Il Garante Spagnolo controlla il trattamento dati della Federazione di Pallamano e manca il DPO!

Scritto da Alessandra Delli Ponti

Articolo scritto da Alessandra Delli Ponti

Recentemente, il Garante Spagnolo ha aperto un procedimento nei confronti della Federazione Pallamano del Principato di Austrias. Molte le contestazioni, in particolare:

  • non raccoglieva un consenso valido dai bambini sopra i 14 anni o dai loro genitori e non ne verificava nemmeno la legittimità;

  • pubblicava foto di minori senza alcun consenso;

  • a causa di un errore amministrativo, la Federazione era presente online attraverso due siti web, uno con dominio .es e l’altro .com: non essendo tenuti in costante aggiornamento, la loro privacy policy faceva riferimento alla vecchia legge spagnola sulla protezione dati, ad oggi non più vigente;

ma soprattutto, risultava assente il Data Protection Officer.

Nel provvedimento, il Garante Spagnolo non ha dubbi sull’obbligatorietà per la Federazione della nomina del Data Protection Officer ai sensi dell’articolo 37, ma “apprezza” che la stessa abbia provveduto subito all’adempimento e non ha, quindi, applicato alcuna sanzione. Infatti, nelle more del procedimento, la Federazione, oltre a nominare il DPO, ha modificato la propria politica sulla privacy per includere tutto ciò che l'articolo 13 richiede e che era risultato assente.

A fine procedimento le violazioni accertate dall’Autorità sono solo due: ha ritenuto infatti che in merito al consenso non vi fosse alcun illecito, in quanto trattandosi di una federazione pubblica, questa elabora soltanto i dati che i club sportivi raccolgono, e che quindi gli obblighi relativi al consenso si trovano su tale modulistica dei club.

Ma rispetto alla nomina del Data Protection Officer, ancora si nota una grande confusione su chi sia effettivamente tenuto alla nomina al proprio interno.

Anche il Garante Italiano recentemente ha sanzionato il MISE (importo pari a 75.000 €) per non aver provveduto alla nomina del DPO, forse erroneamente pensando forse che essendo una PA poteva non preoccuparsene.

Ma quando deve essere nominato il DPO?

  • quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

  • se le attività e i principali adempimenti professionali propri del titolare del trattamento dei dati (o, in subordine, del responsabile del trattamento dei dati) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, inclusi tutti i trattamenti effettuati per fini di marketing da parte di grandi aziende, anche online, o comunque tramite qualsiasi altro mezzo;

  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

La sussistenza dell’obbligo o meno del DPO andrà quindi valutata in base a questi parametri e far risultare per iscritto le ragioni che hanno portato alla scelta di non nominarlo.

CLICCA QUA per leggere il provvedimento del Garante Spagnolo.

Alessandra Delli Ponti
Indietro

Il rientro dei tifosi negli Impianti sportivi: Soluzioni tecnico - giuridiche e quesiti posti al Garante Privacy
Avanti

Il Tifo 2.0: Nuove prospettive di coinvolgimento allo stadio!