Privacy

Il c.d. “Project Red Card” e le nuove prospettive in materia di dati personali dei giocatori e degli atleti nel Regno Unito

by on
Photo by Markus Spiske on Unsplash

Con l’uscita dall’Unione Europea, il Regno Unito ha dovuto adeguare la normativa nazionale in materia di dati personali, la cui tutela è al momento garantita sia attraverso il c.d. “UK GDPR[1] che attraverso il Data Protection Actdel 2018[2]. Questi strumenti, stando alle decisioni di adeguatezza della Commissione del 19 febbraio 2021, garantiscono un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione dal Regolamento (UE) 2016/679 sulla protezione dei dati (General Data Protection Regulation, GDPR)[3] in quanto prevedono diritti individuali, specifici obblighi per i titolari ed i responsabili del trattamento, norme in materia di trasferimenti internazionali di dati e mezzi di ricorso analoghi[4].

UK GDPR e Data Protection Act 2018 costituiscono la base giuridica del c.d. “Project Red Card”, un’iniziativa promossa lo scorso 26 agosto 2021 dall’ex manager del Cardiff City Russell Slade e dal Global Sports Data and Technology Group (GSDT)[5] nei confronti di diverse organizzazioni e compagnie attive nel settore giochi e scommesse, al fine di dimostrare che queste ultime non dispongono di una base giuridica idonea al trattamento dei dati personali dei giocatori professionisti quali, tra gli altri, quelli relativi al numero di presenze, ai gol segnati, alla precisione dei passaggi, alla distanza percorsa, agli infortuni, né di quelli medici che vengono raccolti dai loro club di appartenenza. Tutti questi dati, in quanto riferibili a soggetti identificati o identificabili, rientrano nella definizione di “dati personali”[6] ai sensi del GDPR. 

Secondo il GSDT, il trattamento dei dati personali dei giocatori non sarebbe legittimo in quanto questi ultimi non avrebbero mai prestato il loro consenso. Più particolarmente, nonostante sia possibile che, in alcune situazioni, un giocatore abbia acconsentito al trattamento dei suoi dati personali attraverso un contratto di sponsorizzazione o di impiego, qualora quest’ultimo disciplini aspetti ulteriori, le disposizioni relative al consenso dovrebbero essere presentate in maniera chiara e distinta. Ciò che, anche a causa dello squilibrio di potere contrattuale tra datori di lavoro e dipendenti, è ritenuto altamente improbabile. I dati raccolti, inoltre, sarebbero imprecisi, ciò che potrebbe causare problemi ai calciatori in cerca di un nuovo ingaggio. Delle statistiche errate, infatti, potrebbero indurre chi se ne avvale a non prendere in considerazione un determinato calciatore in quanto ritenuto infortunato o comunque non idoneo alle esigenze di un club

In base al GDPR[7], tuttavia, il consenso è soltanto una delle condizioni necessarie per la liceità del trattamento. Il relativo titolare, infatti, potrebbe porre in essere un trattamento di dati qualora lo stesso sia necessario per il perseguimento di un “legittimo interesse” suo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei suoi dati personali. I dati biometrici dei calciatori, quali ad esempio quelli sugli infortuni, inoltre, costituiscono categorie particolari di dati, il cui trattamento è soggetto a condizioni particolarmente restrittive quali, tra le altre, il consenso esplicito dell’interessato o il fatto che il trattamento riguardi dati personali resi manifestamente pubblici da quest’ultimo[8]. Un’ipotesi che difficilmente potrebbe applicarsi al caso in cui l’infortunio di un giocatore sia stato trasmesso in diretta e riportato dai mass media.

Qualora il data breach lamentato nell’ambito del Red Project Card fosse effettivamente dimostrato, si aprirebbe la questione relativa all’eventuale risarcimento dei danni sofferti da parte dei calciatori coinvolti, che conformemente al regime della prescrizione attualmente in vigore nel Regno Unito, coprirebbe i sei anni successivi al momento in cui la violazione si è verificata. A tal riguardo, determinante potrebbe essere la decisione della Corte Suprema britannica del 10 novembre 2021 nella causa Lloyd contro Google[9], che riguardava una class action intentata dal Sig. Lloyd nei confronti di Google per conto di oltre 4 milioni di utenti di iPhone lamentando una violazione della loro privacy tramite un espediente grazie al quale il colosso statunitense aveva potuto raccogliere i dati dei browser degli utenti iPhone senza il loro consenso aggregandoli in modo da creare un pubblico mirato. Con una decisione destinata a creare un precedente, tuttavia, la Corte aveva stabilito che non tutti gli interessati possono ottenere un risarcimento danni a causa del semplice verificarsi di un data breach, dovendo al contrario dimostrare di aver subito un danno effettivo derivante da tale violazione. Secondo la Corte, inoltre, per ottenere un risarcimento è necessario dimostrare che il trattamento dei dati in questione è illegittimo con riguardo alle circostanze dei singoli componenti della categoria rappresentata nel corso di una class action.

Le problematiche sottese al Red Project Card appaiono particolarmente rilevanti non soltanto per il calcio, e bensì per l’uso dei dati personali degli atleti di qualsiasi disciplina sportiva, intrecciandosi inevitabilmente con il futuro delle class action nel Regno Unito in questo settore. Un eventuale decisione nel senso di una violazione dei dati personali dei calciatori coinvolti, infatti, potrebbe condurre ad un nuovo modo di intendere il concetto di privacy a livello sportivo, con effetti destinati a ripercuotersi anche in ambiti diversi e più ampi.

Marco Stillo

[1] (Retained EU Legislation) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[2] Data Protection Act 2018.

[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016.

[4] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.

[5] Il GSDT è una compagnia, con sede nel Regno Unito, che si fornisce servizi di data processing e di consulenza gestionale. 

[6] L’articolo 4 GDPR, intitolato “Definizioni” al numero 1) dispone: “… Ai fini del presente regolamento s’intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale…”.

[7] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.

[8] Si veda l’articolo 9 GDPR, intitolato “Trattamento di categorie particolari di dati personali”.

[9] Il testo della decisione è disponibile al seguente LINK

Ti potrebbe interessare anche
Privacy, Proprietà intellettuale, Trattati, negoziato di uscita e aspetti costituzionali

NEGOZIATI BREXIT: LA COMMISSIONE EUROPEA PUBBLICA CINQUE NUOVI POSITION PAPER IN MATERIA DI DATI PERSONALI, PROPRIETÀ INTELLETTUALE, APPALTI PUBBLICI, CIRCOLAZIONE DEI BENI E QUESTIONI IRLANDESI

Privacy

COSA VUOL DIRE BREXIT PER LA PRIVACY?

Privacy

IL REGNO UNITO HA PRESENTATO UNA PROPOSTA PER CONTINUARE LA CONDIVISIONE DEI DATI PERSONALI CON L’UNIONE EUROPEA POST-BREXIT