En caso de ser miembro o directivo de una federación deportiva debes cumplir con las obligaciones establecidas por el RGPD y la LOPDGDD.
El RGPD, que sustituye a la anterior normativa, entró en vigor el día 25 de mayo de 2018 en todos los países miembros de la UE. A partir de ese momento, cualquier organización o entidad que maneje datos personales de ciudadanos europeos, aunque su sede social se encuentre en un país no perteneciente a la UE, está obligada a cumplir esta ley. Y tu club deportivo no se va a librar de ello.
Pero no te preocupes porque aquí tienes una completa guía que te ayudará con los pasos a seguir para adaptar la federación o club deportivo al RGPD.
Cómo cumplir el RGPD y la LOPDGDD en federaciones y clubes deportivos
Una federación o club deportivo, en su funcionamiento habitual, maneja datos personales de directivos y empleados, socios y deportistas. Estos datos son nombres, teléfonos y direcciones de socios y empleados, archivos con fotografías y pueden tener también cámaras de videovigilancia. Son considerados datos personales al identificar a una persona de forma inequívoca.
Incluso el club deportivo puede manejar datos considerados sensibles como son los datos de salud de los deportistas.
Cada club tiene sus circunstancias específicas pero, en general, si tienes un club deportivo, estos son las obligaciones que debes cumplir para adaptarte a la normativa vigente.
- Solicita el consentimiento para tratar cualquier tipo de dato
- Adecua las cláusulas informativas sobre el tratamiento de datos
- Registra los tratamientos de datos que vas a realizar
- Nombra un responsable
- Confecciona un Documento de seguridad
- Realiza un Análisis de riesgos
- Firma los contratos con los encargados del tratamiento
- Informa sobre el ejercicio de derechos y los fines del tratamiento
- Ajusta la página web al RGPD
- Solicita permiso para hacer fotografías
- Comprueba las medidas de seguridad
- Borra la información una vez finalizada la actividad
A continuación te explico cada uno de estos pasos.
1. Solicita el consentimiento para tratar cualquier tipo de dato
La nueva ley prohíbe almacenar cualquier tipo de dato personal sin el consentimiento expreso de su titular. Por tanto, para poder tratar los datos personales es necesario que el titular te de su consentimiento expreso por escrito.
En los formularios de inscripción a determinadas actividades o en los de inscripción de socios obligatoriamente hay que insertar una cláusula informativa donde se explique cómo y con qué finalidad vas a recoger esos datos personales. También tendrás que añadir un checkbox indicando que la persona ha leído y acepta las condiciones de tratamiento de sus datos personales.
Si vas a sacar fotografías a un grupo de personas, en un partido o en un entrenamiento y se puede identificar claramente a esas personas debes darles a firmar un documento en el que se informe sobre cómo se van a usar y almacenar esas fotografías, si van a utilizarse para promocionar la actividad del club o para enviar información sobre el mismo.
2. Adecua las cláusulas informativas sobre el tratamiento de datos
Con la antigua LOPD era suficiente con que los formularios donde se recogían datos personales contuvieran un breve texto sobre lopd. Pero ahora eso ya no sirve. Es necesario incluir una amplia información, concisa y clara, para recoger esos datos.
Esta información debe incluir:
- Datos de la federación o club deportivo responsable del tratamiento
- Correo electrónico y dirección postal del responsable del tratamiento
- Fines para los que van a utilizarse esos datos
- Legitimación para su tratamiento (normalmente será el consentimiento del titular)
- Si esos datos van a cederse a terceras asociaciones o empresas
- Derechos que pueden ejercer los titulares de los datos (acceso, rectificación, cancelación, oposición, limitación y portabilidad)
- Plazo de conservación de esos datos
- Posibilidad de reclamar ante la AEPD
- Disponibilidad de más información en la página web del club
3. Registra los tratamiento de datos que vas a realizar
Uno de los principales documentos que debes tener en el club deportivo o federación es el Registro de actividades de tratamiento. Esto supone saber la clase de datos que vas a manejar y en qué cantidad.
El contenido de este registro es el siguiente:
- Clase de datos que se guardan
- Para qué se van a tratar
- Personas a las que se refieren esos datos
- Política de almacenamiento
- Cesiones o transferencias internacionales realizadas
- Cómo se van a tratar los datos
Es obligatorio tener actualizado este registro por si nos lo solicita la AEPD.
Los tratamientos más habituales que se efectúan en un club deportivo son:
- Socios
- Deportistas
- Proveedores
- Recursos humanos
- Contabilidad
- CV
- Videovigilancia
4. Nombra un responsable
Las entidades públicas y empresas tienen la obligación de nombrar a una persona como responsable de Protección de datos que se manejen. También los clubes deportivos tendrá que nombrar a un miembro de la Junta Directiva para encargarse de ese tema.
De esa forma tendrás la seguridad de que existe una persona pendiente del cumplimiento de la ley. Y esta persona será la encargada de denunciar cualquier incumplimiento de la normativa ante la AEPD.
5. Confecciona un Documento de seguridad
El club deportivo debe elaborar un Documento de seguridad donde se recoja:
- Procedimiento de recopilación de los datos personales
- Para qué van a usarse esos datos
- En qué lugar van a almacenarse
- Quién podrá acceder a los mismos
- Procedimiento para que los usuarios y socios ejerzan sus derechos
- Medidas técnicas y organizativas adecuadas
6. Realiza un Análisis de riesgos
Aquí viene lo más complicado.
Pero no te preocupes que con esta explicación seguro que lo entenderás.
En el club deportivo debes realizar un análisis del riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,
- tipo y naturaleza de los datos,
- sistemas de tratamiento,
- cesiones,
- transferencias internacionales y
- número de interesados afectados;
Una vez realizado este análisis debes implantar las medidas de seguridad adecuadas.
7. Firma los contratos con los encargados del tratamiento
En caso de que el club deportivo cuente con asociaciones, administraciones o empresas externas que le presten algún servicio para el que sea necesario acceder a datos personales, debe firmar un contrato con ellas en el cual se garantice que esos terceros (encargados del tratamiento) también cumplen con la normativa vigente.
Dentro de esos encargados del tratamiento están las gestorías que llevan temas fiscales y laborales al club deportivo, las empresas informáticas que dan soporte y mantenimiento a sus equipos, empresas de seguridad, de limpieza, etc. No te olvides de firmar con ellas este contrato de encargado del tratamiento para evitar incumplimientos de la ley.
8. Informa sobre el ejercicio de derechos y los fines del tratamiento
Es muy importante para cumplir con el RGPD que facilites a tus usuarios y socios información sobre los fines para los que se van a tratar su datos personales, el motivo por el que se recopilan esos datos, qué derechos tienen y cómo pueden ejercerlos. Esta información puedes facilitársela enviándoles un correo electrónico o a través de panfletos o carteles informativos.
Los derechos que corresponden a los titulares de los datos personales son:
- Acceso a sus datos
- Rectificación o supresión de los mismos
- Solicitar la limitación de su tratamiento
- Oposición al tratamiento
- Portabilidad de los datos
9. Ajusta la página web al RGPD
En caso de que el club deportivo disponga de una página web, es necesario que acomode la misma a los requisitos exigidos por el RGPD. Para ello debe seguir los pasos indicados anteriormente:
- Solicitar consentimiento para recopilar los datos
- Ajustar las leyendas de los formularios de recogida de datos
- Informar sobre sus derechos a los usuarios
- Firmar el contrato de encargado del tratamiento con las empresas de alojamiento web
Dentro de la web debe incluirse una página estática que informe sobre el Aviso legal y la Política de privacidad. En estos textos debe indicarse la información especificada en el apartado 2. La herramienta de la AEPD Facilita RGPD te ayuda con la elaboración de estos textos.
Si en la web se recogen datos para elaborar estadísticas o se guarda información en el ordenador del usuario, debe incluirse un Aviso de cookies indicando las que se utilizan y para qué.
10. Solicita permiso para hacer fotografías
En caso de que vayas a hacer fotografías en las que pueda identificarse a las personas debes solicitar su consentimiento por escrito para poder guardar o publicar esas fotos. Es posible usar un formulario estándar para pedir esa autorización.
Lo mejor es incluir ese formulario en la solicitud de inscripción a la actividad donde se realizarán las fotografías o en la inscripción como socio. De esa forma sabrás quién autoriza a ser fotografiado y quien no, lo que te facilitará la gestión.
11. Comprueba las medidas de seguridad
Es importante almacenar los datos personales en lugares donde no sea sencillo acceder por cualquier persona y bajo llave para asegurar que únicamente tendrán acceso a ellos las personas autorizadas. Esto debes indicarlo en el Documento de seguridad.
Es aconsejable ordenar de forma lógica en carpetas todos los contratos, consentimientos y demás documentos para poder encontrarlos con facilidad si el usuarios solicita comprobarlos.
12. Borra la información una vez finalizada la actividad
Esta obligación es la más complicada de cumplir puesto que a todos nos cuesta deshacernos de información, pero es necesario cumplirlo.
Una vez finalizada la actividad la ley nos obliga a destruir todos los datos recopilados para realizar esa actividad. Por ejemplo, si el club organiza un torneo de baloncesto, una vez finalizado el mismo debe eliminar todos los datos personales de los participantes.
Sin embargo, la ley permite que se guarden datos para usarlos más adelante. Pero en ese caso tendrás que informar a su titular sobre la finalidad para la que se utilizarán y el plazo de tiempo que se conservarán.
Los datos personales no pueden almacenarse para siempre ni utilizarse para otros fines distintos de aquellos para los que se recopilaron.
MODELOS
Para facilitarte el proceso de adaptación de la federación o club deportivo a la ley de Protección de datos te dejo todos los documentos que necesitarás.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Preguntas frecuentes
¿Qué significa el RGPD para los clubes deportivos?
Con el RGPD se han ampliado los requisitos para tratar datos personales. La finalidad es proteger a las personas y asegurar que esos datos no sean usados indebidamente.
Los clubes deportivos, al tratar datos personales, también están obligados a cumplir esos requisitos relativos a los documentos donde almacenan los datos personales. Es decir, los clubes deben garantizar que sus miembros puedan acceder de forma sencilla a la información sobre cómo trata el club esos datos personales. Y esto afecta tanto a pequeñas como a grandes entidades.
¿Por qué debe el club cumplir esa normativa?
El club deportivo está obligado a cumplir el RGPD porque recoge y almacena datos personales de sus miembros y socios. Dentro de esos datos se incluyen el número de socio, nombres, domicilio o fecha de nacimiento. El tratamiento de dichos datos solo se permite cuando existe una base legal para ello. Esa base de legitimación es necesaria para recoger, almacenar, procesar y transmitir esos datos.
¿Puedo enviar publicidad a los socios anteriores a la vigencia del RGPD sin su consentimiento?
La respuesta es No. Antes de enviarles cualquier tipo de publicidad es necesario que solicites su consentimiento para ello.
En caso de que envíes información comercial sin consentimiento y recibas cualquier denuncia, puedes ser sancionado.
¿Puedo utilizar Apps de mensajería para comunicarme con deportistas y socios?
Depende. La utilización de apps de mensajería es poco fiable, sobre todo WhatsApp. La AEPD aconseja no usar esta aplicación y sustituirla por otras plataformas que garanticen el cumplimiento de la normativa al no compartir información confidencial de los usuarios con terceras empresas y que publiquen únicamente los datos imprescindibles de sus usuarios.
Actualmente Internet ofrece una enorme facilidad para averiguar información personal sobre cualquier persona partiendo de datos mínimos.
Sanciones
Debemos ser conscientes de la gravedad del incumplimiento de las normas sobre Protección de datos. La finalidad de estas leyes es proteger a los ciudadanos por lo que su infracción puede ocasionar importantes sanciones.
Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.
Es por eso que debes tomártelo en serio. Y prevenir antes de llevarte un disgusto.
Aquí te dejo algún ejemplo de sanciones impuestas por la AEPD a clubes deportivos.
No atender debidamente el derecho de acceso
Hace unos meses la AEPD dictó resolución frente a una denuncia interpuesta por un particular contra el club deportivo Unión Arroyo por no atender adecuadamente su derecho de acceso.
Según el RGPD, el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información sobre los datos personales del mismo que se encuentran en su poder, así como cualquier comunicación relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.
Esa información se proporcionará por escrito o por medios electrónicos, si procede. La información puede darse de forma verbal si lo solicita el interesado y se demuestra su identidad por otros medios.
En dicha resolución, la AEPD insta al demandado a atender en un plazo de 10 días ese derecho de acceso. Si no lo hace, se le sancionará según el artículo 58 del RGPD.
Facilitar datos personales a terceros sin consentimiento
La AEPD también impuso una sanción de Apercibimiento al Club Recreativo Deportivo Parque Cartuja por facilitar datos personales de uno de sus socios al resto de socios sin el consentimiento del primero.
El RGPD establece que los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Ahora que ya conoces los pasos para adaptar tu club deportivo al RGPD espero que lo hagas cuanto antes.
Y, si tienes cualquier duda, estaré encantada de ayudarte.
Buenas tardes
Gracias por este y otros artículos que nos ayudan a comprender mejor como la normativa de protección de datos aplica a los distintos tipos de responsables del tratamientos (salud, educación, deportes,…).
En este caso me permito mostrar mi desacuerdo con la principal legitimación del tratamiento que se pone de manifiesto para los clubes deportivos: «el consentimiento».
Entiendo que es posible llevar a cabo las actividades básicas del club con base en el artículo 6.1.b) del RGPD; es decir, el contrato/acuerdo que se suscribe al afiliarse al club o asociación. Esta base de legitimación derivará de la aceptación por parte del deportista (o tutor legal en caso de menor de edad) de los Estatutos del Club materializada a través de la firma de la correspondiente ficha o acuerdo.
Otras finalidades, como la de publicitar en RRSS imágenes de los encuentros, promocionar el club, o remitir comunicados comerciales de promotores a los asociados, si que deberían fundamentarse en el consentimiento del interesado.
Dicho esto, me despido reiterando mi agradecimiento a sus interesantes artículos.
Saludos.
Soy miembro de una asamblea de una federación deportiva por el estamento de Oficiales y jueces. ¿Puede dicha federación negarse a entregarme los datos de los oficiales que represento?
Buenos días Carlos, se necesitaría el consentimiento de esos afectados para poder facilitarte sus datos.
Puede un socio de un club pedir la lista de socios del club (solo los nombres, no los otros datos como dirección fecha de nacimiento o teléfono)
soy miembro de una Junta de Consejo de Honor de una entidad deportiva y quisiera saber si podemos enviar comunicaciones/consultas a los socios miembros del consejo de honor, para conocer su opinion y saber anualmente nuevas entradas y salidas de los socios del club en ese consejo de honor. Segun la JD del club deportivo npo podemos acogiendose a la ley de proteccion de datos.