ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS

Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.

Además, en función de si es un club en el que puedan asociarse menores, nos encontraremos ante el tratamiento de datos sensibles o protegidos, tales como los datos de los propios menores y los informes de antecedentes penales que tendrían que solicitarse a los entrenadores o empleados que trabajarán con dichos menores.

Lo mismo ocurriría en el caso de que, aunque no hubiese menores, se disponga por ejemplo de un fisioterapeuta que deberá cumplimentar un historial clínico en donde refleje las actuaciones practicadas en cada una de sus sesiones.

Por lo que respecta a la implantación de una protección de datos adecuada en un club o asociación deportiva, deben tenerse en cuenta los siguientes 9 aspectos esenciales:

1. Deber de información . Una de las obligaciones impuestas por la normativa en materia de protección de datos es cumplir con el deber de información. Esto supone que se debe poper garantizar que los interesados (socios, clientes, etc) conocen y entienden las políticas de tratamiento de los datos que lleva a cabo la entidad.

El modo de facilitar dicha información debe ser en un lenguaje claro y sencillo, de fácil comprensión para el interesado (recuérdese que, dicho lenguaje ha de estar adaptado al tipo de perfil al que vaya dirigida la información, de modo que si nos dirigimos a menores, deberá estar en un lenguaje adecuado al rango de edad al que nos dirigimos).

Asi mismo se deberá informar, al menos, del:

- nombre del responsable -> los datos del club o asociación

- la legitimación para la recogida de los datos -> por ejemplo, el cumplimiento de una obligación contractual

- finalidad de los datos -> es decir, para que se van a usar dichos datos

- destinatarios de los datos -> si se preveen cesiones de datos a terceros, tales como la cesión de los mismos a las federaciones

- cómo ejercitar los derechos -> vía email, mediante correo postal, personalmente, y cualquier otro mecanismo

- y, si fuese el caso, las transferencias internacionales de datos, la toma de decisiones automatizadas, etc.

2. Consentimiento expreso.  Desde la entrada en vigor del RGPD, el único consentimiento válido es el expreso o explícito, es decir, se ha de solicitar específicamente el consentimiento para el tratamiento de los datos de los interesados.

Esto en la práctica supone que ha dejado de ser válido el consentimiento tácito, tan utilizado, en el que se indicaba al cliente o socio que "si no marca la siguiente casilla acepta el envío de comunicaciones comerciales" o similar.

Del mismo modo ya no se pueden introducir casillas premarcadas en los formularios, tanto físicos como online. Por lo tanto, si el club  o asociación dispone de una página web en la que se incluye un formulario de contacto o registro, no podrá incluirse una casilla premarcada que obligue a aceptar en envío de novedades o publicidad para enviar el formulario. Obviamente, aunque la casilla no esté premarcada, no podrá ser obligatorio su selección para el envío del formulario.

Con respecto al tratamiento de datos de menores, se requiere el consentimiento expreso de sus padres o tutores legales para la recogida y tratamiento de sus datos.

3. Cesión de datos -> En el caso de que el club o asociación esté sujeta a una actividad deportiva federada, los datos serán cedidos a la Federación correspondiente, para que esta realice las funciones públicas de carácter administrativo necesarias con respecto a los datos de los federados, sus resultados, los controles de salud y dopaje, etc.

No se necesita el consentimiento expreso de los interesados al existir una habilitación legal al efecto, si bien es recomendable incluir en el documento de consentimiento, la referencia a dicha cesión en la información sobre los destinatarios de los datos. Téngase igualmente en cuenta que, en realidad, las licencias deportivas son obligatorias para deportistas que deseen participar en competeiciones deportivas oficiales, pero no todos los integrantes de una asociación o club querrán tomar parte en dichas competiciones, por lor que puede que desconozcan que existiría dicha cesión.

Con respecto a la cesión de los datos, si además de a la Federación correspondiente se planea la cesión de datos a otros clubes, empresas, etc. sí será obligatorio informar de dichas cesiones de datos de manera expresa, indicando, además de la/s entidad/es a las que se pretende realizar la cesión, el motivo de la cesión y el uso que dichas entidades darán a los datos.

4. Tipos de datos recabados. Como indicábamos anteriormente, los clubes o asociaciones deportivas realizan tratamiento de datos cada vez que un nuevo asociado se inscribe en el club, cuando se realiza la inscripción en la federación, cuando organiza eventos en los que haya que anotarse en sus listas, cuando realiza comunicaciones a los socios o asociados o a sus padres o tutores en el caso de menores, cuando graba o toma fotos en eventos, cuando registra los resultados de las competiciones, etc. Todos estos datos, como regla general, suelen estan integrados por datos de carácter identificativo, tales como nombre, dirección, teléfono, correo electrónico, fecha de naciemiento, etc.

Pero ademas, en algunos casos se podrían llegar a manejar datos sensibles o especialmente protegidos tales como datos de salud del asociado o su origen étnico o racial, o por ejemplo datos biométricos de los empleados (si estos efectúan sus fichajes a través de dispositivos de control de presencia mediante huella dactilar) o datos de antecedentes penales de los mismos, como requisito necesario si se trabaja con menores de edad.

En función del tipo de datos recabados y/o tratados por parte del club o asociación se deberán aplicar medidas de seguridad más reforzadas, por lo que es muy importante tener en cuenta el tipo de datos que se manejan y tratar de recabar tan sólo aquellos datos que sean imprescindibles.

5. Delegado de Protección de Datos. Si bien para las Federaciones deportivas sí es obligatorio el nombramiento de un Delegado de Protección de datos, como norma general, en los clubs o asociaciones deportivas no será necesario su nombramiento. Sólo sería obligatorio en caso de que dichos clubs realicen tratamientos que requieran una observación habitual o sistemática de un número elevado de personas s o bien que traten datos especialmente protegidos a gran escala, teniendo en cuenta el número de afectados, el volumen de los datos y/o el ranto de los diferentes tipos de datos, la extensión geográfica y la duración de la actividad del tratamiento.

En caso de que sea necesario contar con un Delegado o, aún sin ser obligario, si se desea nombrar un DPD, se deberá escoger una persona con conocimientos legales en la materia (se recomienda que sea un abogado aunque no es obligatorio) y con formación tecnológica. Una vez contratado dicho Delegado, deberá inscribirse su nombramiento en la AEPD y añadir sus datos de contacto en todos los textos legales y documentos de consentimiento.

6. Analisis de Riesgos y Evaluación de Impacto.   El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su nivel de gravedad en caso de que se produzcan. Una vez analizados los riesgos se deben establecer medidas para afrontarlos, tales como:

- copias de seguridad de los datos para evitar pérdidas de datos

- antivirus y software debidamente actualizado

- acceso a los soportes informáticos con claves de acceso

- restricciones de acceso a personal autorizado

- armarios y cajones con llave

- desbloqueo de pantalla en dispositivos móviles y dispositivos informatizados con clave de acceso, pin, huella, etc

Respecto a las EIPD, será obligatorio realizar dicha evaluacion en el caso de tratamientos que puedan comportar un alto riesgo para los derechos y libertadas de las personas, o en el caso de tratamiento a gran escala de datos especialmente protegidos, en el caso de tecnologías invasivas (tales como videovigilancia masiva, geolocalización, etc) o cuando se realice una evaluación sistemática (por ej. la elaboración de perfiles), por lo que no todos los clubs o asociaciones deportivas tendrán que realizar dicha evaluación.

El resultado final de una evaluación de impacto no deja de ser un informe que recogerá las características del tratamiento evaluado y las decisiones tomadas para mitigar sus riesgos.

7. Envío de newsletters y comunicaciones vía email o aplicaciones de mensajería instantánea.   Para el envío de comunicaciones de carácter comercial, como comentamos anteriormente, requerirá el consentimiento expreso e inequívoco del interesado. Además recordemos que no se puede imponer dicho consentimiento, por lo que si un asociado no quiere recibir dichas comunicaciones no se le podrán remitir. Hablamos en concreto de comunicaciones del tipo "Acuerdo de colaboración del club con la marca X" en el que se enviará publicidad con ofertas de esa marca deportiva o similar.

Al margen dejamos aquellas comunicaciones que podrían encuadrarse como comunicaciones meramente informativas en las que se informa de nuevas convocatorias de competiciones, cambios de horarios, cambios en los miembros de la junta, etc. Estas si se pueden considerar como parte del objeto social de la asociación o club se podrán considerar amparadas por la ley en base al contrato/acuerdo que se suscribe al afiliarse al club o asociación. De cualquier modo no está de más incluir la mención a este tipo de comunicaciones dentro de los documentos de consentimiento para que no haya lugar a dudas.

Con respecto a las aplicaciones de mensajería instantánea, tan populares hoy en día, si bien no se recomienda su uso porque generalmente acaba quedando al margen la finalidad inicial del grupo, en caso de que se utilicen, además de solicitar el consentimiento expreso para incluir a esas personas debería dejarse claramente indicado en el grupo la finalidad y las reglas a seguir, por ejemplo, indicando que no se permiten críticas, insultos, palabras malsonantes, fotos de menores, captación de teléfonos de otros participantes sin su consentimiento, etc. Evidentemente estamos hablando de grupos organizados por el club o asociación, puesto que si un grupo de padres o bien un grupo de asociados se dan sus teléfonos y forman un grupo entraría dentro su ámbito privado o doméstico y no afectaría al club siempre que sus integrantes (profesores, miembros de la junta, etc) no tomen parte en el grupo en nombre del club o asociación.  Para evitar incidentes con respecto a estos tratamientos,  se recomienda incluir un anexo específico en el documento de funciones y obligaciones del personal en donde se estipule de modo claro si se permite o no su participación en aplicaciones de mensajería instantánea como representantes del club o asociación.

8. Derechos de los interesados. Se ha ampliado el número de derechos que asisten a los interesados, incluyendo el derecho a la portabilidad de sus datos, el derecho a no ser objeto de una decisión individual automatizada , derecho a la limitación y el derecho "al olvido".

Será necesario informar del modo en que los interesados podrán ejercer sus derechos y se hace necesario revisar y adaptar los procedimiento y implantados para facilitar el ejercicio de estos derechos de modo sencillo por parte del interesado y que la respuesta a dichas solicitudes por parte del club sea lo más rápida y ágil posible.

Además, deberemos cercionarnos de que los encargados de tratamiento que puedan llegar a manejar los datos en nombre del club, sean conscientes de sus obligaciones para que, en caso de que reciban una solicitud dirigida al mismo, lo notificaquen lo antes posible para evitar olvidos o finalizaciones de plazos. Para ello deberemos dejar reflejado este extremo en el contrato de encargado de tratamiento correspondiente.

Con la entrada en vigor de la nueva normativa recuérdese que se ha unificado el plazo de contestación a los ejercicios de derechos disponiendo ahora del plazo de un mes para dar respuesta a las solicitudes planteadas.

  9. Medidas de seguridad. Finalmente, aunque no menos importante, en base al tipo de datos que se manejan y a lo arrojado en el análisis de riesgos, y en la Evaluación de impacto si ha sido necesario realizarla, se han de implementar una serie de medidas de seguridad acordes con los tratamientos para proteger y garantizar la seguridad de los datos que se manejan. Ni el RGPD ni la LOPDGDD establecen medidas de seguridad y control concretas, pero ambos invocan el principio de responsabilidad proactiva, como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma

Para ello, se deberá recoger en un Documento que deberá estar a disposición de la AEPD, todo lo relativo al tratamiento de los datos personales, incluyendo:

- el registro de las actividades de tratamiento (tipos de datos, cesiones previstas, plazos de conservación, transferencias internacionales...)

- los activos de la entidad (equipos informáticos, empleados con acceso a datos, roles asignados, procedimientos de cambio de contraseñas, etc),

- el análisis de riesgos y, si ha sido necesario, la evaluación de impacto,

- las medidas de seguridad aplicadas (sistema de copias de seguridad, revisiones periódicas de software y hardware, papel bajo llave, contraseñas de acceso, documentos de confidencialidad a empleados, políticas de uso de equipos y correo electrónico corporativo, etc)

- el procedimiento de atención al ejercicio de derechos por parte del club,

- el procedimiento de registro de incidencias y el de notificaciones de brechas de seguridad a la AEPD si es el caso,

- y las auditorías periódicas realizadas para verificar el cumplimiento de la normativa y atajar posibles incidencias.

Téngase en cuenta que cada asociación o club tiene su propia organización interna, por lo que podrían darse muchos y variados supuestos no indicados en este artículo, por lo que recomendamos consultar siempre con nuestros expertos en caso de dudas o cuestiones no reflejadas (tales como la instalación de cámaras de videovigilanca en recintos del club, la publicación de imágenes de competiciones en redes sociales, etc).