Skip to main content

Tessera del tifoso

Privacy - Tessera del tifoso - Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma tessera del tifoso (comunicato e provvedimento del garante della privacy)

16 gennaio 2011 - Privacy - Tessera del tifoso - Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma "tessera del tifoso"  (comunicato e provvedimento del garante della privacy)

Tessera del tifoso: più garanzie per i supporter

I supporter delle squadre di calcio che aderiscono al programma "tessera del tifoso" devono essere informati in modo chiaro e dettagliato sull’uso dei dati personali forniti al momento della sottoscrizione. Devono inoltre essere messi in condizione di poter scegliere liberamente se autorizzare l’uso di questi dati anche per finalità di marketing e pubblicità.

Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma "tessera del tifoso" con un provvedimento che tiene conto anche di alcune segnalazioni pervenute all’Autorità e che è stato inviato al Ministero dell’interno, al Coni, alla Figc e alle società sportive che aderiscono al programma. La tessera del tifoso è uno strumento multifunzionale che, oltre a consentire di far parte di una comunità "virtuosa" di tifosi, permette al possessore di fruire di facilitazioni e servizi messi a disposizione dalle società sportive, di seguire la squadra in trasferta nel settore "ospiti", di accedere agevolmente agli impianti sportivi attraverso i varchi a lettura elettronica.

Ogni tessera rilasciata dalla società al tifoso dopo l’ok della questura, contiene i dati personali del possessore, è contrassegnata da un codice alfanumerico che la identifica in modo univoco e spesso contiene un dispositivo a radiofrequenza (rfid), utilizzato solo per l’accesso agli stadi e "leggibile" ad una distanza non superiore a 10 cm da appositi lettori posizionati presso i tornelli di ingresso.

L’Autorità nel suo provvedimento ha stabilito che le società sportive dovranno migliorare l’informativa da dare ai tifosi, mettendo ben in evidenza i trattamenti di dati che non richiedono il consenso, perché connessi al rilascio della tessera, e quelli che possono essere effettuati solo su base volontaria e con un consenso ad hoc (marketing, profilazione, invio di comunicazioni commerciali). Ai tifosi dovrà infatti essere sempre garantita la possibilità di poter esprimere esplicitamente il loro "no" all’uso dei dati per finalità di marketing. Nell’informativa dovrà essere inoltre ben specificato che i dati anagrafici dei possessori delle tessera vengono comunicati alle questure allo scopo di verificare l’assenza di provvedimenti (D.a.spo., misure di prevenzione, sentenze di condanna per reati cosiddetti da stadio) che ostacolino il rilascio. I tifosi, infine, dovranno essere informati sulle caratteristiche dei trattamenti effettuati tramite la tecnologia rfid.

L’Autorità si è comunque riservata approfondimenti in caso di revisioni eventualmente apportate al programma "tessera del tifoso".

Roma, 12 gennaio 2011

Tessera del tifoso: più garanzie per i supporter - 10 novembre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le istanze pervenute in data 23 e 24 giugno e in data 16 agosto 2010 relative all'attuazione del programma "tessera del tifoso";

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO

1. Il programma "tessera del tifoso".
Sono pervenute all'esame dell'Autorità alcune istanze con cui sono state prospettate possibili violazioni della disciplina di protezione dei dati personali nell'ambito della realizzazione del programma "tessera del tifoso" varato dall'Osservatorio nazionale sulle manifestazioni sportive-Dipartimento della pubblica sicurezza del Ministero dell'Interno.

Come è noto, tale misura, inserendosi nel solco delle "iniziative strumentali poste a garanzia della sicurezza degli appassionati di calcio" (cfr. circolare del Ministero dell'Interno 14 agosto 2009, n. 555), rientra –secondo l'accezione accolta dallo stesso Ministero– tra le "agevolazioni" riconducibili nell'alveo dell'art. 8 del d.l. 8 febbraio 2007, n. 8 (recante "Misure urgenti per la prevenzione e la repressione di fenomeni di violenza connessi a competizioni calcistiche, nonché norme a sostegno della diffusione dello sport e della partecipazione gratuita dei minori alle manifestazioni sportive") e mira, tra l'altro, a "valorizzare il rapporto trasparente e aperto con i […] tifosi, che diventano [così] i veri protagonisti dell'evento sportivo" (cfr. le Linee guida per gli addetti ai lavori approvate dal Gruppo di Lavoro tecnico predisposte dal Ministero dell'Interno, p. 3); in pari tempo, lo strumento offre alle società sportive interessate la possibilità di fornire ai tifosi servizi ulteriori e "collaterali" in grado di esaltare "il valore aggiunto dell'appartenenza ad una comunità di supporters fidelizzati" (così la predetta circolare del Ministero dell'Interno).

In tale quadro, la tessera del tifoso consente al relativo possessore, tra l'altro, di:

a) entrare a far parte di una comunità "virtuosa" di tifosi, dedita alla promozione della cultura e dei valori dello sport;

b) fruire di eventuali facilitazioni, privilegi, servizi resi disponibili dalle singole società sportive;

c) accedere agevolmente, attraverso varchi dotati di sistemi di lettura elettronica, ai settori degli impianti sportivi;

d) acquisire i tagliandi riservati ai settori "ospiti" in caso di partite da giocarsi in trasferta;

e) andare "esente" (salvo valutazioni contingenti) dalle prescrizioni eventualmente indicate dal Comitato di Analisi per la Sicurezza delle Manifestazioni Sportive e adottate dalle competenti Autorità provinciali di pubblica sicurezza;

f) acquistare agevolmente, attraverso procedure più snelle di identificazione degli acquirenti, i tagliandi relativi all'evento di interesse.

Ogni tessera del tifoso –rilasciata dalle società sportive previo accertamento, da parte delle questure, dell'assenza dei requisiti ostativi richiamati nel predetto d.l. 8 febbraio 2007, n. 8– risulta contrassegnata da un codice alfanumerico che identifica in termini univoci l'"agevolazione" corrisposta; tale codice viene comunicato alle questure (in conformità al d.m. 15 agosto 2009) dalle medesime società sportive, che provvedono a loro volta a conservare, per quanto di propria competenza, i dati relativi a: l'"anagrafica del soggetto" interessato; il "numero della tessera rilasciata"; la "data di scadenza" (cfr. le "Linee guida", p. 9).

Le società sportive –cui le Linee guida raccomandano di consegnare agli utenti un'"adeguata informativa" relativa, tra l'altro, al trattamento dei dati personali connesso al rilascio della tessera– trattano i dati raccolti in sede di sottoscrizione "per le sole finalità previste dal programma" e li conservano "per il tempo di validità della tessera". Tali dati possono formare oggetto di eventuali ulteriori trattamenti, anche "da parte di altre società e dalle relative concessionarie del servizio, per finalità di promozione ed iniziative commerciali", solo qualora l'interessato abbia espresso, al riguardo, il proprio specifico consenso (cfr. le "Linee guida", p. 8).

La mancata sottoscrizione della tessera –il cui rilascio costituisce condizione necessaria per il rilascio dell'abbonamento e l'ingresso nel settore "ospiti" presso altri impianti sportivi– non preclude peraltro agli utenti di accedere comunque allo stadio, acquistando il biglietto relativo all'evento di interesse in settori che, in caso di trasferta, devono essere distinti da quello preposto all'accoglienza dei tifosi "ospiti" (cfr. le "Linee guida", p. 5).

Stando alla documentazione acquisita, il programma "tessera del tifoso" non riveste carattere di "definitività"; quest'ultimo, infatti, "dopo un [primo] periodo di applicazione e comunque entro il 30 luglio 2011", potrà formare oggetto di eventuale revisione da parte dell'Osservatorio, onde renderlo ancor più rispondente alle esigenze delle tifoserie (cfr. le "Linee guida", p. 15).

2. Le istanze pervenute.
Secondo le istanze pervenute, il programma varato dall'Osservatorio, anche alla luce delle modalità di attuazione concretamente adottate dalle singole società sportive, avrebbe dato luogo a numerose violazioni della disciplina di protezione dei dati personali, in considerazione del fatto che:

a) non sussisterebbe un'idonea base giuridica in grado di giustificare l'obbligo di sottoscrizione della "tessera del tifoso";

b) l'informativa resa nei moduli di sottoscrizione risulterebbe inadeguata, non contenendo indicazioni chiare e puntuali circa le finalità del trattamento e i soggetti (in particolare: questure e società terze coinvolte nell'iniziativa) che possono o che potrebbero venire a conoscenza dei dati raccolti, talora anche nella dichiarata veste di autonomi titolari dei rispettivi trattamenti;

c) la modulistica utilizzata per il rilascio della tessera, in quanto preordinata ad acquisire dati personali degli interessati sovente attraverso un unico modello, risulterebbe in contrasto con le indicazioni rese dal ministero nelle citate linee guida, che prevedono espressamente l'utilizzo e la sottoscrizione, da parte dei medesimi interessati, di appositi moduli (distinti e separati) per l'eventuale attivazione di funzionalità o servizi ulteriori rispetto a quelli "istituzionalmente" connessi al rilascio della tessera;

d) lo stesso rilascio, in quanto subordinato al preventivo accertamento, da parte delle questure, dell'assenza di requisiti ostativi in capo agli interessati (provvedimenti di d.a.spo.; misure di prevenzione; sentenze di condanna per reati c.d. "da stadio"), comporterebbe un trattamento di dati giudiziari da parte delle società sportive non "coperto" dall'art. 27 del Codice;

e) le finalità di fidelizzazione e di marketing connesse all'impiego della tessera sarebbero suscettibili di determinare, sia pure a livello solo potenziale, un rischio di profilazione degli utenti, allo stato non dichiarato;

f) la tecnologia rfid contenuta nel chip presente sulla tessera sarebbe utilizzata per scopi non chiaramente individuati, né previamente indicati all'utenza (oltre che in violazione delle prescrizioni impartite dal Garante con il provvedimento generale del 9 marzo 2005), con possibile rischio, tra l'altro, di localizzazione degli utenti.

In ragione di tali rilievi, è stato chiesto all'Autorità di intervenire per i profili di propria competenza.

3. I riscontri delle società sportive.
3.1. Considerata la necessità, anche in ragione delle campagne abbonamenti già avviate dalle società sportive, di svolgere le indagini istruttorie in tempi molto brevi, l'Autorità ha immediatamente richiesto informazioni –con specifico riferimento al trattamento di dati personali effettuato con tecnologia rfid, in quanto profilo comune a tutte le istanze pervenute– ad alcune di queste ritenute particolarmente rappresentative sul piano nazionale (A.S. Roma S.p.A., Juventus F.C. S.p.A., F.C. Internazionale Milano S.p.A., A.C. Milan S.p.A.), oltre che ad alcuni enti per quanto di loro eventuale competenza.

Dalle informazioni complessivamente acquisite e dalle dichiarazioni rese è emerso un quadro generale che, allo stato, vede la tecnologia rfid impiegata prevalentemente per finalità di accesso agli impianti sportivi.

I dati contenuti nella tessera (più precisamente, i codici numerici ivi memorizzati), alla luce dei riscontri forniti, sarebbero leggibili dagli appositi dispositivi ad una distanza variabile, approssimativamente, tra 1 e 10 centimetri; tale circostanza è stata indirettamente confermata dal C.O.N.I., cui risulta che la menzionata tecnologia è stata applicata per fattispecie ordinarie di "lettura del solo numero di tessera da distanza ravvicinata (lettura di prossimità)" (cfr. nota del 28 luglio 2010).

In ogni caso, nessun dato personale sarebbe memorizzato presso i "tornelli" di ingresso agli impianti sportivi, abilitati ad operazioni di sola verifica della rispondenza dei codici contenuti sulla tessera a quelli relativi all'evento di interesse.

3.2. In termini più generali, è inoltre emerso che le società acquisiscono il consenso espresso degli interessati per finalità distinte e ulteriori, come, ad esempio, per lo svolgimento di eventuali attività di marketing (talora anche da parte di società terze), oppure per finalità di profilazione.

L'esame dei riscontri ha poi evidenziato, con particolare riferimento ai rapporti intercorrenti (sotto il profilo della disciplina di protezione dei dati) tra le singole società sportive ed eventuali società terze coinvolte nell'iniziativa (società emettitrici della tessera; società convenzionate; ecc.), che queste ultime vengono sovente ritenute autonomi titolari in relazione ai trattamenti connessi alle attività di loro esclusiva pertinenza (al riguardo, cfr. anche il successivo p. 4.3); peraltro, ove dette società non figurino quali autonomi titolari, non risulta sempre chiaro se le stesse siano state o meno formalmente designate quali responsabili del trattamento ai sensi dell'art. 29 del Codice.

4. La modulistica predisposta dalle società calcistiche.
4.1. L'esame della modulistica adottata da un più ampio numero di società sportive, sotto altro profilo, ha evidenziato modalità di attuazione del programma "tessera del tifoso" non sempre omogenee.

La maggior parte di queste si avvale di modelli che ricalcano, in parte, quello presente sul sito dell'Osservatorio nazionale sulle manifestazioni sportive, peraltro di carattere orientativo e adattabile in funzione delle diverse circostanze. Dalla loro analisi è emerso che non viene richiesto il consenso degli interessati al trattamento dei loro dati personali per finalità di adesione al "programma" (e al conseguente rilascio della tessera), risultando viceversa prevista la sua acquisizione in relazione a finalità distinte e ulteriori, quali quelle collegate ad eventuali iniziative di informazione commerciale e promozionale di prodotti o servizi o per lo svolgimento di ricerche statistiche e di mercato; talora viene acquisito un consenso specifico anche per la comunicazione a terzi dei dati, onde consentirne il trattamento da parte di questi ultimi per le medesime finalità commerciali/promozionali.

Rispetto a tali profili, parte dei moduli acquisiti agli atti risulta provvisto di due "caselle" distinte e separate ("presta il consenso"/"nega il consenso"), sì da consentire agli interessati di contrassegnare l'opzione prescelta –in relazione tanto al trattamento effettuato per le predette finalità di marketing dalle società sportive che in relazione a quello (distinto) svolto da eventuali società terze– in funzione delle determinazioni liberamente adottate da costoro. In altri modelli, tale opzione risulta formulata in termini "omnicomprensivi", prevedendo, cioè, la contestuale acquisizione (o negazione) del consenso per finalità di marketing e di ricerche di mercato tanto da parte delle società sportive che di eventuali società terze. In altri casi ancora, la documentazione acquisita ha evidenziato la presenza di una sola casella da "marcare", con conseguente possibilità per l'interessato di negare il consenso al trattamento dei propri dati personali per le anzidette finalità semplicemente non apponendo alcun segno sulla casella.

L'analisi ha poi evidenziato, in alcuni casi, l'utilizzo di modelli unici ai fini tanto del rilascio della tessera che per l'attivazione di ulteriori servizi connessi all'uso della stessa; quest'ultima, infatti, può "incorporare" al proprio interno molteplici funzionalità ed essere utilizzata, tra l'altro, quale strumento elettronico di pagamento, presupponendo a tal fine una esplicita manifestazione di volontà da parte dell'utente; la tessera, infatti, viene consegnata dalle società sportive in modalità "non attiva".

4.2. Sotto distinto profilo, la predetta modulistica, nell'individuare le finalità del trattamento, fa tendenzialmente riferimento, nelle sue molteplici varianti ("finalità del servizio"; "finalità riguardanti la partecipazione alla presente operazione"; "svolgimento di tutte le attività connesse alle funzionalità contenute nella tessera"), a operazioni di trattamento genericamente connesse all'adesione al programma e al rilascio della tessera.

Tali finalità sono sovente accompagnate dall'indicazione secondo cui i dati acquisiti formeranno oggetto di comunicazione a società terze per l'espletamento, nell'ambito del "programma", delle attività connesse all'utilizzo e gestione della tessera. Detta previsione compare anche in alcuni regolamenti presenti sui moduli in atti, ove si afferma che i dati contenuti nella tessera "saranno trasferiti, in maniera sicura e protetta, ai sistemi di vendita dei […] servizi/prodotti offerti dalla società, dalle società emettitrici e dalle società in convenzione".

Nessun riferimento è invece rinvenibile relativamente alla comunicazione dei dati personali dei tifosi alle questure, né risultano dettagliatamente specificate le finalità e modalità del trattamento connesso all'utilizzo della tecnologia rfid applicata alla tessera in esame. Parimenti, alcune informative (invero una minoranza) risultano prive delle indicazioni relative alle "conseguenze di un eventuale rifiuto di rispondere" (art. 13 del Codice).

4.3. Infine, in ordine alla qualificazione giuridica dei soggetti coinvolti a vario titolo nelle operazioni di rilascio, gestione e utilizzo della tessera del tifoso, risulta dai moduli che costoro operano in prevalenza, ciascuno per le attività di propria competenza, quali autonomi titolari dei trattamenti. Ove ciò non risulti, non è dato rinvenire elementi certi, all'interno della modulistica utilizzata dalle società sportive, circa l'eventuale designazione dei soggetti terzi coinvolti nell'iniziativa quali responsabili del trattamento.

5. Profili di liceità del trattamento.
5.1. Come rilevato dal Ministero dell'Interno nelle citate "Linee guida" e ribadito nella modulistica adottata da alcune società sportive, la tessera del tifoso costituisce una "facilitazione" –ai sensi dell'art. 8 del d.l. 8 febbraio 2007, n. 8, convertito con modificazioni dalla legge 4 aprile 2007, n. 41– all'acquisto di titoli per assistere a eventi sportivi organizzati dalle medesime società sportive e riservati a persone fisiche che non siano destinatarie dei provvedimenti di cui all'art. 6 della legge 13 dicembre 1989, n. 401 (d.a.spo.) o di cui alla legge 27 dicembre 1956, n. 1423 (misure di prevenzione), ovvero condannati, anche con sentenza non definitiva, per reati commessi in occasione o a causa di manifestazioni sportive.

Tenuto conto dell'inquadramento giuridico già riconosciutole (che potrà formare oggetto di eventuale sindacato in altra sede, non essendo rimessa alcuna competenza al riguardo a questa Autorità), deve dunque rilevarsi che, allo stato, non risulta fondato l'assunto in base al quale difetterebbero, nel caso di specie, idonei presupposti normativi atti a giustificare il trattamento dei dati personali, anche giudiziari, connesso all'adozione della tessera del tifoso.

5.2. Sotto distinto profilo, vale inoltre rilevare che risulta corretta l'impostazione riscontrata nei moduli esaminati in ordine alla mancata acquisizione, in sede di adesione al programma "tessera del tifoso", del consenso degli interessati relativamente alla gestione del rapporto in corso di instaurazione, come pure all'acquisizione di un consenso specifico e distinto per le iniziative connesse ad eventuali attività di marketing.

Infatti, come già precisato da questa Autorità con il parere reso in data 16 giugno 2010 (doc. web n. 1733656), peraltro in riferimento alle sole Linee guida predisposte dall'Osservatorio, per l'adesione al "programma" e la conseguente gestione, da parte delle società sportive, dei dati forniti mediante la compilazione del modulo di richiesta della tessera non è dovuto il consenso in quanto il correlato trattamento risulta necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato (art. 24, comma 1, lett. b), del Codice).

Diverso è il discorso per quanto concerne le finalità di marketing, rispetto alle quali questa Autorità si è più volte pronunciata, in passato, evidenziando la necessità che per le stesse sia acquisito un consenso specifico e distinto da quello eventualmente richiesto ad altri scopi (cfr. il menzionato parere 16 giugno 2010; cfr., altresì, Provv. 31 gennaio 2008, docc. web nn. 1490553 e 1500829). Tale impostazione, peraltro, è stata largamente riscontrata nella modulistica in atti (fatta eccezione per qualche profilo di dettaglio, su cui meglio si dirà al par. 6.3.), che consente al sottoscrittore della tessera di poter liberamente orientare le proprie scelte in ordine alle opzioni proposte, sicché viene comunque garantita all'interessato la possibilità di autodeterminarsi in ordine all'eventualità che i suoi dati personali vengano trattati per finalità di marketing, anche da parte di società terze.

5.3. Occorre poi rilevare, allo stato, che non risulta provato il rischio di localizzazione degli utenti prospettato dalle parti istanti in ragione del chip a tecnologia rfid presente sulla tessera.

Alla luce delle dichiarazioni rese dalle società interpellate (confermate indirettamente dal C.O.N.I.), deve infatti ritenersi insussistente tale rischio in ragione della "leggibilità" esclusivamente ravvicinata dei dati contenuti nella tessera, tale peraltro da escludere la stessa possibilità di acquisizione "accidentale" dei dati da parte di terzi.
Per altro verso, il trattamento correlato all'impiego della tecnologia rfid per finalità di accesso agli impianti sportivi non può ritenersi in violazione del provvedimento generale del 9 marzo 2005, con particolare riferimento ai profili di necessità, liceità e proporzionalità del trattamento.

Da un lato, infatti, il trattamento risulta necessario e non eccedente, attese anche le garanzie che lo strumento è in grado di offrire sul piano della sicurezza e della velocizzazione degli accessi, anche in ragione dell'elevato numero di spettatori presente, di solito, sugli spalti (in molti casi, nell'ordine di qualche decine di migliaia di persone). Dall'altro, tale trattamento non necessita nemmeno del consenso degli interessati in base all'art. 24, comma 1, lett. b), del Codice, in quanto funzionale al perseguimento di una finalità (l'accesso agevolato agli impianti sportivi) che è parte integrante del "programma" cui l'interessato aderisce volontariamente; ciò, a tacere del fatto che è comunque in facoltà di coloro che non intendono sottoscrivere la tessera accedere liberamente agli impianti sportivi attraverso l'utilizzo di canali alternativi (l'acquisto dei biglietti).

Per quanto concerne il profilo relativo all'informativa, si rinvia alle precisazioni di cui al successivo punto 6.2.

6. Profili di illiceità del trattamento.
6.1. L'esame della documentazione acquisita agli atti, per altro verso, ha evidenziato alcune criticità relativamente all'informativa che viene resa agli interessati, all'acquisizione (talora) del loro consenso per finalità di marketing, alla qualificazione dei rapporti intercorrenti tra i soggetti coinvolti nell'iniziativa (cfr. i successivi punti 6.2, 6.3, 6.4); si ritiene pertanto di dover fornire alcune prime indicazioni e prescrizioni al fine di adeguare le suddette operazioni di trattamento alla disciplina di protezione dei dati personali.

6.2. Riguardo all'informativa che le società sportive forniscono in sede di adesione al "programma", occorre anzitutto evidenziare che le finalità del trattamento –benché talora desumibili dalle caratteristiche del programma medesimo e dai connessi regolamenti di partecipazione– non risultano formulate (ancorché in forma sintetica) in termini tali da consentire ai tifosi di comprendere appieno la complessiva portata delle operazioni di trattamento correlate all'utilizzo (invero, anche solo potenziale) della tessera.

Sarebbe quindi necessario, onde garantire la piena conoscibilità dei trattamenti effettuati, che le finalità concretamente perseguite dalle singole società interessate fossero chiaramente individuate e puntualmente indicate, distinguendo quelle che comportano trattamenti di dati su base meramente facoltativa e volontaria (ad esempio, le attività di profilazione e marketing: in tal senso, cfr. anche Provv. 24 febbraio 2005, doc. web n. 1103045) da quelle, invece, che prescindono da una manifestazione di volontà degli utenti, perché necessariamente connesse al rilascio della tessera (ad esempio, le attività di fidelizzazione o l'acquisto dei titoli di accesso agli impianti sportivi).

Analoghe esigenze di correttezza e trasparenza inducono poi a ritenere come necessaria anche l'indicazione, nelle informative da rendere agli interessati, della comunicazione dei dati alle questure; tale comunicazione, in quanto funzionalmente preordinata all'accertamento dell'assenza dei requisiti ostativi di cui al d.m. 15 agosto 2009 (attributo indefettibile ai fini del rilascio della tessera), costituisce infatti un elemento la cui conoscenza, anche in ragione del principio di finalità (art. 11, comma 1, lett. b), del Codice), non può essere sottaciuta agli interessati.

Discorso analogo può essere effettuato in relazione all'utilizzo della tecnologia rfid: infatti, benché la stessa, per le modalità con cui risulta impiegata nel caso specifico, non possa essere ritenuta, allo stato, lesiva della libertà e dignità degli interessati, la sua mancata indicazione nelle informative, anche in ragione di quanto stabilito con il Provvedimento 9 marzo 2005, non è conforme all'art. 13 del Codice. Infine, adeguata informativa va data anche con riferimento alla mancata indicazione delle "conseguenze di un eventuale rifiuto di rispondere".

Alla luce di tali considerazioni, ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, si ritiene di dover prescrivere ai titolari dei trattamenti che non abbiano già provveduto in tal senso di integrare l'informativa da rendere agli aderenti, precisando:

a) le singole finalità concretamente perseguite, distinguendo quelle che comportano trattamenti di dati su base meramente facoltativa e volontaria da quelle, invece, che prescindono da una manifestazione di volontà degli utenti, perché necessariamente connesse al rilascio della tessera;

b) le conseguenze dell'eventuale rifiuto di rispondere;

c) che i dati formeranno oggetto di comunicazione alle questure per l'accertamento dei requisiti di cui al d.m. 15 agosto 2009;

d) le caratteristiche del trattamento dei dati svolto attraverso l'utilizzo di tecnologia rfid, con particolare riferimento alle relative finalità e modalità.

6.3. Per altro verso, occorre evidenziare che le modalità prescelte da alcune società sportive per la compilazione dei modelli (recanti una sola casella da contrassegnare ai fini dell'acquisizione del consenso degli interessati per finalità di marketing, come tali suscettibili di agevole manipolazione successivamente alla loro sottoscrizione) non soddisfano alcuni requisiti di conformità alla disciplina di protezione dei dati personali, avuto particolare riguardo alla qualità dei dati trattati (art. 11, comma 1, lett. c) del Codice).

Limitatamente a detto profilo, deve dunque prescriversi ai titolari dei trattamenti che hanno adottato modelli di sottoscrizione recanti un'unica casella per la manifestazione del consenso al trattamento dei dati personali per finalità di marketing di riformulare i medesimi, adottando accorgimenti idonei a garantire agli interessati l'effettiva possibilità di formalizzare anche il proprio diniego al trattamento, prevenendone così eventuali manipolazioni successive (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

Sotto altro profilo, deve ritenersi invece corretta l'impostazione –anche in questo caso riscontrata solo in parte dei modelli esaminati– di acquisire un distinto consenso in relazione al trattamento eventualmente svolto per finalità di marketing da parte di società terze (cfr. in proposito, anche il provvedimento 16 giugno 2010, cit.), per permettere agli interessati di autodeterminarsi in relazione alla circolazione dei propri dati e all'eventuale trattamento degli stessi, per le summenzionate finalità, anche da parte di soggetti diversi dalle società sportive.

Alla luce di ciò, deve quindi prescriversi ai titolari che non hanno previsto modalità di acquisizione di un consenso autonomo e distinto degli interessati in relazione al trattamento dei loro dati personali a fini di marketing da parte di società terze, di riformulare i modelli utilizzati, adottando soluzioni idonee a garantire la possibilità di manifestare liberamente la propria volontà di ricevere o meno, anche da parte di soggetti diversi dalle società sportive, comunicazioni a carattere commerciale o promozionale (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

Si invita inoltre le società sportive a voler valutare l'opportunità di predisporre moduli separati per l'attivazione di ulteriori funzionalità della tessera o per la fornitura di servizi "accessori" agli interessati che abbiano espresso a tal fine il proprio specifico consenso, in quanto di possibile ausilio per gli stessi nella comprensione delle caratteristiche e delle operazioni di trattamento distintamente effettuate dai soggetti coinvolti a vario titolo nell'iniziativa.

Infine, si richiama l'attenzione delle società che intendono effettuare attività di profilazione sulla necessità di acquisire un consenso specifico e distinto da parte degli interessati (come pure in relazione alla medesima attività svolta da società terze), provvedendo altresì alla notifica del relativo trattamento in base all'art. 37, comma 1, lett. d), del Codice.

6.4. Per quanto concerne, da ultimo, i rapporti intercorrenti tra i soggetti coinvolti a vario titolo nelle operazioni di rilascio e gestione della tessera, occorre ricordare che il d.lg. n. 196/2003 identifica il titolare del trattamento nel soggetto "cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (art. 4, comma 1, lett. f), del Codice).

Ai fini di una corretta individuazione dei reali "titolari" dei trattamenti, occorre dunque che i predetti soggetti valutino attentamente il ruolo effettivamente svolto da ciascuno di essi nell'espletamento delle proprie prestazioni a vantaggio degli aderenti, verificando la reale sussistenza, in capo a sé, di un autonomo potere decisionale o, piuttosto, se essi debbano invece conformare il proprio operato alle istruzioni formulate da altri, sì da doversi più correttamente qualificare quali responsabili del trattamento (art. 29 del Codice). Tale valutazione si rende necessaria anche nell'interesse degli utenti i quali, per effetto di una chiarificazione dei rapporti intercorrenti tra i soggetti coinvolti nell'iniziativa, possono risultare concretamente agevolati nell'esercizio dei diritti previsti dall'art. 7 del Codice.

Alla luce di tali considerazioni, nel raccomandare ai soggetti coinvolti nel programma "tessera del tifoso" di valutare con attenzione il ruolo concretamente svolto da ciascuno di essi, si invitano gli effettivi titolari a valutare l'opportunità di designare quali responsabili del trattamento i soggetti che, all'esito delle operazioni di valutazione, risultino privi di reale e autonoma capacità decisionale in ordine alle finalità e modalità del trattamento medesimo.

6.5. Da ultimo, al fine di assicurare un'ampia conoscibilità del presente provvedimento anche presso gli aderenti al programma "tessera del tifoso", si ritiene di dover prescrivere ai titolari del trattamento, quale misura necessaria a garanzia degli interessati, di disporne la relativa pubblicazione sui rispettivi siti web, ove esistenti, evidenziandolo adeguatamente in un autonomo riquadro per favorirne una immediata consultazione da parte degli utenti, anche predisponendo eventuali link appositamente dedicati alla sottoscrizione degli abbonamenti o alla partecipazione al programma medesimo (artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice).

Questa Autorità si riserva ogni ulteriore iniziativa e approfondimento, anche a seguito delle revisioni che l'Osservatorio riterrà di dover eventualmente apportare al programma "tessera del tifoso", come pure l'opportunità di valutare in separata sede l'adozione di ulteriori misure, anche in ragione di eventuali violazioni del presente provvedimento da parte delle singole società.

TUTTO CIÒ PREMESSO, IL GARANTE

• ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, prescrive ai titolari dei trattamenti che non abbiano già provveduto in tal senso di:

- integrare l'informativa da rendere agli aderenti (punto 6.2), evidenziando:

a) i trattamenti che prescindono dalla manifestazione del consenso degli utenti perché necessariamente connessi al rilascio della tessera del tifoso, precisando, in tale ambito, che l'informativa dovrà contenere uno specifico riferimento alla comunicazione dei dati personali degli utenti alle questure (per l'accertamento dei requisiti di cui al d.m. 15 agosto 2009), nonché alle caratteristiche del trattamento svolto mediante l'utilizzo di tecnologie rfid;

b) i trattamenti che possono essere effettuati su base meramente volontaria, precisando che l'informativa dovrà indicare chiaramente le diverse finalità perseguite e che le relative operazioni di trattamento dovranno essere effettuate solo sulla base di un espresso consenso dell'interessato;

c) le conseguenze dell'eventuale rifiuto di rispondere;

- adottare accorgimenti idonei a garantire agli interessati l'effettiva possibilità di formalizzare anche il proprio diniego al trattamento per finalità di marketing, prevenendo così possibili manipolazioni successive dei moduli sottoscritti dagli utenti (punto 6.3);

- riformulare i modelli utilizzati, adottando soluzioni idonee a garantire la possibilità agli aderenti di manifestare liberamente la propria volontà di ricevere o meno, anche da parte di società terze, comunicazioni a carattere commerciale o promozionale (punto 6.3);

• ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, prescrive ai titolari dei trattamenti di pubblicare il presente provvedimento sui rispettivi siti web, ove esistenti, evidenziandolo adeguatamente in un autonomo riquadro per favorirne una immediata consultazione da parte degli utenti, anche predisponendo eventuali link appositamente dedicati alla sottoscrizione degli abbonamenti o alla partecipazione al programma "tessera del tifoso";

• dispone che le misure e gli accorgimenti di cui ai punti precedenti siano adottati entro il termine di quarantacinque giorni dalla data di ricezione del presente provvedimento, dando riscontro a questa Autorità, entro lo stesso termine, dell'avvenuto adempimento;

• invita le società sportive che non abbiano già provveduto in tal senso, per le ragioni di cui in motivazione, a voler valutare l'opportunità di predisporre moduli separati per l'attivazione di ulteriori funzionalità della tessera o per la fornitura di servizi "accessori" agli interessati che abbiano espresso a tal fine il proprio specifico consenso (punto 6.3);

• invita gli effettivi titolari, anche nell'interesse degli utenti, a valutare l'opportunità di designare quali responsabili del trattamento i soggetti che, all'esito delle operazioni di verifica concernenti il ruolo concretamente svolto da ciascuno di essi, risultino privi di reale e autonoma capacità decisionale in ordine alle finalità e modalità del trattamento (punto 6.4);

• richiama l'attenzione delle società che intendono effettuare attività di profilazione sulla necessità di acquisire un consenso specifico e distinto da parte degli interessati (come pure in relazione alla medesima attività svolta da società terze), provvedendo altresì alla notifica del relativo trattamento ove ne ricorrano i presupposti (punto 6.3);

• dispone l'invio del presente provvedimento al Ministero dell'interno, al CONI e alla FIGC.

Roma, 10 novembre 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli