Tessera
del tifoso: più garanzie per i supporter - 10 novembre 2010
IL
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI IN
DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan
e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli,
segretario generale; VISTO
il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati
personali); VISTE
le istanze pervenute in data 23 e 24 giugno e in data 16 agosto 2010 relative
all'attuazione del programma "tessera del tifoso"; ESAMINATA
la documentazione in atti; VISTE
le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000; RELATORE
il prof. Francesco Pizzetti; PREMESSO 1.
Il programma "tessera del tifoso". Sono
pervenute all'esame dell'Autorità alcune istanze con cui sono state
prospettate possibili violazioni della disciplina di protezione dei dati
personali nell'ambito della realizzazione del programma "tessera del tifoso"
varato dall'Osservatorio nazionale sulle manifestazioni sportive-Dipartimento
della pubblica sicurezza del Ministero dell'Interno. Come
è noto, tale misura, inserendosi nel solco delle "iniziative strumentali
poste a garanzia della sicurezza degli appassionati di calcio" (cfr. circolare
del Ministero dell'Interno 14 agosto 2009, n. 555), rientra –secondo l'accezione
accolta dallo stesso Ministero– tra le "agevolazioni" riconducibili nell'alveo
dell'art. 8 del d.l. 8 febbraio 2007, n. 8 (recante "Misure urgenti per
la prevenzione e la repressione di fenomeni di violenza connessi a competizioni
calcistiche, nonché norme a sostegno della diffusione dello sport
e della partecipazione gratuita dei minori alle manifestazioni sportive")
e mira, tra l'altro, a "valorizzare il rapporto trasparente e aperto con
i […] tifosi, che diventano [così] i veri protagonisti dell'evento
sportivo" (cfr. le Linee guida per gli addetti ai lavori approvate dal
Gruppo di Lavoro tecnico predisposte dal Ministero dell'Interno, p. 3);
in pari tempo, lo strumento offre alle società sportive interessate
la possibilità di fornire ai tifosi servizi ulteriori e "collaterali"
in grado di esaltare "il valore aggiunto dell'appartenenza ad una comunità
di supporters fidelizzati" (così la predetta circolare del Ministero
dell'Interno). In
tale quadro, la tessera del tifoso consente al relativo possessore, tra
l'altro, di: a)
entrare a far parte di una comunità "virtuosa" di tifosi, dedita
alla promozione della cultura e dei valori dello sport; b)
fruire di eventuali facilitazioni, privilegi, servizi resi disponibili
dalle singole società sportive; c)
accedere agevolmente, attraverso varchi dotati di sistemi di lettura elettronica,
ai settori degli impianti sportivi; d)
acquisire i tagliandi riservati ai settori "ospiti" in caso di partite
da giocarsi in trasferta; e)
andare "esente" (salvo valutazioni contingenti) dalle prescrizioni eventualmente
indicate dal Comitato di Analisi per la Sicurezza delle Manifestazioni
Sportive e adottate dalle competenti Autorità provinciali di pubblica
sicurezza; f)
acquistare agevolmente, attraverso procedure più snelle di identificazione
degli acquirenti, i tagliandi relativi all'evento di interesse. Ogni
tessera del tifoso –rilasciata dalle società sportive previo accertamento,
da parte delle questure, dell'assenza dei requisiti ostativi richiamati
nel predetto d.l. 8 febbraio 2007, n. 8– risulta contrassegnata da un codice
alfanumerico che identifica in termini univoci l'"agevolazione" corrisposta;
tale codice viene comunicato alle questure (in conformità al d.m.
15 agosto 2009) dalle medesime società sportive, che provvedono
a loro volta a conservare, per quanto di propria competenza, i dati relativi
a: l'"anagrafica del soggetto" interessato; il "numero della tessera rilasciata";
la "data di scadenza" (cfr. le "Linee guida", p. 9). Le
società sportive –cui le Linee guida raccomandano di consegnare
agli utenti un'"adeguata informativa" relativa, tra l'altro, al trattamento
dei dati personali connesso al rilascio della tessera– trattano i dati
raccolti in sede di sottoscrizione "per le sole finalità previste
dal programma" e li conservano "per il tempo di validità della tessera".
Tali dati possono formare oggetto di eventuali ulteriori trattamenti, anche
"da parte di altre società e dalle relative concessionarie del servizio,
per finalità di promozione ed iniziative commerciali", solo qualora
l'interessato abbia espresso, al riguardo, il proprio specifico consenso
(cfr. le "Linee guida", p. 8). La
mancata sottoscrizione della tessera –il cui rilascio costituisce condizione
necessaria per il rilascio dell'abbonamento e l'ingresso nel settore "ospiti"
presso altri impianti sportivi– non preclude peraltro agli utenti di accedere
comunque allo stadio, acquistando il biglietto relativo all'evento di interesse
in settori che, in caso di trasferta, devono essere distinti da quello
preposto all'accoglienza dei tifosi "ospiti" (cfr. le "Linee guida", p.
5). Stando
alla documentazione acquisita, il programma "tessera del tifoso" non riveste
carattere di "definitività"; quest'ultimo, infatti, "dopo un [primo]
periodo di applicazione e comunque entro il 30 luglio 2011", potrà
formare oggetto di eventuale revisione da parte dell'Osservatorio, onde
renderlo ancor più rispondente alle esigenze delle tifoserie (cfr.
le "Linee guida", p. 15). 2.
Le istanze pervenute. Secondo
le istanze pervenute, il programma varato dall'Osservatorio, anche alla
luce delle modalità di attuazione concretamente adottate dalle singole
società sportive, avrebbe dato luogo a numerose violazioni della
disciplina di protezione dei dati personali, in considerazione del fatto
che: a)
non sussisterebbe un'idonea base giuridica in grado di giustificare l'obbligo
di sottoscrizione della "tessera del tifoso"; b)
l'informativa resa nei moduli di sottoscrizione risulterebbe inadeguata,
non contenendo indicazioni chiare e puntuali circa le finalità del
trattamento e i soggetti (in particolare: questure e società terze
coinvolte nell'iniziativa) che possono o che potrebbero venire a conoscenza
dei dati raccolti, talora anche nella dichiarata veste di autonomi titolari
dei rispettivi trattamenti; c)
la modulistica utilizzata per il rilascio della tessera, in quanto preordinata
ad acquisire dati personali degli interessati sovente attraverso un unico
modello, risulterebbe in contrasto con le indicazioni rese dal ministero
nelle citate linee guida, che prevedono espressamente l'utilizzo e la sottoscrizione,
da parte dei medesimi interessati, di appositi moduli (distinti e separati)
per l'eventuale attivazione di funzionalità o servizi ulteriori
rispetto a quelli "istituzionalmente" connessi al rilascio della tessera; d)
lo stesso rilascio, in quanto subordinato al preventivo accertamento, da
parte delle questure, dell'assenza di requisiti ostativi in capo agli interessati
(provvedimenti di d.a.spo.; misure di prevenzione; sentenze di condanna
per reati c.d. "da stadio"), comporterebbe un trattamento di dati giudiziari
da parte delle società sportive non "coperto" dall'art. 27 del Codice; e)
le finalità di fidelizzazione e di marketing connesse all'impiego
della tessera sarebbero suscettibili di determinare, sia pure a livello
solo potenziale, un rischio di profilazione degli utenti, allo stato non
dichiarato; f)
la tecnologia rfid contenuta nel chip presente sulla tessera sarebbe utilizzata
per scopi non chiaramente individuati, né previamente indicati all'utenza
(oltre che in violazione delle prescrizioni impartite dal Garante con il
provvedimento generale del 9 marzo 2005), con possibile rischio, tra l'altro,
di localizzazione degli utenti. In
ragione di tali rilievi, è stato chiesto all'Autorità di
intervenire per i profili di propria competenza. 3.
I riscontri delle società sportive. 3.1.
Considerata la necessità, anche in ragione delle campagne abbonamenti
già avviate dalle società sportive, di svolgere le indagini
istruttorie in tempi molto brevi, l'Autorità ha immediatamente richiesto
informazioni –con specifico riferimento al trattamento di dati personali
effettuato con tecnologia rfid, in quanto profilo comune a tutte le istanze
pervenute– ad alcune di queste ritenute particolarmente rappresentative
sul piano nazionale (A.S. Roma S.p.A., Juventus F.C. S.p.A., F.C. Internazionale
Milano S.p.A., A.C. Milan S.p.A.), oltre che ad alcuni enti per quanto
di loro eventuale competenza. Dalle
informazioni complessivamente acquisite e dalle dichiarazioni rese è
emerso un quadro generale che, allo stato, vede la tecnologia rfid impiegata
prevalentemente per finalità di accesso agli impianti sportivi. I
dati contenuti nella tessera (più precisamente, i codici numerici
ivi memorizzati), alla luce dei riscontri forniti, sarebbero leggibili
dagli appositi dispositivi ad una distanza variabile, approssimativamente,
tra 1 e 10 centimetri; tale circostanza è stata indirettamente confermata
dal C.O.N.I., cui risulta che la menzionata tecnologia è stata applicata
per fattispecie ordinarie di "lettura del solo numero di tessera da distanza
ravvicinata (lettura di prossimità)" (cfr. nota del 28 luglio 2010). In
ogni caso, nessun dato personale sarebbe memorizzato presso i "tornelli"
di ingresso agli impianti sportivi, abilitati ad operazioni di sola verifica
della rispondenza dei codici contenuti sulla tessera a quelli relativi
all'evento di interesse. 3.2.
In termini più generali, è inoltre emerso che le società
acquisiscono il consenso espresso degli interessati per finalità
distinte e ulteriori, come, ad esempio, per lo svolgimento di eventuali
attività di marketing (talora anche da parte di società terze),
oppure per finalità di profilazione. L'esame
dei riscontri ha poi evidenziato, con particolare riferimento ai rapporti
intercorrenti (sotto il profilo della disciplina di protezione dei dati)
tra le singole società sportive ed eventuali società terze
coinvolte nell'iniziativa (società emettitrici della tessera; società
convenzionate; ecc.), che queste ultime vengono sovente ritenute autonomi
titolari in relazione ai trattamenti connessi alle attività di loro
esclusiva pertinenza (al riguardo, cfr. anche il successivo p. 4.3); peraltro,
ove dette società non figurino quali autonomi titolari, non risulta
sempre chiaro se le stesse siano state o meno formalmente designate quali
responsabili del trattamento ai sensi dell'art. 29 del Codice. 4.
La modulistica predisposta dalle società calcistiche. 4.1.
L'esame della modulistica adottata da un più ampio numero di società
sportive, sotto altro profilo, ha evidenziato modalità di attuazione
del programma "tessera del tifoso" non sempre omogenee. La
maggior parte di queste si avvale di modelli che ricalcano, in parte, quello
presente sul sito dell'Osservatorio nazionale sulle manifestazioni sportive,
peraltro di carattere orientativo e adattabile in funzione delle diverse
circostanze. Dalla loro analisi è emerso che non viene richiesto
il consenso degli interessati al trattamento dei loro dati personali per
finalità di adesione al "programma" (e al conseguente rilascio della
tessera), risultando viceversa prevista la sua acquisizione in relazione
a finalità distinte e ulteriori, quali quelle collegate ad eventuali
iniziative di informazione commerciale e promozionale di prodotti o servizi
o per lo svolgimento di ricerche statistiche e di mercato; talora viene
acquisito un consenso specifico anche per la comunicazione a terzi dei
dati, onde consentirne il trattamento da parte di questi ultimi per le
medesime finalità commerciali/promozionali. Rispetto
a tali profili, parte dei moduli acquisiti agli atti risulta provvisto
di due "caselle" distinte e separate ("presta il consenso"/"nega il consenso"),
sì da consentire agli interessati di contrassegnare l'opzione prescelta
–in relazione tanto al trattamento effettuato per le predette finalità
di marketing dalle società sportive che in relazione a quello (distinto)
svolto da eventuali società terze– in funzione delle determinazioni
liberamente adottate da costoro. In altri modelli, tale opzione risulta
formulata in termini "omnicomprensivi", prevedendo, cioè, la contestuale
acquisizione (o negazione) del consenso per finalità di marketing
e di ricerche di mercato tanto da parte delle società sportive che
di eventuali società terze. In altri casi ancora, la documentazione
acquisita ha evidenziato la presenza di una sola casella da "marcare",
con conseguente possibilità per l'interessato di negare il consenso
al trattamento dei propri dati personali per le anzidette finalità
semplicemente non apponendo alcun segno sulla casella. L'analisi
ha poi evidenziato, in alcuni casi, l'utilizzo di modelli unici ai fini
tanto del rilascio della tessera che per l'attivazione di ulteriori servizi
connessi all'uso della stessa; quest'ultima, infatti, può "incorporare"
al proprio interno molteplici funzionalità ed essere utilizzata,
tra l'altro, quale strumento elettronico di pagamento, presupponendo a
tal fine una esplicita manifestazione di volontà da parte dell'utente;
la tessera, infatti, viene consegnata dalle società sportive in
modalità "non attiva". 4.2.
Sotto distinto profilo, la predetta modulistica, nell'individuare le finalità
del trattamento, fa tendenzialmente riferimento, nelle sue molteplici varianti
("finalità del servizio"; "finalità riguardanti la partecipazione
alla presente operazione"; "svolgimento di tutte le attività connesse
alle funzionalità contenute nella tessera"), a operazioni di trattamento
genericamente connesse all'adesione al programma e al rilascio della tessera. Tali
finalità sono sovente accompagnate dall'indicazione secondo cui
i dati acquisiti formeranno oggetto di comunicazione a società terze
per l'espletamento, nell'ambito del "programma", delle attività
connesse all'utilizzo e gestione della tessera. Detta previsione compare
anche in alcuni regolamenti presenti sui moduli in atti, ove si afferma
che i dati contenuti nella tessera "saranno trasferiti, in maniera sicura
e protetta, ai sistemi di vendita dei […] servizi/prodotti offerti dalla
società, dalle società emettitrici e dalle società
in convenzione". Nessun
riferimento è invece rinvenibile relativamente alla comunicazione
dei dati personali dei tifosi alle questure, né risultano dettagliatamente
specificate le finalità e modalità del trattamento connesso
all'utilizzo della tecnologia rfid applicata alla tessera in esame. Parimenti,
alcune informative (invero una minoranza) risultano prive delle indicazioni
relative alle "conseguenze di un eventuale rifiuto di rispondere" (art.
13 del Codice). 4.3.
Infine, in ordine alla qualificazione giuridica dei soggetti coinvolti
a vario titolo nelle operazioni di rilascio, gestione e utilizzo della
tessera del tifoso, risulta dai moduli che costoro operano in prevalenza,
ciascuno per le attività di propria competenza, quali autonomi titolari
dei trattamenti. Ove ciò non risulti, non è dato rinvenire
elementi certi, all'interno della modulistica utilizzata dalle società
sportive, circa l'eventuale designazione dei soggetti terzi coinvolti nell'iniziativa
quali responsabili del trattamento. 5.
Profili di liceità del trattamento. 5.1.
Come rilevato dal Ministero dell'Interno nelle citate "Linee guida" e ribadito
nella modulistica adottata da alcune società sportive, la tessera
del tifoso costituisce una "facilitazione" –ai sensi dell'art. 8 del d.l.
8 febbraio 2007, n. 8, convertito con modificazioni dalla legge 4 aprile
2007, n. 41– all'acquisto di titoli per assistere a eventi sportivi organizzati
dalle medesime società sportive e riservati a persone fisiche che
non siano destinatarie dei provvedimenti di cui all'art. 6 della legge
13 dicembre 1989, n. 401 (d.a.spo.) o di cui alla legge 27 dicembre 1956,
n. 1423 (misure di prevenzione), ovvero condannati, anche con sentenza
non definitiva, per reati commessi in occasione o a causa di manifestazioni
sportive. Tenuto
conto dell'inquadramento giuridico già riconosciutole (che potrà
formare oggetto di eventuale sindacato in altra sede, non essendo rimessa
alcuna competenza al riguardo a questa Autorità), deve dunque rilevarsi
che, allo stato, non risulta fondato l'assunto in base al quale difetterebbero,
nel caso di specie, idonei presupposti normativi atti a giustificare il
trattamento dei dati personali, anche giudiziari, connesso all'adozione
della tessera del tifoso. 5.2.
Sotto distinto profilo, vale inoltre rilevare che risulta corretta l'impostazione
riscontrata nei moduli esaminati in ordine alla mancata acquisizione, in
sede di adesione al programma "tessera del tifoso", del consenso degli
interessati relativamente alla gestione del rapporto in corso di instaurazione,
come pure all'acquisizione di un consenso specifico e distinto per le iniziative
connesse ad eventuali attività di marketing. Infatti,
come già precisato da questa Autorità con il parere reso
in data 16 giugno 2010 (doc. web n. 1733656), peraltro in riferimento alle
sole Linee guida predisposte dall'Osservatorio, per l'adesione al "programma"
e la conseguente gestione, da parte delle società sportive, dei
dati forniti mediante la compilazione del modulo di richiesta della tessera
non è dovuto il consenso in quanto il correlato trattamento risulta
necessario per eseguire obblighi derivanti da un contratto del quale è
parte l'interessato (art. 24, comma 1, lett. b), del Codice). Diverso
è il discorso per quanto concerne le finalità di marketing,
rispetto alle quali questa Autorità si è più volte
pronunciata, in passato, evidenziando la necessità che per le stesse
sia acquisito un consenso specifico e distinto da quello eventualmente
richiesto ad altri scopi (cfr. il menzionato parere 16 giugno 2010; cfr.,
altresì, Provv. 31 gennaio 2008, docc. web nn. 1490553 e 1500829).
Tale impostazione, peraltro, è stata largamente riscontrata nella
modulistica in atti (fatta eccezione per qualche profilo di dettaglio,
su cui meglio si dirà al par. 6.3.), che consente al sottoscrittore
della tessera di poter liberamente orientare le proprie scelte in ordine
alle opzioni proposte, sicché viene comunque garantita all'interessato
la possibilità di autodeterminarsi in ordine all'eventualità
che i suoi dati personali vengano trattati per finalità di marketing,
anche da parte di società terze. 5.3.
Occorre poi rilevare, allo stato, che non risulta provato il rischio di
localizzazione degli utenti prospettato dalle parti istanti in ragione
del chip a tecnologia rfid presente sulla tessera. Alla
luce delle dichiarazioni rese dalle società interpellate (confermate
indirettamente dal C.O.N.I.), deve infatti ritenersi insussistente tale
rischio in ragione della "leggibilità" esclusivamente ravvicinata
dei dati contenuti nella tessera, tale peraltro da escludere la stessa
possibilità di acquisizione "accidentale" dei dati da parte di terzi. Per
altro verso, il trattamento correlato all'impiego della tecnologia rfid
per finalità di accesso agli impianti sportivi non può ritenersi
in violazione del provvedimento generale del 9 marzo 2005, con particolare
riferimento ai profili di necessità, liceità e proporzionalità
del trattamento. Da
un lato, infatti, il trattamento risulta necessario e non eccedente, attese
anche le garanzie che lo strumento è in grado di offrire sul piano
della sicurezza e della velocizzazione degli accessi, anche in ragione
dell'elevato numero di spettatori presente, di solito, sugli spalti (in
molti casi, nell'ordine di qualche decine di migliaia di persone). Dall'altro,
tale trattamento non necessita nemmeno del consenso degli interessati in
base all'art. 24, comma 1, lett. b), del Codice, in quanto funzionale al
perseguimento di una finalità (l'accesso agevolato agli impianti
sportivi) che è parte integrante del "programma" cui l'interessato
aderisce volontariamente; ciò, a tacere del fatto che è comunque
in facoltà di coloro che non intendono sottoscrivere la tessera
accedere liberamente agli impianti sportivi attraverso l'utilizzo di canali
alternativi (l'acquisto dei biglietti). Per
quanto concerne il profilo relativo all'informativa, si rinvia alle precisazioni
di cui al successivo punto 6.2. 6.
Profili di illiceità del trattamento. 6.1.
L'esame della documentazione acquisita agli atti, per altro verso, ha evidenziato
alcune criticità relativamente all'informativa che viene resa agli
interessati, all'acquisizione (talora) del loro consenso per finalità
di marketing, alla qualificazione dei rapporti intercorrenti tra i soggetti
coinvolti nell'iniziativa (cfr. i successivi punti 6.2, 6.3, 6.4); si ritiene
pertanto di dover fornire alcune prime indicazioni e prescrizioni al fine
di adeguare le suddette operazioni di trattamento alla disciplina di protezione
dei dati personali. 6.2.
Riguardo all'informativa che le società sportive forniscono in sede
di adesione al "programma", occorre anzitutto evidenziare che le finalità
del trattamento –benché talora desumibili dalle caratteristiche
del programma medesimo e dai connessi regolamenti di partecipazione– non
risultano formulate (ancorché in forma sintetica) in termini tali
da consentire ai tifosi di comprendere appieno la complessiva portata delle
operazioni di trattamento correlate all'utilizzo (invero, anche solo potenziale)
della tessera. Sarebbe
quindi necessario, onde garantire la piena conoscibilità dei trattamenti
effettuati, che le finalità concretamente perseguite dalle singole
società interessate fossero chiaramente individuate e puntualmente
indicate, distinguendo quelle che comportano trattamenti di dati su base
meramente facoltativa e volontaria (ad esempio, le attività di profilazione
e marketing: in tal senso, cfr. anche Provv. 24 febbraio 2005, doc. web
n. 1103045) da quelle, invece, che prescindono da una manifestazione di
volontà degli utenti, perché necessariamente connesse al
rilascio della tessera (ad esempio, le attività di fidelizzazione
o l'acquisto dei titoli di accesso agli impianti sportivi). Analoghe
esigenze di correttezza e trasparenza inducono poi a ritenere come necessaria
anche l'indicazione, nelle informative da rendere agli interessati, della
comunicazione dei dati alle questure; tale comunicazione, in quanto funzionalmente
preordinata all'accertamento dell'assenza dei requisiti ostativi di cui
al d.m. 15 agosto 2009 (attributo indefettibile ai fini del rilascio della
tessera), costituisce infatti un elemento la cui conoscenza, anche in ragione
del principio di finalità (art. 11, comma 1, lett. b), del Codice),
non può essere sottaciuta agli interessati. Discorso
analogo può essere effettuato in relazione all'utilizzo della tecnologia
rfid: infatti, benché la stessa, per le modalità con cui
risulta impiegata nel caso specifico, non possa essere ritenuta, allo stato,
lesiva della libertà e dignità degli interessati, la sua
mancata indicazione nelle informative, anche in ragione di quanto stabilito
con il Provvedimento 9 marzo 2005, non è conforme all'art. 13 del
Codice. Infine, adeguata informativa va data anche con riferimento alla
mancata indicazione delle "conseguenze di un eventuale rifiuto di rispondere". Alla
luce di tali considerazioni, ai sensi degli artt. 143, comma 1, lett. b),
144 e 154, comma 1, lett. c) del Codice, si ritiene di dover prescrivere
ai titolari dei trattamenti che non abbiano già provveduto in tal
senso di integrare l'informativa da rendere agli aderenti, precisando: a)
le singole finalità concretamente perseguite, distinguendo quelle
che comportano trattamenti di dati su base meramente facoltativa e volontaria
da quelle, invece, che prescindono da una manifestazione di volontà
degli utenti, perché necessariamente connesse al rilascio della
tessera; b)
le conseguenze dell'eventuale rifiuto di rispondere; c)
che i dati formeranno oggetto di comunicazione alle questure per l'accertamento
dei requisiti di cui al d.m. 15 agosto 2009; d)
le caratteristiche del trattamento dei dati svolto attraverso l'utilizzo
di tecnologia rfid, con particolare riferimento alle relative finalità
e modalità. 6.3.
Per altro verso, occorre evidenziare che le modalità prescelte da
alcune società sportive per la compilazione dei modelli (recanti
una sola casella da contrassegnare ai fini dell'acquisizione del consenso
degli interessati per finalità di marketing, come tali suscettibili
di agevole manipolazione successivamente alla loro sottoscrizione) non
soddisfano alcuni requisiti di conformità alla disciplina di protezione
dei dati personali, avuto particolare riguardo alla qualità dei
dati trattati (art. 11, comma 1, lett. c) del Codice). Limitatamente
a detto profilo, deve dunque prescriversi ai titolari dei trattamenti che
hanno adottato modelli di sottoscrizione recanti un'unica casella per la
manifestazione del consenso al trattamento dei dati personali per finalità
di marketing di riformulare i medesimi, adottando accorgimenti idonei a
garantire agli interessati l'effettiva possibilità di formalizzare
anche il proprio diniego al trattamento, prevenendone così eventuali
manipolazioni successive (artt. 143, comma 1, lett. b), 144 e 154, comma
1, lett. c), del Codice). Sotto
altro profilo, deve ritenersi invece corretta l'impostazione –anche in
questo caso riscontrata solo in parte dei modelli esaminati– di acquisire
un distinto consenso in relazione al trattamento eventualmente svolto per
finalità di marketing da parte di società terze (cfr. in
proposito, anche il provvedimento 16 giugno 2010, cit.), per permettere
agli interessati di autodeterminarsi in relazione alla circolazione dei
propri dati e all'eventuale trattamento degli stessi, per le summenzionate
finalità, anche da parte di soggetti diversi dalle società
sportive. Alla
luce di ciò, deve quindi prescriversi ai titolari che non hanno
previsto modalità di acquisizione di un consenso autonomo e distinto
degli interessati in relazione al trattamento dei loro dati personali a
fini di marketing da parte di società terze, di riformulare i modelli
utilizzati, adottando soluzioni idonee a garantire la possibilità
di manifestare liberamente la propria volontà di ricevere o meno,
anche da parte di soggetti diversi dalle società sportive, comunicazioni
a carattere commerciale o promozionale (artt. 143, comma 1, lett. b), 144
e 154, comma 1, lett. c), del Codice). Si
invita inoltre le società sportive a voler valutare l'opportunità
di predisporre moduli separati per l'attivazione di ulteriori funzionalità
della tessera o per la fornitura di servizi "accessori" agli interessati
che abbiano espresso a tal fine il proprio specifico consenso, in quanto
di possibile ausilio per gli stessi nella comprensione delle caratteristiche
e delle operazioni di trattamento distintamente effettuate dai soggetti
coinvolti a vario titolo nell'iniziativa. Infine,
si richiama l'attenzione delle società che intendono effettuare
attività di profilazione sulla necessità di acquisire un
consenso specifico e distinto da parte degli interessati (come pure in
relazione alla medesima attività svolta da società terze),
provvedendo altresì alla notifica del relativo trattamento in base
all'art. 37, comma 1, lett. d), del Codice. 6.4.
Per quanto concerne, da ultimo, i rapporti intercorrenti tra i soggetti
coinvolti a vario titolo nelle operazioni di rilascio e gestione della
tessera, occorre ricordare che il d.lg. n. 196/2003 identifica il titolare
del trattamento nel soggetto "cui competono, anche unitamente ad altro
titolare, le decisioni in ordine alle finalità, alle modalità
del trattamento di dati personali e agli strumenti utilizzati, ivi compreso
il profilo della sicurezza" (art. 4, comma 1, lett. f), del Codice). Ai
fini di una corretta individuazione dei reali "titolari" dei trattamenti,
occorre dunque che i predetti soggetti valutino attentamente il ruolo effettivamente
svolto da ciascuno di essi nell'espletamento delle proprie prestazioni
a vantaggio degli aderenti, verificando la reale sussistenza, in capo a
sé, di un autonomo potere decisionale o, piuttosto, se essi debbano
invece conformare il proprio operato alle istruzioni formulate da altri,
sì da doversi più correttamente qualificare quali responsabili
del trattamento (art. 29 del Codice). Tale valutazione si rende necessaria
anche nell'interesse degli utenti i quali, per effetto di una chiarificazione
dei rapporti intercorrenti tra i soggetti coinvolti nell'iniziativa, possono
risultare concretamente agevolati nell'esercizio dei diritti previsti dall'art.
7 del Codice. Alla
luce di tali considerazioni, nel raccomandare ai soggetti coinvolti nel
programma "tessera del tifoso" di valutare con attenzione il ruolo concretamente
svolto da ciascuno di essi, si invitano gli effettivi titolari a valutare
l'opportunità di designare quali responsabili del trattamento i
soggetti che, all'esito delle operazioni di valutazione, risultino privi
di reale e autonoma capacità decisionale in ordine alle finalità
e modalità del trattamento medesimo. 6.5.
Da ultimo, al fine di assicurare un'ampia conoscibilità del presente
provvedimento anche presso gli aderenti al programma "tessera del tifoso",
si ritiene di dover prescrivere ai titolari del trattamento, quale misura
necessaria a garanzia degli interessati, di disporne la relativa pubblicazione
sui rispettivi siti web, ove esistenti, evidenziandolo adeguatamente in
un autonomo riquadro per favorirne una immediata consultazione da parte
degli utenti, anche predisponendo eventuali link appositamente dedicati
alla sottoscrizione degli abbonamenti o alla partecipazione al programma
medesimo (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del
Codice). Questa
Autorità si riserva ogni ulteriore iniziativa e approfondimento,
anche a seguito delle revisioni che l'Osservatorio riterrà di dover
eventualmente apportare al programma "tessera del tifoso", come pure l'opportunità
di valutare in separata sede l'adozione di ulteriori misure, anche in ragione
di eventuali violazioni del presente provvedimento da parte delle singole
società. TUTTO
CIÒ PREMESSO, IL GARANTE •
ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett.
c) del Codice, prescrive ai titolari dei trattamenti che non abbiano già
provveduto in tal senso di: -
integrare l'informativa da rendere agli aderenti (punto 6.2), evidenziando: a)
i trattamenti che prescindono dalla manifestazione del consenso degli utenti
perché necessariamente connessi al rilascio della tessera del tifoso,
precisando, in tale ambito, che l'informativa dovrà contenere uno
specifico riferimento alla comunicazione dei dati personali degli utenti
alle questure (per l'accertamento dei requisiti di cui al d.m. 15 agosto
2009), nonché alle caratteristiche del trattamento svolto mediante
l'utilizzo di tecnologie rfid; b)
i trattamenti che possono essere effettuati su base meramente volontaria,
precisando che l'informativa dovrà indicare chiaramente le diverse
finalità perseguite e che le relative operazioni di trattamento
dovranno essere effettuate solo sulla base di un espresso consenso dell'interessato; c)
le conseguenze dell'eventuale rifiuto di rispondere; -
adottare accorgimenti idonei a garantire agli interessati l'effettiva possibilità
di formalizzare anche il proprio diniego al trattamento per finalità
di marketing, prevenendo così possibili manipolazioni successive
dei moduli sottoscritti dagli utenti (punto 6.3); -
riformulare i modelli utilizzati, adottando soluzioni idonee a garantire
la possibilità agli aderenti di manifestare liberamente la propria
volontà di ricevere o meno, anche da parte di società terze,
comunicazioni a carattere commerciale o promozionale (punto 6.3); •
ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett.
c) del Codice, prescrive ai titolari dei trattamenti di pubblicare il presente
provvedimento sui rispettivi siti web, ove esistenti, evidenziandolo adeguatamente
in un autonomo riquadro per favorirne una immediata consultazione da parte
degli utenti, anche predisponendo eventuali link appositamente dedicati
alla sottoscrizione degli abbonamenti o alla partecipazione al programma
"tessera del tifoso"; •
dispone che le misure e gli accorgimenti di cui ai punti precedenti siano
adottati entro il termine di quarantacinque giorni dalla data di ricezione
del presente provvedimento, dando riscontro a questa Autorità, entro
lo stesso termine, dell'avvenuto adempimento; •
invita le società sportive che non abbiano già provveduto
in tal senso, per le ragioni di cui in motivazione, a voler valutare l'opportunità
di predisporre moduli separati per l'attivazione di ulteriori funzionalità
della tessera o per la fornitura di servizi "accessori" agli interessati
che abbiano espresso a tal fine il proprio specifico consenso (punto 6.3); •
invita gli effettivi titolari, anche nell'interesse degli utenti, a valutare
l'opportunità di designare quali responsabili del trattamento i
soggetti che, all'esito delle operazioni di verifica concernenti il ruolo
concretamente svolto da ciascuno di essi, risultino privi di reale e autonoma
capacità decisionale in ordine alle finalità e modalità
del trattamento (punto 6.4); •
richiama l'attenzione delle società che intendono effettuare attività
di profilazione sulla necessità di acquisire un consenso specifico
e distinto da parte degli interessati (come pure in relazione alla medesima
attività svolta da società terze), provvedendo altresì
alla notifica del relativo trattamento ove ne ricorrano i presupposti (punto
6.3); •
dispone l'invio del presente provvedimento al Ministero dell'interno, al
CONI e alla FIGC. Roma,
10 novembre 2010 IL
PRESIDENTE Pizzetti IL
RELATORE Pizzetti IL
SEGRETARIO GENERALE De
Paoli
