Fare attività fisica per molti di noi può essere un momento di svago durante la pausa pranzo, una valvola di sfogo dopo una intensa giornata di lavoro o, persino, una grande carica mattutina per intraprendere con vigore gli impegni quotidiani.

Per alcuni, l’attività fisica può diventare un vero e proprio “secondo lavoro”, tali sono l’impegno e la costanza inseriti, nonché il tempo dedicato.

Ma abbiamo mai pensato a quali e quanti dati personali e sensibili “doniamo” ai centri in cui ci iscriviamo?

I proprietari di queste attività sono pienamente consapevoli della qualità e della quantità di dati di cui sono Titolari a norma di legge?

Ma, soprattutto, come vengono trattati questi dati?

A tal proposito, occorrerà brevemente ricapitolare cosa può accadere all’atto di una iscrizione in Palestra: una volta scelto il centro dove iniziare la vostra attività sportiva, vi troverete davanti ad una iscrizione; fornirete dati personali(come ad esempio nome, cognome, indirizzo, ecc.), firmerete un preventivo calibrato in base alla durata del vostro abbonamento e, non sempre, firmerete una clausola scritta in piccolo sulla “Privacy”, con riferimenti legislativi vetusti e spiegazioni inesistenti da parte di chi che ce l’ha sottoposta.

Fin qui, sbagliando, non vi preoccuperete assolutamente di quello che avrete appena sottoscritto in materia di protezione dei dati; in fin dei conti non avete fatto altro che divulgare informazioni facilmente reperibili persino sui Social Network (altro grandissimo errore).

Dopodiché, una volta cambiati nello spogliatoio ed entrati finalmente in sala pesi, verrete amichevolmente accolti da un Personal Trainerche vi proporrà una scheda ad hoccon tanto di dieta inclusa; dopo un attento confronto con lo specchio, vi renderete conto di quanto le vacanze estive abbiano inciso sulla vostra forma fisica e deciderete quindi di accettare.

Ecco in quell’esatto momento, oltre ad illudervi di poter facilmente diventare come Brad Pitt in “Troy”, starete dando al Titolare del Trattamento della palestra il pieno accesso alle vostre vite. 

Ragioniamo sui dati personali particolari (cosiddetti sensibili) che darete alla struttura in caso di iscrizione e successiva accettazione di una scheda personalizzata con dieta:

• foto sulla tessera: dati biometrici, a norma dell’art. 4, punto 14 del GDPR (Reg. UE 2016/679) sono dati ottenuti da un trattamento tecnico specifico e sono relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono o confermano l’identificazione univoca; sono unici per ogni persona e sono immodificabili (salvo lesioni e/o traumi e/o interventi chirurgici).
• Certificato Medico per l’attività sportiva, dichiarazioni di eventuali problemi muscolari e/o ossei: dati relativi alla salute, a norma dell’art. 4, punto 15 del GDPR (Reg. UE 2016/679) sono dati attinenti alla salute fisica (o mentale) di una persona, rivelanti informazioni sulla salute.
• Eventuali intolleranze o allergie: dati genetici, a norma dell’art. 4, punto 13 sono dati relativi alle caratteristiche genetiche ereditarie o acquisite di una persona, che forniscono informazioni univoche sulla fisiologia o sulla salute.

Questi sono solamente alcuni degli esempi che dimostrano la spropositata quantità dei dati che verranno da voi “donati” ad una qualunque Palestra; e non importa la dimensione della struttura e il numero di iscritti, poiché questo incide minimamente sulla “QUALITA” dei dati trattati.

Per questi motivi è fondamentale che ogni centro sportivo sia dotato di una struttura privacy convincente, che risponda completamente ai requisiti previsti dal GDPR. Occorreranno, dunque, una valutazione preliminare d’impatto, un codice di condotta con le best practiceper dipendenti, collaboratori e iscritti e un registro di trattamento dove annotare anomalie e migliorie in materia; occorreranno delle informative calzanti, chiare e con misure di sicurezza realmente presenti all’interno della struttura; occorrerà, inoltre, una adeguata sensibilizzazione e formazione del personale interno (con relativi incarichi conferiti). 

Infine, a parere di chi scrive, appare senz’altro opportuna la nomina di un DPO (Data Protection Officer), che coordini tutti gli adempimenti necessari, verifichi costantemente lo stato d’opera e risponda continuamente ai quesiti in materia di protezione dei dati da parte del personale interno e degli interessati.

Per questi motivi, non può ritenersi esauriente la mera consulenza Privacy una tantum per trattamenti di dati di siffatta qualità.

Può sembrare troppo? Assolutamente no!

Pensiamo ad una ipotetica diffusione di dati (furto, smarrimento accidentale, hackeraggio, cessione a terzi per fini sconosciuti, ecc.) provenienti da una Palestra che effettua il servizio di schede personalizzate (magari con macchinari all’avanguardia) e diete alimentari: colui che ne entrerebbe eventualmente in possesso potrebbe avere una profilazionecompleta su ognuno degli iscritti: come ad esempio essere a conoscenza del domicilio e/o della residenza, di eventuali allergie o intolleranze alimentari, problemi di salute, caratteristiche personali, ecc. 

Tutti dati che, se usati nel modo giusto, possono aiutare terzi ad influenzare i vostri comportamenti, le vostre abitudini, i vostri acquisti e, perché no, persino le vostre scelte ed orientamenti politici.

Vi sembra troppo anche questo?

Chiedete agli utenti che hanno visto i loro dati venduti nello scandalo coinvolgente Facebook e Cambridge Analytica…

Alla luce di quanto esposto, ecco un semplice consiglio per scegliere nel modo corretto il luogo in cui andare a prendervi cura del vostro fisico durante i mesi invernali: se la Palestra è dotata di un sito internet, cercate di controllare prima la Privacy Policy (obbligatoria) inserita, in modo da avere una precisa idea in merito alle loro modalità di gestione dei dati.

Solo in un secondo momento, potrete pensare alla qualità della sauna e/o del bagno turco!

Avv. Stefano Alberto Brandimarte