Il trattamento dei dati personali nelle palestre

Cresce il mercato italiano del fitness e con questo il numero di iscritti alle palestre di tutta Italia. Tenuto conto che ormai nessun luogo oggi è immune dalla necessità di tutelare i dati personali così, anche tra pesi e bilancieri, si pone sempre più la necessità di garantire sicurezza e rispetto delle norme sulla privacy (post Gdpr), sin dal momento dell’ingresso nel centro sportivo fino alla conclusione dell’allenamento.

Per adeguarsi al GDPR, i centri di fitness e le palestre dovrebbero adottare una serie di misure di sicurezza e predisporre documenti specifici per essere conformi alla normativa: 1) valutazione del rischio: identificare e valutare i rischi associati al trattamento dei dati; 2) registro dei trattamenti: redigere e mantenere aggiornato un registro dettagliato delle operazioni di trattamento dei dati; 3) informativa privacy: fornire una informativa chiara e accessibile ai membri della palestra; 4) gestione dei diritti degli interessati: consentire ai clienti di poter esercitare i propri diritti (accesso, rettifica, cancellazione, ecc.); 5) contratti con i fornitori: adeguare e sottoscrivere contratti con i fornitori che rispettino la normativa; 6) formazione del personale: educare e sensibilizzare il personale su come gestire correttamente i dati personali; 7) nomina del DPO: designare un Data Protection Officer (DPO) se necessario.

Ma uno degli aspetti più delicati per le palestre rimanendo il trattamento dei dati sanitari, come, per esempio, i certificati medici che attestano l’idoneità fisica dei clienti. Questi dati, considerazioni particolari dal GDPR, devono essere trattati con la massima cura e sicurezza. A tal punto capire cosa si intende per «dati relativi alla salute», compresi nella categoria di dati particolari, è fondamentale. A norma dell’Art. 4, comma 1 n. 15 del GDPR: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” .

Le palestre, sempre più spesso, raccolgono dati personali dei loro utenti che rivelano informazioni relative alla salute del soggetto come, le condizioni di salute, dati relativi alle condizioni fisiche (peso, bia) e le preferenze di allenamento. Tuttavia, se lo scenario non adotta misure di sicurezza adeguate, ad esempio conservando i dati particolari in fascicoli cartacei o su pc senza alcuna protezione (es. password) una perdita o una sottrazione di essi potrebbe compromettere la privacy degli utenti. In caso di violazione, gli utenti perderebbero il controllo sui propri dati, e lo scenario potrebbe incorrere in sanzioni elevate e subire danni reputazionali.

Un altro tema importante riguarda il trattamento di dati biometrici di dipendenti e collaboratori. In particolare, all’interno dei centri fitness vengono spesso utilizzati sistemi di riconoscimento biometrico per automatizzare alcuni processi aziendali, comportando un trattamento di dati biometrici che deve essere lecito e conforme al regolamento privacy. Un esempio di trattamento illecito si è verificato in una società che ha adottato modalità di rilevazione delle presenze basate sulle impronte digitali, non rispettando la disciplina in materia di protezione dei dati personali. La società non aveva informato correttamente i propri dipendenti, violando i principi di liceità, necessità e proporzionalità. Questa inosservanza della normativa ha comportato una sanzione amministrativa di 20.000 euro. Ricordiamo che il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri, in presenza di garanzie adeguate per i diritti fondamentali e gli interessi dell’interessato”

Anche le palestre, quindi, devono adeguarsi alle indicazioni del GDPR. Con l’introduzione del principio di accountability le palestre devono essere così in grado di dimostrare di aver rispettato tutte le indicazioni sulla privacy previste proprio dal Regolamento Europeo. Nel dettaglio, ecco alcuni esempi di ciò che devono fare i centri fitness: – Informare gli utenti  in modo chiaro e completo sulle finalità e le modalità di trattamento dei dati; – Ottenere il consenso esplicito degli utenti  per il trattamento dei loro dati personali; – Rispondere in modo chiaro alle richieste degli interessati , poiché il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati a un’altra azienda; – Comunicare alle autorità di controllo  eventuali divulgazioni non autorizzate a causa di problemi di sicurezza, entro 72 ore; – Affidarsi a società terze di trattamento dati che presentano  sufficienti garanzie in merito di rispetto del regolamento GDPR .

Altra cosa molto interessante riguarda le app ei dispositivi per il monitoraggio delle attività sportive che inevitabilmente raccolgono e trattano dati di natura sensibile (perché riguardanti la salute e le condizioni psico-fisiche) o comunque molto delicati (perché possono rivelare abitudini di vita e di consumo , spostamenti, perfino relazioni sociali). Dati che possono essere ceduti a terzi per finalità di profilazione o addirittura possono finire nelle mani di malintenzionati, con ricadute anche sulla sicurezza personale (ad esempio, quando condividiamo sui social informazioni su dove, in quali giorni ea che ora andiamo a correre e se da soli o in compagnia). App e dispositivi fitness tracker sono poi di solito connessi alla rete Internet e con altre app e dispositivi di vario genere, con tutto quello che implica per quanto riguarda la moltiplicazione esponenziale dei dati trattati e diffusi ei possibili rischi legati alla sicurezza informatica.

In generale, quindi, si tratta di strumenti utili per tentare di mantenere un buono stato di forma o per migliorare le prestazioni sportive, ma che vanno anche usati con la consapevolezza e la cautela necessaria a garantire un’adeguata protezione della propria riservatezza e dei propri dati personali.

Suggerimenti, spunti di riflessione e indicazioni sono riassunti sul sito del Garante: al link https://www.garanteprivacy.it/fitness-tracker