Con il termine anglosassone “wearable” si definiscono tutti quei dispositivi tecnologici indossabili, che misurano e monitorano le prestazioni sportive della persona. La tecnologia, integrata in questi dispositivi sta guidando una vera e propria rivoluzione nel mondo dello sport. I wearable, infatti, possono essere utilizzati da atleti di tutti i livelli, sia da coloro i quali svolgono attività fisica senza avere alle spalle una struttura professionistica (si pensi ad esempio a chi utilizza uno smartwatch o un più elementare contapassi per calcolare la distanza percorsa nel proprio allenamento), sia da atleti professionisti che utilizzano dispositivi che possono essere addirittura incorporati nelle divise della squadra di appartenenza. La tecnologia monitora le prestazioni degli sportivi sia a livello amatoriale, sia a livello professionistico, le società sportive utilizzano i risultati per incrementare le prestazioni o per recuperare le stesse a seguito di un infortunio, chi si occupa di trattamento dei dati si interroga sulle modalità di questi trattamenti e sulle garanzie di protezione della privacy che vengono offerte.
Indice degli argomenti
Diffusione dei wearable e tipologia dei dispositivi sul mercato
La diffusione dei wearable è pressoché capillare per quanto riguarda tutti i livelli di attività sportiva. La tipologia dei modelli offerti dal mercato è piuttosto varia: si spazia dagli smartwatch ai frequenzimetri, dal più classico contapassi ai dispositivi integrati nell’abbigliamento, siano magliette delle divise della squadra, o scarpe da corsa, siano sensori nei caschi o nelle mazze delle squadre di baseball.
La Germania, nei Mondiali del 2014, ha utilizzato un sistema (Adidas miCoach Elite) già in uso presso molte realtà sportive fin dal 2012, che impiega un sensore in grado di determinare le prestazioni atletiche come velocità, accelerazione, potenza, distanza e frequenza cardiaca e li invia istantaneamente all’allenatore.
I wearable sono utilizzati in qualsiasi disciplina sportiva: esistono calzini intelligenti che possono rilevare la cadenza, l’atterraggio del piede e le forze d’impatto, dispositivi integrati nelle maglie delle squadre di basket (ShotTracker) che consentono di rilevare dati come colpi tentati, colpi effettuati, colpi persi; magliette per i piloti da corsa che monitorano velocità dell’auto, distanza percorsa e frequenza cardiaca del pilota. Insomma il panorama è davvero variegato.
A fronte di un impiego così massiccio di wearable, e considerata la mole e l’importanza dei dati che vengono raccolti e trattati, ci si interroga sulle modalità con le quali questi dati vengano utilizzati, protetti e gestiti.
I dati trattati dai wearable e le basi di legittimità
Fatte queste dovute premesse appare chiaro che gli atleti, professionisti e non, devono avere piena coscienza dei rischi che l’uso di questi dispositivi creano a seguito della raccolta di informazioni personali aggiuntive e possibilmente sensibili, e soprattutto che sovente tale “monitoraggio” avviene in modo discreto e di nascosto.
Ulteriore rilievo viene dato dall’Organizzazione Mondiale della Sanità che, nel documento denominato “Global strategy on digital health 2020-2025”, ha sottolineato che i dati sanitari devono essere classificati come dati personali sensibili che richiedono il più alto standard di sicurezza possibile. L’OMS, nella sua strategia enfatizza pertanto la necessità di una solida base giuridica e normativa per proteggere la privacy, la riservatezza e il trattamento dei dati sanitari personali e per affrontare la cybersicurezza, il rafforzamento della fiducia, la responsabilità e la governance, l’etica, l’equità, lo sviluppo di capacità e l’alfabetizzazione.
Con questo possiamo affermare che i dati che vengono raccolti e trattati dai dispositivi wearable riguardano aspetti come la frequenza cardiaca, alcuni parametri vitali, la distanza percorsa, la velocità e rientrano a tutti gli effetti nelle “categorie particolari di dati” di cui all’art. 9 del GDPR.
In particolare l’art. 9.1 stabilisce espressamente il divieto per il trattamento di “[…] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”
Quindi divieto di utilizzo dei dati in questione a meno che non ricorra una delle ipotesi elencate dallo stesso articolo in presenza delle quali il trattamento è ammesso e risulta, pertanto, lecito. Con riferimento alla fattispecie che si analizza, gli elementi che possono essere considerati per la liceità del trattamento sono il consenso dell’interessato, l’adempimento di obblighi derivanti dal contratto di lavoro o in materia di medicina del lavoro.
Le basi di legittimità possono rinvenirsi nel consenso previsto dall’art. 9.1 alla lettera a). Il consenso che viene acquisito deve essere libero, inequivocabile, revocabile, distinto da altre eventuali finalità, ma soprattutto esplicito e raccolto in forma scritta; altra base giuridica è la finalità di medicina del lavoro prevista dall’art. 9.2 alla lettera h) a cui segue il richiamo al paragrafo 3 il quale presuppone che il trattamento venga effettuato da o sotto la responsabilità di un soggetto tenuto al segreto professionale, ovvero sia da un professionista esercente una professionale sanitaria ordinistica.
Le tipologie di interessati al trattamento dei dati dei wearable
Il primo passo da compiere è quello della separazione delle due diverse ipotesi dell’utilizzo dei wearable da parte di atleti amatoriali da quella dell’utilizzo degli stessi dispositivi da parte di atleti professionisti o dilettanti, poiché diverse risultano le posizioni degli atleti.
Atleti amatoriali
Gli atleti amatoriali, e tutti coloro che utilizzano i wearable per finalità non agonistiche, con l’acquisto, instaurano un rapporto diretto con il produttore del dispositivo. In questo binomio atleta-produttore è quindi necessario valutare le rispettive posizioni e, di conseguenza, anche i rispettivi obblighi alla luce delle disposizioni del GDPR.
Partendo dall’assunto che i wearable trattano dati appartenenti a particolari categorie, per i quali, come detto, vige un divieto di trattamento, è necessario individuare quale sia l’ipotesi prevista dalla norma che possa legittimare il trattamento in questione. In questo caso, l’unico elemento che possa rendere lecito il trattamento è il consenso dell’interessato, ossia dell’atleta.
Il produttore, pertanto, prima di iniziare qualsiasi tipologia di trattamento, ossia prima di rendere utilizzabile il dispositivo, dovrà acquisire dall’atleta un consenso libero, specifico, inequivocabile e informato (secondo le indicazioni dell’art. 4 n.11) dopo avergli reso tutte le informazioni di cui all’art. 13 del GDPR.
Atleti professionisti e dilettanti
Un discorso diverso deve essere fatto per quanto concerne gli atleti che abbiano alle spalle una struttura organizzata, ossia una società, con la quale abbiano stipulato un contratto che regolamenta il rapporto tra le parti. In questo caso è da escludere che si possa ricorrere al consenso dell’atleta in quanto il vincolo contrattuale che lega società e atleta, di fatto, li pone in una posizione di sostanziale squilibrio nel quale è difficile immaginare che un atleta possa rilasciare un consenso libero e non condizionato.
Non è immaginabile, infatti, che un atleta possa rifiutare di utilizzare i wearable forniti dalla società, soprattutto se questi siano parte integrante della dotazione sportiva o se vengano utilizzati per monitorare le prestazioni dei singoli al fine di elaborare programmi personalizzati di allenamento o di potenziamento.
Sembra piuttosto potersi fare riferimento al rapporto contrattuale stipulato tra società e atleta e agli obblighi da questo derivanti per la società, anche con riferimento alla c.d. sicurezza sul lavoro e all’obbligo di predisporre tutte le misure idonee affinché l’atleta possa esprimere al meglio la propria prestazione sportiva e il proprio potenziale, sia in termini di potenziamento che di recupero da un eventuale infortunio, salvaguardando la salute dell’atleta.
Non bisogna inoltre dimenticare che in un contesto già di per sé molto particolare come quello sportivo, è indispensabile individuare i vari rapporti che si vengono a creare a seguito dell’utilizzo dei wearable. Non si tratta di un rapporto esclusivo tra società e atleta, ma piuttosto di un fitto intreccio di rapporti che aumentano proporzionalmente alla complessità della struttura organizzativa di riferimento.
L’atleta utilizza dispositivi wearable che vengono forniti direttamente dalla società e fornisce alla stessa i propri dati che verranno, in seguito, trattati per diverse finalità dal monitoraggio delle prestazioni alla predisposizione di un programma di allenamento personalizzato, dalla match analysis al recupero da un infortunio solo per citarne alcune.
In questo sistema, la cui complessità, come detto, aumenta in maniera proporzionale alla complessità della struttura societaria, individuare soggetti e ruoli specifici di coloro che vengono a diretto contatto con questi dati non è sempre un compito semplice, proprio per la varietà dei soggetti coinvolti e la diversità delle finalità per le quali i dati vengono trattati.
Si pensi, per esempio, alle società nelle quali la struttura prevede figure come il medico sociale, uno o più preparatori atletici, l’allenatore, il vice allenatore, gli addetti alla match analysis solo per citarne alcuni.
La complessità di questi contesti fa naturalmente emergere alcuni importanti interrogativi che riguardano da un lato le modalità con cui questi dati vengono trattati e le misure di protezione che vengono adottate, dall’altro la possibilità per l’atleta di esercitare nei confronti di questi dati i diritti che il GDPR garantisce agli interessati.
Si pensi, per esempio, al caso di trasferimento dell’atleta. In questa ipotesi cosa succede ai dati che siano stati trattati dalla società ma che riguardino le prestazioni sportive dell’atleta? Può essere chiesta la portabilità? Può essere chiesta la cancellazione dei dati?
Il trattamento dei dati dei dispositivi wearable
Gli interrogativi, come visto, possono essere molteplici e sono, senza dubbio, di non facile e immediata soluzione. Per quanto riguarda poi il contesto specifico, dobbiamo in primo luogo partire dal particolare ambito al quale stiamo facendo riferimento, ossia quello sportivo.
Come noto l’ordinamento sportivo è un ordinamento ad adesione volontaria nel quale, nonostante esista e sia riconosciuta una potestà normativa, in tema di trattamento dei dati personali si applicano le normative europee e statali, quindi GDPR e Codice della privacy così come novellato dal d.lgs. 101/2018. Fatta questa prima indispensabile premessa è necessario stabilire quali siano i diritti dell’interessato, l’atleta appunto, che si trasferisca presso un’altra società.
Nessun dubbio che allo stesso debbano essere riconosciuti i diritti di cui agli artt. 15 e segg. del GDPR, quindi anche il c.d. diritto alla portabilità di cui all’art. 20, in base al quale all’interessato viene riconosciuto il diritto di chiedere il trasferimento dei propri dati presso un altro titolare. Si tratta di dati personali, appartenenti a categorie particolari di dati, che sono stati trattati sulla base di un contratto tra la società e l’atleta.
Ci si domanda in primo luogo se questi dati trovino già una collocazione negli adempimenti che l’atleta è tenuto ad eseguire in virtù, appunto, del suo tesseramento presso una Federazione, come per esempio l’onere di mantenere la propria scheda sanitaria aggiornata e completa, e quindi di avere uno storico dei dati attinenti al proprio stato di salute.
In questo contesto, se la specificità dei dati raccolti supera quelli inseriti nella scheda sanitaria, questi possono rappresentare, pertanto, oggetto di richiesta di portabilità? E più in particolare, quale valore possono avere questi dati per la società di destinazione dell’atleta?
Se da un lato si tratta, come visto, di dati personali, laddove l’atleta abbia beneficiato di un programma, per esempio di allenamento, personalizzato, quei dati saranno il frutto di quella specifica attività studiata ad hoc per l’atleta.
In questo caso, quindi, quale valore può avere il dato? Può avere valore come dato scollegato dal programma al quale è stato sottoposto l’atleta senza il supporto del programma stesso, dovendo questo rimanere di proprietà della squadra di provenienza?
Molto probabilmente non esiste una risposta valida in assoluto, ma certamente il dato, anche senza il programma che ha consentito il suo raggiungimento, può avere un valore significativo sia per la società sia per l’atleta, quanto meno in termini di comparazione delle prestazioni in contesti diversi.
Un ulteriore e diverso aspetto è rappresentato dalla possibilità per l’atleta di chiedere la cancellazione dei propri dati personali alla ex-società. Quest’ultima, infatti, cessando il rapporto con l’atleta vedrà venire meno la base giuridica del trattamento, e sarà tenuta a interrompere qualsiasi trattamento che riguardi dati dell’atleta, dovendo ottemperare alla richiesta di cancellazione avanzata dall’interessato.
Conclusioni
Le implicazioni relative al trattamento dei dati personali effettuati dai wearable pongono di fronte a quesiti che non sempre sono di facile soluzione. La chiave di lettura corretta parte, in ogni caso, da due diversi punti che riguardano sia la corretta informazione sul trattamento effettuato, sia la effettiva percezione dell’importanza di quei dati che, molto spesso, si affidano a strumenti non adeguatamente e sufficientemente idonei a garantirne la tutela e la protezione.
Ulteriore elemento da considerare è il minimo comune denominatore di tutti i dispositivi e la loro capacità di monitoraggio del soggetto e di raccolta dei dati, la cui analisi varia a seconda del livello di tecnologia del device o dal tipo di servizio richiesto dall’utente, e dal loro invio a soggetti o enti predeterminati in ragione delle differenti funzioni scelte.
Tale situazione apre scenari inesplorati, infatti i dati raccolti possono essere semplicemente utilizzati dall’utente per un monitoraggio limitato (controllo del tracciato cardiaco, della pressione sanguigna, del valore della glicemia), ma possono anche venire raccolti in forma costante o cadenzata temporalmente, e trattati da calcolatori appositi, in grado di rilevare possibili alterazioni dei parametri e inviare comunicazioni a soggetti terzi.
Viene, infine, in rilievo la valenza sociale delle informazioni raccolte dai device. La possibilità di trattare i dati ricavati dai wearable in forma anonima, farli analizzare da strumenti di elaborazione AI, e poi catalogarli sulla base di elementi anagrafici e territoriali, è indubbiamente funzionale al miglioramento dell’erogazione dei servizi sanitari pubblici e a una razionalizzazione della spesa ad essi collegata, oltre ad aprire nuove possibilità alla ricerca scientifica, ma è anche vero che perdere di vista i rischi connessi a una riduzione grave del controllo della sfera personale significa rimettere in gioco la natura stessa dei rapporti tra gli individui e tra questi e la collettività.
Un argine a questi rischi è il GDPR, strumento teso a tutelare sia la protezione dei dati personali delle persone fisiche sia la libera circolazione di detti dati all’interno dell’Unione Europea. Ciò significa che proteggere i dati personali non vuole porre un limite alla tecnologia, ma piuttosto indicare una direzione o, meglio ancora, un binario entro il quale questa è libera di correre, senza deragliare nella violazione dei diritti umani o incrociare la corsa con le libertà fondamentali dell’individuo, ma piuttosto mettendo al servizio di queste la sua velocità in una comune corsa al futuro.
