Este mes me he apuntado al gimnasio.

Ahora a ver si voy.

Al rellenar el impreso de inscripción me he dado cuenta de la cantidad de datos que se piden.

Incluso de salud.

Por eso, si tienes un gimnasio y no sabes lo que debes hacer para cumplir con el RGPD te lo cuento.

En este post tienes todos los pasos que debes seguir para adaptar tu centro deportivo a la normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en centros deportivos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los gimnasios y centros deportivos el RGPD?

Los centros deportivos forman parte de ese tipo de negocios que tiene en sus manos datos personales, incluso de salud, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para matricularse o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu gimnasio para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los clientes
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en los centros deportivos y gimnasios

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si realizas cesiones o transferencias internacionales
  • Medios a través de los que realizas el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los centros deportivos son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

¿Has contratado una gestoría para los temas fiscales o de nóminas?

¿Y una empresa informática que realiza el mantenimiento de los equipos?

Pues entonces estás cediendo datos de tus clientes o empleados a terceros.

Y ellos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Numerosos centros deportivos recurren con regularidad al software de gestión de clientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y qué hay que hacer?

Debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Acuerdo de confidencialidad con empleados

Si tienes empleados en tu gimnasio esto te interesa.

Los empleados tienen acceso a toda la información que maneja el gimnasio y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En estas entidades los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de clientes

¡Ojo! Esto es muy importante.

Además de actualizar la política de privacidad, en el centro deportivo debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad del centro deportivo y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Respira hondo.

Y al lío!

En el gimnasio debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

¿Hay que hacer esto?

Es raro que este tipo de empresas necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla. Por ejemplo, si en el centro se realizan actividades para las que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesitas la Evaluación de impacto.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el gimnasio, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Qué hago con los curriculum que me dejan en el centro de estética?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.

¿Qué tengo que hacer en caso de tratar datos de salud o tener un lector de huella dactilar?

Los datos de salud o la huella dactilar (dato biométrico) son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:

  • Realizar copias de seguridad,
  • utilizar contraseñas únicas y seguras,
  • sistema operativo y software de gestión siempre actualizado,
  • solo instalar software original,
  • activar todas las opciones de seguridad del navegador de Internet y
  • cifrar los archivos con datos personales.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu gimnasio a la normativa de Protección de Datos.

Sanciones

Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.

Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.

¿A que asusta?

Pues tómatelo en serio.

Más vale prevenir.

A continuación puedes ver algunos ejemplos de sanciones impuestas por la AEPD a gimnasios.

Enviar correos a varios clientes sin copia oculta

Un cliente de un gimnasio recibió un correo por error con un archivo adjunto con datos personales, incluidos los suyos propios, de 9.293 usuarios. Decidió poner en conocimiento de la Agencia Española de Protección de Datos (AEPD) este hecho, la cual inició la investigación para saber cómo se habían producido los hechos.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Fue impuesta una multa al gimnasio de 3.000 euros por incumplir la ley de Protección de Datos.

Tratar datos biométricos sin legitimación para ello

Un socio de un gimnasio denuncia ante la AEPD que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos.

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Se impone una multa al gimnasio de 1.500 €. Resolución AEPD  R/00900/2018

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu gimnasio o centro deportivo a la nueva normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Protección de datos en gimnasios y centros deportivos
4.8 (95%) 8 votos