeri di telefono, oltre a dati particolari e “sensibili” come quelli relativi allo stato di salute.
Occorre quindi:

  • censire tutti i dati, sia dei dipendenti che dei clienti,
  • aggregare i dati censiti “per trattamento” o meglio “per “processo”” facendo riferimento alla specifica finalità. Si realizza così una “mappatura dei trattamenti”;
  • annotare i dati censiti sul “registro delle attività di trattamento” previsto dall’art. 30 del GDPR che deve contenere i dati del soggetto giuridico che gestisce la palestra (titolare del trattamento), le finalità del trattamento; una descrizione delle categorie di interessati (dipendenti o clienti) e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, i termini ultimi previsti per la cancellazione delle diverse categorie di dati nonché  una descrizione generale delle misure per tenere in sicurezza i dati.

2.2. La gestione degli asset


I dati personali all’interno delle palestre vengono, in genere, trattati attraverso l’uso di dispositivi e software. Occorre quindi fare un inventario, da tenere sempre aggiornato, dei sistemi, dei dispositivi, dei software e delle applicazioni informatiche utilizzate all’interno della palestra.
Ci si dovrebbe, inoltre, avvalere solo dei servizi web offerti da terze parti (social network, cloud computing, posta elettronica) che siano strettamente necessari.
Bisogna prevedere che ad ogni dispositivo o sistema sia autorizzato ad accedere esclusivamente il personale dipendente che ne ha necessità o ne ha la competenza e che deve essere adeguatamente sensibilizzato e formato.
La configurazione iniziale di tutti dispositivi e di tutti i sistemi deve essere eseguita solo da personale competente e le prime credenziali di accesso devono sempre essere sostituite dagli utilizzatori.

2.3. L’attribuzione di ruoli e responsabilità


Tutti i dipendenti (personale amministrativo ed istruttori) rivestono un doppio ruolo:

  • quello di “interessati” cioè di persone i cui dati personali vengono trattati, in quanto parti del rapporto di lavoro;
  • di “autorizzati al trattamento” quali organi operanti nel perimetro organizzativo del titolare del trattamento.

In questa ultima veste, devono essere istruiti, formati e designati formalmente.
Ogni dipendente deve, quindi, ricevere una lettera personale di designazione quale “autorizzato al trattamento”. All’interno di questa lettera vanno precisati i dati personali che devono essere trattati. Vanno indicati solo i dati strettamente necessari per lo svolgimento dell’attività lavorativa. Così, ad esempio, un istruttore può avere necessità di conoscere il nominativo di un cliente ma, probabilmente, non ha necessità di conoscere la sua residenza.
Determinati dipendenti dovranno ricevere una formazione ed un’autorizzazione specifiche per il trattamento di categorie particolari di dati personali, quali quelli relativi allo stato di salute dei clienti e dei dipendenti. Per il trattamento di tali dati particolari, infatti è necessario prevedere un “accesso selettivo”.
Infine, è consigliabile nominare un “referente privacy” che sia responsabile del coordinamento di tutte le attività di trattamento di dati personali all’interno della palestra, magari da avviare a corsi di formazione specialistici.

Potrebbero interessarti anche:

2.4. Predisposizione di procedure


Le palestre dovrebbero anche dotarsi di procedure chiare per gestire:

  • l’esercizio dei diritti dei clienti e dei dipendenti, ai quali, nella loro veste di interessati, il GDPR riconosce una gamma di diritti come il diritto di accesso ai propri dati personali, il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione del trattamento e il diritto di opposizione al trattamento;
  • eventuali violazioni dei dati personali (c.d. data breach), inclusa la notifica tempestiva all’Autorità Garante e, se necessario, agli interessati.

2.5. Il trattamento dei dati relativi alla salute


È noto che le palestre richiedono a tutti i clienti una certificazione medica che, per la verità, non sempre è obbligatorio consegnare.
L’attività fisica svolta all’interno delle palestre può essere agonistica, non agonistica e amatoriale.
In genere i clienti delle palestre si iscrivono per svolgere l’attività di tipo amatoriale.
Il D.M. 24 aprile 2013, all’art. 2 definisce come amatoriale l’attività ludico-motoria, praticata da soggetti “non tesserati” alle Federazioni sportive nazionali e istituzioni assimilate, che sia:

  • non occasionale,
  • finalizzata al raggiungimento e mantenimento del benessere psico-fisico della persona,
  • non regolamentata da organismi sportivi.

Coloro che praticano attività ludico-motoria in contesti organizzati e autorizzati all’esercizio nel rispetto delle disposizioni normative vigenti devono sottoporsi a controlli medici periodici e, all’atto dell’iscrizione o avvio delle attività, devono esibire il relativo certificato medico all’incaricato della palestra presso cui si svolge l’attività ludico- motoria. La palestra è tenuta a conservare in copia tale certificato, presso la propria sede, fino alla data di validità o fino alla cessazione dell’attività stessa.
Attenzione: non sono tenuti all’obbligo della certificazione:

  • coloro che effettuano l’attività ludico-motoria in forma autonoma e al di fuori di un contesto organizzato ed autorizzato;
  • chi svolge, anche in contesti autorizzati e organizzati, attività motoria occasionale, effettuata a scopo prevalentemente ricreativo e in modo saltuario e non ripetitivo;
  • i praticanti di alcune attività ludico-motorie con ridotto impegno cardiovascolare, quali bocce (escluse bocce in volo), biliardo, golf, pesca sportiva di superficie, caccia sportiva, sport di tiro, ginnastica per anziani, “gruppi cammino” e attività assimilabili nonché i praticanti di attività prevalentemente ricreative, quali ballo, giochi da tavolo e attività assimilabili.

In tale quadro, per lo svolgimento di attività amatoriale, le palestre devono ricevere e conservare copia della certificazione medica ma non devono chiedere il consenso del cliente, poiché la base giuridica che giustifica il trattamento è il citato obbligo legale.
Qualora invece la palestra, per esigenze assicurative, richieda di esibire il certificato medico ai clienti che eseguano un tipo di attività amatoriale che risulta esente dall’obbligo di certificazione, sarà necessario acquisire dal cliente un consenso esplicito ben documentato e preceduto da un’adeguata informativa.
Ovviamente, i certificati medici possono essere trattati esclusivamente dal personale dipendente specificamente istruito ed autorizzato (è il c.d. “accesso selettivo”).

2.6. La diffusione di fotografie di clienti su siti web e social network


Le palestre gestiscono generalmente anche siti web e profili su social network ove vengono pubblicati filmati e fotografie di clienti che svolgono attività sportiva.
Tale forma di diffusione costituisce un trattamento di dati personali che necessita di un’adeguata informativa e di uno specifico consenso.
Attenzione: non è possibile richiedere il consenso una sola volta, magari all’atto della firma del contratto. Occorre raccogliere il consenso per ogni pubblicazione di foto o filmati che costituiscono, ciascuno, un autonomo trattamento.
In caso di revoca del consenso da parte di un cliente sussiste l’obbligo di oscurare la sua immagine o, in alternativa, di cancellare la foto o il filmato che lo ritraggono.
Qualora sia necessario condividere i dati dei dipendenti o dei clienti con soggetti esterni al perimetro della palestra (come fornitori di servizi o consulenti), in applicazione dell’art. 28 del GDPR, le palestre devono predisporre un contratto o un altro atto giuridico attraverso il quale detti soggetti vengano nominati “responsabili del trattamento”.

2.7. La videosorveglianza all’interno delle palestre


È bene chiarire che non è possibile installare telecamere negli spogliatoi, nei bagni e nei luoghi in cui si svolgono le attività sportive.
Attenzione: eseguire una videosorveglianza di tali luoghi può esporre anche a pesanti responsabilità, anche di rilevanza penale.
Invero, la videosorveglianza all’interno delle palestre può essere implementata per la sicurezza della struttura a condizione che:

  • sia necessaria;
  • non vi sia possibilità di controllare a distanza l’attività dei lavoratori dipendenti (personale amministrativo ed istruttori).

Se il sistema di videosorveglianza installato consente invece di controllare a distanza i dipendenti, il relativo utilizzo:

  • può aver luogo esclusivamente per esigenze per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • deve essere preceduto da un accordo sindacale o da una specifica autorizzazione rilasciata dall’Ispettorato Nazionale del Lavoro.

3. Conclusione


In conclusione, si può affermare che il rispetto delle normative sulla protezione dei dati non è solo una questione di rilevanza giuridica ma anche un impegno etico che rafforza la fiducia dei clienti e promuove un ambiente più sicuro e accogliente.
Chi gestisce una palestra dovrebbe acquisire consapevolezza che la privacy non è solo un cartello alla porta di ingresso né un modulo compilato alla leggera ma una specifica modalità di erogazione del servizio.
Va aggiunto che per le palestre, investire nella privacy non è solo una necessità, ma un vantaggio competitivo che distingue le organizzazioni consapevoli da quelle che trattano la privacy come un mero adempimento burocratico.
Per tutti questi motivi, i gestori delle palestre non dovrebbero sottovalutare il potere di un approccio informato e rispettoso verso i dati personali perché anche su questo si costruisce il successo duraturo nel settore del fitness.

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento