1. Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal GDPR ha avuto, e avrà, un impatto notevole su tutti i settori della nostra società particolarmente sensibili ed interessati al tema del trattamento e della protezione dei dati personali; si pensi, ad esempio, al settore sanitario, a quello dei servizi di telecomunicazione, ai media, al settore della tecnologia, a quello finanziario e assicurativo, nonché anche al settore sportivo, oggetto del presente articolo. 2. La protezione dei dati personali nel settore sportivo: i principali adempimenti Il settore sportivo è sicuramente uno degli ambiti maggiormente interessati dall’applicazione del GDPR e dalla ulteriore normativa applicabile. Ciò è particolarmente vero se si considera che sia le associazioni e società sportive che le Federazioni Sportive Nazionali (di seguito, per brevità, le “Federazioni” e, congiuntamente alle associazioni e società sportive, anche le “Organizzazioni Sportive”) trattano, nello svolgimento delle proprie attività istituzionali, ingenti volumi di dati personali sia degli atleti delle diverse discipline sportive sia di altri soggetti (ad esempio, dei propri dipendenti e collaboratori, dei fornitori di servizi, dei consulenti, dei familiari dei propri tesserati e così via..). Se si considera, altresì, la tipologia di dati personali trattati, l’attenzione e le cautele richieste dovranno essere maggiori, dal momento che le predette Organizzazioni Sportive potrebbero raccogliere, utilizzare e conservare, per diverse finalità, non solo dati personali identificativi (es. nome, cognome, indirizzo, etc.) ma anche, e soprattutto, dati sensibili (definiti oggi, ai sensi del GDPR, anche “categorie particolari di dati personali”), quali i dati relativi allo stato di salute degli atleti (anche di soggetti minorenni). Pensiamo, ad esempio, ai dati personali necessari per procedere al tesseramento degli atleti ad una Federazione, ovvero ai dati personali necessari per l’iscrizione di un’associazione o società sportiva al relativo campionato di categoria piuttosto che ai documenti personali di ogni singolo atleta contenenti non solo dati personali comuni (nome, cognome, dati anagrafici e altri dati identificativi) ma anche dati personali relativi alla salute e alle condizioni psico-fisiche di quest’ultimo (fermo restando i limiti, che vedremo, relativamente all’applicazione della definizione di dato personale in tale ambito). Quali sono, quindi, alcuni dei principali aspetti da considerare e gli adempimenti necessari affinché le Organizzazioni Sportive trattino dati personali degli interessati (ovvero dei soggetti cui tali dati si riferiscono) nel rispetto della normativa vigente? Approfondiamo i più rilevanti. 2.1 I ruoli delle Organizzazioni Sportive in relazione alla normativa in materia di protezione dei dati personali In generale, il trattamento di dati personali dà luogo a un rapporto giuridico tra un soggetto che acquisisce i dati personali o svolge altre operazioni sui medesimi ("soggetto attivo" o "ruolo attivo del trattamento") e un soggetto al quale i dati personali si riferiscono (soggetto o ruolo "passivo" del trattamento, ossia l’"Interessato"). Il ruolo attivo del trattamento è svolto, in particolare, dal titolare e dal responsabile del trattamento. Il titolare del trattamento adotta le necessarie determinazioni in merito alle finalità e ai mezzi del trattamento da esso stesso posto in essere. Il responsabile del trattamento, invece, svolge un ruolo per così dire "subalterno"[1], trattando i dati personali per conto del titolare, secondo le finalità e le modalità determinate da quest’ultimo. La corretta individuazione dei ruoli nell’ambito delle attività di trattamento di dati personali è di importanza fondamentale. Tale individuazione permette, infatti, di identificare gli obblighi, gli adempimenti e le relative responsabilità cui soggiacciono i titolari e i responsabili del trattamento, a seconda delle circostanze, ai sensi della normativa applicabile (solo per citare alcuni esempi: spetterà al solo titolare, e non al responsabile, l’obbligo di informare l’interessato sul trattamento dei suoi dati personali ai sensi degli artt. 12, 13 e 14; o, ancora, in caso di comunicazione di dati personali a soggetti terzi, spetterà al titolare l’obbligo di valutare se i soggetti riceventi, in base alle finalità perseguite, ricevano tali dati quali “terzi” – e quindi, generalmente, quali autonomi titolari – o come responsabili del trattamento, da nominare – laddove ricorra tale circostanza – mediante un contratto o altro atto giuridico che lo vincoli al rispetto delle istruzioni di trattamento impartite dal titolare). Calandoci più nel caso specifico delle Organizzazioni Sportive, rispetto al trattamento dei dati personali dei propri atleti, le associazioni e le società sportive svolgeranno generalmente un ruolo di titolari autonomi anche rispetto alle Federazioni, nonostante i trattamenti effettuati dalle prime abbiano ad oggetto dati personali simili, se non in molti casi coincidenti, con quelli oggetto dei trattamenti svolti dalle Federazioni. La ragione di ciò sta nel fatto che i trattamenti effettuati da parte di associazioni e società sportive e quelli effettuati dalle Federazioni avvengono per finalità e con mezzi differenti, determinati autonomamente da ciascuna delle predette Organizzazioni Sportive. Due esempi aiuteranno a chiarire ulteriormente i concetti sopra illustrati. Si pensi all’ipotesi dei ritiri o delle trasferte. In questo caso, saranno le associazioni e le società sportive a trattare, in qualità di titolari del trattamento, i dati personali dei propri atleti (es. i dati anagrafici dell’atleta) necessari al fine di acquistare i biglietti per eventuali mezzi di trasporto, per prenotare le strutture di alloggio, etc. Un altro esempio riguarda, invece, l’attività di tesseramento presso le Federazioni. In questo caso associazioni e società sportive, pur trattando generalmente i medesimi dati personali (i.e. dati anagrafici degli atleti), assumeranno la qualifica di responsabili del trattamento per conto delle Federazioni. Ciò in quanto associazioni e società sportive raccolgono, trasmettono e (talvolta) conservano – in una parola “trattano” – i dati personali degli atleti per perseguire una finalità (ossia quella di tesseramento) determinata direttamente – e autonomamente – dalle Federazioni che, a loro volta, assumeranno la qualifica di titolari del trattamento. 2.2 Nomina del Data Protection Officer Tra le principali innovazioni apportate dal GDPR – soprattutto nell’ordinamento italiano – si annovera l’introduzione della figura del Responsabile per la protezione dei dati personali (comunemente denominato anche “Data Protection Officer” o “DPO”). Tale figura svolge una funzione (i) di vigilanza in merito al rispetto della normativa da parte del titolare e/o del responsabile del trattamento che lo ha nominato nonché (ii) di consulenza sempre su questioni legate alla normativa in materia di protezione dei dati personali. Il DPO funge, inoltre, da punto di contatto per gli interessati nonché per le Autorità di controllo in materia di protezione dei dati personali (in Italia, tale Autorità è il Garante per la protezione dei dati personali). Altro aspetto rilevante in relazione alla figura del DPO riguarda l’obbligatorietà o facoltatività della sua nomina da parte del titolare e/o del responsabile del trattamento. Ai sensi del paragrafo 1, dell’art. 37 del GDPR, è obbligatorio nominare il DPO nei seguenti tre casi: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli Interessati[2] su larga scala[3] (ad esempio, ciò avviene nel caso di utilizzo di sistemi di profilazione); oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10 del GDPR. Nei casi diversi da quelli sopra elencati, la nomina del DPO, sebbene facoltativa, è comunque fortemente raccomandata dalle Autorità di vigilanza, in termini di best practice, e tenuta in considerazione dalle medesime anche ai fini della commisurazione di eventuali provvedimenti sanzionatori da applicare al titolare o al responsabile del trattamento in caso di violazioni della normativa. Il tema della obbligatorietà della nomina del DPO in ambito sportivo è, tuttavia, attualmente dibattuto in dottrina, soprattutto alla luce dell’altrettanto discussa natura giuridica pubblica o privata delle Federazioni. Per coloro che propendono per la natura di ente pubblico delle Federazioni sarebbe evidente l’obbligatorietà in capo a queste ultime della nomina del DPO, ai sensi della lettera a) dell’art. 37 del GDPR sopra citata. Per coloro che sostengono la tesi opposta, la nomina di un DPO, non sarebbe obbligatoria, se non in presenza di una delle altre due condizioni di cui ai punti b) e c) sopra elencati. Sul tema, tuttavia, non si registra un orientamento univoco o maggioritario. Al netto della questione appena posta, chi scrive ritiene tuttavia che, almeno per le Federazioni, la nomina del DPO risulterebbe quantomeno fortemente consigliata, tenuto conto della mole e della tipologia di dati personali degli atleti o di altri soggetti trattati dalle stesse nonché delle modalità e dei mezzi del trattamento da esse effettuato (spesso basato anche su sistemi di profilazione). 2.3 Trattamento di categorie particolari di dati personali Nell’ambito dei trattamenti effettuati dalle Organizzazioni Sportive merita particolare attenzione il trattamento di categorie particolari di dati personali (i c.d. “dati sensibili” ai sensi del precedente “Codice Privacy”) e, nello specifico, di dati relativi alla salute degli atleti. Ad esempio, generalmente le Federazioni ricevono da società e associazioni sportive unicamente dei certificati di idoneità sportiva relativi ai singoli atleti che, di per sé, non contengono dati di categorie particolari[4]. La trasmissione dei predetti certificati avverrà al fine di permettere alla Federazione di perseguire finalità di trattamento proprie e diverse da quelle delle associazioni e delle società sportive. Tuttavia, ciò non esclude che i predetti certificati possano contenere anche altri dati personali relativi allo stato di salute dell’atleta (e, quindi, non solo un’attestazione relativa all’idoneità fisica) o che siano trattati referti di non idoneità i quali, presupponendo la presenza di patologie nell’interessato o, comunque, la necessità di evitare potenziali rischi indotti appunto dalla pratica agonistica, possono essere considerati quali documenti contenenti categorie particolari di dati[5], con ciò che ne consegue in termini di rispetto degli obblighi e degli adempimenti normativi appositamente previsti rispetto al trattamento di tali categorie particolari di dati personali. Le Federazioni Sportive Nazionali, inoltre, potranno trattare dati sensibili in occasione delle convocazioni in nazionale degli atleti (o di altri eventi federali). Un’ipotesi peculiare è rappresentata dalle discipline paralimpiche, che sono inglobate solo in alcune Federazioni, ma non in altre. In questi casi, le visite mediche, anche ai fini delle diverse classificazioni, sono svolte direttamente in sede federale e, quindi, i dati relativi agli atleti sono conservati anche dalla Federazione stessa[6]. 2.4 Registri del trattamento Ai sensi dell’art. 30 del GDPR, il titolare e il responsabile del trattamento sono obbligati a tenere un registro delle attività di trattamento salvo impieghino meno di 250 dipendenti. Tuttavia, il medesimo articolo 30 del GDPR pone una eccezione alla eccezione, indicando che titolari e responsabili di organizzazioni che impieghino meno di 250 dipendenti saranno obbligati a tenere il registro del trattamento nel caso in cui il trattamento effettuato “possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10”. Pertanto, si consiglia fortemente alle Organizzazioni Sportive di tenere un registro delle attività di trattamento (sia che queste ultime effettuino operazioni di trattamento in qualità di titolari sia che esse effettuino tali attività in qualità di responsabili del trattamento) in ragione soprattutto delle tipologie di dati trattati (es. categorie particolari di dati quali quelli relativi alla salute). 2.5 Utilizzo dell’immagine di atleti minorenni Infine, un ulteriore aspetto critico da segnalare in merito al trattamento dei dati personali in ambito sportivo, riguarda il trattamento dei dati personali dei minori. Tale criticità si intensifica in relazione allo specifico trattamento consistente nell’utilizzo dell’immagine dei minori, in particolare se diffuse attraverso i siti internet delle Organizzazioni Sportive o sulle pagine social di queste ultime. Sotto tale punto di vista, è utile chiarire che per l’utilizzo dell’immagine del minore è legittimato a prestare il consenso necessario – richiesto dal combinato disposto degli artt. 96 e 97 della L. 633/1941 (legge sul diritto d’autore o “LDA”) – chi esercita la potestà genitoriale[7]. Qualora, come solitamente avviene, la responsabilità genitoriale sia esercitata congiuntamente dai genitori del minore, si pone un ulteriore problema ossia quello della legittimazione congiunta o disgiunta a consentire all’utilizzo dell’immagine del minore in nome e per conto di quest’ultimo[8]. Nel passato la giurisprudenza ha sostenuto che per la valida prestazione del consenso sarebbe stata sufficiente la volontà di un solo genitore[9]. Un più recente orientamento giurisprudenziale, tuttavia, ha ritenuto necessario, per la legittima diffusione dell’immagine del minore, il consenso di entrambi i genitori[10]. Tale revirement è derivato dalla presa d’atto da parte della giurisprudenza del mutato scenario normativo[11] e, in particolare, dall’avvento del GDPR in Europa. Il GDPR, infatti, contiene disposizioni fondamentali in materia di trattamento di dati personali dei minori (tra cui ovviamente è ricompresa l’immagine di questi ultimi) tra cui vale la pena di ricordare: - il Considerando n. 38 il quale dispone che: “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali […]”; - l’art. 8 del citato Regolamento – rubricato Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione – il quale prevede che “qualora si applichi l'articolo 6, paragrafo 1, lettera a) [ossia, qualora la base giuridica del trattamento sia costituita dal consenso dell’interessato], per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni.” È importante sottolineare, invece, che né la normativa nazionale né il GDPR contengono una disposizione che esplicitamente legittimi un consenso, potremmo dire, “generale” (ossia esteso a qualsiasi trattamento e non esclusivamente a quello necessario per la prestazione di servizi della società dell’informazione) al trattamento dei dati personali, prestato, cioè, direttamente dal minore quando quest’ultimo abbia raggiunto l’età di 16 anni o, addirittura, 14 anni di età[12]. Infatti, sia il D.LGS 196/2003 (il “Codice Privacy”) sia il GDPR – articoli 2-quinquies Codice Privacy e 8 GDPR – autorizzano esplicitamente il minore a prestare direttamente il consenso al trattamento dei propri dati personali solo nello specifico ambito dell’offerta dei servizi della società dell’informazione (es. iscrizione a social network). Con una sostanziale differenza tra le due disposizioni: mentre il GDPR richiede per una valida prestazione del consenso al trattamento dei dati personali (lo ribadiamo: esclusivamente nel campo dei servizi della società dell’informazione) almeno 16 anni di età, il Codice Privacy – come recentemente modificato dal D.Lgs. 101/2018 – ne richiede almeno 14. Allo stato, pertanto – e nonostante gli articoli appena citati sembrino effettivamente riconoscere al minore la capacità di prestare consenso al trattamento dei propri dati personali (seppur lo fanno nel ristretto ambito della prestazione dei servizi della società dell’informazione) –, risulterebbe più opportuno chiedere comunque il consenso di entrambi i genitori ove le Organizzazioni Sportive intendano utilizzare l’immagine dell’atleta minore, in particolare diffondendole tramite i propri siti internet o sulle proprie pagine social. 3. La valorizzazione dei dati personali Il rispetto della normativa in materia di protezione dei dati personali e, in particolare del GDPR, assume altresì un significativo rilievo in chiave di valorizzazione del patrimonio informativo detenuto dalle associazioni/società sportive e dalle Federazioni. Sfruttare i propri data base anche per attività di promozione o per l’implementazione di servizi innovativi dal punto di vista tecnologico, o ancora per instaurare partnership o collaborazioni di varia natura con soggetti terzi, presuppone che siano state precedentemente soddisfatte tutte le condizioni di liceità del trattamento previste dalla normativa. Ad esempio, l’eventuale decisione delle Organizzazioni Sportive di proporre pubblicità mirata online basata su sistemi di profilazione impone obblighi stringenti in capo al titolare del trattamento tra i quali, in primis, quello di basare tale tipo di trattamento consenso dell’interessato quale necessaria base giuridica. Inoltre, le Organizzazioni Sportive dovranno raccogliere uno specifico consenso nel caso comunichino dati personali degli interessati a terzi per finalità di marketing proprie di questi ultimi (si pensi, ad esempio, al caso di partner commerciali delle Federazioni che promuovano prodotti sportivi nei confronti degli atleti tesserati). Sempre in tema di valorizzazione dei dati personali, le Organizzazioni Sportive dovrebbero poi considerare attentamente, ad avviso di chi scrive, l’opportunità dell’utilizzo di servizi di analisi ed elaborazione avanzata di dati (personali). Tali servizi e soluzioni tecnologiche, infatti, potrebbero essere sfruttate dalle Organizzazioni Sportive al fine di estrarre, a partire dai dati in loro possesso, informazioni ulteriori, utili ad incrementare la qualità dei propri servizi e delle proprie attività, sulla base delle esigenze e delle peculiarità del “mercato” sportivo in cui operano. Tale particolare impiego del proprio patrimonio informativo, inoltre, permetterebbe alle Organizzazioni Sportive di programmare e adottare decisioni più efficaci e mirate riguardo alla promozione dei propri progetti e delle proprie iniziative. 4. Adeguamento al GDPR: lo stato dell’arte nel settore sportivo A distanza di più di un anno dalla piena attuazione del GDPR, e di più di due anni dalla sua entrata in vigore (maggio 2016), sembrerebbero essere molte le Organizzazioni Sportive che, ancora oggi, non si siano pienamente adeguate. E ciò, nonostante il rischio che ingenti sanzioni possano essere loro applicate soprattutto adesso che è ormai decorso quello che è stato interpretato come un “periodo di tolleranza” nell’applicazione delle sanzioni, ai sensi di quanto previsto dall’art. 22 del D.lgs. 101/2018[13]. Dall’analisi delle informative sul trattamento dei dati personali pubblicate sui siti internet di numerose Federazioni – che costituiscono sicuramente un primo indice, facilmente accessibile anche ad occhi terzi, in merito alle attività di adeguamento alla normativa vigente intraprese dalle Federazioni –, emergerebbe, infatti, che molte di esse non risulterebbero ancora aggiornate, facendo riferimento alla precedente normativa, mentre altre, nonostante i riferimenti al GDPR, conterrebbero evidenti non conformità rispetto ai requisiti indicati dagli articoli 12 e 13 del GDPR. Ovviamente, ciò potrebbe far sorgere il legittimo dubbio che le Federazioni non si siano adeguate anche agli ulteriori obblighi, e ben più complessi da implementare, in materia di adozione di presidi di protezione (legali, organizzativi, informatici etc.) adeguati ai trattamenti di dati personali effettuati. In conclusione si può affermare che, nonostante la maggior parte delle Organizzazioni Sportive abbiano preso atto delle novità in materia di protezione dei dati personali intraprendendo un percorso di adeguamento a queste ultime, sarebbe opportuno le stesse si assicurino di aver adottato tutte le misure di compliance richiesti dalla normativa, non solo per evitare eventuali rischi sanzionatori o di inefficace protezione dei dati trattati, ma anche in un’ottica di valorizzazione del proprio patrimonio informativo. (A cura dell’avv. Carlo Impalà e del dott. Giulio Kowalski del dipartimento di TMT - Data Protection di Morri Rossetti Associati) [1] L. Bolognini, E. Pelino, Il Regolamento privacy europeo, Giuffrè, Milano, 2016, pagg. 119 - 120. [2] Ad es. attività di tracciamento e profilazione degli utenti dei siti delle Organizzazioni Sportive tramite cookie. V. anche Gruppo di lavoro articolo art. 29 (oggi European Data Protection Board), Linee Guida sui responsabili della protezione dei dati, 5 aprile 2017, pag. 9. [3] Il considerando 91 del GDPR definisce “trattamenti su larga scala” quei trattamenti che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Tuttavia, si v. anche Gruppo di lavoro articolo art. 29 (oggi European Data Protection Board), Linee Guida sui responsabili della protezione dei dati, 5 aprile 2017, pag. 9 ove si legge “In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità”. Nel tentativo comunque di chiarire il concetto di larga scala il Gruppo di lavoro ex art. 29 “raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala: (i) il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; (ii) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; (iii) la durata, ovvero la persistenza, dell’attività di trattamento; (iv) la portata geografica dell’attività di trattamento”. [4] In tal senso il Garante per la protezione dei dati personali attraverso il provvedimento n° 41878 del 31 dicembre 1998: “il giudizio conclusivo di idoneità all’esercizio dell’attività sportiva agonistica, inteso come dato denotante la normalità psicofisica del soggetto, può ritenersi compreso fra i dati personali "comuni". Seppur risalente, il principio espresso nella pronuncia indicata si ritiene possa essere valido ancora oggi. [5] Così il Garante per la protezione dei dati personali nel citato provvedimento n° 41878 del 31 dicembre 1998, ove afferma, appunto, che “il referto di non idoneità, che presuppone nell’interessato o la presenza di patologie o comunque la necessità di evitare potenziali rischi indotti appunto dalla pratica agonistica, assume senza dubbio la connotazione di dato sensibile”. Il principio espresso dal Garante per la protezione dei dati personali, seppur risalente, si può ritenere valido ancora oggi. [6] G. M. Riccio, Sport e GDPR, gli obblighi per le federazioni, 28 agosto 2019, disponibile su Agenda Digitale all’indirizzo https://www.agendadigitale.eu/sicurezza/sport-e-gdpr-gli-obblighi-per-le-federazioni/. [7] L. C. Ubertazzi, commento all’art. 96 L. 633/1941, in Commentario breve alle leggi su proprietà intellettuale e concorrenza, Wolters Kluwer – CEDAM, 2016, pag. 1878. [8] Sul tema v. F. Naddeo, Il consenso al trattamento dei dati personali del Minore, in Diritto dell'Informazione e dell'Informatica (Il), fasc.1, 1° febbraio 2018, pag. 32. [9] Cass., 29 settembre 2006, n. 21172. [10] Sul tema v. da ultimo Trib., Rieti, 07 marzo 2019 pronuncia nella quale i giudici hanno affermato che “consenso necessario ai fini del trattamento dei dati personali del minore, e dunque anche per le immagini che possano identificarlo, nel caso di minori di anni sedici, deve essere prestato “dai soggetti esercenti la responsabilità genitoriale, in vece dei propri figli, concordemente fra loro e senza arrecare pregiudizio all'onore, al decoro e alla reputazione dell'immagine del minore (art. 97 L.n. 633/41)”. Nello stesso senso anche Trib., Mantova, 19 settembre 2017. In dottrina si v. in particolare F. Naddeo, Il consenso al trattamento dei dati personali del Minore, in Diritto dell'Informazione e dell'Informatica (Il), fasc.1, 1° febbraio 2018, pag. 27 ss. [11] Tale “mutato scenario normativo” è dovuto anche all'evoluzione dei sistemi di diffusione delle immagini tramite internet e nello specifico attraverso i servizi di social networking (Facebook, Instagram, etc.). [12] Tuttavia la questione è dibattuta. Si segnala, ad esempio, F. Naddeo, Il consenso al trattamento dei dati personali del Minore, in Diritto dell'Informazione e dell'Informatica (Il), fasc.1, 1° febbraio 2018, pag. 33. [13] In particolare, l’art. 22, comma 13 del D.lgs. 101/2018, entrato in vigore a settembre 2018, stabilisce che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”