Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

Dati personali degli atleti

Sport, GDPR e AI Act: gli obblighi privacy per i club

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’uso di wearable, video analisi, sensori e sistemi di intelligenza artificiale nello sport apre opportunità per migliorare le prestazioni, ma impone alle società sportive obblighi stringenti su privacy, ruoli, basi giuridiche, sicurezza, conservazione dei dati e decisioni automatizzate che incidono sugli atleti

Pubblicato il 6 mag 2026
sport e IA; Olimpiadi Milano Cortina
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Correva il lontano 1999 quando il celebre film di fantascienza “Matrix” raccontava di un mondo in cui l’intelligenza artificiale superava quella dell’uomo, prendendo il controllo del pianeta.

Si spera che questo scenario resti solo nella narrazione cinematografica, ma è un fatto che viviamo in un’epoca in cui quotidianamente ci viene ricordato il potenziale pericolo derivante dall’avvento dell’intelligenza artificiale: un mondo descritto, in poche parole, come la sostituzione dell’uomo con la macchina.

E-sport fuori gioco senza GDPR: tutte le regole in campo

AI e timori di sostituzione

Il rapido aumento di sistemi di AI può sollevare interrogativi concreti e fa emergere contesti, concreti e reali, che dimostrano quanto sia di facile attuazione “sostituire le persone con le macchine”.

Ad esempio, il contesto sportivo è uno di quei settori in cui il concetto di “sostituzione” dell’uomo con la macchina è, tecnicamente, ancora lontano. Questo fortunatamente, lo si può dire apertis verbis, perché il ruolo centrale dell’atleta è proprio quel valore aggiunto che non può (e non potrà, si spera) essere sostituito dall’intelligenza artificiale.

Tecnologie come supporto all’atleta

Questo non significa che le nuove tecnologie non stiano entrando – per usare un termine tecnico – a “gamba tesa” nel mondo dello sport. Sicuramente non devono essere “viste” – in questo momento – come una sostituzione ma bensì come un supporto per l’atleta per migliorare le proprie prestazioni. Infatti, è assodato ormai in tutti settori e contesti che l’applicazione dei principi di AI introducano potenziali vantaggi, maggiore efficienza e aumenti la produttività ma richiedono, allo stesso tempo, uno sforzo di compliance normativa.

Ed è proprio per questa ragione che occorre tenere a mente sin dalla progettazione la rilevanza che assumono la normativa sulla privacy e quella sull’intelligenza artificiale.

Digitalizzazione dei processi sportivi

Infatti, anche in questo mondo, bisogna fare i conti con le trasformazioni profonde indotte dall’innovazione tecnologica e dalla digitalizzazione dei processi sportivi: l’introduzione di strumenti tecnologici (es. si pensi alle pettorine tecnologiche o all’utilizzo di palloni intelligenti), l’utilizzo, l’elaborazione e l’analisi dei dati di “rendimento” dell’atleta o l’impiego di sistemi algoritmici che incidono sulle regole del gioco, sui processi decisionali e sull’attribuzione delle responsabilità.

Dati personali, ruoli e soggetti coinvolti

Le nuove tecnologie non fanno “sconti” ad alcun settore, nemmeno al contesto sportivo.

Applicabilità della normativa privacy nei vari contesti sportivi

In effetti, in termini di privacy, se si pensa ai trattamenti di dati personali effettuati da una società sportiva, gli stessi possono fare riferimento non solo a diverse categorie di dati personali (dati comuni o dati relativi allo stato di salute, dati localizzazione) ma anche a differenti categorie di soggetti interessati: un atleta o l’allenatore per non dimenticare l’utente finale, nella sua veste di tifoso che accede, ad esempio, ad una struttura sportiva.

A seconda degli interessati coinvolti, cambiano anche le categorie di dati personali trattati.

Definizioni rilevanti del GDPR

In tale contesto, è opportuno richiamare, ai sensi dell’art. 4, paragrafo 1, del Reg. UE n. 2016/679 (conosciuto anche come GDPR) il concetto di dato personale: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” oppure la nozione di trattamento: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;” per non dimenticare anche (ad esempio) le categorie particolari di dati personali, ai sensi dell’art. 9 del GDPR “[…] dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Molteplicità dei trattamenti nel settore sportivo

Appare evidente quindi che la mole di dati personali nonché i trattamenti effettuati da parte delle società sportive sono molteplici: dalle diverse tipologie di categorie di dati personali trattati, dai soggetti interessati coinvolti, ivi compresi i minori, ai trattamenti effettuati non solo dalle società sportive ma anche dai diversi professionisti coinvolti, quali il medico o il preparatore atletico, sino alle varie comunicazioni effettuate ai diversi organi coinvolti (basti pensare, tra gli altri, ai comitati olimpici, alle federazioni sportive o alle leghe nazionali professionistiche), per non tralasciare la gestione dei dati personali dei tifosi (es. servizi di biglietteria o tessera del tifoso) che accedono nelle strutture sportive per poter assistere alla competizione sportiva.

In altre parole, la normativa sulla privacy, e quella sull’intelligenza artificiale, non possono essere messe nel cassetto, anzi occorre, con un esercizio di accountability, comprendere i differenti adempimenti da porre in essere in relazione ai differenti contesti in cui vengono trattati i dati personali.

Ruoli privacy dei diversi attori

Infatti, una volta definiti “potenzialmente” i dati personali trattati e le categorie di soggetti interessati, occorre focalizzarsi sui diversi e numerosi attori coinvolti nei trattamenti e inquadrare il loro ruolo privacy: dalle società sportive quali, ad esempio, squadre di calcio, di basket o di pallavolo, alle associazioni sportive, agonistiche o dilettantistiche, sino alle Federazioni, Leghe e Comitati, senza dimenticare tutto il mondo dei fornitori che, operando per conto delle società, erogano nuove tecnologie, piattaforme digitali e servizi di attività promozionali o marketing. Per ciascuna di questi, occorrerà verificare, secondo le definizioni attribuite dal GDPR, se ricoprono il ruolo di Titolare del trattamento o di Responsabile del trattamento, di Soggetto Autorizzato o di destinatario dei dati.

La privacy nello sport tra atleti, sensori e video analisi

Senza voler “assegnare uno score” di rischiosità privacy, è molto interessante, ad avviso degli scriventi, fare una considerazione sugli interessati del trattamento.

Mentre il personale (definiamolo di “staff”) di una società o associazione sportiva può e deve essere analizzato in chiave privacy alla “stregua” di un normale dipendente (o fornitore, a seconda dei casi) di una qualsiasi organizzazione, discorso diverso concerne atleti, professionisti e non, maggiorenni o minorenni. Infatti, per tali categorie di soggetti interessati non si possono e non si devono sottovalutare gli impatti privacy derivanti dai trattamenti dei loro dati personali, soprattutto se vengono adottati sistemi tecnologici innovativi che possono, tra l’altro, anche incidere con riguardo alle categorie particolari di dati personali.

Tecnologie di monitoraggio e wearable

Quindi l’utilizzo di nuove tecnologie a supporto degli atleti richiede necessariamente in capo alle società sportive una valutazione di tutte le implicazioni privacy derivanti dall’adozione delle stesse.

Si porta all’attenzione qualche caso pratico: sistemi di tracciamento dei movimenti quali, ad esempio, le pettorine da calcio o da basket integrate con sistemi di GPS o i bracciali “intelligenti”, utilizzati nel corso dell’allenamento, per tracciare le attività dell’atleta; l’adozione di telecamere per registrare gli allenamenti e analizzare i movimenti degli atleti; oppure l’utilizzo da parte della società sportiva di palloni intelligenti che analizzano e tracciano la potenza, la direzione, la rotazione, la traiettoria o la forza impressa dal singola atleta.

Esempi da pallavolo e sci

Si pensi al settore della pallavolo, in cui è sempre più comune per le società adottare sensori tecnologici avanzati, principalmente basati su tecnologie indossabili (“wearable”), per misurare la potenza della schiacciata, l’altezza del salto, la velocità del braccio e la coordinazione oppure le pedane per misurare l’impatto dell’atterraggio, anche ai fini della prevenzione da infortuni.

Anche in relazione al mondo dello sci, si pensi ai sensori applicati all’attrezzatura quali, ad esempio, sugli sci o le racchette oppure ai sistemi di video analisi che analizzano la discesa effettuata dall’atleta per comprendere come effettuare il percorso più veloce o come affrontare una porta.

Obblighi del titolare del trattamento

Orbene, è innegabile che l’elenco sopra indicato di casi concreti pone quesiti molto importanti in capo alla società o alla associazione sportiva che decide di avvalersi di tali strumenti per migliorare le performance dell’atleta. È altrettanto innegabile che quando tali sistemi o strumenti vengono adottati dalla società, nella sua veste di Titolare del trattamento, questa debba attivare tutti i presidi privacy, imposti dalla normativa di settore.

Prima di tutto, la società sportiva, laddove operi come di Titolare del trattamento, deve essere consapevole che, utilizzando tali sistemi, raccoglie una mole molto rilevante di dati personali relativa al singolo atleta che vengono conservati nei loro sistemi (basti pensare che gli allenamenti a livello professionale avvengono con cadenza quasi giornaliera). In tutto ciò occorre ricordare che, oltre alla semplice immagine registrata nel corso della preparazione atletica per migliorare i movimenti durante la competizione, possono confluire tra i dati raccolti anche dati di geolocalizzazione nel caso di utilizzo di pettorine munite di GPS per monitorare o tracciare i movimenti degli stessi oppure dati relativi allo stato di salute (sensori o sistemi che monitorano i battiti cardiaci oppure l’affaticamento del corpo).

DPIA, base giuridica e informativa

Oltre alla valutazione concernente la necessità o meno dell’effettuazione della valutazione d’impatto (es. in caso di video analisi o geolocalizzazione) ai sensi dell’art. 35 del GDPR oppure alla necessità o meno dell’attivazione delle garanzie e tutele previste dallo Statuto dei Lavoratori, il Titolare dovrà altresì considerare anche il trattamento relativo alle categorie particolari di dati. In tal senso dovrà essere valutata e definita la corretta base giuridica posta a fondamento del trattamento di tali dati che, come è noto per gli addetti ai lavori, deve essere considerata con estrema attenzione nell’alveo di quelle previste dall’art. 9, 2 paragrafo, del GDPR.

Inoltre, tutto quanto detto dovrà essere cristallizzato nell’informativa sul trattamento dei dati personali, ai sensi dell’art. 13 del GDPR, che dovrà essere resa nei confronti dell’interessato/atleta per rendere chiari e trasparenti i trattamenti effettuati.

Conservazione, sicurezza e fornitori

A complicare le cose, il Titolare del trattamento deve essere altresì consapevole della tipologia dei sistemi che vengono utilizzati, dove vengono archiviate le informazioni (in cloud?), come vengono protette (sono state applicate le misure di sicurezza adeguate al trattamento?), dove vengono conservate (se in Europa oppure al di fuori della stessa), e per quanto tempo vengono conservate tali informazioni. In tal senso bisogna ricordarsi che per conformarsi al GDPR occorre rispettare i principi sanciti dall’art. 5 del GDPR, ivi compreso il principio di limitazione della conservazione.

L’analisi dei contratti con i fornitori di tali tecnologie è fondamentale prima del loro utilizzo, non solo per sancire e definire i ruoli privacy intercorrenti tra le parti ma anche per esaminare ed essere conformi alla normativa di settore in merito all’adozione di adeguate misure tecniche ed organizzative.

Dati dei minori nello sport

E da ultimo, ma non per questo meno importante: il Titolare del trattamento ha valutato che i soggetti interessati possono essere anche minori? Basti pensare al mondo delle primavere sportive dedicate agli under 18. Si ricorda il considerando 38 del GDPR nella prima parte in cui così sancisce: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. […]” oppure il considerando 58 sul principio di trasparenza: “[…] Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente.”

AI Act, decisioni automatizzate e responsabilità

Oltre a ciò, e non è poco, c’è l’intelligenza artificiale. Infatti, come è noto anche in questo caso, la normativa sull’intelligenza artificiale ha introdotto una serie di limiti e obblighi applicabili che possono avere ripercussioni anche nel contesto sportivo.

Verifiche sui sistemi di intelligenza artificiale

È di primaria importanza, infatti, analizzare i prodotti tecnologici utilizzati e capire sin dall’inizio se gli stessi si avvalgono di strumenti di intelligenza artificiale, la tipologia di algoritmi utilizzati, con le contestuali verifiche del caso: ad esempio comprendere se la società sportiva che adotta sistemi di AI, ricopre il ruolo di deployer o provider (ad esempio), se il sistema AI adottato possa o meno rientrare nelle pratiche vietate o nei sistemi di AI definiti ad alto rischio secondo il Reg. UE n. 2024/1689 (conosciuto anche come “AI ACT”) ed attivare i relativi presidi di compliance. Infine, si deve valutare se l’elaborazione di tali dati possa portare la società ad adottare una decisione basata unicamente sul trattamento automatizzato che possa produrre effetti giuridici che riguardano l’atleta o che incida in modo analogo significativamente sulla sua persona.

Decisioni errate e danni per l’atleta

Pensiamo banalmente al caso in cui l’atleta non viene convocato per disputare una partita, subendo potenzialmente anche un danno economico (si pensi ai casi in cui contrattualmente vengono elargiti bonus in caso di determinate presenze sul campo), a causa dell’elaborazione errata di informazioni sul suo conto da parte della pettorina usata in allenamento. In questi casi cosa succede?

Addestramento dei modelli con i dati degli atleti

Infine, è altresì importante comprendere, soprattutto nella fase negoziale, se i dati degli atleti immessi nei sistemi ed elaborati dalla “macchina” non vengano utilizzati dal fornitore per addestrare il proprio modello di intelligenza artificiale ai fini di miglioramento del sistema stesso. Perché si sa, ahimè, che un sistema di intelligenza artificiale ha necessità di “cibarsi” di dati per essere altamente performante e ridurre i rischi di avere allucinazioni o incorrere in errori.

Sorveglianza umana nei sistemi AI

A proposito di errori o di allucinazioni che possano determinare l’assunzione di decisioni da parte delle società che producono effetti giuridici negativi sull’interessato, è opportuno rammentare, così anche come indicato dallo stesso AI ACT, il ruolo centrale della sorveglianza umana (soprattutto nei casi di utilizzo di sistemi AI ad alto rischio).

La privacy nello sport tra tutele, minori e governance

E qui, quando parliamo di sorveglianza o intervento umano, notiamo come GDPR e AI ACT si fondono, a supporto dei diritti e delle libertà degli atleti stessi nella loro qualità di soggetti interessati.

Articolo 22 Gdpr e decisioni automatizzate

Infatti, si pensi all’art. 22 del GDPR, in materia di “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, che sancisce il principio secondo cui “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”, a meno che la decisione: a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c) si basi sul consenso esplicito dell’interessato.

Misure di tutela per l’interessato

Nei casi in cui la decisione sia necessaria per la conclusione di un contratto o si basi sul consenso dell’interessato, il Titolare del trattamento deve attuare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.”

Conclusioni

In conclusione, il tema della protezione dei dati personali è molto complesso da declinare nel mondo dello sport ed è compito del Titolare, a seconda dei casi concreti, verificare i dati raccolti, quali attività effettuare e che gli stessi rispettino la finalità perseguita onde evitare di raccogliere informazioni che non siano indispensabili per l’esecuzione dell’attività.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Marco Catalano
Avvocato

Associate Partner at Studio Legale Zallone | Privacy Officer | Data Protection Officer | Componente Commissione di Diritto e Procedura Civile di AGAM

Seguimi su
Z
Alfredo Zallone
Avvocato

Avvocato, DPO, docente, mi occupo di diritto dell’informatica, diritto della privacy e della protezione dei dati personali, cybersecurity e Intelligenza artificiale.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • la lettura

    Rischi sociali e etici dell'AI generativa: i pericoli nascosti

    18 Giu 2025

    di Valter Mellano

    Condividi
  • Cybersecurity Act 2 e NIS2

  • nuove linee guida

    DSA-GDPR: l'Edpb indica le regole di convivenza

    15 Set 2025

    di Federica De Stefani

    Condividi
  • difesa UE materie prime; sovranità AI

  • cloud di difesa

    Edge computing e battlefield cloud: come cambia la difesa europea

    22 Apr 2026

    di Vincenzo E. M. Giardino

    Condividi
0
Lascia un commento, la tua opinione conta.x