Nuova legge sulla privacy

      A maggior chiarimento di quanto pubblicato in precedenza su questo stesso argomento, pubblichiamo per intero il parere dell’Avv. Enrico Mercurelli così come tratto dal sito della CSN-ACES che è un portale di consulenza giuridica, fiscale e amministrativa dedicato al mondo delle IMPRESE e del NO-PROFIT che ha ispirato l’informazione veicolata attraverso il nostro sito.

LE ASSOCIAZIONI SPORTIVE DOVRANNO APPLICARE IL NUOVO CODICE DELLA PRIVACY?
By Enrico Mercurelli - 23 Marzo 2018

      Carissimi lettori,
il 25 maggio 2018 entrerà in vigore la nuova formulazione del decreto 196/2003 (Codice in materia di protezione dei dati personali; leggasi PRIVACY) come previsto nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
      Molte associazioni sono state contattate da diversi enti e/o professionisti al fine di redigere i piani di protezioni dei dati dei propri associati/iscritti/ tesserati, rappresentando, vieppiù, l’obbligo di tali procedure anche al fine di evitare pesanti sanzioni economiche.
      Per quanto sopra, voglio darVi maggiori dettagli in merito e, come mia abitudine, esporVi la mia interpretazione.
      Per comodità di lettura Vi allego i provvedimenti che ci riguardano: il Regolamento licenziato dalla Ue e la riformulazione del Decreto 193/2006 aggiornato al predetto Regolamento.
      A tal fine Vi evidenzio che la norma dell’ UE individua i destinatari del Regolamento specificandone, all’art. 4 denominato “Definizioni”, i soggetti passivi (cioè i soggetti che sono obbligati ad applicarla).
All’art. 4 punto 18 troviamo la definizione di impresa:
18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
      Orbene, per attività economica si intende l’ insieme di operazioni per entrare in possesso di beni. Nella prima fase le imprese producono beni; nella seconda fase si verifica lo scambio (vendita) dei beni.
      Pertanto, per esplicita previsione normativa, le ASSOCIAZIONI che applicano il CODICE DELLA PRIVACY sono solo quelle che esercitano regolarmente una attività economica e non certo tutte le Associazioni. (in sintesi le associazioni che sono tenute, per il Regolamento UE, all’applicazione della direttiva comunitaria sono quelle che esercitano, prevalentemente, una attività commerciale)
      A questo punto rimane da verificare in quale modo il Decreto 196 applica la Direttiva. Orbene, l’attuazione del provvedimento prevede, per l’Italia, una ulteriore specifica (che trovate nel testo allegato in calce all’art.5) prevedendo che “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice
      Per quanto sopra, posso concludere affermando che le ASD /SSD che non svolgono, prevalentemente, attività commerciali non sono tenute all’applicazione del Codice sulla protezione dei dati; oltremodo tutti i dati relativi a finalità amministrativo gestionali non rientrano nella classificazione dei dati sensibili.
      Pertanto i dati che concernono anagrafica, residenza, recapiti mail, recapiti telefonici, certificati medici di idoneità finalizzati, esclusivamente, al tesseramento e copertura assicurativa (obbligatoria a norma del Decreto 03/11/2010 non costituiscono dati sensibili
      Per Vs conoscenza, a conferma di quanto sopra esposto, Vi ricordo che il Garante per la protezione dei dati personali, in data 31/12/1998 ha specificato in una comunicazione inviata alla Federazione Medici Sportivi Italiani – CONI
“L’Autorità continua la collaborazione con la federazione medico sportiva italiana, affermando, fra l’altro, che il giudizio conclusivo di idoneità all’esercizio dell’attività sportiva agonistica, inteso come dato denotante la normalità psicofisica del soggetto, può ritenersi compreso fra i dati personali “comuni”. Invece il referto di non idoneità, che presuppone nell’interessato o la presenza di patologie o comunque la necessità di evitare potenziali rischi indotti appunto dalla pratica agonistica, assume senza dubbio la connotazione di dato sensibile, ai sensi dell’art. 22, comma 1 della legge n. 675/1996.