Le Federazioni e le società sportive sono state sottoposte a numerosi adempimenti da mettere in atto per allinearsi alle nuove disposizioni. È evidente come la questione sia stata presa sottogamba soprattutto dai titolari del trattamento dei dati personali.
Anche il settore sportivo dilettantistico nonne è esente. Vista l’assenza di remunerazione per gli atleti, si è stati portati a pensare, erroneamente, che le norme del GDPR non avessero applicabilità in questo settore.
Nell’incertezza alcune Società o enti pubblici o privati hanno preferito munirsi della figura del DPO. Il DPO è, in sostanza, il responsabile della protezione dei dati personali. Anche se le Federazioni dovessero essere legalmente inquadrate come soggetti privati, la scelta di nominare comunque un DPO è legata all’enorme mole di dati sensibili che vengono trattati e che riguardano non solo gli atleti, ma tutti i tesserati in generale. Si tratta dunque di una scelta legata al rispetto del tanto sbandierato principio di responsabilità. In base allo stesso principio, è fortemente consigliato tenere un registro dei trattamenti, anche se non espressamente previsto dal regolamento in questi casi.
Molto spesso i dati personali dei medesimi soggetti, sono trattati i dati per scopi diversi e con differenti modalità. Il loro rapporto pertanto, pur prevedendo diverse fasi di collaborazione, ha alla base la netta distinzione di ruoli e funzioni. Lo stesso rapporto tra federazioni e comitati regionali, nel calcio, può variare a seconda del fatto che i comitati rappresentino sedi decentrate della federazione o enti autonomi. Nel secondo caso, difatti, anche a loro si applicano le nuove normative introdotte dal GDPR.