Cuando se inscribe un nuevo usuario en un gimnasio o centro deportivo, lo habitual es que tenga que rellenar o aportar ciertos datos personales, que incluso pueden incluir algunos relacionados con su saludo. Por ello, este tipo de empresas deben adaptarse a la actual normativa de protección de datos. En esta entrada vamos a explicarte cómo cumplir con la Ley de Protección de Datos en gimnasios y centros deportivos

Normativa de Protección de Datos

En España, la normativa que regula la protección de datos la encontramos en el Reglamento General de Protección de Datos europeo (RGPD), la Ley Orgánica de Protección de Datos (LOPD) y en la Ley de Servicios de la Sociedad de la Información (LSSI).

Sin embargo, buscar información concreta en estos textos puede ser una tarea compleja. Por ello hemos elaborado esta guía para que puedas adaptar tu gimnasio o centro deportivo a la LOPD y el RGPD.

Interior gimnasio Protección de datos

¿Cómo deben cumplir los gimnasios y centros deportivos el RGPD?

Cuando una persona se inscribe en un gimnasio o centro deportivo, lo habitual, como dijimos al comienzo de esta entrada, es que tenga que dar ciertos datos personales al cumplimentar la solicitud, datos que a veces pueden incluir información sobre la condición física o la salud del usuario. Además, tampoco es raro que si el usuario solicita que le hagan un régimen o tabla de ejercicios, se le solicite más información personal relacionada con su condición física.

Pero además de los datos personales que se manejan de los clientes del gimnasio o centro deportivo, también están aquellos de los empleados que trabajan allí y que también quedan amparados por la LOPD y el RGPD. Para poder cumplir con la protección de datos para empresas, hay una serie de actuaciones que es necesario llevar a cabo.

Tanto si debes adaptar la protección de datos para un club deportivo como para un gimnasio, estas son las principales actuaciones que debes realizar:

Las principales actuaciones que debes realizar en tu gimnasio para adaptarte a la normativa son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los clientes
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad

A continuación vamos a ver más en detalle cada una de estas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en los centros deportivos y gimnasios

1.Registro de actividades de tratamiento para un gimnasio o centro deportivo

La primera de las obligaciones de los gimnasios o centros deportivos en materia de protección de datos es elaborar un registro de actividades de tratamiento, con el que podremos determinar el tipo de datos personales que manejamos, en qué cantidad lo hacemos y cómo se realiza ese tratamiento.

El registro de actividades de tratamiento contendrá la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si realizas cesiones o transferencias internacionales
  • Medios a través de los que realizas el tratamiento

Es fundamental mantener este registro lo más actualizado posible, puesto que en caso de una inspección de la Agencia Española de Protección de Datos (AEPD), este es uno de los primeros documentos que te van a pedir que presentes. Puede estar recogido tanto en formato electrónico como en formato papel.

Los tratamientos de datos que son más habituales en los gimnasios o centros deportivos son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. ¿Qué debo hacer si mi gimnasio debe ceder datos a terceros?

Una de las obligaciones recogidas en la normativa de protección de datos que también deben aplicar los gimnasios o centros deportivos es asegurarse de que las empresas o profesionales externos con los que tengan una relación laboral y que puedan tener acceso a los datos personales de sus clientes, cumplan con la ley también.

Cuando una empresa cede datos de sus clientes a terceros, es su responsabilidad asegurarse de que estos terceros también cumplen la Ley de Protección de Datos. Para ello, es necesario firmar un contrato de encargo de tratamiento con esos terceros, acuerdo donde se establecerán las obligaciones de estos para proteger los datos personales a los que puedan acceder.

Además, también debemos asegurarnos que los usuarios o clientes están informados sobre quién y para qué se recopilan sus datos.

Tu gimnasio o centro deportivo cede datos a terceros cuando contrata una gestoría para que lleve todos los temas laborales, como por ejemplo la gestión de nóminas de los empleados. También si ha contrato algún tipo de servicio en la nube para almacenar datos o a un fisioterapeuta autónomo.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

3. Los empleados del gimnasio también deben cumplir la protección de datos

Si tienes empleados en tu gimnasio, es obligación de la empresa asegurarse de que ellos también cumplirán con la protección de los datos personales a los que puedan acceder.

Para evitar que tus empleados revelen información a terceros no autorizados, deben firmar un acuerdo de confidencialidad o incluir cláusulas de confidencialidad en el contrato de trabajo, donde se especifiquen obligaciones y consecuencias en caso de incumplimiento.

Además, debes informar y formar sobre las medidas de seguridad para cumplir con la protección de datos en tu gimnasio a tus empleados, para que puedan contemplarlas y aplicarlas, puesto que si cuentan con correos de trabajo o acceso a la red interna de la empresa, pueden suponer un punto vulnerable frente a ciberataques que busquen robar datos.

Recogiendo información cliente Protección de datos en gimnasios

4. Consentimiento de clientes

Cumplir con la actual normativa protección de datos en gimnasios o centros deportivos  no se limita solo a los puntos que ya hemos visto o a la actualización de la política de privacidad. Ahora es necesario contar con el consentimiento expreso de todos los clientes para poder tratar sus datos personales.

Esta es la principal consecuencia de la adaptación del RGPD, cuya primera finalidad es que los ciudadanos estén más y mejor informados sobre el uso que las empresas pueden hacer de sus datos, qué datos personales pueden recoger, cómo tratarlos y para qué fin. Por ello, también es fundamental comunicar a nuestros clientes y empleados cualquier cambio que realicemos sobre nuestras políticas de privacidad.

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

5. ¿Qué medidas debe tomar un gimnasio si tiene página web?

Si tu gimnasio o centro deportivo cuenta con una página web, hay ciertas acciones en materia de protección de datos que debes realizar, para asegurarte de que cumples con la ley, especialmente si a través de esa web ofreces alguna clase de servicio o tienes una tienda online en la que vendas productos deportivos o relacionados con el deporte.

Principalmente, en tu página web deberás incluir los textos legales exigidos por la LOPD y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

A continuación te detallamos el contenido de cada uno de estos apartados.

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad del centro deportivo y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

En el momento en que tu gimnasio o centro deportivo maneja datos personales de tus usuarios y empleados, debes ser consciente de que existen riesgos a los que las actividades de tratamiento pueden dejarlos expuestos. Por ello es necesario llevar a cabo un análisis de estos riesgos, para lo que puedes tener en cuenta los siguientes puntos:

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Si de ese análisis concluyes que además existe algún riesgo especialmente alto, deberás llevar a cabo una evolución de impacto para minimizar los perjuicios que puedan causarse en material de los derechos o libertades de los interesados (los clientes o empleados).

Es raro que este tipo de empresas necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla. Por ejemplo, si en el centro se realizan actividades para las que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesitas la Evaluación de impacto.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Otra de las obligaciones que incorporó el RGPD cuando entró en vigor en 2018 fue la de notificar de las posibles brechas de seguridad que pudieran sufrir las empresas, dejando los datos personales de sus clientes o empleados expuestos.

Tu gimnasio o centro deportivo tendrá un plazo máximo de 72 horas para notificar tanto a los interesados como la AEPD de una incidencia de seguridad sobre los datos. Deberías tener implementado un plan o protocolo de actuación para responder de forma rápida ante estas situaciones, asegurándote de que cumples el plazo, pero además, de que eres capaz de solucionar cualquier problema o incidencia relacionada con la vulnerabilidad de tu sistema.

Además, contar con medidas de seguridad adecuadas y planes de respuesta puede funcionar de atenuante ante posibles sanciones de la AEPD.

.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

¿Necesita tu gimnasio centro deportivo nombrar un DPO?

Lo cierto es que depende del volumen y tipo de datos que manejes en el gimnasio o centro deportivo. Designar un Delegado de Protección de Datos es obligatorio cuando se manejan grandes cantidades de datos personales sistemáticamente, cuando esos datos son de categoría especial (como los de salud) o son de menores de edad.

Así que si en tu gimnasio o centro deportivo vas a tratar ese tipo de datos, necesitarás nombrar a un DPO, que puede ser un empleado de la plantilla, un profesional externo o una empresa especializada en protección de datos.

En cualquier caso, la identidad y los datos de contacto del DPO deben ser comunicados a la AEPD.

También en cuenta que aunque en tu gimnasio no sea obligatorio contar con este tipo de profesional, puede ser recomendable contar con él, puesto que se asegurará de que se cumple la normativa de protección de datos en tu centro.

Cintas de correr Protección de datos en gimnasios

Preguntas frecuentes

¿Qué hago con los curriculum que me dejan en el gimnasio?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.

¿Qué tengo que hacer en caso de tratar datos de salud o tener un lector de huella dactilar?

Los datos de salud o la huella dactilar (dato biométrico) son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:

  • Realizar copias de seguridad,
  • utilizar contraseñas únicas y seguras,
  • sistema operativo y software de gestión siempre actualizado,
  • solo instalar software original,
  • activar todas las opciones de seguridad del navegador de Internet y
  • cifrar los archivos con datos personales.

¿Puedo enviar comunicaciones comerciales a clientes?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Si soy entrenador personal debo cumplir con la protección de datos?

Sí, también debe cumplir con la Ley de Protección de Datos un entrenador personal, en la misma medida que una empresa, cuando maneja datos personales de sus clientes; es decir, debe informar de su política de privacidad, sus datos de contacto, el tratamiento de datos y la finalidad, así como recabar el consentimiento de sus clientes para manejar dichos datos.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu gimnasio a la normativa de Protección de Datos. Incluido modelo de acuerdo al RPGD para datos de clientes.

Sanciones

Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.

Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.

A continuación puedes ver algunos ejemplos de sanciones impuestas por la AEPD a gimnasios.

Enviar correos a varios clientes sin copia oculta

Un cliente de un gimnasio recibió un correo por error con un archivo adjunto con datos personales, incluidos los suyos propios, de 9.293 usuarios. Decidió poner en conocimiento de la Agencia Española de Protección de Datos (AEPD) este hecho, la cual inició la investigación para saber cómo se habían producido los hechos.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Fue impuesta una multa al gimnasio de 3.000 euros por incumplir la ley de Protección de Datos.

Tratar datos biométricos sin legitimación para ello

Un socio de un gimnasio denuncia ante la AEPD que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos.

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Se impone una multa al gimnasio de 1.500 €. Resolución AEPD  R/00900/2018

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu gimnasio o centro deportivo a la normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.