Sport e GDPR. Il trattamento in sicurezza dei dati personali in ambito sportivo
(di Alessandro Vasta – Partner, Tonucci & Partners e Nicola Sandon – Associate, Tonucci & Partners)
Trattamento sistematico di dati sanitari, rapporto con soggetti vulnerabili, impiego massiccio di nuove tecnologie e processi decisionali automatizzati: sono molteplici i fattori che rendono la compliance in materia di protezione dei dati personali una vera e propria sfida per gli operatori del settore sportivo, con rischi crescenti in considerazione della complessità organizzativa della singola realtà.
Sono trascorsi ormai tre anni dall’entrata in vigore del Regolamento (UE) 2016/679 (il “GDPR”), e ancora oggi il mondo sportivo spesso fatica ad affrontare in maniera strutturata le sfide che la vigente normativa pone in materia di protezione dei dati personali.
Complice il fatto – bisogna riconoscerlo – che le particolarità che caratterizzano il trattamento dei dati personali in ambito sportivo sono molteplici e pongono sugli operatori coinvolti una serie di oneri di non semplice soluzione, sia da un punto di vista tecnico-organizzativo che meramente economico.
Le specifiche complessità del settore sportivo riguardano senz’altro il trattamento dei dati degli atleti, sempre più intensivo – ed invasivo – grazie anche all’impiego sistematico di tecnologie innovative, che si inserisce nell’ambito del rapidissimo processo di digitalizzazione che sta caratterizzando questo decennio. Se infatti la situazione di partenza appare già piuttosto intricata da un punto di vista di regolamentazione, in considerazione del fatto che la gestione degli sportivi passa forzatamente per il regolare trattamento di dati particolarmente sensibili (quali quelli sanitari ad es. per la gestione degli infortuni o in adempimento alla normativa anti-doping), spesso riferibili a categorie di soggetti considerati particolarmente “vulnerabili” dalla normativa, come minori d’età e lavoratori subordinati, l’impiego di sensori IoT (si pensi a quelli ora inseriti in palle da tennis scarpini da calcio e sci) e sistemi di telecamere sempre più evoluti, in combinazione con tecniche analitico-predittive basate su sistemi di machine learning e/o big data analytics contribuiscono senza dubbio a complicare ulteriormente il quadro normativo applicabile. A ciò si sommano le criticità legate alla corretta regolamentazione di enormi banche dati createsi nel tempo grazie alla sedimentazione ed accumulo delle più svariate informazioni relative ad atleti presenti e passati, che spesso non hanno più nemmeno un rapporto con la singola realtà sportiva.
Se da un lato non vi è dubbio che il monitoraggio e la profilazione degli atleti, soprattutto se effettuati mediante strumenti tecnologici di nuova generazione, siano in grado di comportare rilevanti vantaggi e benefici da un punto di vista della qualità della prestazione sportiva, grazie alla raccolta e successiva analisi dei dati raccolti per le finalità più varie, quali la personalizzazione dell’allenamento e della dieta, la valutazione delle performance, il monitoraggio delle condizioni di salute e la prevenzione degli infortuni, nonché l’elaborazione di nuove tattiche e strategie e il perfezionamento della fase di scouting, dall’altro deve essere parimenti chiaro che tali trattamenti richiedono una delicata valutazione sotto il profilo della riservatezza della protezione dei dati personali, nonché l’attuazione di molteplici adempimenti che consentano di collocarli all’interno dei confini tracciati dal GDPR, soprattutto per quanto riguarda il rispetto dei principi di liceità, trasparenza, esattezza e data retention. L’implementazione di un efficace sistema organizzativo che assegni ruoli congrui alle persone preposte al trattamento dei dati, la nomina di un data protection officer, la regolare tenuta di un registro delle attività di trattamento, l’esecuzione di apposite valutazioni d’impatto nei confronti dei trattamenti a rischio, la puntuale applicazione dei principi di privacy by design e by default sono solo alcuni degli esempi che è possibile menzionare.
Ove ciò non avvenga, è importante che i dirigenti comprendano che i rischi per gli operatori sono tutt’altro che irrisori. E, sia chiaro, non si fa riferimento unicamente alla potenziale elevazione di sanzioni da parte del Garante privacy (già di per sé potenzialmente in grado di mettere in seria difficoltà il bilancio di società sportive meno solide e strutturate), ma anche alle conseguenze negative in termini di immagine che potrebbero derivare da una gestione non oculata degli adempimenti in materia di data protection. Fantasia? Esagerazione? Si provi a pensare ad un attacco informatico che sottragga i dati relativi alla salute, alle performance, o agli ingaggi, di un’intera squadra di calcio della massima serie in periodo di mercato, o di uno dei team nazionali in procinto di partecipare alle ormai prossime Olimpiadi.
Spesso le società e le associazioni sportive, guidate da quella costante ricerca del miglioramento della prestazione che è connaturata al mondo della competizione sportiva, sottovalutano la tematica della privacy, affidandosi a tecnologie o fornitori terzi unicamente sulla base dei risultati promessi. È importante invertire questa tendenza, e comprendere che nel 21° secolo un maggior controllo sui processi legati al trattamento dei dati personali non costituisce solo un ottimo punto di partenza per evitare di incorrere in multe salate, ma può offrire un concreto vantaggio competitivo nei confronti degli avversari.
Avrebbe forse dovuto lasciarsi andare a valutazioni analoghe anche il C.T. della nazionale inglese, che si vocifera abbia scelto i cinque rigoristi affidandosi ad un algoritmo basato su elaborate analisi statistiche. Chissà se, col senno di poi, Sterling o Shaw avrebbero richiesto di affidare la selezione ad un essere umano, contestando la decisione automatizzata sfruttando lo specifico diritto previsto dall’art. 22 del GDPR…rimarremo con il dubbio e la soddisfazione del titolo di Campioni d’Europa.
No Comment