Protección de datos del GDPR para clubs deportivos

GDPR clubs deportivos ¿en serio? La nueva ley también afecta (y mucho) a equipos y empresas relacionadas con el deporte. Directivos de equipos, deportistas y hasta socios, sabemos de los dolores de cabeza que os estará provocando el reglamento europeo de protección de datos (o RGPD/GDPR, como mejor se lo conoce), y aunque aquí no vais a encontrar el Ibuprofeno que necesitáis, en este artículo os daremos algo que todavía hace más falta: 7 claves para adaptarse sin complicaciones a esta nueva normativa, que asegura una privacidad que, a la larga, sin duda traerá más tranquilidad que preocupaciones. No obstante, si utilizáis TokApp os recordamos que para cualquier pregunta específica tenéis a vuestra disposición nuestro servicio de asesoramiento jurídico gratuito.

 

gdpr clubs deportivos

 

1- Ampliación de los derechos de los interesados

 

Como ya recogía la LOPD, los interesados disponen de los derechos ARCO, acrónimo de Acceso, Rectificación, Cancelación y Oposición, que ya conocerás. Sin embargo, dentro de estas categorías se encontraban otros que anteriormente no estaban suficientemente reconocidos pero a los que ahora se les dará una atención prioritaria:

 

  • Derecho de supresión o derecho “al olvido”

     

Es el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales. Como cabe apreciar, este derecho puede en ocasiones colisionar con la libertad de expresión.

 

Este derecho se presenta, además, con un fragmento destinado en exclusiva a los motores de búsqueda en internet que concreta lo siguiente:

 

También hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).

 

  • Derecho a la portabilidad


Derecho a solicitar todos los datos que tiene entidad sobre uno mismo y a que sean entregados en un formato cómodo y fácil de leer (una hoja de cálculo de formato tipo Excel, por ejemplo).

pista de tenis con raqueta y pelota

 

2- Información sobre la política de privacidad de la entidad

 

Es imprescindible garantizar que los interesados pueden conocer y entender a la perfección la política de privacidad de la entidad, y para ello, ésta estará redactada con un lenguaje sencillo y comprensible y comprenderá aspectos como qué datos se tratan, quién trata estos datos, con qué finalidad, valoraciones de los riesgos y la protección de estos datos, y desde luego, los derechos de los interesados y cómo pueden ejercerlos. Es aconsejable incluir en la propia página web del club esta información así como, por ejemplo, incluirla en la firma de la entidad del correo electrónico con un enlace a ella.

celebracion vistoria equipo deportivo femenino

 

 

3- Consentimiento

 

Un error muy común en las entidades es que se desconoce lo que es el consentimiento tácito o por omisión y por consiguiente se ignora también que carece totalmente de validez legal. Lo más preocupante es que, demasiado a menudo, el responsable del error no es el propio club, sino la empresa de asesoramiento jurídico que tiene contratada, que no está lo suficientemente actualizada en el ámbito de la protección de datos. Un ejemplo de un mal asesoramiento de GDPR club deportivos es el conocido comunicado sobre el RGPD en la página web de un popular club deportivo, al final, se indica:

 

“SI NO RECIBIMOS RESPUESTA  entenderemos que NO TIENE INCONVENIENTE en seguir recibiendo nuestras noticias y correos informativos”.

 

Antes del nuevo reglamento, esto sería aceptable, puesto que se consideraría que el interesado, como no muestra oposición a que se utilicen sus datos, entonces se tiene permiso para hacerlo. A esta suposición de conformidad se la denomina como “consentimiento tácito” o “consentimiento por omisión”, y desde el pasado 25 de mayo es una vulneración de la legalidad. El único consentimiento legal en este momento es el consentimiento explícito e inequívoco. No sirve suponer, no sirven las casillas premarcadas. En otras palabras la GDPR clubs deportivos implica: solo “SÍ” y nada más que “SÍ”, es “SÍ”, soy consciente y quiero recibir información.

 

  • Menores de edad

Si los datos personales corresponden a un menor de edad, se requerirá la aprobación por escrito y firmada de sus padres o tutores para su recogida y tratamiento.

partido de futbol

 

4- Cesión de datos a la federación

 

En caso de que el club tenga que ceder datos de los federados a la federación con objeto de participar en una competición nacional, según resolución de la AEPD y la legislación referente a la emisión de licencias, la cesión de datos sería legitimada y no sería necesario el consentimiento del deportista ni un acuerdo de tratamiento con la federación.

 

Tramitado esto, los ficheros de las federaciones deportivas que se creen para el ejercicio de las funciones públicas de carácter administrativo serán de titularidad pública: los de federados, competiciones y resultados, controles de salud y de dopaje o sanciones. Solo serán de titularidad privada aquellos ficheros que respondan a actividades propias de las federaciones deportivas, como el de empleados, o proveedores.

grupo de artes marciales

 

 

5- Tipos de datos personales

 

Se distinguen dos clases de datos personales según el nivel de protección que exigen:

 

  • Generales

Nombre, dirección, código postal, ciudad, provincia, país, lugar de residencia, número de teléfono y/o fax, dirección de correo electrónico, sitio web, sexo, fecha de nacimiento, lugar de nacimiento, títulos, estado civil, perfiles en redes sociales, trabajando para una organización, número de cuenta bancaria, matrícula vehículos…

 

  • Específicos

Origen étnico, preferencia política, preferencia religiosa, afiliación sindical, datos genéticos o biométricos, información clínica, orientación sexual, infracciones administrativas o penales, salario, DNI o pasaporte…

 

Los datos específicos son datos especialmente protegidos, por esta razón, algunos clubs han optado por evitar en la medida de lo posible, recabar datos de salud, quitando de los cuestionarios sobre el estado de salud de los deportistas preguntas por problemas articulares, cardíacos o respiratorios y sustituyéndolas por casillas como:

“Si ves que me canso: [] anímame a seguir    [] déjame tomar aire”

nadador en piscina

 

 

6- Evaluación de riesgos y medidas de protección

 

Hay que llevar a cabo análisis y pruebas periódicas sobre los posibles riesgos del tratamiento de los datos e informar de las conclusiones obtenidas. Un accidente en la seguridad puede conllevar multas que van desde un 0,1% de la facturación anual de la entidad hasta un 4%, pudiendo alcanzar un máximo de 20 millones de euros, en función de la importancia y la cantidad de datos que pudieran haberse revelado a terceros. Si esto ocurre, la entidad habrá de dar parte de ello a la Agencia Española de Protección de datos y a los interesados en un plazo inferior a 72 horas.

 

Entre las medidas de seguridad para la protección de los datos, se sugieren:

  • Antivirus y software siempre actualizados.
  • Copias de seguridad o sistemas de backup contra pérdidas y ransomware.
  • Soportes de almacenamiento (inclusive memorias USB) protegidas con clave o encriptación.
  • Está prohibido almacenar datos en la nube fuera de la Unión Europea o, de hacerlo, habrá de ser en lugares donde la protección sea la requerida por la Unión Europea
  • Armarios cerrados bajo llave y políticas de llaves.
  • No dejar guardados datos de inicio de sesión en los navegadores.
  • Cerrar sesiones o bloquear la pantalla del ordenador siempre que se desatienda.
  • Tener cuidado de escribir la clave en la casilla adecuada y de que se ocultará con asteriscos o puntos.
  • Proteger el teléfono móvil con contraseñas o patrones de desbloqueo.
  • Cubrir la webcam contra posibles monitorizaciones por parte de equipos remotos.
  • Supervisar escáneres o impresoras para cerciorarnos de que no han quedado documentos olvidados.

 

  • Apps de mensajería para la comunicación con deportistas y socios:

El uso de aplicaciones de mensajería poco fiables, y más específicamente de WhatsApp, está desaconsejado por la propia Agencia Española de Protección de Datos, que insta a emplear plataformas que, como TokApp, garantizan el cumplimiento de la ley al no compartir información confidencial de los usuarios con otras empresas y no exponer al público más datos que los imprescindibles de sus usuarios. Esto último cobra vital importancia en la actualidad si tenemos en cuenta la facilidad que hay hoy en día con internet para averiguar información sobre la vida privada de una persona a partir de datos mínimos. (Si te interesa saber más sobre cómo conservar tu anonimato en la web, te recomendamos leer nuestro artículo “Todo lo que puedes saber de una persona con solo su número de teléfono”).

Cabe aclarar, además, que a excepción de los chats de grupos domésticos, cualquier mensaje enviado por un grupo de mensajería con información que pudiera ser estimada como personal, privada o íntima es susceptible de infringir la ley.

 

gdpr club deportivos usando comunicación segura

 

7- Responsable, delegado, autorizado y encargado de datos

Se ha suprimido la obligación de notificar los ficheros a la Agencia Española de Protección de datos, pero es obligatorio llevar un registro de las actividades de tratamiento de datos en el que además de las gestiones realizadas consten datos de:

 

  • Responsable del tratamiento de datos

La entidad deportiva a la que el deportista o socio ha cedido su información directamente.

 

  • Delegado del tratamiento de datos

Se escogerá a una persona que realizará las funciones de tratamiento de datos y responderá como representante de la entidad a cuestiones relativas al tratamiento de datos.

 

  • Autorizados

Se inscribirán en un lista todos los empleados del club con autorización para tratar datos. Es conveniente firmar un acuerdo de confidencialidad tanto con el delegado como con todos los empleados autorizados, así como formar en materia de protección de datos a la plantilla.

 

 

  • Encargado del tratamiento de datos

Es encargada del tratamiento de datos toda aquella empresa que preste un servicio al club, como por ejemplo gestorías, compañías aseguradoras, clínicas médicas o fisioterapeutas, tiendas de ropa deportiva o agencias de organización de eventos. También entrarán dentro de esta categoría aquellos entrenadores que estén dados de alta como autónomos.

Los encargados del tratamiento no podrán prestar sus servicios al responsable de tratamiento si entre ellos no existe un contrato previo con las garantías pertinentes.

 

atletas femeninas en competición

 

Si perteneces a alguna entidad deportiva, ahora ya sabes que la gdpr y clubs deportivos son palabaras que deben ir juntas.

Si sigues con dudas, recuerda que los equipos y clubs que usan TokApp para comunicarse tienen asesoramiento jurídico gratuito. Puedes solicitarlo a través de [email protected]