GDPR clubs deportivos ¿en serio? La nueva ley también afecta (y mucho) a equipos y empresas relacionadas con el deporte. Directivos de equipos, deportistas y hasta socios, sabemos de los dolores de cabeza que os estará provocando el reglamento europeo de protección de datos (o RGPD/GDPR, como mejor se lo conoce), y aunque aquí no vais a encontrar el Ibuprofeno que necesitáis, en este artículo os daremos algo que todavía hace más falta: 7 claves para adaptarse sin complicaciones a esta nueva normativa, que asegura una privacidad que, a la larga, sin duda traerá más tranquilidad que preocupaciones. No obstante, si utilizáis TokApp os recordamos que para cualquier pregunta específica tenéis a vuestra disposición nuestro servicio de asesoramiento jurídico gratuito.
1- Ampliación de los derechos de los interesados
Como ya recogía la LOPD, los interesados disponen de los derechos ARCO, acrónimo de Acceso, Rectificación, Cancelación y Oposición, que ya conocerás. Sin embargo, dentro de estas categorías se encontraban otros que anteriormente no estaban suficientemente reconocidos pero a los que ahora se les dará una atención prioritaria:
-
Derecho de supresión o derecho “al olvido”
Es el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales. Como cabe apreciar, este derecho puede en ocasiones colisionar con la libertad de expresión.
Este derecho se presenta, además, con un fragmento destinado en exclusiva a los motores de búsqueda en internet que concreta lo siguiente:
También hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).
-
Derecho a la portabilidad
Derecho a solicitar todos los datos que tiene entidad sobre uno mismo y a que sean entregados en un formato cómodo y fácil de leer (una hoja de cálculo de formato tipo Excel, por ejemplo).
2- Información sobre la política de privacidad de la entidad
Es imprescindible garantizar que los interesados pueden conocer y entender a la perfección la política de privacidad de la entidad, y para ello, ésta estará redactada con un lenguaje sencillo y comprensible y comprenderá aspectos como qué datos se tratan, quién trata estos datos, con qué finalidad, valoraciones de los riesgos y la protección de estos datos, y desde luego, los derechos de los interesados y cómo pueden ejercerlos. Es aconsejable incluir en la propia página web del club esta información así como, por ejemplo, incluirla en la firma de la entidad del correo electrónico con un enlace a ella.
3- Consentimiento
Un error muy común en las entidades es que se desconoce lo que es el consentimiento tácito o por omisión y por consiguiente se ignora también que carece totalmente de validez legal. Lo más preocupante es que, demasiado a menudo, el responsable del error no es el propio club, sino la empresa de asesoramiento jurídico que tiene contratada, que no está lo suficientemente actualizada en el ámbito de la protección de datos. Un ejemplo de un mal asesoramiento de GDPR club deportivos es el conocido comunicado sobre el RGPD en la página web de un popular club deportivo, al final, se indica:
“SI NO RECIBIMOS RESPUESTA entenderemos que NO TIENE INCONVENIENTE en seguir recibiendo nuestras noticias y correos informativos”.
Antes del nuevo reglamento, esto sería aceptable, puesto que se consideraría que el interesado, como no muestra oposición a que se utilicen sus datos, entonces se tiene permiso para hacerlo. A esta suposición de conformidad se la denomina como “consentimiento tácito” o “consentimiento por omisión”, y desde el pasado 25 de mayo es una vulneración de la legalidad. El único consentimiento legal en este momento es el consentimiento explícito e inequívoco. No sirve suponer, no sirven las casillas premarcadas. En otras palabras la GDPR clubs deportivos implica: solo “SÍ” y nada más que “SÍ”, es “SÍ”, soy consciente y quiero recibir información.
-
Menores de edad
Si los datos personales corresponden a un menor de edad, se requerirá la aprobación por escrito y firmada de sus padres o tutores para su recogida y tratamiento.
4- Cesión de datos a la federación
En caso de que el club tenga que ceder datos de los federados a la federación con objeto de participar en una competición nacional, según resolución de la AEPD y la legislación referente a la emisión de licencias, la cesión de datos sería legitimada y no sería necesario el consentimiento del deportista ni un acuerdo de tratamiento con la federación.
Tramitado esto, los ficheros de las federaciones deportivas que se creen para el ejercicio de las funciones públicas de carácter administrativo serán de titularidad pública: los de federados, competiciones y resultados, controles de salud y de dopaje o sanciones. Solo serán de titularidad privada aquellos ficheros que respondan a actividades propias de las federaciones deportivas, como el de empleados, o proveedores.
5- Tipos de datos personales
Se distinguen dos clases de datos personales según el nivel de protección que exigen:
-
Generales
Nombre, dirección, código postal, ciudad, provincia, país, lugar de residencia, número de teléfono y/o fax, dirección de correo electrónico, sitio web, sexo, fecha de nacimiento, lugar de nacimiento, títulos, estado civil, perfiles en redes sociales, trabajando para una organización, número de cuenta bancaria, matrícula vehículos…
-
Específicos
Origen étnico, preferencia política, preferencia religiosa, afiliación sindical, datos genéticos o biométricos, información clínica, orientación sexual, infracciones administrativas o penales, salario, DNI o pasaporte…
Los datos específicos son datos especialmente protegidos, por esta razón, algunos clubs han optado por evitar en la medida de lo posible, recabar datos de salud, quitando de los cuestionarios sobre el estado de salud de los deportistas preguntas por problemas articulares, cardíacos o respiratorios y sustituyéndolas por casillas como:
“Si ves que me canso: [] anímame a seguir [] déjame tomar aire”
6- Evaluación de riesgos y medidas de protección
Hay que llevar a cabo análisis y pruebas periódicas sobre los posibles riesgos del tratamiento de los datos e informar de las conclusiones obtenidas. Un accidente en la seguridad puede conllevar multas que van desde un 0,1% de la facturación anual de la entidad hasta un 4%, pudiendo alcanzar un máximo de 20 millones de euros, en función de la importancia y la cantidad de datos que pudieran haberse revelado a terceros. Si esto ocurre, la entidad habrá de dar parte de ello a la Agencia Española de Protección de datos y a los interesados en un plazo inferior a 72 horas.
Entre las medidas de seguridad para la protección de los datos, se sugieren:
- Antivirus y software siempre actualizados.
- Copias de seguridad o sistemas de backup contra pérdidas y ransomware.
- Soportes de almacenamiento (inclusive memorias USB) protegidas con clave o encriptación.
- Está prohibido almacenar datos en la nube fuera de la Unión Europea o, de hacerlo, habrá de ser en lugares donde la protección sea la requerida por la Unión Europea
- Armarios cerrados bajo llave y políticas de llaves.
- No dejar guardados datos de inicio de sesión en los navegadores.
- Cerrar sesiones o bloquear la pantalla del ordenador siempre que se desatienda.
- Tener cuidado de escribir la clave en la casilla adecuada y de que se ocultará con asteriscos o puntos.
- Proteger el teléfono móvil con contraseñas o patrones de desbloqueo.
- Cubrir la webcam contra posibles monitorizaciones por parte de equipos remotos.
- Supervisar escáneres o impresoras para cerciorarnos de que no han quedado documentos olvidados.
-
Apps de mensajería para la comunicación con deportistas y socios:
El uso de aplicaciones de mensajería poco fiables, y más específicamente de WhatsApp, está desaconsejado por la propia Agencia Española de Protección de Datos, que insta a emplear plataformas que, como TokApp, garantizan el cumplimiento de la ley al no compartir información confidencial de los usuarios con otras empresas y no exponer al público más datos que los imprescindibles de sus usuarios. Esto último cobra vital importancia en la actualidad si tenemos en cuenta la facilidad que hay hoy en día con internet para averiguar información sobre la vida privada de una persona a partir de datos mínimos. (Si te interesa saber más sobre cómo conservar tu anonimato en la web, te recomendamos leer nuestro artículo “Todo lo que puedes saber de una persona con solo su número de teléfono”).
Cabe aclarar, además, que a excepción de los chats de grupos domésticos, cualquier mensaje enviado por un grupo de mensajería con información que pudiera ser estimada como personal, privada o íntima es susceptible de infringir la ley.
7- Responsable, delegado, autorizado y encargado de datos
Se ha suprimido la obligación de notificar los ficheros a la Agencia Española de Protección de datos, pero es obligatorio llevar un registro de las actividades de tratamiento de datos en el que además de las gestiones realizadas consten datos de:
-
Responsable del tratamiento de datos
La entidad deportiva a la que el deportista o socio ha cedido su información directamente.
-
Delegado del tratamiento de datos
Se escogerá a una persona que realizará las funciones de tratamiento de datos y responderá como representante de la entidad a cuestiones relativas al tratamiento de datos.
-
Autorizados
Se inscribirán en un lista todos los empleados del club con autorización para tratar datos. Es conveniente firmar un acuerdo de confidencialidad tanto con el delegado como con todos los empleados autorizados, así como formar en materia de protección de datos a la plantilla.
-
Encargado del tratamiento de datos
Es encargada del tratamiento de datos toda aquella empresa que preste un servicio al club, como por ejemplo gestorías, compañías aseguradoras, clínicas médicas o fisioterapeutas, tiendas de ropa deportiva o agencias de organización de eventos. También entrarán dentro de esta categoría aquellos entrenadores que estén dados de alta como autónomos.
Los encargados del tratamiento no podrán prestar sus servicios al responsable de tratamiento si entre ellos no existe un contrato previo con las garantías pertinentes.
Si perteneces a alguna entidad deportiva, ahora ya sabes que la gdpr y clubs deportivos son palabaras que deben ir juntas.
Si sigues con dudas, recuerda que los equipos y clubs que usan TokApp para comunicarse tienen asesoramiento jurídico gratuito.
Puedes solicitarlo a través de la página «Asesoría en Ley de Protección de Datos«.
Hola he leído muy atentamente el reportaje, pero quisiera preguntarles qué resoluciones de la AEPD y en base a qué legislación de la emisión de licencias, exime o hace que la cesión de datos de los deportistas a las federaciones, por parte de los clubes, no sea necesario el consentimiento del deportista ni la firma de un acuerdo con la federación.
Muchas gracias,
¡Hola, Juan Carlos! Se trata de una duda muy específica y extensa que tendría que resolverte directamente nuestro bufete asociado. Si usas TokApp puedes solicitarlo sin coste en soporte, o pedir más info en https://tokapp.com/contacto/ ¡Un saludo!
Hola Juan Carlos, me gustaría saber si te respondieron a tu pregunta, abonare el mismo importe que te pudieran cobrar por la respuesta, saludos
Buenos días, Pepe
Como le comentó mi compañero Cristian a Juan Carlos, si usas TokApp puedes ponerte en contacto con nuestros compañeros de soporte a través de su página web https://tokapp.com/soporte/ para que te pueda resolver la duda nuestro bufete asociado sin coste. O pedir más información en https://tokapp.com/contacto/ ¡Un saludo!
Buenas, tenemos un club de artes marciales, y queremos hacer un documento para que los alumnos nos den permiso para grabarles en las clases para después publicarlo en nuestras redes sociales.
Hace falta contratar una empresa para adaptarlo a la RGPD? o lo podemos hacer nosotros mismos?
Hola, Judith. Aunque existen plantillas con el texto adecuado a la normativa, no solemos recomendarlo. Suelen ser generales y puede que no cubra toda vuestra actividad. Si utilizáis TokApp para comunicaros podéis solicitar el asesoramiento gratuito en este enlace https://tokapp.com/asesoria-proteccion-de-datos-app/ Un saludo
Muy buenas, soy presidente de un club Basico de fútbol sala.sin ánimo de lucro.
En que manera necesito la protección de datos,es que estoy un poco pez,gracias
Hola, Javier. En el artículo tienes algunas claves importantes. En esta web puedes solicitar asesoramiento incluido en tu cuota de TokApp: https://tokapp.com/asesoria-proteccion-de-datos-app/
Un post muy interesante. Gracias por la información. Saludos.