COME PROTEGGERE I DATI PERSONALI DEI CLIENTI NEL MONDO DEL FITNESS E WELLNESS?

Recentemente abbiamo ricevuto diverse segnalazioni da parte di nostri clienti operanti nel settore wellness, in particolare palestre, piscine e centri sportivi, di ispezioni ai fini privacy e trattamento dei dati da parte degli organi accertatori (Guardia di Finanzia e Garante della Privacy).
In tali casi, siamo stati chiamati a coadiuvare i nostri clienti nell’illustrare agli operatori della Guardia di Finanza il funzionamento del software gestionale con specifico riferimento al trattamento dei dati, alle operazioni di marketing e alle comunicazioni e processi inclusi per monitorare e guidare l’utente nell’applicazione della normativa.
Alla luce di questo, riportiamo di seguito le 3 principali attività utili a verificare se il proprio centro sportivo sia in regola con quanto previsto dal GDPR ed evitare quindi le sanzioni previste in caso di mancata compliance (che possono arrivare a 20 milioni di euro oppure al 4% del fatturato annuo precedente):
- verifica dell’attuazione di tutte le procedure previste a seguito dell’assessment fatto (solitamente con il supporto di un esperto consulente privacy)
- formazione di tutti gli operatori
- verifica che i sistemi informativi (ed, in particolare, i software gestionali) siano aggiornati ed in linea con quanto previsto dal GDPR.
In particolare, in merito all’ultimo punto, è importante evidenziare che il software gestionale può essere da un lato un importante supporto per trattare in modo adeguato i dati dei propri clienti, ma può anche rilevarsi, se non aggiornato con la normativa privacy, un pericoloso amplificatore del rischio di assoggettamento a sanzioni, posto che la mole di dati personali in esso contenuti è molto rilevante.
A beneficio del lettore, ripercorriamo insieme quanto accaduto a partire dal 2018 con riferimento all’avvento del GDPR, invitando con l’occasione alla verifica dei sistemi e delle procedure applicate in azienda per essere pronti e sereni ad affrontare un’eventuale ispezione.
Nel tuo centro fitness vengono rispettate tutte le direttive del GDPR?
Vuoi evitare le importanti sanzioni?
Come è noto, il 2018 è stato un anno importante in ambito di tutela della protezione dei dati personali: il 25 maggio dello scorso anno, infatti, con il regolamento europeo n. 679/2016, è entrato in vigore in tutti i Paesi dell’Unione Europea il GDPR (“General Data Protection Regulation”).
In sostanza il nuovo regolamento disciplina, in modo più meticoloso, il trattamento dei dati sensibili, le sue finalità e il flusso di dati dall’UE verso le altre parti del mondo alla luce dei nuovi sviluppi tecnologici e informatici e dei nuovi modelli di crescita economica.
Riassumendo:
- Si introducono regole più chiare su informativa e consenso
- Vengono definiti dei limiti al trattamento automatizzato di dati personali
- Vengono stabiliti criteri rigorosi per il trasferimento dei dati fuori dall’UE
- E’ introdotta la responsabilizzazione dei titolari del trattamento dati (accountability)
- Sono fissate sanzioni rigorose per le violazioni (data breach)
A distanza di più di un anno dall’entrata in vigore del GDPR tutte le aziende che trattano dei dati personali dovrebbero non solo essersi adeguate alle nuove direttive, ma anche aver interiorizzato e assimilato i concetti fondamentali del GDPR.
Tutti gli operatori, infatti, comprese le SSD e le ASD, sono tenute al rispetto dei principi del GDPR.
Per tutte le informazioni leggi la guida completa per palestre, piscine e centri sportivi del GDPR!
In particolare, nel mondo del fitness e del wellness la tematica è molto sentita, poiché il ricorso a schede anagrafiche e profili utenti rientra nella quotidianità. Ogni giorno vengono raccolti in ogni centro fitness decine di dati sensibili, documentazioni personali e informazioni sugli utenti.
Non solo nominativi, numeri di telefono o indirizzi email, ma anche fotografie, dati biometrici, schede di allenamento e abitudini alimentari rientrano nella categoria “dati personali” oggetto della regolamentazione del GDPR.
Questi dati vengono poi richiamati da ogni singolo operatore, utilizzati per attività di marketing e ricerche a uso statistico anche a distanza di anni; spesso archiviati in modo non sicuro o addirittura stampati e trasferiti in via telematica.
Perchè è importante avere un sistema informatico aggiornato con la normativa privacy?
Avere uno strumento informatico che tiene conto delle disposizioni in vigore e si regola in base alle normative applicate è fondamentale per essere in regola con la tutela del trattamento dei dati personali e non incorrere in sanzioni.
Il software deve soddisfare i requisiti di compliance previsti secondo le logiche della privacy by design e privacy by default richieste dal GDPR.
Sottovalutare questa necessità è un errore gravissimo da non commettere.
In conformità con il nuovo GDPR tutti i processi di gestione degli operatori dei software gestionali e di controllo accessi TeamSystem per palestre e piscine sono stati aggiornati già nel 2018 in modo da poter garantire i massimi standard di sicurezza nel trattamento dei dati. Alcuni esempi:
- Format di modelli e informative (personalizzabili a seconda delle esigenze del centro) sono già presenti all’interno del software
- In fase di creazione di un’anagrafica occorre “by design” indicare le relative autorizzazioni previste per l’invio di comunicazioni di marketing
- All’utente finale è data la possibilità di rimuoversi dalla mailing list di marketing direttamente dall’email spedita dal gestionale
- E’ stato introdotto il concetto di data di fine validità per il consenso al trattamento dei dati, così come la presenza di campi criptati (ovvero indecifrabili a chi non possiede i diritti di accesso) per il trattamento di particolari dati (esempio: anamnesi o annotazioni particolari)
- E’ stata inserita la funzionalità di Anonimizzazione, che consente di rimuovere l’identità di un utente mantenendo però le informazioni a fini statistici non più riconducibili all’utente in questione (garantendo quindi il rispetto al diritto di oblio dell’utente, ma preservando al contempo dati utili ai fini di analisi).
In ogni caso, è importante evidenziare che il GDPR non riguarda solo ed esclusivamente il software.
Avere un software aggiornato è sì necessario, ma non sufficiente.
Ad esempio, le stesse procedure interne degli “addetti ai lavori” devono essere riviste alla luce delle direttive in materia di trattamento dei dati personali.
Alcuni esempi di operazioni da gestire con maggiore cautela possono essere:
- Stampa cartacea di report riguardanti dati personali
- Acquisizione di consensi e contratti cartacei (consigliata la Firma Grafocerta!)
- Esportazione e invio di dati su files e tabelle
- Impostazione delle password personali di accesso al software da parte dello staff
Non è sempre facile essere attenti a manipolare in modo corretto i dati personali dei propri utenti, spesso l’abitudine di ripetere azioni automatiche e l’accumulo di lavoro da svolgere può giocare brutti scherzi sull’attenzione per la tematica del trattamento dei dati personali. Tuttavia, avendo a disposizione sistemi informatizzati, che supportano nella gestione dei dati in sintonia con il GDPR, tutto può risultare più semplice e sicuro.
Per info dettagliate sulla normativa del GDPR:
Guida completa al GDPR per il mondo del WELLNESS
www.garanteprivacy.it/web/guest/home
ec.europa.eu/justice/smedataprotect/index_it.htm