A seguito della pubblicazione, nella scorsa Newsletter Fiscosport, dell'articolo di S. Andreani, Il Modello GDPR – Regolamento Generale sulla Protezione dei Dati sulla Privacy – per a.s.d. e s.s.d., prendiamo spunto da alcuni quesiti posti dai nostri abbonati per fornire alcune precisazioni.
Tempi di conservazione dei dati personali
Prima di tutto partiamo dal presupposto che i dati forniti per l’iscrizione a un’associazione sportiva sono di carattere obbligatorio sia per l’esecuzione di un rapporto contrattuale (associato – associazione), sia per le questioni dipendenti dai rapporti fiscali che derivano con l’Agenzia delle entrate.
Nel caso in esame, il tempo di conservazione dei dati personali lo deve decidere l’ente che effettua il trattamento, perché dovrà contemperare le varie necessità che si presentano.
Nel caso in esame si dovrà perciò prendere in considerazione l’istituto della prescrizione, declinato in funzione delle norme fiscali (prescrizione al 31/12 del 5° anno successivo a quello della presentazione) e quello ordinario per quanto riguarda il rapporto ente/associato.
Posto perciò che ubi maior, minor cessat si può concludere che i dati dell’associato devono essere conservati per non meno di dieci anni.
Ciò non significa che sia un comportamento corretto l’eventuale trasmissione dei dati all’Agenzia delle entrate oltre il termine previsto per l’accertamento, qualora richiesti. Nell’eventualità, l’ente dovrà opporsi alla trasmissione di tali dati.
I certificati di idoneità
Sui certificati di idoneità sanitaria si è già espresso il Garante per la Protezione dei Dati Personali con la propria nota n. 41878 del 31/12/1998, in cui si affermava (e il parere a oggi non è stato modificato) che il certificato mediante il quale il medico sancisce l’idoneità allo svolgimento della pratica sportiva (tanto agonistica quanto amatoriale) NON è un dato sanitario ma un dato personale. Tale certificato non riporta infatti alcun riferimento a specifici dati anamnestici dello sportivo. Chiaramente il certificato va trattato con le cautele con le quali sono trattati i dati personali.
L’inidoneità allo svolgimento della pratica sportiva è invece cosa diversa, perché nel certificato si fa riferimento anche alla patologia che rende sconsigliabile lo svolgimento di tale attività.
Nello stesso parere, il Garante aveva anche precisato che nell’informativa rilasciata all’associato si deve far riferimento alla possibilità/necessità di inoltro dei dati personali al CONI e/o alle Federazioni sportive.
Appare perciò evidente che occorre riprendere in considerazione ed eventualmente riscrivere il documento di valutazione dei rischi che permetterà di prendere in esame tutte quelle sfaccettature del trattamento dei dati degli associati. Solo in questo modo si potrà avere un quadro complessivo della situazione e attuare i relativi piani di intervento.
Tale documento abbiamo imparato a conoscerlo negli anni passati e anche se lo abbiamo pensato come l’ulteriore appesantimento dell’attività, resta in ogni caso un modo per fissare il punto della situazione e porre in essere i comportamenti consoni per ovviare ad eventuali situazioni di rischio.