L’informativa privacy di una ASD è il documento con cui l’associazione sportiva dilettantistica, in base al GDPR, spiega quali dati personali raccoglie su soci, atleti, genitori e staff, per quali finalità e basi giuridiche, per quanto tempo li conserva e a chi li comunica, ad esempio federazioni o assicurazioni. Serve a garantire trasparenza e tutela, permettendo agli interessati di sapere come vengono trattati i loro dati, di prestare o negare consensi per usi non necessari (come foto, newsletter o promozione) e di esercitare i propri diritti. Indica chi è il titolare, come contattarlo, l’eventuale DPO, le misure di sicurezza e l’eventuale trasferimento extra UE. In pratica rende il trattamento conforme alla legge e consente alla ASD di gestire tesseramento, attività sportive, gare, assicurazioni e comunicazioni nel rispetto della privacy.
Come scrivere Informativa privacy ASD
Un’informativa privacy per una associazione sportiva dilettantistica deve innanzitutto identificare in modo chiaro il titolare del trattamento, indicando denominazione dell’ASD, sede, codice fiscale/partita IVA, recapiti e-mail e telefonici e un punto di contatto per la privacy; se è stato nominato un responsabile della protezione dei dati, vanno riportati i suoi estremi e le modalità per contattarlo. Deve poi spiegare, con linguaggio semplice ma preciso, quali dati personali vengono trattati e da dove provengono. Nel contesto associativo si tratta di generalità e contatti dei soci, degli atleti e dei tesserati, dati necessari alla gestione amministrativa e contabile come coordinate bancarie e informazioni sui pagamenti, dati relativi alla partecipazione ad allenamenti, gare e attività sociali, immagini fotografiche e video scattate durante eventi, oltre a categorie particolari di dati, in particolare quelli relativi alla salute come i certificati di idoneità sportiva e le informazioni su infortuni o limitazioni funzionali. Se i dati non sono raccolti direttamente dall’interessato, ad esempio perché li conferisce un genitore per un minore o perché pervengono dalla Federazione/Ente di Promozione in fase di tesseramento, l’informativa deve indicare la fonte e le categorie di dati ricevuti.
È essenziale descrivere in modo puntuale le finalità del trattamento e la corrispondente base giuridica prevista dal GDPR. Per la gestione dell’affiliazione, del tesseramento a Federazioni sportive o Enti di promozione, dell’organizzazione di corsi, allenamenti, tornei ed eventi, della copertura assicurativa obbligatoria e della comunicazione con i soci, la base giuridica tipica è l’esecuzione di un contratto o di misure precontrattuali, integrata dagli obblighi legali in materia civilistica, fiscale, assicurativa e di sicurezza. Per comunicazioni istituzionali e organizzative basate sull’interesse legittimo dell’associazione, va indicato l’interesse perseguito e riconosciuto il diritto di opposizione. Per attività promozionali non strettamente connesse al rapporto associativo e per la pubblicazione di immagini identificabili sui canali pubblici dell’ASD, è opportuno fondare il trattamento sul consenso libero, specifico e revocabile in qualsiasi momento, con chiara distinzione tra consensi facoltativi e dati necessari. Per i dati relativi alla salute, essendo dati particolari, l’informativa deve spiegare che il trattamento avviene solo se strettamente necessario e, in via prudenziale, sulla base del consenso esplicito dell’interessato o del genitore/tutore per i minori, evidenziando i casi in cui il trattamento può avvenire anche senza consenso per la tutela della salute e dell’incolumità in situazioni di emergenza, per la gestione di sinistri assicurativi e per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria. Se l’ASD si avvale di professionisti sanitari o centri medici convenzionati, va chiarito che i dati sanitari sono trattati anche da tali soggetti nel rispetto delle regole professionali applicabili.
L’informativa deve spiegare se la fornitura dei dati è obbligatoria o facoltativa e quali sono le conseguenze del rifiuto. In ambito associativo, il mancato conferimento dei dati necessari all’iscrizione, al tesseramento o alla fatturazione rende impossibile l’instaurazione o la prosecuzione del rapporto; la mancata prestazione dei consensi facoltativi non pregiudica invece l’iscrizione ma limita attività come la pubblicazione di immagini o l’invio di newsletter promozionali.
Devono essere indicati i destinatari o le categorie di destinatari che possono venire a conoscenza dei dati. Normalmente rientrano in questa descrizione le Federazioni sportive nazionali o internazionali, il CONI o l’Ente di promozione sportiva, gli enti assicurativi e i broker per la copertura infortuni, i consulenti contabili e fiscali, gli studi legali in caso di controversie, le società che forniscono servizi informatici, di cloud, hosting, gestione delle mailing list e messaggistica, i provider di pagamenti elettronici e gli istituti bancari, i medici e i centri di medicina dello sport, lo staff tecnico e gli istruttori adeguatamente istruiti e vincolati alla riservatezza, nonché le autorità pubbliche in adempimento di obblighi di legge. Se alcuni soggetti operano come responsabili del trattamento per conto dell’ASD, occorre dichiarare che sono stati nominati ai sensi dell’articolo 28 GDPR e che i dati sono trattati secondo istruzioni documentate. Se il titolare e una Federazione condividono finalità e mezzi per il tesseramento, va chiarito se esiste contitolarità e, in tal caso, come sono ripartite le responsabilità essenziali, in particolare per l’esercizio dei diritti degli interessati.
Qualora i dati siano trasferiti fuori dallo Spazio Economico Europeo, inclusi casi in cui i server dei fornitori cloud sono situati in Paesi terzi o in cui le piattaforme social destinate alla pubblicazione di immagini hanno infrastrutture extra-UE, l’informativa deve specificare i Paesi di destinazione, l’esistenza o meno di decisioni di adeguatezza e le garanzie applicate come clausole contrattuali standard, nonché il modo per ottenere copia di tali garanzie o sapere dove sono disponibili.
La politica di conservazione deve essere esposta con criteri trasparenti e tempi ragionevoli, commisurati alle finalità. I dati anagrafici e amministrativi andranno conservati per tutta la durata dell’iscrizione e del tesseramento e, successivamente, per i termini di prescrizione dei diritti e per gli obblighi civilistici e fiscali, di regola fino a dieci anni dai documenti contabili. I certificati medici e le informazioni sanitarie andranno conservati per il tempo strettamente necessario a verificare l’idoneità e gestire eventuali infortuni o sinistri e poi cancellati o anonimizzati in sicurezza, fermo restando il diverso termine se imposti da norme di legge o per la difesa in giudizio. Le immagini raccolte per finalità promozionali potranno essere conservate fino alla revoca del consenso o per un periodo limitato definito dall’ASD, con revisione periodica dell’archivio. Se sono presenti sistemi di videosorveglianza nei locali, è opportuno rinviare a un’informativa specifica in loco che indichi i tempi di conservazione, di regola molto brevi.
I diritti dell’interessato previsti dagli articoli 15–22 GDPR devono essere elencati e spiegati in termini pratici, indicando come esercitarli gratuitamente e in che tempi riceverà riscontro. Vanno quindi inclusi il diritto di accesso, rettifica, cancellazione, limitazione, portabilità dei dati forniti, opposizione al trattamento basato su interesse legittimo, nonché la possibilità di revocare in qualsiasi momento i consensi senza pregiudicare la liceità del trattamento già effettuato. L’informativa deve anche menzionare il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali e fornire il relativo contatto. Se l’ASD non effettua decisioni basate unicamente su trattamenti automatizzati che producono effetti giuridici, è utile dichiararlo esplicitamente.
Poiché molte ASD trattano dati di minori, l’informativa deve affrontare in modo chiaro le specificità relative ai soggetti sotto i 18 anni. Serve precisare che il conferimento e i consensi necessari sono prestati da chi esercita la responsabilità genitoriale, descrivere come viene verificata tale qualità e richiamare cautele aggiuntive per l’uso di immagini di minori, ad esempio la preferenza per riprese di gruppo o l’oscuramento del volto in assenza di consenso. Se l’ASD offre servizi della società dell’informazione direttamente a minori, va rispettata la soglia di età prevista dall’ordinamento per il consenso digitale.
È buona prassi spiegare in che modo vengono protetti i dati, illustrando per sommi capi le misure tecniche e organizzative adottate come controlli di accesso per ruoli, autenticazione forte per i sistemi informatici, cifratura e pseudonimizzazione quando appropriato, procedure di backup e ripristino, registri delle attività di trattamento, istruzioni e formazione del personale e accordi di riservatezza. L’informativa deve indicare anche le modalità con cui l’ASD informa gli interessati in caso di modifiche significative, riportare la data dell’ultimo aggiornamento e, se esiste un sito web, rinviare alla cookie policy con il dettaglio sui cookie tecnici e di profilazione e sui meccanismi di acquisizione e gestione del consenso.
Infine, per completezza, è utile chiarire che le comunicazioni istituzionali dell’associazione possono includere la pubblicazione di risultati sportivi, convocazioni e cronache di eventi, precisando i limiti di pertinenza e proporzionalità e le scelte adottate per bilanciare trasparenza associativa e tutela della riservatezza, e che in ogni momento l’interessato può contattare l’ASD per ottenere chiarimenti o esercitare i propri diritti. Questa struttura consente all’informativa di soddisfare gli articoli 13 e 14 del GDPR in un contesto sportivo dilettantistico, adattandosi alle specificità operative dell’associazione.
Esempio Informativa privacy ASD
Titolare del trattamento
– Denominazione Associazione Sportiva Dilettantistica: _______________
– Codice Fiscale/Partita IVA: _______________
– Sede legale: _______________
– Sede operativa/impianti: _______________
– Rappresentante legale: _______________
– Email: _______________
– PEC: _______________
– Telefono: _______________
– Sito web: _______________
Responsabile della protezione dei dati (DPO)
– DPO nominato: _______________
– Contatti DPO: _______________
– In assenza di DPO: _______________
Categorie di interessati
– Soci, tesserati, atleti, minori e loro genitori/tutori, tecnici, istruttori, dirigenti, volontari, utenti, partecipanti a eventi, fornitori
Finalità e basi giuridiche del trattamento
– Gestione del rapporto associativo, iscrizioni e tesseramento presso Federazioni/EPS/CONI: art. 6.1.b GDPR; per eventuali dati particolari art. 9.2.d GDPR
– Organizzazione e gestione di attività sportive, corsi, allenamenti, gare, eventi e trasferte: art. 6.1.b; art. 9.2.d
– Adempimenti amministrativi, contabili e fiscali: art. 6.1.c
– Coperture assicurative, denuncia e gestione infortuni: art. 6.1.b/f; art. 9.2.f/h
– Verifica idoneità sportiva e gestione certificazioni mediche: art. 6.1.b/c; art. 9.2.h
– Sicurezza di persone e beni, controllo accessi e videosorveglianza (se presente): art. 6.1.f/c
– Invio di comunicazioni organizzative e informative di servizio: art. 6.1.b/f
– Invio di newsletter e comunicazioni promozionali su attività e servizi della ASD e/o partner: art. 6.1.a; art. 130 Codice Privacy
– Pubblicazione e diffusione di immagini, foto, audio e video su canali della ASD: art. 6.1.a; artt. 96-97 L. 633/1941
– Tutela in sede giudiziale o stragiudiziale: art. 6.1.f; art. 9.2.f
– Gestione del sito web, aree riservate e social network; cookie non tecnici solo previo consenso: art. 6.1.b/f per sicurezza e funzionalità; art. 6.1.a per cookie di profilazione
Categorie di dati trattati
– Dati anagrafici e identificativi: _______________
– Dati di contatto (telefono, email, indirizzo): _______________
– Dati di pagamento e fatturazione: _______________
– Dati di tesseramento e appartenenza a Federazioni/EPS: _______________
– Dati relativi all’attività sportiva, partecipazioni e risultati: _______________
– Dati relativi alla salute (certificazioni mediche, idoneità, infortuni): _______________
– Immagini, foto, audio, video: _______________
– Dati di minori e dei soggetti esercenti la responsabilità genitoriale: _______________
– Dati di navigazione e log tecnici: indirizzo IP, identificativi dispositivo, cookie tecnici e, previo consenso, cookie analitici/profilazione
Provenienza dei dati
– Direttamente dall’interessato o dal genitore/tutore
– Da Federazioni/EPS/CONI: _______________
– Da medici e strutture sanitarie/centri di medicina sportiva: _______________
– Da compagnie assicurative e periti: _______________
– Da organizzatori di gare/eventi e gestori di impianti: _______________
Conferimento dei dati
– Necessario per finalità connesse a iscrizione, tesseramento, erogazione dei servizi e adempimenti di legge; il mancato conferimento comporta l’impossibilità di instaurare o proseguire il rapporto
– Facoltativo per newsletter/marketing e per l’utilizzo/pubblicazione di immagini; il mancato conferimento non pregiudica i servizi sportivi
Modalità del trattamento e sicurezza
– Trattamenti cartacei e informatici con misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità
– Accesso ai dati limitato a persone autorizzate e a responsabili del trattamento contrattualmente vincolati
Destinatari o categorie di destinatari
– Federazioni Sportive Nazionali, Discipline Sportive Associate, Enti di Promozione Sportiva e CONI: _______________
– Compagnie assicurative, broker e periti: _______________
– Medici e strutture sanitarie per idoneità e infortuni: _______________
– Professionisti e consulenti (commercialista, consulente del lavoro, legale): _______________
– Fornitori IT, cloud, servizi di invio email/SMS, gestionali e piattaforme di pagamento: _______________
– Istituti di credito e intermediari di pagamento: _______________
– Gestori di impianti e organizzatori di eventi/gare: _______________
– Pubbliche autorità e soggetti cui la comunicazione è obbligatoria per legge o per ordini dell’autorità
– Partner e sponsor per attività promozionali, previo consenso: _______________
Trasferimenti verso Paesi extra SEE
– Luoghi di trattamento prevalenti: _______________
– Eventuali trasferimenti verso Paesi terzi: _______________
– Basi giuridiche del trasferimento: decisioni di adeguatezza (art. 45 GDPR) e/o garanzie adeguate quali Clausole Contrattuali Standard (art. 46 GDPR). Copia delle garanzie disponibile su richiesta
Periodo di conservazione
– Dati associativi e di tesseramento: per tutta la durata del rapporto e, dopo la cessazione, per _______________ anni per obblighi di legge e tutela in giudizio
– Documentazione amministrativo-contabile e fiscale: _______________ anni
– Certificazioni mediche e dati di salute: per il tempo necessario alla verifica dell’idoneità e alla gestione degli infortuni e comunque non oltre _______________ anni dalla scadenza o chiusura del caso
– Dati relativi a infortuni e sinistri: fino alla definizione del sinistro e per ulteriori _______________ anni per tutela legale
– Immagini/audio/video pubblicati: fino a revoca del consenso o per _______________ anni
– Dati per newsletter/marketing: fino a revoca del consenso o per _______________ anni dall’ultima interazione
– Dati di videosorveglianza (se presenti): _______________ giorni, salvo ulteriore conservazione in caso di indagini
– Dati di navigazione: _______________ mesi, salvo obblighi diversi di legge
Minori
– Per i soggetti di età inferiore a _______________ anni è necessario il consenso o l’autorizzazione di chi esercita la responsabilità genitoriale o la tutela. La ASD adotta misure ragionevoli per verificarne l’autenticità
Diritti degli interessati
– Diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione
– Diritto di revocare i consensi prestati in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
– Reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it, Piazza Venezia 11, 00187 Roma
– Contatti per l’esercizio dei diritti: _______________ | Email: _______________ | DPO: _______________
Processi decisionali automatizzati e profilazione
– Non sono effettuate decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano significativamente sull’interessato
– Eventuali attività di profilazione a fini promozionali sono svolte solo previo consenso e con diritto di opposizione
Informazioni su sito e cookie
– Per i trattamenti effettuati tramite il sito _______________ e per i cookie si rinvia alla privacy policy e cookie policy disponibili su _______________
Videosorveglianza e controllo accessi (se applicabile)
– Ubicazione impianti videosorvegliati: _______________
– Finalità: sicurezza, tutela del patrimonio, prevenzione di atti illeciti; basi giuridiche: legittimo interesse e/o obblighi di sicurezza
– Tempi di conservazione immagini: _______________ giorni, salvo esigenze di indagine
– Destinatari: forze dell’ordine e soggetti incaricati della sicurezza/manutenzione
– Informativa breve mediante cartellonistica esposta agli accessi
Aggiornamenti
– La presente informativa può essere soggetta a modifiche. Ultimo aggiornamento: _______________
Sezione consensi facoltativi
– Consenso al trattamento di dati relativi alla salute ai fini di idoneità sportiva e gestione infortuni: SI/NO _______________ Data _______________ Firma _______________
– Consenso a ricevere newsletter e comunicazioni promozionali via email/SMS/app: SI/NO _______________ Data _______________ Firma _______________
– Consenso alla pubblicazione/diffusione di immagini, foto, audio e video su canali della ASD (sito, social, materiali informativi): SI/NO _______________ Data _______________ Firma _______________
– Consenso all’eventuale trasferimento dei dati verso Paesi extra SEE in assenza di decisione di adeguatezza, sulla base di Clausole Contrattuali Standard: SI/NO _______________ Data _______________ Firma _______________
Dichiarazione per minori
– Dichiaro di essere il genitore/tutore di _______________, nato/a il _______________, e di prestare i consensi sopra indicati per il minore
– Nome e cognome del genitore/tutore: _______________
– Documento di identità n.: _______________ rilasciato da _______________ in data _______________
– Firma del genitore/tutore: _______________ Data _______________
Presa visione
– Il/La sottoscritto/a _______________ dichiara di aver letto e compreso l’informativa sul trattamento dei dati personali
– Data _______________ Firma _______________