Il Codice della Privacy (D.Lgs.
196/2003) e le Associazioni Sportive
avv. Stefano Comellini
CONI Piemonte
Scuola Regionale dello Sport
Il Codice della Privacy
Parte I – Disposizioni generali
Parte II – Disposizioni relative a specifici settori
Parte III – Tutela dell'interessato e sanzioni
Allegati
I principi del Codice
• Principio dell'elevata tutela dei dati personali (art. 2)
• Principio di necessità nel trattamento dei dati (art. 3)
• nel rispetto dei principi di
•Semplificazione
•Armonizzazione
•Efficacia
(art. 2)
Definizioni (art. 4)
trattamento
reperimento delle informazioni
utilizzo interno o mera detenzione
utilizzo esterno delle informazioni
Definizioni (art. 4)
Cosa viene trattato:
b) dati personali
c) dati identificativi
d) dati sensibili
e) dati giudiziari
Definizioni (art. 4)
Da chi vengono trattati i dati:
f) titolare
g) responsabile
h) incaricato
Definizioni (art. 4)
A chi si riferiscono i dati trattati:
i) interessato
Come può avvenire l'utilizzo esterno dei dati:
l) comunicazione
m) diffusione
Chi è preposto alla vigilanza:
q) Garante
Principi applicabili a tutti i trattamenti (Art.11)
 I trattamenti sono effettuati per scopi:
 determinati, espliciti e legittimi
 Nel rispetto dei principi di:
• Correttezza
• Trasparenza
• Pertinenza
• Non eccedenza
• Completezza
Informativa (Art. 13)
 Va resa sempre, oralmente o per iscritto, salvo rare
eccezioni (art. 13 comma 5)
 Deve contenere:
• finalità e modalità del trattamento
• natura obbligatoria o facoltativa del
conferimento dei dati
• conseguenze del rifiuto di rispondere
• destinatari dei dati
• i diritti dell'interessato
• gli estremi del titolare e, se designato, del
responsabile del trattamento
Il Consenso (art. 23)
 Deve essere reso liberamente, ed avere ad oggetto
uno specifico trattamento
 Per
quanto attiene ai dati comuni non è
necessario il consenso scritto, ma il consenso va
documentato per iscritto
 E'
consigliabile peraltro ottenere sempre
consenso scritto da parte dell'interessato
il
Casi di esclusione del consenso (art. 24)
Il Consenso non è richiesto quando il trattamento:
 viene effettuato in forza di legge o disposizione della
normativa comunitaria
 viene effettuato al fine di adempiere ad un contratto del
quale è parte l'interessato
 riguarda dati provenienti da pubblici registri o albi
 riguarda dati relativi allo svolgimento di attività economiche
(nel rispetto della normativa in materia di segreto aziendale)
 è necessario al fine di far valere un diritto in giudizio
 Cfr. Lett. h
Garanzie per i dati sensibili (art. 26)
 Il trattamento dei dati sensibili può avvenire, di regola, solo
previo consenso scritto dell'interessato ed autorizzazione
(generale o specifica) del Garante.
 Non occorre il consenso dell'interessato, ma è necessaria
l'autorizzazione del Garante quando i trattamenti sono
effettuati:
• da Enti senza scopo di lucro per il perseguimento di
fini statutari
• per lo svolgimento di indagini difensive o per far
valere un diritto in giudizio
• per l'adempimento di specifici obblighi previsti dalla
legge per la gestione del rapporto di lavoro, anche in
materia di igiene e sicurezza del lavoro
AUTORIZZAZIONI GENERALI
(Art. 40 – 41)
Art. 40 -Le disposizioni del presente codice che
prevedono un’autorizzazione del Garante sono
applicate anche mediante il rilascio di
autorizzazioni relative a determinate categorie di
titolari o di trattamenti, pubblicate nella
Gazzetta Ufficiale della Repubblica italiana
 Sempre se conforme alle relative prescrizioni
(art. 41 c. 1)
Autorizzazione n. 2/2008
Validità dal 1° luglio 2008 al 31 dicembre 2009

CERTIFICATI DI IDONEITA’
SPORTIVA
Consenso dell’interessato
NO
se è effettuato da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il perseguimento di scopi
determinati e legittimi individuati dall’atto costitutivo,
dallo statuto o dal contratto collettivo, e con modalità di
utilizzo previste espressamente con determinazione resa
nota agli interessati all’atto dell’informativa
SI’
se comunicazione all’esterno e diffusione (previa
informativa)
Diritti dell’interessato (artt. 7÷10)
 diritto di accesso ai dati personali ed altri diritti
 modalita’ di esercizio dei diritti
 riscontro all’interessato
Misure minime di sicurezza
Indicate nel “disciplinare tecnico” (allegato B):
 Sistema di autenticazione informatica
 Sistema di autorizzazione
 Il Documento Programmatico sulla Sicurezza
 Aggiornamento dei programmi
 Dispositivi antivirus
 Backup periodico dei dati
 Protezione e ripristino dell'accesso ai dati
Sistema di autenticazione informatica
Il trattamento di dati personali con strumenti
elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il
superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un
insieme di trattamenti.
Le credenziali sono individuali, non possono essere
trasferite e vengono disattivate dopo sei mesi di
inutilizzo o in caso di perdita della qualifica.
Sistema di autenticazione
informatica
Le credenziali sono costituite da:
- codice per l'identificazione dell'incaricato e parola
chiave
- oppure dispositivo in possesso e uso esclusivo
dell'incaricato ed eventuali codice e parola chiave
- oppure caratteristica biometrica dell'incaricato ed
eventuali codice e parola chiave
Sistema di autenticazione informatica
La parola chiave deve presentare le caratteristiche:
- lunghezza pari ad almeno 8 caratteri
- priva di riferimenti riconducibili all'incaricato
- distribuita in sicurezza all'incaricato
- modificata da questi al primo utilizzo e ogni 6 mesi
- digitata e trasmessa in modo sicuro
Sistema di autenticazione informatica
 Sono impartite istruzioni agli incaricati per custodire
e/o mantenere segreta la componente riservata della
credenziale
 Sono
impartite istruzioni agli incaricati per non
lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento
 Sono impartite disposizioni scritte per la gestione delle
copie di credenziali in caso di prolungata assenza o
impedimento dell'incaricato
Sistema di autorizzazione
 Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso è utilizzato un
sistema di autorizzazione.
 I profili di autorizzazione, per ciascun incaricato o
per classi omogenee di incaricati, sono individuati e
configurati anteriormente all’inizio del trattamento,
in modo da limitare l’accesso ai soli dati necessari
per effettuare le operazioni di trattamento.
 Periodicamente, e comunque almeno annualmente,
è verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Il Documento Programmatico sulla
Sicurezza
TRATTAMENTO DATI
SENSIBILI
(CERTIFICATI MEDICI)
MEZZI INFORMATICI
E/O AUTOMATIZZATI
ELETTRONICI
Obbligo DPS
SENZA MEZZI
INFORMATICI E/O
AUTOMATIZZATI
ELETTRONICI
NO Obbligo DPS
IL DPS
deve contenere
 l'elenco dei trattamenti di dati personali
 la distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati
 l'analisi dei rischi che incombono sui dati
 le misure da adottare per garantire l'integrità e la disponibilità
dei dati, nonché la protezione

l’indicazione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità
IL DPS (segue)
 la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento;
 la previsione di interventi formativi degli incaricati del
trattamento;
 la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare;
 per i dati personali idonei a rivelare lo stato di salute,
l'individuazione dei criteri da adottare

per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato
Dispositivi antivirus
 I dati personali sono protetti contro il rischio di
intrusione e dell’azione di programmi di cui
all’art. 615-quinquies del codice penale, mediante
l’attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale
Backup periodico dei dati
 Il trattamento di dati personali effettuato con
strumenti elettronici è consentito solo se sono
adottate le seguenti misure minime (art. 34):
 adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi;
 Sono impartite istruzioni organizzative e tecniche
che prevedono il salvataggio dei dati
frequenza almeno settimanale (punto 18)
con
Aggiornamento dei programmi
 Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento
di dati sensibili o giudiziari l’aggiornamento è almeno
semestrale.
 Sistemi operativi
 Browser
 Mail server e Groupware
 Data base server
Protezione e ripristino dell'accesso ai dati
 Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari:
 I dati sensibili o giudiziari sono protetti contro l’accesso
abusivo, di cui all’ art. 615-ter del codice penale,
mediante l’utilizzo di idonei strumenti elettronici (punto
20).
 sono adottate idonee misure per garantire il ripristino
dell’accesso ai dati in caso di danneggiamento degli
stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori a
sette giorni (punto 23).
Senza strumenti elettronici
(art. 35)
Aggiornamento
periodico
dell’individuazione
dell’ambito del
trattamento consentito
Trattamento dati
sensibili senza strumenti
elettronici
Previsione di procedure
per idonea custodia di
atti e documenti
Previsione di procedure
per la conservazione di
atti in archivi con
disciplina di accesso
Poteri del Garante
 richiesta all’interessato o a terzi di fornire
informazioni o esibire documenti
 disporre accessi a banche dati o archivi
 effettuare ispezioni e verifiche ove si svolge il
trattamento avvalendosi anche della GDF
Sanzioni
 Sanzioni
amministrative
 Sanzioni penali
Sanzioni penali
DELITTI:
CONTRAVVENZIONI
 trattamento illecito dei dati
 violazione dell’obbligo di
(art. 167)
 falsità nelle dichiarazioni e
notificazioni al Garante (art.
168)
 inosservanza dei
provvedimenti del Garante
(art. 170)
adozione delle misure di
protezione dei dati
personali, di cui all’art. 33
(art. 169, comma 1)
 violazione delle disposizioni di
cui agli artt. 113, comma 1,
“divieto di indagini sulle
opinioni del lavoratore” e 114,
“violazione delle norme sul
controllo a distanza dei
lavoratori” (art. 171)
Sanzioni amministrative
 omessa o inidonea informativa all’interessato, come disposto dall’art.
13 (art. 161)
 cessione dei dati in violazione dell’art. 16, comma 2, o di altre
disposizioni in materia di disciplina dei dati personali (art. 162,
comma 1)
 violazione delle disposizioni in tema di comunicazione dei dati
personali idonei a rivelare lo stato di salute, di cui all’art. 84, comma 1
(art. 162, comma 2)
 omessa o incompleta notificazione di dati, da effettuarsi ai sensi degli
artt. 37 e 38 (art. 163)
 omessa informazione o esibizione di documenti al Garante (art. 164)
Estinzione del reato
(art. 169)
 Prescrizione con termine per la regolarizzazione non
eccedente il periodo di tempo tecnicamente
necessario, prorogabile in caso di particolare
complessità
o
per
l’oggettiva
difficoltà
dell’adempimento e comunque non superiore a sei
mesi
 Nei
sessanta giorni successivi allo scadere del
termine, se risulta l’adempimento alla prescrizione,
l'autore del reato è ammesso dal Garante a pagare
una somma pari al quarto del massimo
dell'ammenda stabilita per la contravvenzione.
 L'adempimento e il pagamento estinguono il reato.
Certificato Medico
 Legge 28/12/1950 n. 1055 e Legge 26/10/1971 n.
1099 entrambe "Tutela sanitaria delle attività
sportive",
 D.M. 5/7/1975 "Disciplina dell'accesso alle singole
attività sportive" (Tabelle);
 D.M.18/2/1982 "Norme per la tutela della attività
sportiva agonistica”
 D.M. 28/2/1983 (tutela dell’attività non agonistica)
Ancora legislazione
 D.M. 22/10/1982 "Tutela sanitaria dei giocatori di calcio";
(professionisti)
 D.M. 15/9/1983 "Tutela sanitaria dei ciclisti professionisti";
 D.M. 30/9/1983 "Tutela sanitaria dei pugili professionisti”
 Raccolte ed integrate nella successivo D.M. 13/3/1995 "Tutela
sanitaria degli atleti professionisti” che riguarda i tesserati del
settore professionistico delle seguenti Federazioni: Federazione
italiana gioco calcio (F.I.G.C.); Federazione pugilistica italiana
(F.P.I.); Federazione ciclistica italiana (F.C.I.); Federazione
motociclistica italiana (F.M.I.); Federazione italiana golf (F.I.G.);
Federazione italiana pallacanestro (F.I.P.);
Ancora Legislazione
Sono state promulgate leggi anche per la tutela di atleti in
particolari situazioni di salute:
 Legge 16/3/1987 n. 115 art. 8 comma 1 e 2 "Disposizioni
per la prevenzione e cura del diabete mellito”
 D.M. 4/3/1993
"Determinazione dei protocolli per la
concessione dell’idoneità sportiva agonistica alle persone
handicappate”
Affidato alla Medicina Sportiva è anche l'accertamento
dell'idoneità al volo da diporto:
 D.P.R. 05/08/1988 n. 404 "Regolamento di attuazione della
legge 25/3/85 concernente la disciplina del volo da diporto
o sportivo (articoli 12/13/14/15)"
Idoneità
sportiva
Agonistica
Non
agonistica
Idoneità
Agonistica
Attività sportive
definite da CONI,
FSN, DSA, EPS
Fasi nazionali
Giochi della
Gioventù (e GSS)
Attività non
agonistiche di
CONI, FSN, DSA,
EPS
Idoneità NON
agonistica
Attività scolastiche
extra curricolari
Fasi non nazionali
Giochi Gioventù
Legge Regione Lazio 4/6/1997
Art. 2
 Le
attività sportive
agonistiche.
 Sono attività sportive
possono
essere
agonistiche
e
non
agonistiche quelle contraddistinte da
aspetto competitivo e da prestazioni sportive di elevato livello,
praticate in modo continuativo e sistematico ed organizzate
esclusivamente nelle forme stabilite dalle federazioni sportive
nazionali, dagli enti di promozione sportiva riconosciuti dal CONI o
dal Ministero della Pubblica Istruzione per quanto riguarda i giochi
della gioventù a livello nazionale.
 Sono attività sportive
non agonistiche quelle contraddistinte da
un impegno competitivo non tendente al conseguimento di un
elevato livello, praticate nelle forme organizzate dalle federazioni
sportive, dagli enti di promozione sportiva riconosciuti dal CONI o
dal Ministero della Pubblica Istruzione per quanto riguarda i giochi
della gioventù a livello comunale, provinciale e regionale.
 Il certificato di idoneità sportiva non agonistica
è generico, cioè non vi è indicazione dello sport
praticato. Un unico certificato permette quindi
la pratica di diversi sport non agonistici.
 Il certificato di idoneità sportiva agonistica è
specifico, per lo sport per cui è stata concessa
l’idoneità e quindi può essere utilizzato solo per
quello sport in particolare, anche se, in
occasione della visita di idoneità, lo specialista
può rilasciare tanti certificati quanti sono gli
sport praticati.
 Il certificato agonistico può valere come non
agonistico generico
Legge Regione Piemonte
25 giugno 2008 n. 15
“Seconda legge regionale di abrogazione di leggi e
semplificazione delle procedure" con la quale si
è espressamente abolito il “certificato di sana e
robusta costituzione per lo svolgimento di
attività ludico motoria a fini-ricreativi”
Circolare Regione Piemonte 13 ottobre 2008
Interpretazione autentica della Legge Regione
Piemonte 25 giugno 2008 n. 15