La vigente normativa de Protección de datos también aplica a las entidades y clubes deportivos, y por tanto si eres titular o directivo de una de estas entidades debes cumplir con las obligaciones establecidas por el RGPD  (Reglamento Europeo, en vigor desde el 25 mayo de 2018) y la LOPDGDD (Ley Orgánica Española de Protección de Datos y Garantías de los Derechos Digitales, Ley 3/2018 en vigor desde el 7 diciembre de 2018).

Para ello es importante aclarar dos conceptos:

Dato personal
Es cualquier información que pueda vincularse a una persona física concreta o que permita su identificación. Son datos personales generales o datos no sensibles, tales como el nombre y apellidos, el DNI, el teléfono, el correo electrónico, el identificador en línea (IP),… y por su importancia para las entidades deportivas en su actividad, la imagen de los participantes/integrantes.

Así mismo, podemos calificar como datos especiales o datos sensibles aquéllos que revelen el origen étnico o racial, datos de salud, el tratamiento de datos genéticos, datos biométricos (por ejemplo huellas digitales), entre otros …

Tratamiento de datos
Se entiende cualquier operación llevada a cabo sobre los datos o conjuntos de datos recogidos, y ello con independencia de que el proceso se lleve a cabo por procedimientos automatizados (por ejemplo gestión informatizada) o manuales (por ejemplo a través de fichas o documentos en soporte papel). Constituye pues tratamiento de datos la recogida de los datos y su registro; la estructuración, segmentación y organización de los datos; las tareas de conservación, adaptación o modificación de aquéllos; la consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso y la cesión de datos a terceros; la limitación del uso de datos, la supresión o la destrucción de éstos, entre otra.

Por tanto una entidad deportiva realiza tratamiento de datos cada vez que realiza las inscripciones de sus deportistas; cuando archiva los datos de los participantes; cuando realiza la inscripción federativa; da listas de convocados; cuando realiza comunicaciones a los deportistas y padres; y también, como elemento muy importante, cada vez que nuestra entidad u otra graba, emite o distribuye las imágenes de un evento; también es tratamiento de dato la cesión de los datos a patrocinadores y entidades colaboradoras de las entidades, si bien esta actividad precisará de otros requisitos.

Cómo cumplir el RGPD y la LOPDGDD en entidades deportivas

Los aspectos claves, conforme al RGPD y la LOPDGDD, que las entidades deportivas deben cumplir son los siguientes:

  1. Consentimiento
    No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.La LOPDGDD establece la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos en los catorce años. En caso de ser menor de esta edad el consentimiento deberá ser otorgado por sus tutores legales.

  2. Transparencia e información a los interesados
    Toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. Es imprescindible garantizar que los interesados pueden conocer y entender a la perfección la política de privacidad de la entidad, y para ello, ésta estará redactada con un lenguaje sencillo y comprensible y comprenderá aspectos como qué datos se tratan, quién trata estos datos, con qué finalidad, valoraciones de los riesgos y la protección de estos datos, y desde luego, los derechos de los interesados y cómo pueden ejercerlos. Si la entidad deportiva dispone de web debe incluir en la misma esta información, así como en sus envíos por correo electrónico.

  3. Derechos de las personas
    Ya la Ley anterior (LOPD, Ley 15/1999) reconocía a todas las personas físicas los derechos de acceso, rectificación, cancelación y oposición (“derechos ARCO”). Actualmente dichos derechos se completan con otros adicionales tales como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario. Por tanto nuestra entidad ha de estar preparada para atender en plazo y forma a los interesados que soliciten el ejercicio de estos derechos y esta tramitación ha de realizarse de  forma sencilla, debiendo implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.

  4. Responsabilidad proactiva
    La vigente normativa invoca al principio de responsabilidad proactiva, o prevención, en el tratamiento de los datos en función de los riesgos inherentes a cada entidad. Entre las principales acciones que una entidad deportiva ha de considerar, están los siguientes:

    A) Toda entidad ha de valorar y analizar cuales son sus riesgos en la captación y tratamiento de datos, hasta su eliminación o lo que es lo mismo: considerar la protección de datos desde el diseño y por defecto;

    B) Disponer y mantener  un Registro de Actividades de Tratamiento, que exprese tanto las prácticas correctas de tratamiento de la información como aquellos registros necesarios para poder evidenciar a posteriori en caso de requerimiento que aplicamos la máxima de seguridad de la información por defecto. Es importante destacar que desde la entrada en vigor el 7 de diciembre de 2018 de la LOPGDDD, desapareció el registro y obligación anterior de inscripción de ficheros en la AEPD (Agencia Española de Protección de Datos), obligando al Responsable y al Encargado del Tratamiento (ENTIDAD DEPORTIVA) a la llevanza de dicho registro de actividades.

    C)  El Responsable del Tratamiento deberá notificar a la AEPD los fallos y violaciones de la seguridad de sus datos en plazo no mayor a  72 horas, tras su detección. Dicha comunicación se ha de realizar siempre y de modo preventivo aunque la entidad deportiva entienda que las medidas de aplicación que pudiese aplicar posibiliten un control rápido de la situación. Por ejemplo, hechos que suelen dar lugar a este tipo de situaciones pueden ser la detección de un virus en el/los ordenador/es donde se gestionan las fichas y control de los deportistas, hackeo de una página web, extravío de documentación o hurto en instalaciones de la entidad deportiva, etc…

    D) Delegado de protección de datos. Es el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la dirección de la entidad para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. Debe ser designado y nombrado ante la AEPD atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el Reglamento y Ley ( arts 34 a 37 de la LOPDGDD). Esta figura actualmente solo es de aplicación obligatoria a las Federaciones Deportivas y no a las Entidades Deportivas tales como Clubes, Gimnasios, etc.. si bien estas entidades pueden realizar una nombramiento voluntario. Existe un Registro Público en la AEPD donde quedan anotadas todas la inscripciones y cuyo acceso es público: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf

    Así mismo, aquellas entidades que requieran o decidan voluntariamente nombrar un DPD (Delegado de Protección de Datos) y por las razones que fueran no cuenten con personal en su organización con la calificación recomendada o simplemente quieran designar de manera externa dicha nombramiento y asociación de responsabilidad, la normativa actual contempla el nombramiento de entidades externas tales como OZONIA Consultores.  Si su Entidad necesita asesoramiento personalizado para llevar a cabo lo anteriormente descrito, contacte con nosotros y estudiaremos su caso, sin compromiso alguno (enlace para enviar consulta o contactar).

    José Mª Díaz
    CONSULTOR