INFORMATIVA PRIVACY

0. Matrice riassuntiva (lettura rapida)

La tabella seguente riassume: perché trattiamo i dati (“Finalità”), su quale base giuridica (“Base giuridica”), per quanto tempo li conserviamo (“Conservazione”) e note importanti. Le sezioni successive spiegano i dettagli.

Gli altri paragrafi di questa informativa spiegano in dettaglio le voci della tabella, le modalità operative interne, le misure di sicurezza e i tuoi diritti.

0-bis. Definizioni operative interne

Le seguenti definizioni valgono in tutto il presente documento e si riferiscono all’organizzazione interna dell’ASD, così come prevista dal Regolamento 2025 e dagli altri atti interni richiamati nel §13.

Soci Ordinari

Persone che aderiscono all’Associazione secondo lo Statuto/Regolamento, con diritti/doveri associativi, ma che non svolgono necessariamente attività sportiva come atleti e non hanno incarichi tecnici o gestionali.

Soci Atleti

Ai sensi del Regolamento 2025, art. 6, punto 2, sono Soci Atleti le persone fisiche che corrispondono la quota associativa annuale e praticano un’attività sportiva all’interno dell’Associazione. Chiarimento privacy: la partecipazione alle sessioni di allenamento/attività è subordinata al possesso di un certificato medico di idoneità sportiva non agonistica/agonistica in corso di validità; in assenza del certificato, il Socio può mantenere la qualità di Socio (anche nella categoria Atleti), ma non è ammesso alla pratica finché non regolarizza la documentazione. Il trattamento dei relativi dati sanitari avviene secondo i §§4 e 8 della presente Informativa. (Rinvii: Regolamento, art. 6.2; Informativa PRIVACY, §§0, 4, 8)

Soci Tecnici

Istruttori/allenatori/figure tecniche interne dell’ASD, nominate dal Consiglio Direttivo e autorizzate al trattamento nei soli limiti di necessità (“need to know”). Sono esclusi da questa definizione i fornitori esterni e i coach di terzi: per tali soggetti si applica il §5 (Responsabili del trattamento o Titolari autonomi/contitolari).

Accesso e informazioni ricevute. I Soci Tecnici ricevono esclusivamente l’Elenco ammessi/non ammessi relativo alle proprie sessioni/gruppi (§8.3), senza indicazione della motivazione (ad es. ragioni sanitarie, amministrative o disciplinari). Non ricevono né conservano copie di certificati medici, moduli di iscrizione completi, atti disciplinari o altra documentazione amministrativa/sanitaria (v. DPIA artt. 17–19).

Canali consentiti. Operano solo tramite canali istituzionali e/o canali interni designati dell’ASD; è vietato l’uso di account/caselle personali per dati sanitari, amministrativi o disciplinari. Ogni richiesta privacy (DSAR) o segnalazione che pervenga su canali personali è inoltrata senza rispondere nel merito all’Indirizzo Privacy Ufficiale per protocollazione (v. §§1.2, 9.2).

Comunicazioni e minori. I Soci Tecnici non inviano comunicazioni promozionali/marketing e non gestiscono via canali personali comunicazioni contenenti dati amministrativi sensibili o riferiti a minori; le comunicazioni istituzionali ai Soci/ai genitori/tutori sono curate dai Soci Gerenti tramite canali istituzionali (§§3.5, 6.1–6.2, 8.5).

Archivi. I Soci Tecnici non effettuano ingressi fisici ai locali/armadi d’archivio né accessi ai dati d’archivio: non accedono all’Archivio operativo iscrizioni digitali [anno sportivo] né all’Archivio passivo protetto; l’unico riferimento operativo sul campo è l’Elenco ammessi/non ammessi (DPIA artt. 17–19).

Soci Gerenti

Figure interne nominate dal Consiglio Direttivo e autorizzate al trattamento per la gestione amministrativa e documentale dell’ASD, nel rispetto del principio di minimizzazione e del “need to know”.

Compiti principali. (i) ricevere e verificare la documentazione di iscrizione e l’idoneità sportiva; (ii) organizzare e aggiornare l’Archivio operativo iscrizioni digitali [anno sportivo]; (iii) predisporre e mantenere l’Elenco ammessi/non ammessi per le sessioni/gruppi; (iv) inviare comunicazioni istituzionali ai Soci e ai genitori/tutori; (v) ove previsto, inviare comunicazioni promozionali esclusivamente via e-mail istituzionale dell’ASD secondo il §3.5 / §8.5 (con diritto di opposizione immediata).

Canali e limiti. I Soci Gerenti operano esclusivamente tramite canali istituzionali dell’ASD (§6.1–§6.2); non utilizzano account o caselle personali per documenti sanitari, amministrativi o disciplinari. Eventuali richieste privacy (DSAR) o segnalazioni pervenute su canali non istituzionali sono inoltrate senza rispondere nel merito all’Indirizzo Privacy Ufficiale per protocollazione e gestione tracciata (§1.2, §9.2), in coordinamento con il Segretario Generale. Le convocazioni degli Organi seguono esclusivamente le regole e i canali di cui al Regolamento 2025 (art. 2, punto 7 e art. 3) e non rientrano nelle comunicazioni a cura dei Soci Gerenti.

Accessi agli archivi. I Soci Gerenti hanno accesso all’Archivio operativo iscrizioni digitali [anno sportivo] per le finalità amministrative e sanitarie descritte nell’Informativa; collaborano con il Consiglio Direttivo, nel rispetto del controllo interno degli accessi, per gli atti da trattare nell’Archivio passivo protetto (§8). I Soci Tecnici non accedono a tali archivi (§0-bis “Archivio operativo…”, §8.3).

Consiglio Direttivo

Organo di governo dell’ASD. Ha potere di indirizzo e vigilanza e, quando necessario, accede all’archivio passivo protetto (tutela sanitaria, tutela minori, disciplina interna, responsabilità civile, sinistri assicurativi, richieste legali). L’accesso a tale archivio è limitato ai soli membri formalmente autorizzati e vincolati alla riservatezza, ed è soggetto a controllo interno degli accessi da parte del Consiglio Direttivo (vedi la definizione di "Controllo interno degli accessi").

Archivio operativo iscrizioni digitali [anno sportivo]

Archivio amministrativo-operativo organizzato per stagione sportiva (ad es. “Iscrizioni digitali 2025-2026”), gestito dai Soci Gerenti sotto la vigilanza del Consiglio Direttivo. Per ciascun Socio Atleta contiene esclusivamente: modulo di iscrizione firmato, prova della quota associativa/tesseramento, originale o copia integrale del certificato medico di idoneità sportiva presentata e le comunicazioni amministrative strettamente necessarie all’ammissione/rinnovo. Se, nel corso della stagione, la certificazione risulta scaduta, l'originale o la copia integrale permane fino al 31 agosto ai soli fini amministrativi della stagione. I Soci Tecnici non accedono a questo archivio.

Fascicolo Operativo di Stagione e di Sede [anno sportivo] (FOSS)

Raccolta operativa della documentazione corrente della stagione sportiva, organizzata in sottofascicoli digitali e fisici presso la sede legale (armadi/loculi chiusi) e nei sistemi informatici interni dell’ASD, sotto la vigilanza del Consiglio Direttivo e nel rispetto del controllo interno degli accessi. Il FOSS è distinto dagli archivi probatori.

Contenuto (esempi, non esaustivo). Pianificazioni e calendari; contratti/ordini relativi a impianti/locazioni; comunicazioni operative; turni/presenze; contabilità corrente non probatoria; contratti/accordi di collaborazione con adulti per gli aspetti non sensibili; estremi operativi essenziali utili alla gestione (ad es. per atleti: stato quota, idoneità valida/scaduta e ammissione/non ammissione alla sessione). Per i Soci Atleti, nel sottofascicolo «Archivio operativo iscrizioni digitali [anno sportivo]» (§8.1) è ammessa, ai soli fini di gestione corrente della stagione, la presenza dell’originale o copia integrale del certificato medico di idoneità sportiva (agonistica/non agonistica) presentato dall’interessato; referti/diagnosi restano presso il medico certificatore e non confluiscono nel FOSS.

Sottofascicoli tipici. Il FOSS può includere, tra gli altri, il sottofascicolo «Archivio operativo iscrizioni digitali [anno sportivo]» per i Soci Atleti, che resta regolato dal §8.1.

Esclusioni. Non confluiscono nel FOSS documenti sanitari completi, dati giudiziari, atti disciplinari, materiale di tutela minori, atti assicurativi/di responsabilità civile o difensivi, fatta salva la specifica eccezione del certificato medico di idoneità sportiva (originale o copia integrale) detenuto esclusivamente nel sottofascicolo «Archivio operativo iscrizioni digitali [anno sportivo]» (§8.1) per la durata della stagione sportiva e nei limiti ivi indicati. Ogni diversa documentazione sanitaria completa, nonché referti/diagnosi, è trattata esclusivamente nell’Archivio passivo protetto (§8.2). I documenti operativi effimeri (es. Elenco ammessi/non ammessi della singola sessione) non costituiscono archivio storico e sono eliminati al termine dell’uso pratico, nei limiti del §8.

Accesso e sicurezza. Accesso limitato ai Soci Gerenti e al Consiglio Direttivo per le sole finalità operative; i Soci Tecnici non accedono ai sottofascicoli contenenti atti amministrativi/sanitari (§8.1, §8.3). Il controllo degli accessi, fisici e ai dati, è esercitato dal Consiglio Direttivo secondo la definizione di controllo interno degli accessi (§0-bis).

Durata e destino a fine stagione. Il FOSS è mantenuto per la sola durata della stagione. A fine stagione (31 agosto): (i) i contenuti non più necessari sono cancellati; (ii) il certificato medico e gli atti amministrativi correlati sono rimossi dall’uso quotidiano e versati nell’Archivio passivo protetto (§8.2); resta ferma l’eventuale applicazione di LEGAL HOLD.

Elenco ammessi/non ammessi alla sessione

Documento operativo derivato dall’Archivio operativo iscrizioni digitali [anno sportivo] dai Soci Gerenti e messo a disposizione dei Soci Tecnici per la sola organizzazione della specifica sessione/attività.

Contenuto e formato. Per la singola sessione/data riporta esclusivamente l’elenco delle persone “ammesso”/“non ammesso”; non indica motivazioni (ad es. scadenza certificato medico, documentazione incompleta, sospensione disciplinare) né altre note identificative.

Validità e conservazione. Valido solo per la sessione indicata e non è un archivio storico. È un documento operativo effimero (§8): al termine della sessione non viene conservato oltre quanto strettamente necessario all’organizzazione pratica di quella specifica sessione; non confluisce nell’archivio passivo protetto, salvo necessità probatoria alle condizioni del §8.

Uso e canali. Si consulta/si esibisce esclusivamente tramite canali istituzionali (§6.1–§6.2). È vietata la condivisione su chat/account personali, nonché la riproduzione non autorizzata (foto/screenshot/stampe non necessarie). Eventuali stampe operative vanno eliminate al termine della sessione.

Documenti operativi effimeri

Documenti di mera utilità organizzativa immediata (ad es. elenchi di servizio per la gestione di una specifica sessione/attività), che non costituiscono un archivio storico e sono eliminati al termine dell’uso pratico della specifica attività/sessione.

Tali documenti confluiscono nell’archivio passivo protetto solo se e nei limiti in cui risultino strettamente necessari a fini probatori, disciplinari, assicurativi, di responsabilità civile, tutela dei minori o difesa in giudizio, secondo quanto previsto dal §8.

Esempi: l’Elenco ammessi/non ammessi alla sessione (§8.3). Restano ferme le regole su canali istituzionali e canali interni formalmente designati (v. §§5.5 e 6.1).

Archivio passivo protetto

Archivio interno separato dall’uso quotidiano, destinato unicamente a finalità probatorie, assicurative, disciplinari, di responsabilità civile e di tutela dei minori.

Gli ingressi fisici ai locali/armadi che lo custodiscono e gli accessi ai dati (consultazioni dei fascicoli, estrazioni di copia, trasmissioni a terzi) sono fortemente limitati al Consiglio Direttivo (o a persone formalmente incaricate) e sono entrambi soggetti al controllo interno degli accessi del Consiglio Direttivo (v. §0-bis e §8.2).

Contenuti tipici. Possono confluire: copie di certificati medici scaduti o di ex Soci Atleti; atti disciplinari; documentazione tutela minori; atti relativi a sinistri assicurativi e responsabilità civile; materiale di difesa legale; evidenze essenziali su richieste privacy (DSAR) e opposizioni a comunicazioni promozionali, nei limiti dei §§5.5 e 7.4.

Registrazioni. Non è tenuto alcun registro cronologico degli ingressi fisici né delle singole consultazioni/estrazioni; non è previsto un “registro dei movimenti d’archivio” né forme equivalenti di tracciamento degli accessi.

Valgono i tempi di conservazione descritti nel §8.

LEGAL HOLD

Sospensione mirata della cancellazione quando esiste una controversia legale, disciplinare, assicurativa, di responsabilità civile o tutela minori ancora aperta. Finita la controversia, i documenti soggetti a LEGAL HOLD vengono cancellati secondo i tempi ordinari descritti nel §8.

Indirizzo Privacy Ufficiale

Canale istituzionale dell’ASD (indirizzo e-mail/PEC ufficiale) a cui l’interessato può scrivere per esercitare i diritti privacy (accesso, rettifica, opposizione, ecc.), come descritto nel §9. Tutte le richieste privacy ricevute su canali personali devono essere immediatamente inoltrate, senza rispondere nel merito, all’Indirizzo Privacy Ufficiale.

Giornale DSAR

Registro interno delle richieste privacy pervenute all’Indirizzo Privacy Ufficiale e delle risposte fornite, tenuto dai Soci Gerenti sotto la vigilanza del Consiglio Direttivo, per dimostrare il rispetto degli obblighi di trasparenza e risposta previsti dal GDPR. Le copie rilevanti possono essere conservate nell’archivio passivo protetto per i fini probatori descritti nel §8.

Controllo interno degli accessi

Oggetto del presidio. Ai fini della presente Informativa distinguiamo: (i) gli ingressi fisici ai locali/armadi d’archivio che custodiscono l’archivio passivo protetto; (ii) gli accessi ai dati d’archivio (consultazioni dei fascicoli, estrazioni di copia, trasmissioni a terzi). Il presidio è esercitato dal Consiglio Direttivo (o da persone da esso formalmente incaricate e vincolate alla riservatezza) per assicurare che tali ingressi e accessi avvengano esclusivamente da parte di soggetti preventivamente autorizzati e solo per le finalità ammesse (finalità probatorie, assicurative, disciplinari, responsabilità civile, tutela dei minori, difesa in giudizio).

Misure organizzative. Limitazione delle presenze e delle credenziali degli autorizzati (elenco nominativo deliberato e aggiornato; custodia delle chiavi/credenziali; ambienti/locali chiusi; ove opportuno regola di doppia presenza per consultazioni/estrazioni).

Registrazioni. Non è tenuto alcun registro cronologico: (a) degli ingressi fisici ai locali/armadi d’archivio; né (b) delle singole consultazioni/estrazioni dai fascicoli. Non è previsto un “registro dei movimenti d’archivio” né forme equivalenti di tracciamento degli accessi. Restano attivi solo strumenti organizzativi non cronologici necessari al presidio: (a) elenco nominativo degli autorizzati e relative delibere/aggiornamenti; (b) attestazioni di consegna/ritiro di chiavi e credenziali; (c) copie/receipts di eventuali trasmissioni verso terzi tramite canali istituzionali (PEC/e-mail istituzionale), ove esistenti; (d) i registri di accountability distinti previsti dalla presente Informativa (ad es. Giornale DSAR di cui al §9 e il registro interno degli incidenti di cui al §11), con finalità e durate proprie (§§8–9–11).

Responsabilità. La responsabilità del presidio e delle autorizzazioni compete al Consiglio Direttivo.

Canali istituzionali

Per “canali istituzionali” si intendono i canali formalmente previsti dal Regolamento 2025 per le convocazioni e le comunicazioni ufficiali ai Soci (art. 2, punto 7), ivi inclusa la casella e-mail istituzionale dell’Associazione.

Trasmissioni amministrative e interne. L’invio/ricezione di dati e documenti personali avviene esclusivamente tramite la casella e-mail istituzionale e/o la PEC dell’ASD, ovvero — ove strettamente necessario per ragioni tecniche — tramite canali interni formalmente designati dal Consiglio Direttivo ai sensi della Politica di Comunicazione Istituzionale e Uso delle Immagini (artt. 6 e 15), in coordinamento con il Regolamento 2025 (art. 18). Sono sempre esclusi l’affissione presso la sede e la pubblicazione sul sito web per tali trasmissioni.

Le pagine social ufficiali, ove presenti, non sostituiscono i canali istituzionali per le convocazioni degli Organi o per comunicazioni individuali ai Soci. L’uso di chat/account personali non rientra nei canali istituzionali ed è vietato ai fini della presente Informativa.

Contenuto istituzionale

Comunicazioni obbligatorie relative a: ammissione/non ammissione all’attività sportiva, idoneità sanitaria, sicurezza fisica, tutela dei minori, disciplina interna, gestione assicurativa, adempimenti legali e di protezione dei minori. Non è marketing.

Contenuto promozionale (marketing istituzionale)

Comunicazioni facoltative che promuovono iniziative analoghe già svolte dall’ASD (ad es. inviti ad attività simili, raccolte fondi, eventi dell’ASD). Possono essere inviate esclusivamente via e-mail istituzionale dell’ASD, solo da Soci Gerenti incaricati, e con possibilità per il destinatario di opporsi in qualsiasi momento rispondendo “NON INVIARE PIÙ”. Nessun uso di WhatsApp/SMS/numeri personali per fini promozionali.

Zero-shooting

Divieto assoluto, durante allenamenti, attività interne, riunioni, eventi associativi e in generale all’interno degli spazi dell’ASD, di effettuare foto, video, registrazioni audio o altre riprese con l’intento di pubblicare, diffondere o utilizzare esternamente quel materiale (ad es. social, promozione, marketing). In altri termini: nelle attività interne dell’ASD non è consentito produrre contenuti destinati alla comunicazione esterna. Sono ammesse esclusivamente le eccezioni tassative e non pubbliche previste dalla Politica: (a) riprese/registrazioni per fini di sicurezza, tutela dell’incolumità o adempimenti di legge; (b) trasmissioni amministrative e interne strettamente necessarie, senza diffusione al pubblico e senza riuso promozionale. Nessuna istruzione interna o autorizzazione informale può costituire deroga ai divieti. (Rinvio: Politica di Comunicazione Istituzionale e Uso delle Immagini, art. 4; art. 6; art. 17). Il principio di “zero-shooting” è parte integrante delle misure di tutela dei minori e di protezione dell’immagine dei Soci.

Corridoio tecnico

Uso temporaneo e strettamente tecnico di materiale grezzo già esistente e proveniente da fonti esterne ai siti/luoghi dell’ASD (ad es. foto/clip ricevute da terzi), al solo fine di ottenere una versione non identificativa (NI) mediante ritaglio/selezione, sfocatura/mascheratura di volti e, se del caso, sostituzione dell’anteprima per link/incorporamenti. Terminata la de-identificazione, gli originali riconoscibili sono cancellati senza indugio; eventuali copie strettamente indispensabili per fini probatori, disciplinari, assicurativi, di responsabilità civile o tutela dei minori sono gestite nell’archivio passivo protetto secondo §8. Il corridoio tecnico non costituisce autorizzazione a nuove riprese né deroga al divieto di acquisizioni nei siti dell’ASD di cui a §6.3 (“zero-shooting”); per i dettagli si rinvia alla Politica di Comunicazione Istituzionale e Uso delle Immagini, art. 16.

Contenuto storico

Documentazione di valore storico-istituzionale dell’ASD (ad es. descrizioni testuali di risultati sportivi, cronologia dell’Associazione). Per le immagini si utilizzano solo contenuti non identificativi (NI) o sintetici; per i minori l’ASD non pubblica né diffonde immagini riconoscibili. Non sono ammesse eccezioni per contenuti destinati all’esterno. (Rinvio: Politica di Comunicazione Istituzionale e Uso delle Immagini, art. 4 — zero-shooting; art. 20 — contenuti storici; art. 17 — “takedown”)

Consenso digitale dei minori

In base alla normativa italiana che attua l’art. 8 GDPR (art. 2-quinquies del Codice Privacy), il minore che ha compiuto 14 anni può esprimere direttamente il consenso al trattamento dei propri dati personali solo in relazione ai servizi della società dell’informazione (servizi digitali/online messi a disposizione dall’ASD o collegati all’ASD). Per i minori di età inferiore a 14 anni, ogni consenso richiesto su base “consenso esplicito” (ad es. comunicazioni digitali non obbligatorie) deve essere prestato dal genitore/tutore legale. Resta ferma la facoltà del genitore/tutore di opporsi o revocare.

Chiarimento applicabile alla presente Informativa. Il riferimento al “consenso all’uso di immagini” non abilita la pubblicazione o diffusione esterna di immagini in cui i Soci (inclusi i minori) siano riconoscibili, che è vietata dai §§3.4 e 6.3 e dalle definizioni “Zero-shooting” e “Contenuto storico”. Eventuali immagini riconoscibili di soggetti non Soci possono essere utilizzate solo previo consenso esplicito dell’interessato (o del tutore legale se minore) e senza includere incidentalmente volti riconoscibili di Soci; le sole trasmissioni amministrative e interne strettamente necessarie avvengono senza diffusione al pubblico tramite i canali indicati nel §6.

1. Chi siamo e come contattarci

1.1. Titolare del trattamento

Titolare: ASSOCIAZIONE SPORTIVA DILETTANTISTICA FUTURO GENIALE
Sede legale: Piazzale della Cooperazione, 1, 20153 Milano (MI), Italia
Codice Fiscale: 97591360157
Indirizzo Privacy/esercizio diritti (DSAR): futuro_geniale@libero.it

Il Titolare decide le finalità e i mezzi del trattamento dei dati personali e risponde delle misure di protezione dei dati ai sensi dell’art. 5(2) GDPR (“accountability”).

1.2. Canale ufficiale Privacy/DSAR

L’ASD ha istituito l’Indirizzo Privacy Ufficiale (futuro_geniale@libero.it) come unico canale ufficiale per:

• esercitare i diritti previsti dagli artt. 15–22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso);
• segnalare un incidente di sicurezza o una possibile violazione di dati personali (data breach);
• chiedere chiarimenti su qualsiasi punto di questa informativa;
• richiedere copia o estratto delle Clausole Contrattuali Standard (SCC), del Transfer Impact Assessment (TIA) o degli accordi con fornitori esterni.

PEC. L’indirizzo PEC istituzionale dell’ASD è comunicato su richiesta tramite l’Indirizzo Privacy Ufficiale sopra indicato ed è utilizzato per i riscontri quando l’interessato scrive da casella PEC o chiede espressamente risposta su PEC.

Se una richiesta arriva su un canale non istituzionale (ad esempio la chat privata di un istruttore o volontario), chi la riceve è tenuto a inoltrarla immediatamente all’Indirizzo Privacy Ufficiale senza modificarla e senza filtrarla. In questo modo la richiesta viene protocollata nel Giornale DSAR e gestita con tracciabilità e nei tempi di legge. La persona che ha inviato la richiesta non viene penalizzata: l’ASD si impegna a facilitare l’esercizio dei diritti (art. 12 GDPR), anche se il primo contatto non è avvenuto sul canale formale.

L’ASD risponde alla richiesta senza ingiustificato ritardo e comunque entro 1 mese a decorrere dalla data del primo contatto pervenuto all’ASD (come precisato al §9.2), anche se inizialmente avvenuto su canali non istituzionali. La presa in carico formale avviene tramite l’Indirizzo Privacy Ufficiale con protocollazione nel Giornale DSAR (v. §9.3). In caso di particolare complessità o numero elevato di richieste, il termine può essere prorogato fino a 2 mesi aggiuntivi; in tal caso l’ASD ne dà comunicazione entro 1 mese, indicando le ragioni della proroga. L’esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive ai sensi dell’art. 12(5) GDPR.

1.3. Governance privacy interna

Il Consiglio Direttivo vigila sulla conformità privacy dell’ASD. Il Presidente opera come coordinatore operativo privacy; in sua assenza subentra il Vicepresidente e, successivamente, il Segretario Generale. Queste figure gestiscono l’Indirizzo Privacy Ufficiale, autorizzano le persone interne al trattamento (“incaricati/autorizzati”), curano il Giornale DSAR, assicurano che vengano usati solo i canali istituzionali e attivano il Data Breach Response Plan in caso di incidente.

In concreto:

• Il Consiglio Direttivo sovrintende alla conformità privacy, approva gli atti interni (Regolamento 2025, Politica di Comunicazione Istituzionale e Uso delle Immagini, procedure di sicurezza e gestione incidenti);
• Il Presidente dell’ASD agisce come coordinatore operativo privacy e gestisce l’Indirizzo Privacy Ufficiale;
• In assenza del Presidente, assume il ruolo il Vicepresidente; in assenza anche del Vicepresidente, assume il Segretario Generale;
• Queste figure autorizzano formalmente le persone interne al trattamento dei dati (“incaricati/autorizzati”) e ne definiscono i limiti di accesso (“need to know”);
• Gestiscono e aggiornano il Giornale DSAR (registro delle richieste privacy e delle risposte);
• Verificano che, per le comunicazioni ufficiali e la gestione dei dati personali, vengano usati esclusivamente i canali istituzionali dell’ASD, evitando canali personali non autorizzati;
• Attivano il Data Breach Response Plan in caso di incidente o violazione di dati personali (artt. 33 e 34 GDPR), inclusa – se necessario – la notifica al Garante entro 72 ore e l’informativa agli interessati in caso di rischio elevato.

1.4. Responsabile della Protezione dei Dati (DPO/RPD)

Alla data di questa versione l’ASD non ha nominato un DPO/RPD. Il Consiglio Direttivo ha effettuato una valutazione ai sensi dell’art. 37 GDPR e delle linee guida dell’EDPB: l’ASD non effettua trattamenti su larga scala di categorie particolari di dati (come i dati sanitari) né svolge monitoraggio regolare e sistematico su larga scala di persone fisiche. In base a questa analisi, allo stato attuale, la nomina del DPO non è obbligatoria.

Questa valutazione viene riesaminata almeno una volta l’anno; ogni volta che aumenta in modo significativo il numero di Soci/atleti/minori; quando vengono introdotte nuove piattaforme informatiche o nuovi fornitori esterni; o quando cambiano gli obblighi di legge in materia di idoneità sanitaria o di controlli sui precedenti giudiziari dei collaboratori. Un estratto della valutazione è conservato presso la Segreteria Generale ed è disponibile per l’Autorità Garante e, in termini generali, per gli interessati che lo richiedono tramite l’Indirizzo Privacy Ufficiale.

2. Origine dei dati (art. 14 GDPR)

L’ASD può trattare dati personali che ci hai fornito direttamente o che ci sono stati comunicati da altri soggetti.

Esempi di dati raccolti indirettamente:

• Genitori/tutori legali: per l’iscrizione e la gestione dell’attività sportiva dei minori ci forniscono dati identificativi, recapiti, certificazioni sanitarie di idoneità;
• Scuole, enti pubblici o enti partner di progetti educativi/sportivi: possono comunicarci elenchi di partecipanti o contatti di riferimento per organizzare attività, eventi, progetti sociali o inclusivi;
• Federazioni sportive/Enti di Promozione Sportiva / CONI: possono trasmetterci codici di tesseramento, stato di affiliazione o informazioni strettamente necessarie alla gestione sportiva e assicurativa;
• Compagnie assicurative e consulenti: nell’ambito di una pratica di infortunio/sinistro o nella gestione delle coperture assicurative obbligatorie;
• Altri partecipanti: in casi limitati possiamo ricevere da terzi un tuo recapito per inviarti comunicazioni organizzative immediate (ad es. cambio orario allenamento); in tal caso veniamo tenuti a informarti.

Obbligo di informativa quando i dati arrivano da terzi:

Se riceviamo dati che ti riguardano da una fonte diversa da te, ti forniamo questa informativa:

• entro un mese dal momento in cui otteniamo i dati; oppure
• al primo contatto (per es. prima di scriverti); oppure
• prima di eventuale comunicazione a terzi.

Se informarti richiedesse uno sforzo manifestamente sproporzionato o vanificherebbe finalità di tutela (ad es. indagine interna su un rischio per minori), l’ASD valuta caso per caso l’uso delle eccezioni previste dall’art. 14(5) GDPR e documenta questa valutazione ai fini della trasparenza e dell’accountability.

3. Finalità e basi giuridiche del trattamento

3.1. Gestione del rapporto associativo e sportivo

Usiamo i dati per iscrizione, tesseramento, gestione allenamenti e attività, convocazioni a gare/eventi, gestione degli spazi e delle attrezzature, comunicazioni organizzative e obblighi amministrativi verso federazioni/enti sportivi.

Basi giuridiche principali: art. 6(1)(b) GDPR (rapporto associativo); art. 6(1)(c) GDPR (obblighi previsti da norme sportive, assicurative, fiscali); per i dati sanitari v. §4.

3.2. Amministrazione, contabilità, obblighi di legge

Dati necessari a emissione di ricevute e documenti contabili, alla gestione dei pagamenti e ai rapporti con assicurazioni e banche sono trattati per adempiere obblighi legali e regolamentari (art. 6(1)(c) GDPR). Questi trattamenti non hanno finalità promozionali e non comportano profilazione; le comunicazioni connesse sono limitate a contenuti istituzionali/necessari e avvengono tramite i canali istituzionali indicati in §6 e le trasmissioni di cui al §5.5.

3.3. Sicurezza, tutela dei minori, segnalazioni

L’ASD gestisce segnalazioni relative a sicurezza, benessere, eventuali condotte non idonee o rischiose verso minori o persone vulnerabili, e adotta misure disciplinari/di prevenzione. Sono trattati anche dati giudiziari di collaboratori e volontari quando la legge sportiva o civile lo richiede (ad es. per verificare l’idoneità a lavorare con minori).

Basi giuridiche: art. 6(1)(c) GDPR (obblighi normativi e sportivi in materia di tutela minori e sicurezza); art. 6(1)(f) GDPR (legittimo interesse dell’ASD limitato alla prevenzione degli abusi e alla protezione dell’integrità delle persone e delle attività); art. 9(2)(f) GDPR e art. 10 GDPR per dati sanitari/giudiziari quando strettamente necessari per prevenire o gestire un rischio e per difendere diritti. Il legittimo interesse di cui sopra non si estende a finalità promozionali e non comporta profilazione: per il marketing si applica esclusivamente §3.5 e per le decisioni automatizzate/profilazione si veda §12.

È vietato contattare direttamente minori tramite canali personali/privati dei singoli istruttori o volontari. Ogni comunicazione verso/relativa ai minori deve passare tramite i genitori/tutori e attraverso i canali istituzionali dell’ASD definiti nel Regolamento e nella Politica di Comunicazione.

3.4. Comunicazioni istituzionali e uso delle immagini

L’ASD comunica risultati sportivi, attività associative, iniziative sociali e progettuali tramite i propri canali istituzionali (sito, comunicati ufficiali, eventuali canali social ufficiali). Per impostazione predefinita:

• non pubblichiamo immagini in cui i Soci siano riconoscibili (volto identificabile);
• privilegiamo testi, statistiche, risultati, immagini non identificative (ad es. mani/dettagli non riconoscibili) e contenuti sintetici/grafici;
• è vietato l’uso di deepfake/face-swap/manipolazioni che ricostruiscono il volto o l’identità dei Soci;
• se un soggetto non è Socio e la sua immagine riconoscibile viene usata per finalità istituzionali/promozionali dell’ASD, ciò avviene solo con consenso esplicito e informato di quel soggetto (o del tutore legale se minore), e senza includere incidentalmente volti di Soci riconoscibili nello stesso contenuto.

Quando un contenuto è già stato pubblicato come contenuto istituzionale o archiviato come contenuto storico, l’interessato (o il genitore/tutore se minore) può chiedere in qualunque momento la rimozione (“takedown”) o l’anonimizzazione (oscuramento/ritaglio in modo da non essere più riconoscibile).

SLA di intervento: quando chiedi la rimozione (“takedown”) o l’anonimizzazione di un contenuto istituzionale/storico in cui compari tu o tuo/a figlio/a, l’ASD interviene sui propri canali entro un termine operativo rapido, indicativamente entro 10 giorni lavorativi salvo impedimenti tecnici oggettivi (ad esempio: impossibilità temporanea di accesso all’account del canale o obblighi legali di conservazione come prova).

Dal momento della richiesta:

• l’ASD sospende subito ogni ulteriore utilizzo interno di quel contenuto per scopi comunicativi o promozionali;
• eventuali copie interne restano accessibili solo, se necessario, ai soli fini probatori/tutela dei minori / gestione assicurativa o disciplinare, in un archivio passivo protetto con accesso limitato;
• l’ASD cessa l’uso diretto di quel contenuto sui propri canali istituzionali e, ove possibile, segnala la richiesta agli altri canali sotto il proprio controllo diretto;
• l’ASD non può però garantire la rimozione universale di copie diffuse da soggetti terzi o su piattaforme che agiscono come titolari autonomi, ma in ogni caso interrompe il proprio utilizzo attivo del contenuto e registra la richiesta.

3.5. Marketing istituzionale facoltativo

L’ASD può inviare comunicazioni promozionali legate alle proprie attività istituzionali (ad esempio newsletter, inviti a nuovi corsi o progetti sociali, comunicazioni sull’apertura della nuova stagione sportiva, campagne di raccolta fondi, informazioni su eventi istituzionali aperti ai Soci). Questo insieme di comunicazioni viene definito “marketing istituzionale”.

Il marketing istituzionale è sempre facoltativo e non è richiesto per l’accesso ai corsi o ai servizi dell’ASD. Puoi partecipare alle attività senza ricevere comunicazioni promozionali.

Le comunicazioni promozionali (non profilate, relative a iniziative/corsi analoghi) sono inviate esclusivamente dalla casella e-mail istituzionale dell’ASD tramite i canali istituzionali (v. §6.1–§6.2) e mai da numeri o account personali. Non sono impiegati canali diversi dall’e-mail istituzionale (es.: WhatsApp, SMS, chiamate, servizi di messaggistica) per finalità di marketing, anche in presenza di consenso; tali canali, ove formalmente designati, sono ammessi solo per riscontri operativi one-to-one non promozionali (v. §6.2-bis e §3.5.2).

Le comunicazioni organizzative necessarie (orari, sicurezza, documentazione obbligatoria) non rientrano nel marketing e proseguono in quanto indispensabili per la gestione del rapporto associativo e per la sicurezza.

3.5.1. Comunicazioni via e-mail su iniziative analoghe (“soft spam”)

L’ASD potrà utilizzare l’indirizzo e-mail fornito nel contesto dell’iscrizione e/o del tesseramento per inviare, anche dopo la fine della stagione sportiva in corso, comunicazioni relative a iniziative, corsi e attività sportive analoghe e direttamente collegate a quelle già frequentate o attivate presso l’ASD dalla persona interessata (o da suo/a figlio/a minore).

Queste comunicazioni via e-mail sono ammesse senza richiedere ogni volta un nuovo consenso esplicito, nei limiti dell’art. 130, comma 4, del Codice Privacy (“soft spam”), a condizione che:

• riguardino esclusivamente servizi, corsi o attività sportive analoghe e direttamente collegate a quelle già usufruite dall’interessato;
• siano inviate solo via e-mail;
• in ogni messaggio e-mail sia presente un meccanismo chiaro, gratuito e immediato per opporsi e non ricevere più ulteriori comunicazioni (“opt-out”): è sufficiente rispondere alla stessa e-mail con un messaggio chiaro che esprima la volontà di interrompere il marketing (ad es.: “Non desidero ricevere ulteriori e-mail”, “Interrompere le comunicazioni promozionali”, “Cancellatemi dalla lista”) oppure scrivere all’Indirizzo Privacy Ufficiale indicato nella presente Informativa.

In qualunque momento l’interessato può opporsi (“opt-out”) e interrompere subito questo tipo di e-mail rispondendo alla stessa e-mail con un messaggio chiaro che esprima la volontà di non ricevere ulteriori comunicazioni (ad es.: “Non desidero ricevere ulteriori e-mail”, “Interrompere le comunicazioni promozionali”, “Cancellatemi dalla lista”) oppure scrivendo all’Indirizzo Privacy Ufficiale indicato nella presente Informativa. In caso di opposizione, l’ASD cessa immediatamente l’invio di ulteriori e-mail promozionali di questo tipo.

3.5.2. Canali di marketing ammessi (solo e-mail istituzionale)

Le comunicazioni di marketing istituzionale sono inviate esclusivamente tramite la casella e-mail istituzionale dell’ASD, secondo quanto già previsto in §3.5.1 (soft spam e-mail) e §3.5.5 (newsletter su consenso).

Sono esclusi da tale finalità i canali diversi dall’e-mail (ad es. WhatsApp, SMS, chiamate vocali, servizi di messaggistica), anche in presenza di consenso: tali canali non rientrano nei canali istituzionali ai sensi del Regolamento 2025 (art. 2, punto 7) e della Politica di Comunicazione Istituzionale e Uso delle Immagini (artt. 6 e 15), e, se formalmente designati dal Consiglio Direttivo, sono utilizzabili solo per comunicazioni operative one-to-one non promozionali (v. §6).

Restano fermi: l’assenza di profilazione, la presenza dell’opt-out in ogni e-mail e il diritto di opposizione/revoca in qualsiasi momento, come indicato in §3.5.1 e §3.5.5.

3.5.3. Diritto di opposizione/opt-out immediato

L’interessato può in qualsiasi momento e senza costi:

• opporsi alle comunicazioni e-mail inviate in modalità “soft spam” ai sensi dell’art. 130, comma 4, Codice Privacy, semplicemente rispondendo alla stessa e-mail con un messaggio chiaro che esprima la volontà di non ricevere ulteriori comunicazioni (es.: “NON INVIARE PIÙ”, “Non desidero ricevere ulteriori e-mail”, “Interrompere le comunicazioni promozionali”, “Cancellatemi dalla lista”) oppure scrivendo all’Indirizzo Privacy Ufficiale.
• Il diritto di opposizione/revoca per le comunicazioni di marketing si esercita esclusivamente tramite l’e-mail istituzionale dell’ASD o l’Indirizzo Privacy Ufficiale. Eventuali messaggi inviati per errore su canali diversi sono immediatamente inoltrati ai canali istituzionali per protocollazione; l’ASD cessa senza ritardo gli invii e gestisce la richiesta secondo i §§3.5.1, 3.5.4–3.5.5 e §6.2-bis.

Dopo l’opposizione o la revoca, l’ASD cessa immediatamente gli invii per la relativa finalità e aggiorna i propri elenchi (inclusa un’eventuale lista di soppressione) per evitare contatti futuri non desiderati, senza effetti negativi sulla partecipazione alle attività associative o sportive.

Questo meccanismo soddisfa il diritto di opposizione ex art. 21 GDPR e la revoca del consenso ex art. 7 GDPR.

Questo rientra nel diritto di opposizione ai sensi dell’art. 21 GDPR e nel diritto di revoca del consenso ai sensi dell’art. 7 GDPR. L’ASD interromperà l’invio di ulteriori comunicazioni promozionali senza costi e senza alcuna conseguenza negativa sulla partecipazione alle attività associative o sportive.

3.5.4. Tempi di conservazione dei contatti marketing

I recapiti utilizzati per il marketing istituzionale vengono conservati:

• Newsletter su consenso (solo e-mail istituzionale): fino alla revoca del consenso; le prove di consenso/revoca sono conservate fino a 10 anni a fini probatori (v. §3.5.5).
• Soft spam e-mail su legittimo interesse: fino all’esercizio dell’opposizione (opt-out) da parte dell’interessato (v. §3.5.1).

Non sono effettuati invii di marketing tramite canali diversi dall’e-mail istituzionale; pertanto non si conservano recapiti o consensi relativi a WhatsApp, SMS, servizi di messaggistica o chiamate vocali per finalità di marketing.

La prova dell’esercizio di revoca/opposizione è conservata fino a 10 anni ai soli fini probatori e difensivi, poi cancellata definitivamente salvo LEGAL HOLD.

In sintesi: il marketing istituzionale è opzionale; non è condizione di accesso alle attività; l’interessato può revocare o opporsi in qualsiasi momento e senza costi; il Titolare cessa l’invio subito dopo opposizione/revoca.

3.5.5. Newsletter istituzionale (consenso; canale esclusivo e-mail)

La newsletter istituzionale dell’ASD riguarda comunicazioni su avvio/rinnovo stagione, calendario dei medesimi corsi, eventi e iniziative strettamente analoghe alle attività istituzionali dell’Associazione (es.: informazioni organizzative di interesse generale, inviti a iniziative istituzionali, campagne di sostegno senza profilazione).

Base giuridica: consenso dell’interessato (art. 6, par. 1, lett. a) GDPR), libero, specifico e informato; l’adesione è facoltativa e non condiziona in alcun modo l’accesso alle attività associative. Il consenso è documentato con modalità idonee (es.: modulo, flag informato su form web, risposta di conferma).

Mittente e canale: invii effettuati esclusivamente dalla casella e-mail istituzionale dell’ASD da parte di soggetti formalmente incaricati. Non sono utilizzati canali diversi dall’e-mail istituzionale (es.: WhatsApp, SMS, chiamate, servizi di messaggistica) né account o numeri personali.

Contenuti e limiti: nessuna profilazione o segmentazione a fini commerciali; comunicazioni pertinenti e proporzionate allo scopo istituzionale; nessuna cessione dei recapiti a terzi per finalità promozionali.

Diritti: ogni e-mail contiene un meccanismo chiaro di revoca/opposizione (opt-out) semplice e gratuito; la revoca/opposizione è efficace senza ritardo ingiustificato e non pregiudica la liceità del trattamento già effettuato.

Conservazione: la prova del consenso e della relativa revoca è conservata fino a 10 anni a fini probatori e difensivi; allo spirare del termine i dati sono cancellati, salvo esigenze di LEGAL HOLD documentate.

Minori: per gli allievi minorenni le comunicazioni di newsletter sono indirizzate ai genitori/tutori indicati in anagrafica; non sono inviate comunicazioni dirette ai minori.

3.6. Gestione richieste privacy, contenziosi e sinistri

Se invii una richiesta privacy (DSAR), un reclamo, una segnalazione disciplinare/safeguarding, o se apriamo una pratica di sinistro assicurativo o un contenzioso, trattiamo i dati necessari per valutare la richiesta, rispondere, documentare le decisioni interne e difendere i nostri diritti. Questo include la registrazione della corrispondenza nel Giornale DSAR e negli archivi interni riservati.

Base giuridica: art. 6(1)(c) GDPR (adempimenti di legge, incluso l’obbligo di rispondere ai diritti dell’interessato), e art. 6(1)(f)/9(2)(f)/10 GDPR per la prevenzione/gestione di controversie e la difesa in giudizio.

4. Dati particolari (salute) e dati giudiziari

4.1. Dati sanitari – idoneità sportiva

Questa sezione riguarda il trattamento dei dati sanitari relativi all’idoneità sportiva dei Soci Atleti. La normativa sanitaria sportiva italiana richiede che chi svolge attività sportiva organizzata (agonistica o non agonistica) sia in possesso di una certificazione medica di idoneità sportiva valida. L’ASD è tenuta a verificare l’esistenza e la validità di tale certificazione, a conservarne prova e a non ammettere alla pratica sportiva chi non risulta idoneo o ha certificazione scaduta. La partecipazione alle attività è dunque subordinata alla certificazione valida; in assenza di essa il Socio può mantenere la qualità di Socio (anche nella categoria Atleti), ma non è ammesso alla pratica finché non regolarizza la documentazione.

a) Finalità e contesto operativo

Trattiamo i dati relativi alla salute contenuti nella certificazione medica di idoneità sportiva per le seguenti finalità:

• Ammissione alla pratica sportiva e rinnovi (Socio Atleta): verificare che la persona che chiede di svolgere attività sportiva abbia presentato: (i) modulo di iscrizione firmato, (ii) quota associativa/tesseramento regolarizzata, (iii) certificato medico di idoneità sportiva in corso di validità. Senza questi elementi la persona resta Socio (o candidato) ma non è ammessa alla pratica sportiva.
• Controllo della continuità dell’idoneità: verificare le scadenze del certificato medico e informare l’interessato (o il genitore/tutore in caso di minore) che, fino al rinnovo del certificato, non può partecipare alle attività sportive dell’ASD. Questa è una comunicazione istituzionale obbligatoria di sicurezza, non è promozione commerciale.
• Dimostrazione della correttezza dell’operato dell’ASD e tutela assicurativa/legale: conservare prova che l’ASD ha ammesso all’attività sportiva solo persone munite di idoneità valida, per poter rispondere a richieste assicurative, disciplinari, di responsabilità civile, tutela dei minori o eventuali controversie.

b) Base giuridica

Per trasparenza distinguiamo tre fasi di trattamento.

1. Fase operativa di ammissione/rinnovo (verifica iniziale e controlli di scadenza):
   – Dati “comuni” (anagrafica, recapiti, stato amministrativo): art. 6(1)(c) GDPR (adempimenti di legge e regolamenti sportivi/tutela sanitaria, inclusi gli obblighi di ammettere alle attività sportive soltanto soggetti con certificazione medica valida e di conservarne prova).
   – Dati particolari (dati relativi alla salute: esito di idoneità sportiva): art. 9(2)(g) GDPR (rilevante interesse pubblico nella tutela sanitaria dell’attività sportiva, come previsto dalla normativa nazionale e dall’art. 2-septies del D.Lgs. 196/2003).
   
   Questa fase avviene nell’Archivio operativo iscrizioni digitali [anno sportivo], gestito dai Soci Gerenti sotto la vigilanza del Consiglio Direttivo. L’obiettivo è stabilire se la persona può essere ammessa/continuare ad essere ammessa alla pratica sportiva (non il riconoscimento o la perdita dello “status” di Socio Atleta).
2. Uso quotidiano per l’organizzazione delle attività:
   Dall’Archivio operativo iscrizioni digitali [anno sportivo] viene derivato l’Elenco ammessi/non ammessi alla sessione, che indica solo chi è “ammesso” o “non ammesso” a quella specifica sessione/attività.
   Anche questa attività si fonda su: art. 6(1)(c) GDPR (obblighi legali/regolamentari di tutela sanitaria e sicurezza) e art. 9(2)(g) GDPR (rilevante interesse pubblico nella tutela sanitaria nello sport).
   
   Soci Tecnici: i Soci Tecnici (istruttori/allenatori/figure tecniche incaricate dall’ASD) ricevono esclusivamente l’Elenco ammessi/non ammessi alla sessione, senza alcuna indicazione della motivazione (ad es. certificato scaduto, documentazione incompleta, sospensione disciplinare, ecc.) e senza accesso all'originale o alla copia integrale del certificato medico. In questo modo i Soci Tecnici non trattano direttamente dati sanitari.
3. Fase probatoria/difensiva (archivio passivo protetto):
   Dopo la scadenza del certificato o la cessazione del rapporto associativo/sportivo, l'originale o la copia integrale del certificato medico e la relativa documentazione amministrativa vengono trasferite in un archivio passivo protetto, separato dalla gestione quotidiana.
   – art. 6(1)(f) GDPR (legittimo interesse dell’ASD a dimostrare di aver rispettato gli obblighi di sicurezza sanitaria, a gestire sinistri assicurativi, responsabilità civile e tutela dei minori, e a difendersi da contestazioni);
   – art. 9(2)(f) GDPR (accertare, esercitare o difendere un diritto in sede giudiziaria o stragiudiziale, compresi i rapporti assicurativi e disciplinari).
   
   L’archivio passivo protetto è accessibile soltanto al Consiglio Direttivo (o persone formalmente incaricate alla tutela legale/assicurativa/tutela minori). I Soci Tecnici non hanno accesso a questo archivio.

c) Quali dati trattiamo

Nell’ambito dell’idoneità sportiva trattiamo:

• Dati identificativi dell’interessato (nome, cognome, data di nascita, eventuali riferimenti del genitore/tutore se minore).
• Dati amministrativi collegati all’ammissione come Socio Atleta (modulo di iscrizione firmato, quietanze di pagamento della quota associativa/tesseramento, eventuali note interne sulla posizione associativa).
• Certificato medico di idoneità sportiva (agonistica o non agonistica), rilasciato da medico/struttura abilitata, che attesta l’idoneità/non idoneità dell’interessato a svolgere attività sportiva e indica la data di rilascio e la data di scadenza. Il certificato non contiene diagnosi né dettagli clinici: gli eventuali referti degli accertamenti (es. ECG) rimangono presso il medico certificatore, secondo le Linee guida ministeriali (D.M. 24/04/2013; D.M. 08/08/2014, All. 1). Il certificato è comunque un dato personale relativo alla salute ai sensi dell’art. 4(15) GDPR.
• Gli estremi dell’idoneità (esito “idoneo/non idoneo”, data rilascio, data scadenza) necessari per costruire l’Elenco ammessi/non ammessi alla sessione. Tali estremi vengono comunicati ai soli fini organizzativi ai Soci Tecnici in forma ridotta (“ammesso/non ammesso”), senza indicare motivazioni sanitarie.

d) Modalità operative – Archivio operativo iscrizioni digitali [anno sportivo]

L’Archivio operativo iscrizioni digitali [anno sportivo] è un archivio amministrativo-operativo digitale organizzato per stagione sportiva (ad es. “Iscrizioni digitali 2025-2026”), con una sottocartella nominativa per ciascun Socio Atleta. Ogni sottocartella contiene esclusivamente:

• modulo di iscrizione firmato;
• prova del pagamento della quota associativa/tesseramento;
• originale o copia integrale del certificato medico di idoneità sportiva;
• eventuali comunicazioni amministrative strettamente collegate all’ammissione/rinnovo.

Questo archivio è gestito dai Soci Gerenti, sotto la vigilanza del Consiglio Direttivo. Serve esclusivamente per ammettere o mantenere una persona come Socio Atleta e per verificare nel tempo che l’idoneità sanitaria sia valida. I Soci Tecnici non accedono a questo archivio.

e) Uso quotidiano – Elenco ammessi/non ammessi alla sessione

Per l’organizzazione pratica di allenamenti/lezioni / attività, dall’Archivio operativo iscrizioni digitali [anno sportivo] viene derivato un Elenco ammessi/non ammessi alla sessione.

• L’elenco indica soltanto chi è “ammesso” o “non ammesso” alla specifica sessione/attività.
• L’elenco non indica la causa della mancata ammissione (ad es. certificato medico scaduto, documentazione amministrativa incompleta, sospensione disciplinare, etc.).
• L’elenco viene fornito ai Soci Tecnici (istruttori/allenatori/figure tecniche incaricate dall’ASD) solo per poter organizzare in sicurezza l’attività sportiva e sapere chi può effettivamente partecipare.

In questo modo i Soci Tecnici non trattano direttamente dati sanitari e i dati sanitari non circolano in chat private o canali personali.

f) Archiviazione probatoria – archivio passivo protetto, tempi di conservazione, LEGAL HOLD

Quando il certificato medico scade o quando cessa il rapporto associativo/sportivo, l'originale o la copia integrale del certificato e la relativa documentazione vengono rimosse dall’uso quotidiano e trasferite nell’archivio passivo protetto. In questa fase:

• l'originale o la copia integrale del certificato medico e gli atti collegati restano disponibili solo ai fini probatori, assicurativi, disciplinari, di responsabilità civile o tutela dei minori;
• l’accesso è limitato al Consiglio Direttivo (e a persone formalmente incaricate alla tutela legale/assicurativa / tutela minori), ed è soggetto a controllo interno degli accessi da parte del Consiglio Direttivo (vedi la definizione di "Controllo interno degli accessi");
• la durata ordinaria di conservazione dell'originale o della copia integrale del certificato medico nell’archivio passivo protetto è di massimo 5 (cinque) anni dalla fine della stagione in cui è scaduto il certificato oppure dalla cessazione del rapporto associativo/sportivo, se successiva;
• trascorsi i 5 anni l'originale o la copia integrale viene cancellata in modo definitivo e irreversibile, salvo attivazione di un LEGAL HOLD (ossia sospensione mirata della cancellazione) se c’è una controversia legale, disciplinare o assicurativa in corso.

Dopo la cancellazione definitiva resta soltanto l’informazione minima necessaria a dimostrare che in passato la persona era / non era idonea in una certa data, senza dettagli clinici eccedenti.

g) Sicurezza, accessi e controllo

L’ASD applica misure tecniche e organizzative per proteggere questi dati sanitari:

• separazione tra Archivio operativo iscrizioni digitali [anno sportivo] (uso corrente per l’ammissione/rinnovo) e archivio passivo protetto (uso esclusivamente probatorio/assicurativo/disciplinare);
• accesso limitato ai soli Soci Gerenti incaricati e al Consiglio Direttivo, ciascuno vincolato alla riservatezza e formalmente autorizzato;
• fornitura ai Soci Tecnici del solo Elenco ammessi/non ammessi alla sessione, senza comunicare motivazioni sanitarie né diffondere copie del certificato;
• divieto di utilizzo di canali personali (chat private, account social personali, e-mail private) per circolare dati sanitari o altre informazioni sensibili. Le comunicazioni su ammissione/sospensione per motivi sanitari devono passare tramite canali istituzionali dell’ASD;
• controllo interno degli accessi all’archivio passivo protetto da parte del Consiglio Direttivo (vedi la definizione di "Controllo interno degli accessi") e conservazione della documentazione solo per il tempo strettamente necessario, come descritto sopra.

Queste misure servono a: (i) tutelare la salute degli atleti, (ii) rispettare gli obblighi di sicurezza e tutela dei minori, (iii) limitare la diffusione dei dati sanitari allo stretto necessario, (iv) dimostrare la conformità dell’ASD in caso di controlli o controversie.

4.2. Dati giudiziari – idoneità a lavorare con i minori / tutela dei minori

a) Finalità del trattamento

L’ASD tratta dati giudiziari e informazioni collegate alla condotta di adulti (allenatori, istruttori, collaboratori tecnici, dirigenti accompagnatori, volontari con ruolo educativo o di supporto) che svolgono o intendono svolgere attività che comportano contatti diretti e regolari con minori, al fine di:

• verificare l’assenza di condanne o sanzioni interdittive che impediscono il contatto con minori;
• stabilire l’idoneità/non idoneità della persona a lavorare con minori in ASD;
• adempiere agli obblighi di legge sulla tutela dei minori nello sport;
• gestire e documentare eventuali segnalazioni formali su comportamenti a rischio verso minori, e gli atti disciplinari interni collegati;
• poter dimostrare, verso autorità/assicurazioni/federazioni e in sede giudiziaria, che l’ASD ha fatto controlli preventivi e ha attuato misure di protezione dei minori.

b) Base giuridica

Il trattamento di tali dati avviene:

• ai sensi dell’art. 6(1)(c) GDPR, per adempiere ad obblighi previsti da norme italiane che impongono la verifica dei precedenti penali per chi opera con minori (art. 25-bis D.P.R. 313/2002 introdotto dal D.Lgs. 4 marzo 2014 n. 39, e richiamato nel contesto sportivo dal D.Lgs. 36/2021, art. 33, comma 7);
• ai sensi dell’art. 6(1)(f) GDPR, per il legittimo interesse dell’ASD a prevenire abusi, proteggere i minori, evitare responsabilità civile e gestire profili assicurativi;
• ai sensi dell’art. 10 GDPR, perché si tratta di dati relativi a condanne penali, reati o sanzioni interdittive: la legge nazionale sopra citata autorizza l’ASD a richiederli/valutarli per impedire che soggetti inidonei abbiano contatti con minori;
• in relazione ai reati sessuali e di sfruttamento di minori, la legge italiana prevede l’interdizione perpetua da incarichi o servizi in strutture (anche private) frequentate abitualmente da minori per chi è condannato per tali reati: l’ASD è quindi obbligata a impedire in modo permanente l’assegnazione di ruoli a tali soggetti.

c) Quali dati vengono trattati

Rientrano in questa categoria:

• il certificato penale del casellario giudiziale richiesto ai sensi dell’art. 25-bis D.P.R. 313/2002 (c.d. “certificato penale per attività a contatto con minori”/“certificato antipedofilia”), che indica l’eventuale presenza di condanne per reati sessuali su minori e l’esistenza di sanzioni interdittive all’esercizio di attività con minori;
• l’esito interno di idoneità/non idoneità della persona (“può/non può lavorare con minori”) con data della verifica;
• le segnalazioni formali circostanziate ricevute dall’ASD riguardo condotte potenzialmente lesive della sicurezza/dignità dei minori, gli atti di istruttoria disciplinare e le decisioni assunte;
• l’informazione, ove esistente, che una persona è soggetta a interdizione perpetua (divieto permanente di incarichi/servizi in strutture frequentate abitualmente da minori) a seguito di condanna per reati contro minori.

d) Verifica iniziale di idoneità e uso operativo

Prima di assegnare a un adulto qualsiasi incarico che implichi contatto diretto e regolare con minori:

• la Presidenza dell’ASD richiede e valuta il certificato penale del casellario giudiziale ex art. 25-bis D.P.R. 313/2002/D.Lgs. 39/2014;
• se risultano condanne o interdizioni rilevanti, la persona è esclusa da qualsiasi ruolo a contatto con minori;
• l’ASD registra in forma sintetica l’esito (“idoneo/non idoneo al contatto diretto e regolare con minori”, con data del controllo);
• il contenuto dettagliato del certificato penale rimane riservato ed è accessibile solo a Presidente e figure formalmente autorizzate (responsabile tutela minori / privacy-legale interno), non agli allenatori in generale.

e) Conservazione ordinaria, archivio passivo protetto e limite temporale (10 anni)

Le copie dei certificati penali richiesti ai sensi di legge, gli esiti formali di idoneità/non idoneità, le segnalazioni formali ricevute dall’ASD su condotte a rischio verso minori e gli atti disciplinari interni collegati vengono gestiti così:

• Archivio operativo: contiene soltanto l’esito sintetico di idoneità (“può/non può lavorare con minori”, con data), necessario a gestire gli incarichi;
• Archivio passivo protetto: la documentazione completa (copia del certificato penale richiesto ai sensi di legge, segnalazioni formali, verbali disciplinari, corrispondenza istituzionale) viene trasferita in un archivio separato, con accesso fortemente limitato e soggetto a controllo interno degli accessi da parte del Consiglio Direttivo (vedi la definizione di "Controllo interno degli accessi"). Questo archivio non è usato per la gestione quotidiana;
• questa documentazione completa è conservata nell’archivio passivo protetto per un periodo massimo di 10 (dieci) anni dalla cessazione del rapporto con la persona interessata o dalla chiusura definitiva del relativo procedimento disciplinare, se successiva;
• alla scadenza di tale periodo massimo, la documentazione completa viene cancellata in modo definitivo e irreversibile, salvo i casi indicati ai punti (f) e (g);
• dopo la cancellazione resta soltanto una traccia sintetica (“non idoneo al contatto diretto e regolare con minori in data X”), senza allegare l’intero fascicolo disciplinare e senza riportare dettagli non strettamente necessari.

f) Interdizione perpetua e conservazione minima senza scadenza

Se esiste una condanna per reati sessuali o di sfruttamento nei confronti di minori, per i quali è prevista l’interdizione perpetua da qualunque incarico o servizio presso strutture (anche private) frequentate abitualmente da minori, l’ASD è legalmente obbligata a NON assegnare mai quella persona a ruoli a contatto con minori.

• In questi casi l’ASD conserva senza scadenza una sola annotazione minima, altamente riservata, del tipo: “Soggetto NON assegnabile a contatto diretto e regolare con minori per interdizione permanente ex normativa vigente”;
• questa annotazione: – non riporta i dettagli del fatto o del reato, – è accessibile esclusivamente al Presidente e/o al Responsabile tutela minori/privacy-legale interno, – serve unicamente a impedire l’assegnazione futura di incarichi a contatto con minori;
• questa annotazione permanente è giustificata dal fatto che l’interdizione è essa stessa permanente secondo il diritto penale.

g) Eccezione straordinaria (“LEGAL HOLD”)

Se è in corso o ragionevolmente prevedibile una controversia legale, un sinistro assicurativo, un’indagine da parte di autorità competenti (inclusi profili di tutela dei minori) o un procedimento disciplinare grave, l’ASD può sospendere la cancellazione alla scadenza del termine ordinario di cui al punto (e) e mantenere la documentazione completa in archivio passivo protetto per il solo tempo strettamente necessario alla gestione di quel caso specifico (“LEGAL HOLD”).

• Il LEGAL HOLD è autorizzato esclusivamente dal Presidente e/o dal Responsabile tutela minori/privacy-legale interno formalmente designato;
• l’attivazione viene annotata in un registro interno, indicando la persona interessata, la motivazione e la data;
• durante il LEGAL HOLD valgono le stesse misure di sicurezza dell’archivio passivo protetto (accesso limitato e soggetto a controllo interno degli accessi da parte del Consiglio Direttivo, con divieto di copie locali o inoltri non autorizzati);
• alla chiusura del caso o cessata necessità probatoria, il LEGAL HOLD viene revocato e la documentazione completa viene cancellata definitivamente e in modo irreversibile, restando solo l’eventuale annotazione minima di interdizione permanente, se applicabile.

5. Destinatari dei dati

5.1. Persone autorizzate interne (“incaricati/autorizzati”)

Possono accedere ai dati soltanto persone formalmente autorizzate dal Consiglio Direttivo e istruite per iscritto (Presidente, Vicepresidente, Segretario Generale, membri del Consiglio Direttivo, istruttori, volontari specificamente designati). Ciascuna di queste persone opera entro limiti di necessità (“need to know”), conformemente al Regolamento 2025 e alla Politica di Comunicazione Istituzionale e Uso delle Immagini.

5.2. Responsabili del trattamento (art. 28 GDPR)

Alcuni fornitori trattano dati personali per conto dell’ASD, su istruzioni dell’ASD, e sono nominati formalmente come “Responsabili del trattamento” ai sensi dell’art. 28 GDPR. Rientrano in questa categoria, a titolo indicativo:

• fornitori IT (hosting, posta elettronica istituzionale, gestione di domini e caselle mail, PEC istituzionale);
• servizi di collaborazione e archiviazione documentale in cloud (inclusi strumenti di office/collaboration e conservazione di documenti associativi);
• strumenti di gestione interna e di messaggistica istituzionale, newsletter o CRM associativo;
• servizi di backup e conservazione digitale sicura;
• consulenti e manutentori informatici.

Alcuni di tali fornitori appartengono a gruppi societari la cui capogruppo si trova negli Stati Uniti d’America (USA) e/o utilizzano infrastrutture tecniche che possono comportare accesso o trattamento da Paesi extra-SEE (ad esempio servizi di analisi del traffico dei canali digitali ufficiali dell’ASD, servizi di collaborazione/archiviazione in cloud). Per tali servizi l’ASD applica accordi di trattamento conformi all’art. 28 GDPR, che includono obblighi di riservatezza, misure di sicurezza tecniche e organizzative adeguate e clausole in materia di trasferimenti internazionali ai sensi del GDPR.

5.3. Titolari autonomi/contitolari

Altri soggetti ricevono dati come titolari autonomi (cioè decidono in proprio finalità e mezzi del trattamento) o, in casi specifici, come contitolari. Rientrano tra questi:

• Federazioni Sportive Nazionali, Enti di Promozione Sportiva, CONI/EPS, per tesseramenti, calendari, classifiche e coperture assicurative obbligatorie;
• compagnie assicurative, broker e periti per la gestione di coperture infortuni e sinistri;
• istituti bancari e operatori di pagamento;
• Pubbliche Amministrazioni e Autorità competenti (inclusi enti di vigilanza su sicurezza e tutela minori);
• scuole, enti pubblici e privati che ospitano attività sportive o progetti educativi in collaborazione con l’ASD;
• professionisti esterni (commercialisti, consulenti del lavoro, avvocati, consulenti in materia di sicurezza e tutela minori, medici sportivi di riferimento).

5.4. Piattaforme social e altri soggetti online

Le piattaforme social e le piattaforme di condivisione contenuti (canali social ufficiali dell’ASD, piattaforme video, servizi di streaming o diffusione di contenuti istituzionali) operano normalmente come titolari autonomi del trattamento per quanto riguarda gli account, le metriche, le preferenze degli utenti e le tecnologie di tracciamento/marketing. L’ASD applica il proprio divieto interno di pubblicare volti riconoscibili dei Soci (inclusi i minori) sui canali istituzionali.

Tali piattaforme possono trattare dati personali (inclusi contenuti istituzionali pubblicati dall’ASD, metadati di interazione e informazioni tecniche di accesso) su infrastrutture situate anche al di fuori dello SEE, inclusi gli Stati Uniti d’America (USA). In tali casi la piattaforma agisce come titolare autonomo e applica le proprie condizioni sul trasferimento internazionale dei dati. L’ASD può chiedere la rimozione di contenuti (“takedown”), ma non può garantire la cancellazione universale di contenuti già diffusi o ricondivisi da terzi su piattaforme esterne. In ogni caso l’ASD cessa l’uso diretto di tali contenuti sui propri canali e registra l’avvenuta richiesta di rimozione.

5.5. Trasmissioni amministrative e interne

L’invio di documenti e informazioni personali tra soggetti autorizzati dell’ASD, oppure verso federazioni, assicurazioni, istituti bancari, scuole o Pubbliche Amministrazioni, avviene esclusivamente tramite la casella e-mail istituzionale dell’ASD o tramite PEC, e, ove necessario per ragioni tecniche, tramite canali interni formalmente designati dal Consiglio Direttivo. Sono sempre esclusi l’affissione presso la sede e la pubblicazione sul sito web per qualsiasi trasmissione di dati o documenti.

• tale trasmissione non equivale a una diffusione pubblica dei dati;
• è soggetta a misure di sicurezza (PEC, cifratura, canali protetti, password trasmessa separatamente);
• non autorizza alcun riutilizzo promozionale o comunicazione esterna non autorizzata;
• non consente la divulgazione tramite canali personali o privati (chat, numeri o caselle personali).

Chiarimento probatorio. Le sole evidenze tecniche di invio/ricezione o di protocollazione (ad es. protocolli, tracciati, ricevute PEC) sono conservate fino a 10 (dieci) anni dalla singola trasmissione, esclusivamente a fini probatori, di rendicontazione e di difesa, in coerenza con la Politica di Comunicazione Istituzionale e Uso delle Immagini e con il coordinamento del Regolamento 2025 (v. §8 sui tempi di conservazione); tali evidenze non costituiscono un registro dei movimenti dell’archivio interno né un “registro cronologico degli accessi”.

6. Modalità di comunicazione e canali

Questa sezione indica quali canali di comunicazione l’Associazione è autorizzata a usare per trattare dati personali (inclusi dati sanitari, dati amministrativi, informazioni disciplinari e comunicazioni sulla tutela dei minori), e quali soggetti interni possono inviare o ricevere tali comunicazioni. Le regole di questa sezione valgono anche per le comunicazioni verso i genitori/tutori dei Soci Atleti minorenni.

6.1. Canali istituzionali (uso ordinario)

Per “canali istituzionali” si intendono esclusivamente quelli definiti dal Regolamento 2025 (art. 2, punto 7): (a) affissione presso la sede sociale; (b) pubblicazione sul sito web ufficiale dell’Associazione; (c) casella e-mail istituzionale dell’Associazione (invii all’indirizzo comunicato dal Socio); (d) foglio informativo con firma per ricevuta. Ai soli fini delle trasmissioni amministrative e interne di cui alla Politica di Comunicazione Istituzionale e Uso delle Immagini (art. 6) — e nel coordinamento di cui al Regolamento 2025 (art. 18) — l’ASD utilizza esclusivamente la casella e-mail istituzionale e/o la PEC, ovvero — ove necessario per ragioni tecniche — i canali interni formalmente designati dal Consiglio Direttivo ai sensi degli artt. 6 e 15 della suddetta Politica (senza diffusione al pubblico). Le pagine social ufficiali, ove presenti, non sostituiscono i canali istituzionali per le convocazioni degli Organi o per comunicazioni individuali ai Soci. Per tali trasmissioni sono sempre esclusi l’affissione presso la sede e la pubblicazione sul sito web.

Le comunicazioni che incidono su:

• ammissione o non ammissione di una persona all’attività sportiva come Socio Atleta;
• stato amministrativo dell’iscrizione (modulo firmato, quota associativa/tesseramento, ecc.);
• validità o scadenza della certificazione medica di idoneità sportiva e conseguente possibilità di partecipare o meno;
• tutela sanitaria e sicurezza fisica degli atleti (compresi i minori);
• profili disciplinari interni e segnalazioni rilevanti ai fini della tutela dei minori;
• gestione di sinistri assicurativi o eventi che possono generare responsabilità civile;
• esercizio dei diritti privacy (richieste di accesso, rettifica, opposizione, ecc.);

Devono essere inviate e ricevute solo attraverso canali istituzionali e, per le trasmissioni amministrative e interne elencate sopra, esclusivamente tramite la casella e-mail istituzionale e/o la PEC dell’ASD, ovvero — ove strettamente necessario per ragioni tecniche — tramite canali interni formalmente designati dal Consiglio Direttivo (§6.2-bis). Per tali trasmissioni sono sempre esclusi l’affissione presso la sede e la pubblicazione sul sito web.

Esempio (comunicazione sanitaria obbligatoria):
«Il tuo certificato medico di idoneità sportiva è scaduto / sta per scadere. Fino al rinnovo non puoi partecipare alle attività sportive dell’Associazione».
Questa non è pubblicità, non è marketing, non è “promozione”. È una comunicazione istituzionale di sicurezza sanitaria e tutela dell’incolumità fisica.

Le comunicazioni di questo tipo vengono inviate:

• ai Soci Atleti maggiorenni direttamente;
• nel caso di Soci Atleti minorenni, ai genitori/tutori che esercitano la responsabilità genitoriale.

Per i minori di età inferiore a 14 anni, qualsiasi consenso richiesto su base “consenso esplicito” (ad es. autorizzazione all’uso di immagini, partecipazione a servizi digitali non strettamente necessari alla sicurezza/organizzazione, ricezione di comunicazioni non obbligatorie) deve essere prestato dal genitore/tutore legale. Dai 14 anni in su il minore può esprimere direttamente il consenso solo per l’offerta di servizi digitali dell’ASD o collegati all’ASD, come previsto dall’art. 8 GDPR e dall’art. 2-quinquies del Codice Privacy, restando ferma la facoltà del genitore/tutore di opporsi o revocare. :contentReference[oaicite:1]{index=1}

Queste comunicazioni istituzionali sono gestite dai Soci Gerenti incaricati della gestione amministrativa, sotto la vigilanza del Consiglio Direttivo. I Soci Tecnici (istruttori/allenatori/figure tecniche incaricate dall’ASD) non sono autorizzati a gestire in via ordinaria comunicazioni contenenti dati amministrativi sensibili, dati sanitari o informazioni disciplinari dei Soci Atleti tramite canali personali.

6.2. Divieto di uso di canali personali e procedura di regolarizzazione

Per tutela della riservatezza, della sicurezza degli atleti e dei minori e per rispetto del GDPR:

• È vietato utilizzare canali personali (es. chat WhatsApp o social privati di singoli Soci Tecnici) per inviare, discutere o archiviare dati sanitari, dati amministrativi di iscrizione, motivi disciplinari, informazioni su eventuali segnalazioni riguardanti minori, o contenuti che incidono sull’ammissione/non ammissione di un Socio Atleta.
• I Soci Tecnici ricevono soltanto l’Elenco ammessi/non ammessi alla sessione, che è un’informazione binaria (“può/non può partecipare oggi”) e non riporta la causa della non ammissione (es. certificato medico scaduto, documentazione mancante, sospensione disciplinare). Questo elenco serve esclusivamente a organizzare in sicurezza l’attività sportiva.
• Se, in una situazione di emergenza o per errore, un’informazione sensibile è transitata tramite un canale personale, tale informazione deve essere immediatamente: (i) trasferita nel canale istituzionale appropriato, (ii) protocollata dai Soci Gerenti, (iii) messa a disposizione del Consiglio Direttivo se rilevante per la sicurezza, la tutela dei minori, la disciplina interna o la gestione assicurativa. Dopo tale trasferimento, il canale personale non può essere riutilizzato per quella pratica. Tale trasferimento deve avvenire applicando la minimizzazione descritta al punto seguente (“Procedura pratica di minimizzazione prima della regolarizzazione”).
• Procedura pratica di minimizzazione prima della regolarizzazione: prima di inoltrare verso il canale istituzionale, la persona che ha ricevuto il messaggio sul canale personale deve:
  • estrarre esclusivamente le parti strettamente necessarie a descrivere i fatti (chi è coinvolto, cosa è accaduto, quando è accaduto, quale rischio è stato segnalato), ad esempio: segnalazione di un possibile rischio per un minore, descrizione di un infortunio o di un danno fisico, richiesta urgente di intervento disciplinare/sicurezza, esercizio di diritti privacy ai sensi degli artt. 15–22 GDPR;
  • rimuovere o oscurare (ad esempio coprendo in uno screenshot o omettendo nel testo inoltrato) tutti i dati non pertinenti, tra cui:
    • numeri di telefono personali, indirizzi e contatti privati di terzi;
    • commenti emotivi, giudizi personali, insulti o valutazioni soggettive non necessari;
    • immagini/audio/video che mostrano persone terze non coinvolte, o dettagli non indispensabili (es. volti di altri minori, chat pregresse non pertinenti);
    • qualsiasi altro elemento che non è indispensabile per capire l’evento segnalato o per tutelare il minore.
    Se è necessario documentare un danno fisico (ad es. un livido), è preferibile allegare solo l’immagine o il ritaglio strettamente necessari a mostrare l’area interessata, oppure fornire una breve descrizione testuale del danno osservato.
  • inoltrare solo questa versione minimizzata verso il canale istituzionale corretto (es. Indirizzo Privacy Ufficiale per richieste privacy / diritti GDPR; fascicolo tutela minori, disciplinare o sicurezza/assicurativo per segnalazioni di rischio), affinché venga registrata:
    • nel Giornale DSAR se è una richiesta privacy/esercizio dei diritti GDPR;
    • nel fascicolo interno competente (tutela minori, disciplinare, sicurezza/assicurativo) se è una segnalazione di rischio o contenuto disciplinare/assicurativo.
    Dopo questa escalation, il canale personale deve cessare per quella tipologia di comunicazioni; la gestione prosegue esclusivamente sui canali istituzionali.
• La versione “regolarizzata” dell’informazione (ossia la minima parte strettamente necessaria) diventa parte della documentazione ufficiale dell’ASD (ad esempio nell’Archivio operativo iscrizioni digitali [anno sportivo], nell’archivio passivo protetto o nel Giornale DSAR, a seconda della natura del contenuto).
• Le comunicazioni di tipo promozionale/marketing dell’ASD (inviti a iniziative associative analoghe, campagne di sostegno, raccolta fondi) vengono inviate solo via e-mail istituzionale dell’ASD, esclusivamente dai Soci Gerenti incaricati, e mai da numeri/account personali dei Soci Tecnici. L’ASD non utilizza WhatsApp, SMS, chat personali, telefonate o messaggi vocali come canali promozionali. Se una persona risponde “NON INVIARE PIÙ”, l’invio promozionale verso quell’indirizzo e-mail viene interrotto.

Questa procedura garantisce: (i) che le informazioni rilevanti per l’ammissione dei Soci Atleti, per la tutela sanitaria, per la tutela dei minori o per la disciplina interna rimangano sotto controllo dell’Associazione e non dispersi in chat private; (ii) che anche le eventuali comunicazioni promozionali seguano canali istituzionali e figure autorizzate (Soci Gerenti), e non vengano fatte da canali personali dei Soci Tecnici; (iii) l’esistenza di un presidio organizzativo effettivo sul controllo degli accessi, basato sulla limitazione delle presenze e delle credenziali degli autorizzati, come definito in “Controllo interno degli accessi” (0-bis); (iv) che l’ASD possa dimostrare di aver rispettato gli obblighi di sicurezza, riservatezza e divieto di spam; (v) il rispetto effettivo del principio di minimizzazione dei dati (art. 5(1)(c) GDPR): viene archiviata solo la quota minima di informazioni necessaria per documentare l’evento rilevante, tutelare i minori, adempiere alla sicurezza o dare seguito a una richiesta di esercizio dei diritti privacy.

Nota: il presidio di cui al punto (iii) non comporta la tenuta di registri cronologici degli accessi. Le sole evidenze strettamente necessarie possono, se del caso, essere conservate nell’archivio passivo protetto ai sensi del §8.

6.2-bis. Canali operativi interni designati (telefono associativo e WhatsApp associativo)

Il Consiglio Direttivo può designare canali operativi interni (es.: telefono associativo e WhatsApp associativo) per riscontri puntuali non promozionali one-to-one con Soci/genitori/tutori su temi organizzativi (es.: chiarimenti su orari, accessi agli impianti, abbigliamento, conferma/variazione di una singola sessione).

Limiti: tali canali non sono canali istituzionali; non sono utilizzabili per marketing, convocazioni o comunicazioni aventi effetti giuridici.

Gestione e conservazione: l’uso è riservato a soggetti formalmente incaricati; non si conservano i contenuti delle chat; è ammessa una annotazione minima (data/ora, oggetto sintetico, operatore) per esigenze organizzative. Restano fermi i divieti di riuso promozionale dei materiali e le regole di sicurezza e istruzioni interne approvate dal Consiglio.

6.3. Regole su immagini e contenuti multimediali (“zero-shooting” e “corridoio tecnico”)

Per proteggere i minori, tutelare l’immagine dei Soci e rispettare il GDPR, si applicano le seguenti regole, coordinate con la Politica di Comunicazione Istituzionale e Uso delle Immagini approvata dal Consiglio Direttivo (rinvio: Politica, artt. 4, 7, 8, 16, 17, 20).

• Zero-shooting. Durante allenamenti, attività interne, riunioni, eventi associativi e, in generale, nei siti dell’ASD è vietata qualsiasi acquisizione (foto, video, audio) finalizzata alla comunicazione pubblica o promozionale. Sono ammesse esclusivamente le eccezioni tassative e non pubbliche previste dalla Politica: (i) riprese/registrazioni per fini di sicurezza, tutela dell’incolumità o adempimenti di legge; (ii) trasmissioni amministrative e interne strettamente necessarie, senza diffusione al pubblico e senza riuso promozionale, tramite canali istituzionali o canali interni formalmente designati. Nessuna eccezione è ammessa per contenuti destinati all’esterno. (Rinvio: Politica, art. 4; art. 6; art. 17)
• Produzioni eccezionali e canali. Se l’ASD decide, in via eccezionale e autorizzata, di produrre materiale destinato all’esterno, la produzione e la diffusione avvengono esclusivamente tramite canali istituzionali e da soggetti formalmente incaricati, nel rispetto delle autorizzazioni/consensi necessari (per i minori: consenso del genitore/tutore) e del divieto di pubblicare immagini identificative dei Soci. (Rinvio: Politica, art. 7, comma 2)
• Corridoio tecnico (solo file esterni). È ammesso unicamente per file già esistenti e provenienti da fonti esterne ai siti dell’ASD, al solo fine di produrre una versione non identificativa (NI) mediante ritaglio/selezione, sfocatura/mascheratura di volti e sostituzione dell’anteprima per link/embed. Il corridoio tecnico non autorizza nuove riprese né deroga al divieto di cui sopra; al termine della lavorazione gli originali riconoscibili sono cancellati senza indugio. (Rinvio: Politica, art. 16)
• Non-Soci (eccezione limitata). Sulle pagine social ufficiali, immagini identificative di non-Soci sono ammesse solo se ricorre almeno una delle condizioni: (a) si tratta di materiale promozionale ufficiale fornito dall’ente organizzatore, con relativa dichiarazione; oppure (b) l’interessato rilascia consenso scritto, specifico e informato (per i minori: chi esercita la responsabilità genitoriale). Per contenuti connessi a eventi esterni e per l’uso di materiale promozionale ufficiale si applicano inoltre gli artt. 11 e 12 della Politica. Nel medesimo contenuto non devono essere identificabili Soci; è garantito il “takedown” senza indugio. (Rinvio: Politica, art. 7, comma 3; artt. 11–12; art. 17)
• Link, anteprime e incorporamenti. In caso di richiami a contenuti di terzi che mostrino volti identificativi, le anteprime/miniature sono disattivate o sostituite con immagine neutra; per i contenuti storici si applicano le regole specifiche. (Rinvio: Politica, artt. 8 e 20)
• Regolarizzazione e incidenti. Se un contenuto riconoscibile è stato diffuso per errore o tramite canali non istituzionali, si procede senza indugio al “takedown” (prudenziale), alla migrazione su canali corretti e, se del caso, all’attivazione del Data Breach Response Plan e delle comunicazioni privacy di §11. (Rinvio: Politica, art. 17; Informativa, §11)
• Conservazione probatoria. Eventuali copie strettamente indispensabili ai fini probatori, disciplinari, assicurativi, di responsabilità civile o tutela dei minori sono gestite nell’archivio passivo protetto con accesso limitato, secondo §8 e le cautele interne (inclusa, ove occorra, l’applicazione di LEGAL HOLD).

Le presenti regole si applicano anche quando i Soci Atleti sono minorenni. È in ogni caso vietato l’uso di canali personali (ad es. chat o profili privati) per creare, gestire o diffondere contenuti riconoscibili; per l’esercizio dei diritti, compreso il “takedown”, si utilizzano i canali indicati in §1.2 e le modalità DSAR di §9.

7. Trasferimenti extra-SEE (Paesi terzi e fornitori esterni)

Alcuni servizi utilizzati dall’ASD (ad es. strumenti digitali di comunicazione istituzionale, posta elettronica, archiviazione sicura di backup, gestione contabile/fiscale, strumenti di supporto IT) possono comportare trattamenti da parte di fornitori esterni. In linea di principio l’ASD privilegia fornitori stabiliti nello Spazio Economico Europeo (SEE) o che trattano i dati all’interno del SEE. Ai fini della presente Informativa, per trasferimento extra-SEE si intende anche l’accesso o la visualizzazione dei dati da Paesi non SEE (ad es. attività di assistenza/tele-supporto), oltre all’invio o alla memorizzazione presso Paesi terzi. In tali casi si applicano le basi del Capo V GDPR descritte nei §§7.1–7.3; per i dettagli sui cookie/strumenti di terzi si veda il §10.4 (Cookie Policy dedicata), mentre copie/estratti di SCC/TIA possono essere richiesti tramite l’Indirizzo Privacy Ufficiale indicato al §1.2.

Se il trattamento comporta un trasferimento di dati personali verso Paesi terzi (cioè fuori dallo SEE), l’ASD applica una delle basi previste dal Capo V del GDPR:

7.1. Decisione di adeguatezza (art. 45 GDPR)

Se la Commissione europea ha adottato una decisione di adeguatezza per un determinato Paese o settore, i dati personali possono essere trasferiti verso tale Paese poiché è stato riconosciuto un livello di protezione sostanzialmente equivalente a quello dell’Unione europea. Tra i regimi di adeguatezza vigenti rientra, a titolo esemplificativo, il quadro UE–USA denominato Data Privacy Framework (DPF).

Prima di utilizzare fornitori coperti da una decisione di adeguatezza, l’ASD verifica la loro effettiva inclusione nei registri/elenchi ufficiali e documenta l’esito della verifica nell’ambito delle misure di responsabilizzazione. In mancanza di adeguatezza, si applicano le garanzie adeguate di cui al §7.2 oppure, solo in casi eccezionali, le deroghe di cui all’art. 49 GDPR (§7.3).

7.2. Garanzie adeguate (art. 46 GDPR)

Se non esiste una decisione di adeguatezza, l’ASD può trasferire dati verso un fornitore in un Paese terzo soltanto se sono adottate garanzie adeguate ai sensi dell’art. 46 GDPR. Queste garanzie includono, in particolare:

• le Clausole Contrattuali Standard (“SCC”) approvate dalla Commissione europea, che vincolano contrattualmente il fornitore estero a tutele equivalenti a quelle europee;
• eventuali misure tecniche e organizzative supplementari (es. cifratura forte con chiavi sotto controllo europeo), necessarie a impedire accessi non autorizzati da parte di soggetti pubblici o privati nel Paese di destinazione;
• la valutazione di impatto sul trasferimento (“Transfer Impact Assessment”, TIA), in cui vengono analizzati i rischi legati alla legislazione locale del Paese terzo e le misure di mitigazione applicate.

Su richiesta inviata all’Indirizzo Privacy Ufficiale (vedi §1.2), l’ASD può fornire una descrizione sintetica delle Clausole Contrattuali Standard adottate, delle misure supplementari principali e degli esiti essenziali del TIA, con eventuali parti oscurate o omesse per segreto commerciale, sicurezza delle informazioni o obblighi di riservatezza assunti con i fornitori. Non vengono fornite informazioni che possano esporre chiavi, architetture tecniche o vulnerabilità. Le copie/estratti eventualmente forniti sono destinati esclusivamente a finalità di trasparenza e difesa e possono essere redatti in forma non integrale.

7.3. Deroghe specifiche (art. 49 GDPR)

Solo in casi eccezionali e residuali, se non è applicabile né l’art. 45 né l’art. 46 GDPR, l’ASD può effettuare un trasferimento verso un Paese terzo sulla base delle deroghe dell’art. 49 GDPR (ad esempio perché il trasferimento è necessario per accertare o difendere un diritto in sede giudiziaria, o perché l’interessato ha prestato un consenso esplicito e informato a quello specifico trasferimento). Queste deroghe sono usate esclusivamente quando strettamente necessario.

7.4. Accountability

L’ASD documenta, in forma sintetica e non eccedente, la base giuridica applicata a ciascun trasferimento extra-SEE (decisione di adeguatezza, SCC/TIA, deroga art. 49) e conserva tale documentazione nell’archivio passivo protetto esclusivamente per finalità probatorie e di difesa in caso di verifiche o contestazioni, nei termini di cui al §8. Questa documentazione non costituisce un “registro dei movimenti d’archivio” né comporta la tenuta di “registri cronologici degli accessi”. L’accesso è limitato alle sole persone formalmente autorizzate e vincolate alla riservatezza ed è soggetto a controllo interno degli accessi (vedi §0-bis e §8).

8. Periodi di conservazione

L’ASD conserva i dati personali solo per il tempo strettamente necessario a: (i) gestire il rapporto associativo e sportivo in modo sicuro e conforme alla normativa sanitaria sportiva, (ii) adempiere agli obblighi legali, fiscali, assicurativi e di tutela dei minori, (iii) poter dimostrare, in caso di contestazioni o richieste da parte di autorità/assicurazioni /terzi, di aver operato correttamente (“finalità probatorie e di difesa”).

Nota operativa – FOSS. Ai soli fini organizzativi, l’ASD utilizza il Fascicolo Operativo di Stagione e di Sede [anno sportivo] (FOSS) (v. §0-bis), che funge da contenitore operativo della stagione in forma digitale e fisica presso la sede legale. Il FOSS comprende sottofascicoli tipici; tra questi, per i Soci Atleti, rientra il sottofascicolo «Archivio operativo iscrizioni digitali [anno sportivo]» di cui al §8.1. Il FOSS non contiene documentazione probatoria o materiali sensibili (dati sanitari completi, dati giudiziari, atti disciplinari o di tutela minori), fatta salva la specifica eccezione del certificato medico di idoneità sportiva (originale o copia integrale) detenuto esclusivamente nel predetto sottofascicolo §8.1 per la durata della stagione e nei limiti ivi indicati; eventuali referti/diagnosi restano presso il medico certificatore e, se necessario, sono trattati solo nell’Archivio passivo protetto (§8.2). I documenti operativi effimeri (es. Elenco ammessi/non ammessi della singola sessione) non costituiscono archivio storico e sono eliminati al termine dell’uso pratico, salvo quanto previsto dal presente §8.

Per chiarezza distinguiamo: archivio operativo (uso quotidiano/amministrativo corrente), archivio passivo protetto (uso esclusivamente probatorio, disciplinare, assicurativo o di tutela dei minori), e documenti operativi effimeri, ossia documenti di mera utilità organizzativa immediata (ad es. l’Elenco ammessi/non ammessi alla sessione), che non costituiscono un archivio storico e sono eliminati al termine dell’uso pratico della specifica attività/sessione. Tali documenti confluiscono nell’archivio passivo protetto solo se e nei limiti in cui risultino strettamente necessari a fini probatori secondo il presente §8.

8.1. Archivio operativo iscrizioni digitali [anno sportivo]

L’«Archivio operativo iscrizioni digitali [anno sportivo]», sottofascicolo del Fascicolo Operativo di Stagione e di Sede (FOSS) (§0-bis; §8 – nota operativa), è il contenitore operativo di stagione dedicato esclusivamente alle iscrizioni dei Soci Atleti. È destinato alla sola gestione corrente e non ha natura probatoria: non contiene dati sanitari completi né dati giudiziari. Per l’organizzazione delle attività l’ASD utilizza, nei limiti dello stretto necessario, gli strumenti operativi previsti (ad es. Registro di idoneità ed Elenco ammessi/non ammessi), mentre la documentazione completa è trattata esclusivamente nell’Archivio passivo protetto (§8.2).

Ai fini di stagione «Archivio operativo iscrizioni digitali» contiene solo:

• modulo di iscrizione firmato;
• prova del pagamento della quota associativa/tesseramento;
• originale o copia integrale del certificato medico di idoneità sportiva (agonistica/non agonistica) presentata dall’interessato; se, nel corso della stagione, la certificazione risulta scaduta, l’originale o la copia integrale permane fino al 31 agosto ai soli fini amministrativi della stagione;
• comunicazioni amministrative strettamente necessarie all’ammissione/rinnovo.

Nota FOSS. L’«Archivio operativo iscrizioni digitali [anno sportivo]» costituisce un sottofascicolo del Fascicolo Operativo di Stagione e di Sede (FOSS) (§0-bis; §8 – nota operativa), dedicato esclusivamente alla gestione delle iscrizioni dei Soci Atleti. Esso non contiene documentazione probatoria né dati sanitari completi o dati giudiziari, e non accoglie documenti riferiti a istruttori/collaboratori adulti. Gli estremi operativi necessari all’organizzazione (idoneità valida/scaduta e ammissione/non ammissione alla singola sessione) sono gestiti tramite il Registro di idoneità e l’Elenco ammessi/non ammessi. La documentazione completa utilizzata in stagione per la gestione corrente rimane nel sottofascicolo nei limiti del presente §8.1; quando insorge una necessità probatoria (ad es. infortuni/sinistri assicurativi, procedimenti disciplinari, tutela minori), essa confluisce integralmente nell’Archivio passivo protetto (§8.2) ed è ivi trattata secondo tempi e misure ivi previsti (incluso l’eventuale LEGAL HOLD). Resta fermo che, a fine stagione (31 agosto), il certificato medico (originale o copia integrale) e i correlati atti amministrativi sono rimossi dall’uso quotidiano e versati nell’Archivio passivo protetto (§8.2).

Questi documenti rimangono nell’«Archivio operativo iscrizioni digitali [anno sportivo]» solo finché:

• la persona è effettivamente un Socio Atleta attivo e la certificazione medica di idoneità sportiva è in corso di validità;
• se, nel corso della stagione, la certificazione risulta scaduta, l'originale o la copia integrale permane nel presente archivio fino al 31 agosto ai soli fini amministrativi della stagione; la persona non è ammessa alla pratica finché non regolarizza l’idoneità (v. Elenco “ammesso/non ammesso”);
• finché è necessario completare il rinnovo (ad es. si attende il nuovo certificato medico).

Alla fine della stagione sportiva (31 agosto) – oppure immediatamente nel solo caso in cui il rapporto associativo/sportivo cessi prima della fine della stagione – l'originale o la copia integrale del certificato medico e la relativa documentazione amministrativa vengono rimosse dall’uso quotidiano e trasferite nell’Archivio passivo protetto. In pendenza di stagione, anche se il certificato è scaduto, la persona può mantenere la qualità di Socio Atleta ma non è ammessa alla pratica finché non regolarizza l’idoneità; l'originale o la copia del certificato permane nel presente archivio operativo ai soli fini amministrativi della stagione.

I Soci Tecnici non accedono all’«Archivio operativo iscrizioni digitali [anno sportivo]». I Soci Gerenti e il Consiglio Direttivo sono gli unici autorizzati a consultarlo per le finalità amministrative e di sicurezza sanitaria descritte nel §4.1.

8.2. Archivio passivo protetto

L’archivio passivo protetto è un archivio interno separato dall’uso quotidiano, destinato unicamente a finalità probatorie, assicurative, disciplinari, di responsabilità civile e di tutela dei minori. Gli ingressi fisici ai locali/armadi d’archivio e gli accessi ai dati d’archivio (consultazioni dei fascicoli, estrazioni di copia, trasmissioni a terzi) sono fortemente limitati al Consiglio Direttivo (o a persone formalmente incaricate alla tutela legale, assicurativa o di tutela minori) e sono entrambi soggetti al controllo interno degli accessi del Consiglio Direttivo (v. §0-bis). Non è tenuto alcun registro cronologico degli ingressi fisici né delle singole consultazioni/estrazioni; non è previsto un “registro dei movimenti d’archivio” né forme equivalenti di tracciamento degli accessi.

Nell’archivio passivo protetto vengono trasferiti:

• l’originale o la copia integrale del certificato medico di idoneità sportiva e la relativa documentazione amministrativa:
  – a fine stagione sportiva (31 agosto) gli atti sono rimossi dall’uso quotidiano e versati nell’Archivio passivo protetto, fatti salvi eventuali LEGAL HOLD;
  – in caso di cessazione del rapporto associativo/sportivo prima della fine della stagione, il trasferimento avviene immediatamente.
• la documentazione disciplinare interna e le segnalazioni rilevanti ai fini della tutela dei minori, incluse valutazioni sul fatto che un soggetto non possa essere assegnato ad attività con contatto diretto e regolare con minori;
• gli atti relativi a sinistri assicurativi, richieste di risarcimento, contestazioni di responsabilità civile, infortuni, episodi di sicurezza fisica;
• le richieste privacy (DSAR), le risposte formali e le evidenze di gestione dei diritti privacy, come registrato nel Giornale DSAR.

Tempi di conservazione nell’archivio passivo protetto:

• Dati sanitari (certificati di idoneità sportiva e relativi allegati):
  conservati per un periodo massimo ordinario di 5 (cinque) anni dalla scadenza del certificato o dalla cessazione del rapporto associativo/sportivo, se successiva. Trascorso tale termine, la copia integrale viene cancellata in modo definitivo e irreversibile.
• Documentazione disciplinare interna, tutela dei minori, responsabilità civile, sinistri assicurativi e richieste di risarcimento:
  conservata fino a 10 (dieci) anni dalla chiusura definitiva del relativo procedimento (ad es. chiusura del sinistro assicurativo, chiusura della contestazione disciplinare, cessazione dell’incarico della persona interessata, ecc.), ai soli fini probatori, di difesa, tutela dei minori e protezione dell’Associazione. Allo scadere dei 10 anni la documentazione viene cancellata definitivamente e in modo irreversibile.
• Richieste privacy e risposte (Giornale DSAR):
  conservate, sempre e soltanto ai fini probatori di conformità al GDPR e di difesa dell’Associazione, fino a 10 (dieci) anni dalla chiusura definitiva della pratica, poi cancellate definitivamente e in modo irreversibile.
• Evidenze tecniche d’invio/ricezione o di protocollazione delle trasmissioni amministrative e interne:
  conservate fino a 10 (dieci) anni dalla singola trasmissione, esclusivamente a fini probatori e di rendicontazione, in coerenza con la Politica di Comunicazione Istituzionale e Uso delle Immagini (art. 15, comma 3-bis) e con il coordinamento del Regolamento 2025 (art. 18). Allo scadere del termine le evidenze sono cancellate in modo definitivo e irreversibile.
• Annotazione minima permanente per soggetti interdetti dal contatto diretto e regolare con minori:
  se una persona è destinataria di un divieto permanente (ad es. interdizione a lavorare con minori ai sensi delle norme vigenti), l’ASD mantiene, senza limite di tempo, una sola annotazione minima e riservata (“non assegnabile a contatto diretto e regolare con minori per interdizione permanente ex normativa vigente”), senza riportare dettagli del reato. Questa annotazione serve esclusivamente a impedire assegnazioni future in ruoli a contatto diretto e regolare con minori.

LEGAL HOLD: se è in corso una controversia legale, disciplinare o assicurativa, oppure un procedimento di responsabilità civile o di tutela dei minori, l’ASD può sospendere la cancellazione (“LEGAL HOLD”) limitatamente ai documenti strettamente necessari per tutta la durata effettiva della controversia/procedura. Finita la controversia/procedura, i documenti soggetti a LEGAL HOLD vengono cancellati secondo i termini sopra indicati.

Nota sui termini “fino a 10 anni”. Il riferimento a un periodo massimo di conservazione “fino a 10 anni” non significa che l’ASD mantenga liberamente disponibili i dati personali per 10 anni nei canali operativi. Il termine di 10 anni riflette:

• gli obblighi civilistici e fiscali di conservazione della documentazione amministrativa e contabile e la necessità di disporre di prove documentali in caso di verifiche, contestazioni o richieste risarcitorie;
• i termini ordinari di prescrizione relativi a responsabilità civile, sinistri assicurativi, contestazioni disciplinari rilevanti e tutela dei minori, durante i quali l’ASD può dover dimostrare di aver agito correttamente.

Dopo la fine dell’uso operativo corrente, i materiali che rientrano in questa casistica vengono rimossi dai canali ordinari e trasferiti esclusivamente nell’archivio passivo protetto, con accesso limitato e soggetto a controllo interno degli accessi sotto la responsabilità del Consiglio Direttivo e dei Soci Gerenti incaricati (vedi la definizione di "Controllo interno degli accessi"). In quell’archivio i dati restano solo per fini probatori, disciplinari, assicurativi, di responsabilità civile, tutela dei minori o difesa in giudizio (inclusa l’eventuale applicazione di LEGAL HOLD). Al termine del periodo massimo – e una volta chiuse eventuali controversie ancora aperte – i documenti vengono eliminati in modo definitivo e irreversibile. L’ASD non mantiene registri o riepiloghi dei movimenti d’archivio; resta ferma esclusivamente l’annotazione minima permanente prevista al §8.2, nei soli casi di interdizione permanente.

8.3. Elenco ammessi/non ammessi alla sessione

L’Elenco ammessi/non ammessi alla sessione è un documento operativo che indica, per una singola sessione/attività, chi può o non può partecipare. Questo elenco non indica la motivazione (ad es. certificato medico scaduto, documentazione amministrativa incompleta, sospensione disciplinare, ecc.).

Nota FOSS. L’Elenco ammessi / non ammessi è un documento operativo effimero generato a partire dagli estremi operativi disponibili nel Fascicolo Operativo di Stagione e di Sede (FOSS) (§0-bis; §8 – nota operativa) — in particolare Registro di idoneità e stato amministrativo — e, per i Soci Atleti, dal sottofascicolo «Archivio operativo iscrizioni digitali [anno sportivo]» (§8.1). L’Elenco non contiene dati sanitari completi né motivazioni disciplinari o giudiziarie: riporta esclusivamente l’esito “ammesso / non ammesso” necessario alla gestione della singola sessione/lezione.

Al termine dell’uso pratico, l’Elenco è eliminato. Eventuali copie o evidenze necessarie per finalità probatorie o di tutela minori confluiscono esclusivamente nell’Archivio passivo protetto (§8.2) ed, ove necessario, sono assoggettate a LEGAL HOLD.

L’Elenco ammessi/non ammessi è fornito ai soli Soci Tecnici per organizzare in sicurezza l’attività sportiva. Non è un archivio storico dell’ASD.

Di norma questo elenco:

• è usato nella gestione immediata della sessione/attività e non viene conservato oltre quanto strettamente necessario all’organizzazione pratica di quella specifica sessione;
• non entra nell’archivio passivo protetto, salvo se necessario come prova in un procedimento disciplinare, di tutela minori o assicurativo (in quel caso viene trattato nell’archivio passivo protetto alle condizioni e durate di cui sopra).

8.4. Dati amministrativi/contabili/fiscali

Documentazione amministrativo-contabile e fiscale (ricevute, fatture, quietanze, rendicontazioni, movimenti bancari riconducibili all’Associazione, adempimenti assicurativi obbligatori): conservata per il periodo necessario ad assolvere gli obblighi civilistici, fiscali e assicurativi, e comunque fino a 10 (dieci) anni ai soli fini probatori e di difesa in caso di verifiche, controlli o contestazioni.

8.5. Dati di contatto per comunicazioni promozionali volontarie (marketing istituzionale)

L’ASD può inviare comunicazioni promozionali (ad es. inviti a eventi, iniziative di raccolta fondi, proposte di attività associative analoghe) esclusivamente via e-mail istituzionale dell’ASD, utilizzando indirizzi di contatto forniti dal Socio/ex Socio nel corso del rapporto associativo/sportivo. L’invio di tali e-mail avviene:

• sulla base del legittimo interesse “soft spam” dell’ASD (art. 6(1)(f) GDPR in combinato con l’art. 130 del Codice Privacy), solo per iniziative strettamente analoghe a quelle a cui la persona ha già aderito (stessa tipologia di attività associativa/sportiva, eventi collegati, sostegno associativo);
• con la possibilità per la persona di opporsi in qualunque momento e gratuitamente rispondendo alla stessa e-mail con un messaggio chiaro che esprima la volontà di non ricevere ulteriori comunicazioni (ad es.: “Non desidero ricevere ulteriori e-mail”, “Interrompere le comunicazioni promozionali”, “Cancellatemi dalla lista”) oppure scrivendo all’Indirizzo Privacy Ufficiale. Dopo l’opposizione l’ASD interrompe l’invio promozionale verso quell’indirizzo;
• tramite canali istituzionali e solo da parte dei Soci Gerenti incaricati. I Soci Tecnici non inviano comunicazioni promozionali e non usano account personali.

L’ASD non utilizza canali diversi dall’e-mail istituzionale per finalità di marketing e tali canali sono esclusi anche in presenza di consenso. Eventuali canali operativi interni designati (es. telefono associativo o WhatsApp associativo) sono utilizzabili solo per riscontri puntuali one-to-one non promozionali, come previsto al §6.2-bis. Per le regole sui canali ammessi per il marketing si veda §3.5.2.

Dopo che la persona si è opposta (“NON INVIARE PIÙ”), l’ASD può comunque continuare a usare lo stesso indirizzo e-mail per comunicazioni non commerciali e obbligatorie legate alla sicurezza sanitaria, idoneità sportiva, tutela minori, ammissione/non ammissione all’attività sportiva o adempimenti interni. Queste comunicazioni non sono marketing.

Durata:
– i recapiti di contatto usati per finalità promozionali via e-mail istituzionale sono trattati fino all’opposizione dell’interessato (opt-out);
– la prova dell’opposizione e/o di eventuali consensi/revoche collegati è conservata nell’archivio passivo protetto ai soli fini probatori e difensivi fino a 10 anni, poi cancellata definitivamente salvo LEGAL HOLD.

8.6. Sicurezza, log tecnici e incidenti

I log tecnici di sicurezza e gli elementi raccolti per la gestione di incidenti di sicurezza, data breach, sinistri o segnalazioni rilevanti ai fini della tutela dei minori:

• sono mantenuti per il tempo necessario a valutare l’incidente, attivare eventuali notifiche di data breach, adottare misure correttive e, se del caso, documentare la tutela dei minori o la sicurezza fisica;
• se l’evento genera una pratica disciplinare, assicurativa, di responsabilità civile o di tutela dei minori, la relativa documentazione confluisce nell’archivio passivo protetto e segue i termini di cui al §8.2 (fino a 10 anni dalla chiusura definitiva della pratica, salvo LEGAL HOLD).

Se l’evento non genera alcuna pratica disciplinare/assicurativa/tutela minori e non comporta obblighi di notifica al Garante o agli interessati, i log e i materiali tecnici collegati all’incidente vengono eliminati entro il tempo strettamente necessario alla gestione tecnica e alla verifica interna, senza migrare nell’archivio passivo protetto.

8.7. Cancellazione definitiva

Alla scadenza dei termini sopra indicati: i documenti vengono cancellati in modo definitivo e irreversibile, salvo LEGAL HOLD attivo. L’ASD non mantiene registri o riepiloghi dei movimenti d’archivio; eventuale annotazione permanente è ammessa esclusivamente nei casi indicati al §8.2.

L’ASD non mantiene versioni “per comodità” una volta trascorsi i termini di conservazione e chiusa ogni controversia: a quel punto la conservazione non è più giustificata.

9. Diritti dell’interessato

In qualunque momento puoi esercitare i tuoi diritti previsti dagli artt. 15–22 del GDPR nei confronti dell’Associazione.

Se sei un Socio Atleta minorenne:

• Per i minori di età inferiore a 14 anni, l’esercizio dei diritti privacy (accesso, rettifica, cancellazione, opposizione, ecc.) e ogni consenso che richiede la base giuridica “consenso esplicito” deve essere gestito dal genitore/tutore che esercita la responsabilità genitoriale.
• Dai 14 anni in su, il minore può esprimere direttamente il consenso solo per l’offerta di servizi digitali (servizi della società dell’informazione) dell’ASD o collegati all’ASD, come previsto dall’art. 8 GDPR e dall’art. 2-quinquies del Codice Privacy, restando ferma la facoltà del genitore/tutore di opporsi o revocare. L’ASD si impegna comunque a spiegare il contenuto dei diritti in modo comprensibile al minore.

Trasparenza verso i minori. L’ASD applica misure specifiche di trasparenza e protezione quando tratta dati personali di Soci Atleti minorenni:

• L’ASD si impegna a spiegare al minore, con parole semplici e comprensibili rispetto alla sua età, quali dati personali vengono raccolti, perché vengono raccolti (per esempio sicurezza fisica, idoneità sanitaria, ammissione/non ammissione all’attività sportiva, tutela dei minori), chi può vederli (Soci Gerenti, Consiglio Direttivo nei casi previsti, e mai canali personali dei Soci Tecnici) e per quanto tempo vengono conservati secondo §8. Questa spiegazione deve essere fatta in modo che il minore capisca che può fare domande.
• Le comunicazioni che incidono sulla sicurezza fisica, sull’idoneità sanitaria, sulla disciplina interna o sulla tutela dei minori vengono inviate e ricevute tramite i canali istituzionali dell’ASD (§6) e, nel caso di Soci Atleti minorenni, sono rivolte di norma ai genitori/tutori che esercitano la responsabilità genitoriale. È vietato usare chat o account personali dei Soci Tecnici per gestire questi contenuti, né chiedere ai genitori/tutori di far circolare immagini o informazioni sensibili tramite canali personali.
• Il minore (or il genitore/tutore per lui, se sotto i 14 anni, o comunque il genitore/tutore se lo ritiene opportuno) può chiedere chiarimenti o esercitare i diritti privacy anche facendo una domanda informale a un istruttore o volontario. Chi riceve la domanda è tenuto a inoltrarla immediatamente all’Indirizzo Privacy Ufficiale indicato nel §1.2/§9.2, senza filtrare e senza rispondere “di testa propria”. La richiesta verrà poi gestita tramite canale istituzionale e registrata nel Giornale DSAR (§9.4). L’ASD si impegna a non penalizzare l’atleta (minore) né il genitore/tutore solo perché hanno chiesto spiegazioni sui dati personali o hanno esercitato i diritti GDPR.

9.1. Quali diritti puoi esercitare

• Diritto di accesso (art. 15 GDPR): sapere se trattiamo dati personali che ti riguardano, quali dati, perché li trattiamo, per quanto tempo li conserviamo, a chi li comunichiamo, e ottenere copia (incluse – se applicabili – le parti rilevanti di eventuali accordi di trasferimento extra-SEE come le Clausole Contrattuali Standard).
• Diritto di rettifica (art. 16 GDPR): chiedere di correggere o aggiornare dati inesatti o incompleti.
• Diritto di cancellazione (art. 17 GDPR): chiedere, nei casi previsti dalla legge, la cancellazione dei tuoi dati. Nota: alcuni dati (ad es. documentazione amministrativa e sanitaria necessaria a dimostrare l’adempimento degli obblighi di sicurezza sanitaria e tutela dei minori) possono essere conservati nell’archivio passivo protetto per fini probatori/assicurativi/disciplinari / difesa in giudizio, nei limiti descritti in questa Informativa.
• Diritto di limitazione (art. 18 GDPR): chiedere che l’uso dei dati venga “congelato” (limitato) in determinate circostanze.
• Diritto alla portabilità (art. 20 GDPR): nei casi previsti, ricevere i dati personali che ci hai fornito in formato strutturato, di uso comune e leggibile da dispositivo automatico, e/o chiedere la trasmissione diretta a un altro titolare.
• Diritto di opposizione (art. 21 GDPR): opporti, per motivi connessi alla tua situazione particolare, a trattamenti basati su art. 6(1)(f) GDPR (legittimo interesse). Puoi sempre opporti gratuitamente alle comunicazioni promozionali via e-mail istituzionale dell’ASD (“NON INVIARE PIÙ”).
• Diritto di non essere soggetto a decisioni unicamente automatizzate con effetti giuridici o simili (art. 22 GDPR): l’ASD non adotta decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici nei tuoi confronti o incidano in modo analogo significativamente su di te.

9.2. Come esercitare i diritti (punto di contatto ufficiale)

Per esercitare i diritti sopra, o per qualsiasi dubbio sulla gestione dei tuoi dati personali, devi scrivere all’Indirizzo Privacy Ufficiale dell’Associazione (indirizzo e-mail indicato nel §1 “Chi siamo e come contattarci”). Su richiesta motivata, l’indirizzo PEC dell’ASD è fornito per invii formali (ad es. istanze o reclami); la PEC non è pubblicata per evitare usi impropri, ma resta un canale ufficiale disponibile su richiesta.

Questo è l’unico canale valido per l’esercizio dei diritti privacy (DSAR – Data Subject Access Request). L’uso di canali personali (chat private, profili social, numeri WhatsApp personali dei Soci Tecnici, ecc.) non è autorizzato per la gestione dei diritti privacy: chiunque riceva una richiesta su un canale non istituzionale non risponde nel merito e la inoltra immediatamente e integralmente all’Indirizzo Privacy Ufficiale per la presa in carico formale (v. §1.2).

Ai fini dei termini di risposta (v. §9.3), fa fede la data del primo contatto pervenuto all’ASD, anche se inizialmente avvenuto su canali non istituzionali: la richiesta viene comunque protocollata nel Giornale DSAR con indicazione della data/ora del primo contatto e della data/ora di presa in carico sull’Indirizzo Privacy Ufficiale (v. §9.4).

9.3. Tempi e modalità di risposta

L’ASD risponde alla tua richiesta senza ingiustificato ritardo e comunque entro 1 mese a decorrere dalla data del primo contatto pervenuto all’ASD, come precisato al §9.2. La richiesta è presa in carico formalmente tramite l’Indirizzo Privacy Ufficiale (v. §1.2 e §9.2), con protocollazione nel Giornale DSAR. Il termine può essere esteso fino a 2 mesi aggiuntivi in caso di particolare complessità o numero elevato di richieste; in tal caso te ne diamo comunicazione entro 1 mese, spiegando il motivo della proroga.

L’esercizio dei diritti è di norma gratuito. L’ASD può chiedere un contributo spese solo se la richiesta è manifestamente infondata o eccessiva (ad esempio, richieste ripetitive), come previsto dal GDPR.

9.4. Registrazione delle richieste (Giornale DSAR)

Ogni richiesta privacy che arriva tramite l’Indirizzo Privacy Ufficiale viene registrata in un Giornale DSAR (registro interno delle richieste e delle risposte), con data di ricezione, oggetto sintetico, esito e data di risposta. Il Giornale DSAR è uno strumento limitato alla gestione delle richieste privacy e non costituisce un “registro dei movimenti d’archivio” né comporta la tenuta di “registri cronologici degli accessi”.

Il Giornale DSAR e la relativa corrispondenza sono gestiti dai Soci Gerenti incaricati alla gestione amministrativa sotto la vigilanza del Consiglio Direttivo, nel rispetto dei canali istituzionali e delle modalità indicate ai §§1.2 e 9.2–9.3. La registrazione serve a dimostrare il rispetto degli obblighi di trasparenza e risposta previsti dal GDPR (art. 12 e seguenti) ed è parte delle misure di responsabilizzazione (accountability).

Copie delle richieste privacy e delle risposte formali possono essere trasferite nell’archivio passivo protetto e conservate fino a 10 anni ai soli fini probatori (dimostrare la conformità al GDPR, difendersi in caso di contestazioni), con accesso limitato, secondo i termini e le cautele del §8. Scaduti i termini, i documenti sono cancellati in modo definitivo e irreversibile, salvo LEGAL HOLD in caso di controversia aperta.

9.5. Reclamo al Garante Privacy

Se ritieni che il trattamento dei tuoi dati personali violi la normativa applicabile, hai il diritto di proporre reclamo all’Autorità di controllo competente (Garante per la protezione dei dati personali), ai sensi dell’art. 77 GDPR, oltre che di adire le opportune sedi giudiziarie.

10. Cookie e tecnologie simili

I nostri siti/spazi web ufficiali possono utilizzare cookie e tecnologie simili (ad es. identificatori tecnici, pixel, local storage) per finalità tecniche, di sicurezza, di misurazione statistica e, se accettato, per finalità di analisi avanzata o promozionali. Per “siti/spazi web ufficiali” si intendono esclusivamente i canali istituzionali dell’ASD (vedi §6), non profili personali di singoli Soci Tecnici.

10.1. Cookie tecnici strettamente necessari

I cookie tecnici strettamente necessari vengono utilizzati per permettere il funzionamento base del sito (sicurezza, prevenzione abusi, gestione della sessione, erogazione del contenuto richiesto). Questi cookie vengono installati senza bisogno di consenso, nel rispetto dell’art. 122 del Codice Privacy e delle Linee guida del Garante Privacy.

10.2. Cookie/statistiche/marketing soggetti a consenso

Tutti i cookie e gli strumenti di tracciamento non strettamente necessari (statistiche analitiche avanzate, profilazione, marketing, remarketing, ecc.) sono bloccati per impostazione predefinita e vengono attivati solo se l’utente fornisce un consenso libero, informato e specifico. Questo significa in concreto:

• Il banner di consenso mostra già al primo livello opzioni chiaramente equivalenti: “Accetta tutto” e “Rifiuta tutto”. Non è richiesto passare da più schermate o percorsi nascosti per poter rifiutare.
• Nessuna casella è preselezionata. Lo “scroll”, la mera prosecuzione della navigazione o la chiusura del banner senza scelta attiva non sono considerati consenso valido.
• Se l’utente sceglie “Rifiuta tutto”, gli strumenti non necessari restano disattivati.
• Se l’utente sceglie “Accetta tutto” o seleziona categorie specifiche, vengono attivati solo gli strumenti nelle categorie accettate (ad es. statistici, marketing), così come descritto nella Cookie Policy dedicata, inclusa l’eventuale presenza di trasferimenti extra-SEE (vedi §7).

Questa impostazione riflette le indicazioni del Garante Privacy e delle autorità europee: il consenso deve essere libero, informato, non ottenuto tramite schemi ingannevoli (“dark patterns”), e revocabile in ogni momento con la stessa facilità con cui è stato dato.

Per i dettagli tecnici sugli strumenti utilizzati (categorie, durata, basi giuridiche applicate) fare riferimento alla Cookie Policy; per informazioni su eventuali trasferimenti extra-SEE si veda il §7 della presente Informativa.

10.2-bis. CMP (piattaforma di gestione del consenso)

L’ASD utilizza una piattaforma di gestione del consenso (“CMP”) conforme alle Linee guida del Garante e alle raccomandazioni europee in materia di ePrivacy/cookie. La CMP:

• classifica gli script e le tecnologie di tracciamento in categorie (ad es. strettamente necessari/statistici / marketing);
• blocca di default tutte le categorie non strettamente necessarie finché l’utente non ha espresso un consenso valido;
• consente all’utente di rifiutare tutto sin dal primo livello del banner, senza percorsi nascosti o pulsanti meno visibili;
• memorizza tecnicamente la preferenza dell’utente (accetta / rifiuta/categorie accettate) per poterla far rispettare nelle visite successive sullo stesso browser/dispositivo; questa preferenza è salvata dal fornitore CMP e tramite un identificatore tecnico nel browser dell’utente, in modo da non ri-richiedere il consenso a ogni pagina;
• permette all’utente di modificare o revocare in qualsiasi momento la sua scelta tramite il link sempre disponibile “Impostazioni cookie” presente sui canali istituzionali dell’ASD.

L’ASD non mantiene internamente un archivio continuo e locale delle singole preferenze cookie degli utenti, né crea una banca dati separata dei consensi cookie. In condizioni ordinarie tali preferenze restano gestite dalla CMP a fini tecnici per applicare o bloccare le relative categorie di script.

Solo se dovesse nascere una contestazione formale (ad es. un reclamo su presunte installazioni di cookie non necessari senza consenso) o una richiesta da parte dell’Autorità, l’ASD può richiedere alla CMP l’evidenza tecnica della preferenza espressa (accettazione o rifiuto in una certa data/ora su un certo browser) e conservarne copia per il solo tempo strettamente necessario a gestire quella contestazione o richiesta istituzionale, all’interno dell’archivio passivo protetto come materiale probatorio.

10.3. Gestione e revoca da parte dell’utente

Il banner e l’interfaccia “Impostazioni cookie”, sempre raggiungibile dal footer dei canali istituzionali dell’ASD, ti permettono in qualunque momento di:

• modificare le preferenze (“accetta”, “rifiuta”, “personalizza” per categoria);
• revocare il consenso già dato;
• visualizzare in modo trasparente le categorie di cookie e le finalità collegate.

Quando modifichi o ritiri il consenso tramite “Impostazioni cookie”, la CMP aggiorna la preferenza tecnica sul tuo browser/dispositivo e continua a bloccare gli strumenti non necessari che non hai accettato. L’ASD non crea, con ciò, un nuovo archivio interno nominativo delle tue scelte cookie.

Se in futuro dovesse essere necessario dimostrare al Garante o a terzi che l’ASD ha rispettato il tuo rifiuto o la tua revoca, l’ASD richiederà al fornitore CMP l’evidenza tecnica della preferenza e ne terrà copia temporanea nell’archivio passivo protetto, esclusivamente come prova difensiva e per il tempo necessario alla gestione della contestazione (poi tale copia viene eliminata definitivamente).

10.4. Cookie Policy dedicata e fornitori terzi

Tutti i dettagli tecnici (elenco dei cookie/strumenti usati, durata, finalità, fornitore terzo, eventuali trasferimenti extra-SEE, base giuridica per quel fornitore) sono raccolti in una Cookie Policy dedicata, sempre raggiungibile:

• dal banner stesso (“Maggiori informazioni”/“Impostazioni cookie”);
• dal footer dei canali istituzionali dell’ASD.

In caso di fornitori extra-SEE, la Cookie Policy indica se il trasferimento dei dati si fonda su una decisione di adeguatezza (art. 45 GDPR, ad es. fornitore USA aderente a un quadro di adeguatezza riconosciuto), oppure su Clausole Contrattuali Standard e misure supplementari (art. 46 GDPR), come descritto nel §7.

11. Sicurezza e gestione degli incidenti

L’ASD adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione indebita. Tra le misure figurano:

• limitazione degli accessi ai soli soggetti autorizzati e istruiti;
• separazione logica/fisica delle aree che contengono dati particolarmente sensibili (ad es. documentazione sanitaria);
• uso di canali sicuri per l’invio di documenti contenenti dati personali (ad es. PEC, file cifrati con password trasmessa separatamente);
• presidio organizzativo sugli accessi (come definito in “Controllo interno degli accessi” in §0-bis), basato sulla limitazione delle presenze e delle credenziali dei soli soggetti autorizzati; per eventuali invii verso terzi si utilizzano esclusivamente canali istituzionali e strumenti sicuri (ad es. PEC, file protetti), previa autorizzazione del Consiglio Direttivo o di soggetti formalmente incaricati.
  Registrazioni. Non è tenuto alcun registro cronologico degli ingressi fisici ai locali/armadi d’archivio né delle singole consultazioni/estrazioni dai fascicoli dell’Archivio passivo protetto.
• monitoraggio degli incidenti e formazione interna sui comportamenti corretti (divieto di usare canali personali non autorizzati, divieto di pubblicare immagini riconoscibili dei Soci, ecc.).

L’ASD ha adottato un Data Breach Response Plan. In caso di violazione dei dati personali:

• l’ASD valuta immediatamente la natura dell’incidente e il rischio per le persone coinvolte;
• adotta un “takedown” prudenziale se informazioni o immagini destinate a uso interno sono finite su canali inappropriati o pubblici;
• se necessario, notifica l’Autorità Garante entro 72 ore, come previsto dall’art. 33 GDPR;
• se la violazione può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, informa direttamente gli interessati con linguaggio chiaro (art. 34 GDPR);
• documenta l’incidente e le misure correttive in un registro interno degli incidenti e li collega, se pertinente, al Giornale DSAR.

12. Decisioni automatizzate e profilazione

L’ASD non adotta decisioni basate unicamente sul trattamento automatizzato (inclusa la profilazione) che producano effetti giuridici sull’interessato o che incidano in modo analogo significativamente sulla persona, ai sensi dell’art. 22 GDPR.

Assenza di profilazione da parte dell’ASD. L’ASD non effettua attività di profilazione dei propri Soci o utenti per finalità di marketing né per l’erogazione dei servizi; le eventuali analisi interne sono svolte solo in forma aggregata e anonima.

Strumenti di terze parti sui siti ufficiali. Eventuali cookie/strumenti non strettamente necessari (es. statistiche avanzate o marketing) possono comportare trattamenti da parte di terzi, in qualità di titolari autonomi o contitolari secondo i relativi termini. Tali strumenti sono bloccati per impostazione predefinita e vengono attivati solo se l’utente esprime un consenso valido tramite il banner di gestione cookie; le scelte sono sempre revocabili dalle “Impostazioni cookie”. Per i dettagli si veda il §10 (Cookie e tecnologie simili) e, per gli eventuali trasferimenti extra-SEE, il §7.

13. Aggiornamenti e versione

La presente Informativa Privacy è approvata dal Consiglio Direttivo. La versione vigente sostituisce tutte le precedenti ed è applicabile dalla data indicata in intestazione. L’Informativa può essere aggiornata per esigenze normative o organizzative; le modifiche sostanziali saranno comunicate tramite i canali istituzionali dell’ASD.