Son muchos los Clubes Deportivos de carácter Local que siguen actuando al margen de la Ley de Protección de Datos.
Son frecuentes los grupos de WhatsApp intercambiando fotos de menores y personas con problemas sanitarios.
De igual modo son frecuentes los Mails que se envían desde las directivas desde sus propios personales, compartiendo en CC, con otros miembros. Se solicitan los datos personales, firmas de documentos etc, remitiéndose al correo personal del directivo en cuestión.
Y un sinfín de etc.
Las multas son cuantiosas
Cumplimiento de la Normativa de Protección de Datos por parte de los Clubes Deportivos.
La normativa de privacidad vigente (Reglamento General de Protección de Datos y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) impone a los clubes deportivos el cumplimiento de una serie de obligaciones en relación con los datos personales que traten (aún más si los datos personales son de menores de edad) y prevé importantes sanciones para aquellos casos en que se confirme su incumplimiento.
Antes de analizar los pasos que han de dar los Clubes deportivos para adaptarse al RGPD, partiremos de algunos conceptos claves para una mejor comprensión:
¿Qué debe entenderse por dato personal?
Dato personal es cualquier información que se disponga sobre una persona física que permita identificarla (directa o indirectamente). Por tanto, la normativa de privacidad protege no sólo los datos personales más elementales como nombres, apellidos, sexo etc. sino cualquier información que permita identificar a una persona, como por ejemplo un número de identificación, datos de localización, o uno o varios elementos de propios de la identidad física (imágenes, voz, huellas dactilares), fisiológica, genética psíquica, económica, cultural o social de dichas personas.
¿Qué ha de entenderse por tratamiento de datos personales?
Se entiende por tratamiento cualquier operación que se realice sobre un dato personal; por ejemplo: recogida, almacenamiento, utilización, difusión, transmisión, supresión, destrucción (…).
¿Quién es quién en el tratamiento de datos personales en un Club deportivo?
Interesado: Es la persona física titular de los datos personales. En el caso de un Club pueden ser los deportistas, socios, proveedores, empleados o cualquier persona cuyos datos vayan a ser objeto del tratamiento.
Responsable del tratamiento: Es la persona física o jurídica que determina la finalidad el tratamiento. Puede ser el propio Club o la persona física o jurídica que el mismo designe a estos efectos.
Encargado del tratamiento: Es la persona física o jurídica que trate los datos por cuenta del Responsable del Tratamiento. Siempre debe actuar atendiendo a las instrucciones del responsable y ofrecer las garantías necesarias.
En el marco del tratamiento de datos por parte de un Club Deportivo, cualquiera de los proveedores contratados por el club que deba tratar datos para poder prestar sus servicios sería un encargado del tratamiento; por ejemplo una gestoría.
Delegado de Protección de Datos (DPO): es el profesional que ayudará a cumplir el RGPD y demás normativa aplicable, asesorando a estos efectos a Responsable y Encargado del tratamiento, coordinando y supervisando el efectivo cumplimiento y actuando como punto de contacto entre la autoridad de control y el Responsable del tratamiento.
Los Clubes Deportivos estarán obligados a nombrar un DPO cuando traten a gran escala datos sensibles (por ejemplo de salud) o la observación habitual o sistemática de un número elevado de interesados, lo que no es frecuente.
No obstante debemos señalar que la falta de obligatoriedad de DPO cambiará para aquellos clubes que tengan más de 50 empleados a partir de la entrada en vigor de la denominada directiva Whistleblower (Directiva UE 2019/1937, de 23 de octubre de 2019), que está actualmente en proceso de ser incorporada a la ley española.
Menor de edad: Personas físicas menores de 14 años. Con arreglo al RGPD y la LOPD los menores de 14 años no podrán prestar consentimiento para el tratamiento de sus datos personales ni ejercer los Derechos ARSULIPO (acceso, rectificación, supresión, entre otros), debiendo ser sus padres o tutores legales quien preste el consentimiento o ejerzan los referidos derechos en nombre de los menores.
¿Qué pasos que deben darse para realizar un tratamiento de datos conforme a la normativa de privacidad?
El tratamiento de datos personales por parte del Club deportivo con arreglo al RGPD y la LOPD exigirá que se observen los siguientes requisitos; unos por ser exigidos legalmente, y otros por resultar de incuestionable utilidad:
1) Elaboración del Registro de Actividades del Tratamiento. Si bien este documento únicamente es obligatorio para los clubes con más de 250 empleados, siempre será recomendable puesto que permitirá tener una visión de todos los tratamientos que se realizan y poder adoptar las medidas protectoras y organizativas oportunas.
2) Realización de un análisis del riesgo, cuyo propósito será identificar qué riesgos entraña el tratamiento que se vaya a efectuar para los derechos y libertades de los interesados, para poder determinar qué medidas de seguridad deben ser adoptadas para mitigarlo.
En líneas generales y sin ánimo de ser exhaustivos, el análisis del riesgo deberá considerar cuestiones tales como (i) la naturaleza de los datos a tratar (si son o no datos sensibles como por ejemplos datos de salud), (ii) se tratan datos de un gran número de personas, (iii) el tratamiento incluye la elaboración de perfiles, (iv) se utiliza tecnología especialmente invasiva (por ejemplo videovigilancia), v) se utilizarán los datos obtenidos con una finalidad para otro tipo de finalidades etc.
Las respuestas que se obtenga de las cuestiones planteadas deberán ser ponderadas caso a caso, resultando que cuanto mayor número de respuestas afirmativas se obtengan, mayor será el riesgo que podría derivarse del tratamiento de datos, tornándose por tanto necesario realizar una Evaluación de Impacto.
3) Evaluación de Impacto (EIPD), es la herramienta que permitirá evaluar con carácter anticipado, cuáles son los riesgos a los que potencialmente están expuestos los datos personales en función de las actividades de tratamiento que se vayan a llevar a cabo.
Como hemos comentado, la EIPD será obligatoria en los casos en que del previo análisis del riesgo se detecte que el tratamiento de datos supone un riesgo elevado para los derechos y libertades de las personas físicas. También lo será, entren otros casos, cuando se traten datos a gran escala o sensibles (por ejemplo relativos a la salud de los deportistas).
4) Identificación de la base legitimadora para cada uno de los tratamientos de datos en función de las finalidades perseguidas por el Club en el desarrollo de la actividad deportiva (hojas de inscripción y participación en actividades deportivas, autorizaciones que se solicitan a participantes, contacto y comunicaciones de la entidad, pagos, uso para fines promocionales, etc).
5) Informar a los titulares de los datos, de forma clara, sobre el tratamiento que se va a realizar; y en concreto sobre (i) el nombre y datos del contacto del responsable; (ii) legitimación para el tratamiento; (iii) finalidad del tratamiento; (iv) datos de contacto del DPO; (v) cómo y dónde ejercer los derechos ARSULIPO – Derechos de Acceso, Rectificación, Supresión (Olvido), Limitación del Tratamiento, Portabilidad y Oposición -; (vi) posible cesión de los datos a terceros; (vii) tiempo que los datos serán tratados por el Club.
6) Mantener las bases de datos actualizadas y protegidas por medidas técnicas y organizativas diseñadas y escogidas de forma personalizada.
7) Contratos de encargo del tratamiento con aquellas personas físicas o jurídicas que realicen tratamiento de datos de la entidad (asesorías, gestorías, empresas de seguridad, contratos suministros ropa deportiva directamente, etc…), que deberá contener las garantías necesarias para que el tratamiento se haga con arreglo a la legalidad.
8) Garantizar la confidencialidad de los empleados y personal de la entidad (voluntarios, colaboradores, etc….), que por sus funciones tengan acceso a los datos personales mediante la firma de cláusulas de confidencialidad.
9) Notificación de eventuales brechas de seguridad que puedan afectar a las libertades y derechos de los interesados en el plazo de 72 horas, atendiendo al protocolo establecido a estos efectos por el propio Club de conformidad con el RGPD (p.e. pérdidas, hurtos o robos de ordenadores o dispositivos con datos de la entidad).
10) El Nombramiento de DPO es obligatorio, como hemos señalado, cuando traten a gran escala datos sensibles (por ejemplo de salud) o la observación habitual o sistemática de un número elevado de interesados, y, en breve lo será para aquellos clubes con más de 50 empleados.
11) Auditoría, no es obligatoria pero sin duda constituye una de las herramientas fundamentales para comprobar y evaluar el nivel de cumplimiento de la normativa de privacidad en el Club.
12) La formación del responsable del tratamiento y cuántos empleados tengan en su día a día acceso a los mismos no es obligatoria, pero sin duda de extrema utilidad para poder cumplir con las exigencias legales.
13) Inserción en la Página Web del correspondiente aviso legal, la política de privacidad y el aviso y la política de cookies, así como en el resto de documentación del club en los casos en los que proceda.
El seguimiento de los pasos que acabamos de describir resulta de gran importancia para la adecuada adaptación del Club al RGPD y evitar la imposición de sanciones ante eventuales infracciones que podrían ser de hasta 40.000 euros para las infracciones leves, 300.000 euros para las graves y 20 millones de euros o el 4% de la facturación anual para las muy graves.