Società sportive: quali sono i problemi privacy nella gestione dei fornitori?
Articolo scritto da Alessandra Delli Ponti
Il ruolo dei fornitori sotto il profilo del trattamento dati e quindi dell’applicazione del Regolamento Generale sulla Protezione dei dati 2016/679 (di seguito solo GDPR) è uno degli aspetti più sottovalutati dalle Aziende e il settore sportivo non è certamente da meno.
Siamo sinceri: la maggior parte delle aziende di ogni settore spesso considera gli aspetti contrattuali del rapporto con i fornitori una faccenda secondaria, quasi un disturbo, quindi la regolamentazione dei rapporti lato GDPR nel contratto raramente è preso in considerazione.
Infatti, non è di prassi farsi la domanda: per il servizio che sto delegando, il fornitore tratterà dati di cui sono titolare?
Questa omissione, però, ha conseguenze rilevanti sotto il profilo delle responsabilità, ma procediamo con ordine.
Per prima cosa proviamo a identificare i fornitori che in area sportiva possono essere rilevanti sotto il profilo del trattamento dei dati.
Per esempio, la società che fornisce il servizio di biglietteria per gli eventi e la cooperativa o la società che fornisce il personale di steward per i dati dei partecipanti agli eventi sportivi, la società che gestiste il sito web o le attività di marketing come invio di Newsletter per i dati dei tifosi, o, infine lo staff medico che raccoglie, analizza e monitora le prestazioni psico-fisiche dei giocatori.
Naturalmente, poi avremo i fornitori che possiamo trovare in qualsiasi azienda come il consulente del lavoro, le società informatiche o il fornitore di cloud.
Spesso, ma ovviamente va valutato caso per caso, questi fornitori si qualificano come GDPR come Responsabili ai sensi dell’articolo 28 dello stesso Regolamento. L’omessa nomina o anche la regolamentazione di compiti e responsabilità in modo scorretto espone al rischio per il titolare delle sanzioni previste dal GDPR che – ne caso specifico – sarebbe fino a 10 milioni di euro, o fino al 2 % del fatturato dell'impresa
Per comprendere il fenomeno, è bene ricordare che il Garante italiano ha sanzionato un titolare del trattamento e un fornitore, qualificato come responsabile in un caso molto comune: un’azienda decide di fare un concorso per una selezione del personale e incarica un fornitore per la gestione della piattaforma on line per il servizio (cft. Provvedimento 17 settembre 2020 [9461168] e [9461321]).
Nel caso specifico, a causa di un bug nel sistema la piattaforma è stata esposta ad un rischio e tutte le informazioni dei partecipanti alla selezione sono accessibili a tezi non autorizzati.
Senza entrare eccessivamente nel merito del caso sanzionato, l’aspetto interessante di questa pronuncia è proprio che il fornitore che ha reso disponibile il portale destinato al concorso, svolgeva operazioni di trattamento dei dati dei candidati per conto e nell’interesse del Titolare del trattamento, senza mai avere ricevuto da quest’ultima la nomina a Responsabile del trattamento (art 28 GDPR)
Secondo il Garante, anche lo stesso fornitore si sarebbe dovuto “fare parte diligente” verso il titolare e proporla al titolare, ma l’assenza di nomina e di formalizzazione del rapporto non ha salvato il fornitore stesso dalle sanzioni del Regolamento. L’assenza di un “Data Protection Agreement” ha comportato l’assenza di istruzioni e di accordi tra titolare e responsabile sulle misure di sicurezza e sulle responsabilità effettivamente delegati.
Quindi cosa fare per evitare sanzioni?
Come accennavo il primo elemento è individuare i fornitori che trattano dati per la società sportive e definire bene, meglio se in un contratto, l’oggetto del servizio .
L’identificazione dell’oggetto del servizio specifico aiuterà a indentificare l’oggetto del trattamento del dato e i confini all’interno dei quali lo stesso si potrà muovere e per i quali sarà ritenuto responsabile, risulta un punto di fondamentale rilevanza sia durante lo svolgimento della prestazione, sia nella fase di un eventuale contenzioso.
Partendo dal contratto si formalizzano compiti e responsabilità per il trattamento dati.
Quali sono i contenuti della “nomina” o del Data Protection Agreement con il fornitore, ce lo indica lo stesso GDPR all’articolo 28 dove c’è una lista degli elementi da inserire a cui si rinvia in toto, perché non esiste “check list” più completa.
Ma alcuni elementi meritano qualche riflessione ulteriore.
Innanzitutto le misure di sicurezza. Mi è capitato spessi di allegare al contratto un documento tecnico con la descrizione dettagliata di tutte le misure tecniche e organizzative messe in atto nell’offerta dei propri servizi o rinviare ad altri documenti concordati tra le parti (es. un Service Lever Agreement come per i Cloud). Può sembrare una banalità ma per alcuni servizi non basta per liberarsi da responsabilità obbligare il fornitore ad adottare le misure di sicurezza previste dall’articolo 32, ci deve essere una consapevolezza cliente-fornitore di quali sistemi si utilizzeranno e dell’analisi delle misure di sicurezza. Legato a questo aspetto si consiglia di prevedere una procedura per la gestione dei data breach comune per evitare confusione in caso di necessità notifica al Garante.
Attenzione al trasferimento dei dati in Paesi Extra UE. Molte piattaforme, anche di uso frequente, sono gestite dal fornitore con sede Extra UE, spesso Statunitense (es. Mailchimp, recentemente oggetto di un procedimento dell’Autorità Garante Bavarese proprio per questo motivo), quindi è un aspetto che va regolamentato caso per caso.
Un punto delicato è la gestione sei sub-responsabili. Nella nomina è importante imporre al Responsabile imponga al proprio sub- Responsabile, mediante un contratto o un altro atto scritto, gli stessi obblighi contenuti nell’accordo tra il primo ed il Titolare, in particolare sotto il profilo delle misure di sicurezza adeguate al trattamento (art. 28 comma 4 GDPR). Sarà poi a carico del responsabile effettuare la nomina del sub-responsabile inserendo a carico di quest’ultimo tutti i relativi obblighi e doveri che, allo stesso modo, incombono su di lui.
In ogni caso, se l’accordo Titolare – Responsabile è completo l’originario Responsabile conserva l’intera responsabilità nei confronti del Titolare, rispondendo direttamente e personalmente nei confronti di quest’ultimo in relazione ad eventuali inadempimenti o violazioni della propria catena di subfornitura.
Un’ultima osservazione sulla scelta del fornitore.
I contratti di esternalizzazione di alcuni servizi comportano elevati rischi per il GDPR, per la continuità operativa e per la sicurezza anche delle informazioni che contengono.
Lato GPDR poi, la scelta del Responsabile esterno è un fattore fondamentale per l’applicazione del principio dell’accountability e, qualora non effettuata, o svolta in modo scorretto, potrebbe, in ipotesi di giudizio sulla responsabilità, determinare una eventuale c.d. culpa in eligendo, qualora si dovesse accertare ad opera del titolare la negligenza nell’aver scelto male l’organizzazione a cui affidare le informazioni riferite a persone fisiche.
Quindi, anche la scelta del fornitore è un elemento che non può essere sottovalutato e deve basarsi non solo da un confronto delle offerte economiche, ma anche delle garanzie sotto il profilo del GDPR che il fornitore offre e magari parametrando i Livelli di sicurezza del servizio offerto.