GDPR

GDPR: Ecco le novità per le palestre

Il nuovo Regolamento Europeo n. 679/2016 sulla protezione dei dati personali riguarda anche il mondo delle palestre: come mettersi in regola ed essere certi di non incappare in sanzioni?

 

Il 25 maggio 2018 ha trovato piena applicazione in tutti i paesi dell’Unione Europea il Nuovo Regolamento Europeo n. 679/2016 sulla protezione dei dati personali (GDPR – General Data Protection Regulation), che ha introdotto importanti novità in materia, con l’obiettivo di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.

Che cos’è un dato personale?

Un dato personale è qualunque informazione riconducibile a un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’appartenenza a partiti
e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.

Quali sono le sanzioni per non essersi adeguati?

I costi della violazione delle norme possono essere elevati, si può arrivare a sanzioni fino a 20 milioni di euro oppure al 4% del fatturato annuo precedente, se superiore. Le autorità locali per la protezione dei dati controllano la conformità. Il lavoro è svolto a livello dell’Unione europea.

GDPR in palestra

Come mettersi in regola con il GDPR

  • Informa in modo chiaro, semplice e non “legalese” i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
  • chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
  • assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda;
  • in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro
    72 ore all’Autorità di controllo;
  • nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati.

Quali trattamenti esegue tipicamente una società o associazione sportiva?

Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di associazioni e società sportive:
anagrafiche clienti

– anagrafiche dipendenti
– anagrafiche fornitori
– videosorveglianza
– campagne commerciali e di marketing
– gestione di un sito web.

In base al nuovo GDPR, il titolare di un trattamento dati diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta. Ad esempio, se si adotta un software che non rispetta il GDPR, il responsabile non è il fornitore che ha venduto l’applicativo non in regola, ma il titolare dei dati che l’ha scelto e fatto utilizzare. Per questo è importante chiedere ai tuoi fornitori che abbiano dei servizi adeguati e che abbiano elevato il livello di protezione dei dati personali rispetto a quelli adottati fino al 25 maggio 2018.

Consensi da raccogliere per l’iscrizione e campagne di marketing

Una delle novità introdotte è nei consensi che si devono acquisire. Non è necessario nessun consenso per trattare i dati al fine del servizio sottoscritto. Questo significa che se una persona si iscrive per un abbonamento in palestra mensile, non devo fargli firmare nessuna autorizzazione al trattamento dei dati e potrò comunicare con il frequentatore solo ai fini del servizio, ad esempio per informarlo che una lezione è annullata o che il centro sportivo chiude prima per dei lavori.
Se desidero invece inviargli informazioni promozionali o newsletter tramite email, sms, telefonate e app, devo acquisire il consenso. Rientrano nelle informazioni promozionali anche tutte le attività svolte dalle figure commerciali dei centri sportivi che contattano i frequentatori per proporgli integrazioni dei servizi sottoscritti. Ad esempio la telefonata/email/sms per far acquistare il trimestrale invece del mensile, oppure passare alla formula OPEN da quella specifica di una singola attività rientrano tra le informazioni promozionali.

Nell’acquisire il consenso per le attività non è necessario far firmare documenti di 8/10 pagine con l’informativa per il trattamento dei dati, ma questa deve essere facilmente reperibile, ad esempio in bacheca e nel sito internet del centro sportivo, e devo tener traccia che l’interessato ha prestato
il consenso in modo libero (in questo caso non può esserci ad esempio già il “flag” sulla casella del presta il consenso).

Dal 25 maggio è possibile fare attività promozionali e di marketing solo per i soggetti che hanno dato il consenso esplicito per questa tipologia di attività. Per questo motivo è importante verificare se i consensi presi prima di tale data prevedevano l’uso per attività promozionali e solo se si è certi di questo si possono utilizzare i dati già in possesso per comunicazioni. Questo passaggio essendo molto delicato è preferibile farlo con un legale che può darvi maggior certezza dei consensi in vostro possesso. Ricordiamoci sempre che il principio è la responsabilizzazione del titolare e quindi se non si è certi è bene affidarsi a specialisti del settore.
I dati che si hanno con il consenso per attività promozionali o di marketing devono comunque avere traccia di una scadenza del trattamento stesso o comunque fino a revoca. La norma non definisce con precisione per quanto tempo possano esser conservati ma si ritiene che una durata di 5 anni sia un tempo adeguato per le finalità promozionali e di marketing.

Facebook Comments

In this article