La protección de datos en las entidades deportivas

         1. El Reglamento Europeo General de Protección de Datos 679/2016.

         Denominado en adelante como  “RGPD”,  introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea. El Reglamento entró en vigor el 25 de mayo de 2016 y comenzó a aplicarse el 25 de mayo de  2018.

         En líneas generales, el nuevo Reglamento trata de reforzar la protección del derecho de  las personas  a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros, con el objetivo de garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE.

         Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del  25 de Mayo de 2018.

         2.  La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD).

         En  la fecha anteriormente expuesta  se encontraba vigente, y de aplicación en todo lo que no fuera contrario a las normas del Reglamento, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el RD 1720/2007, encontrándose en tramitación parlamentaria una nueva Ley reguladora de esta materia, que finalmente ha dado lugar a   la reciente  nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) remitiéndose, en  una gran parte, al contenido del mencionado RGPD y modificando en gran parte el contenido de la  anterior LOPD.

         Una de las principales novedades que se han introducido que inciden en gran medida en la actividad habitual de las Federaciones Deportivas es que el artículo 34. O) de la LOPDGDD establece la obligación de designar un Delegado de Protección de Datos (DPO) por parte de las Federaciones Deportivas que traten datos de menores de edad, situación que prácticamente aparece en la totalidad de ellas.

         3. La obligación de las  Federaciones, los clubes y empresas organizadoras deportivas al cumplimiento de la normativa de protección de datos personales.

         El RGPD afecta por igual a empresas, asociaciones, Clubes, fundaciones y autónomos que, en el ejercicio de su actividad, soliciten y utilicen (en términos de la norma, “traten” y “usen”) los datos personales de personas físicas.

A.- Concepto de “dato personal”. Dato personal es cualquier información que pueda vincularse a una persona física concreta o que permita su identificación. Son datos personales generales, por ejemplo, el nombre y apellidos, el DNI, el teléfono, el correo electrónico, el identificador en línea (IP), entre otros…, y por su importancia para las entidades deportivas en su actividad diaria, la imagen de los participantes en las actividades deportivas.

Dentro de los datos, existen además datos denominados especiales, entendiendo por tales aquéllos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual, o la orientación sexual de una persona física.

Estos datos no podrán ser objeto de tratamiento salvo en los casos y en las condiciones que especifica el RGPD.

B.- Tratamiento de datos personales por  Federaciones, Clubes y empresas deportivas. Por tratamiento de datos se entiende cualquier operación llevada a cabo sobre los datos o conjuntos de datos recogidos, y ello con independencia de que el proceso se lleve a cabo por procedimientos automatizados o manuales.

Constituye pues tratamiento de datos la recogida de los datos y su registro; la estructuración, segmentación y organización de los datos; las tareas de conservación, adaptación o modificación de aquéllos; la consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso y la cesión de datos a terceros; la limitación del uso de datos, la supresión o la destrucción de éstos, entre otra.

Por tanto un Club o entidad deportiva realiza tratamiento de datos cada vez que realiza las inscripciones de sus deportistas; cuando archiva los datos de los participantes en el Club; cuando realiza la inscripción federativa; da listas de convocados; cuando realiza comunicaciones a los deportistas y padres; y también, como elemento muy importante, cada vez que nuestro Club u otra entidad graba, emite o distribuye las imágenes de un partido; también es tratamiento de dato la cesión de los datos a patrocinadores y entidades colaboradoras de los Clubes, si bien esta actividad precisará de otros requisitos.

         En síntesis, las principales novedades y actuaciones que exige el nuevo RGPD  y la nueva LOPDGDD que, en nuestra opinión, deben cumplir las entidades deportivas para cumplir con la aplicación de la normativa vigente en materia de protección de datos son las siguientes:

         a) Consentimiento.

         No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.

         Se establece en la  nueva LOPDGDD los catorce años  como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos.

         b) Transparencia e información a los interesados.

         Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos.  Así, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro.  

         Es imprescindible garantizar que los interesados pueden conocer y entender a la perfección la política de privacidad de la entidad, y para ello, ésta estará redactada con un lenguaje sencillo y comprensible y comprenderá aspectos como qué datos se tratan, quién trata estos datos, con qué finalidad, valoraciones de los riesgos y la protección de estos datos, y desde luego, los derechos de los interesados y cómo pueden ejercerlos.

         Si la entidad dispone de web debe incluir en la misma  esta información así como, por ejemplo, incluirla en la firma de la entidad del correo electrónico con un enlace a ella. Por tanto, se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia.

         c) Reconocimiento de nuevos derechos.

         A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la anterior  LOPD, se reconoce  en el RGPD y en la nueva LOPDGDD a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario. Se hace preciso revisar y adaptar los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.

         d) Medidas de responsabilidad proactiva.

         El nuevo RGPD  y la LOPDGDD no establecen medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos:

         1) análisis de riesgos, protección de datos desde el diseño y por defecto;

         2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad;

         3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD;

         4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

         e) Sujetos que intervienen en la protección de datos: Responsable, delegado, autorizado y encargado de datos.

         Se ha suprimido la obligación de notificar los ficheros a la Agencia Española de Protección de datos, pero es obligatorio llevar un registro de las actividades de tratamiento de datos en el que además de las gestiones realizadas consten datos de:

         a) Responsable del tratamiento de datos. La entidad deportiva a la que el deportista o socio ha cedido su información directamente.

         b) Autorizados. Se inscribirán en un lista todos los empleados del club con autorización para tratar datos. Es conveniente firmar un acuerdo de confidencialidad tanto con el delegado como con todos los empleados autorizados, así como formar en materia de protección de datos a la plantilla.

         c) Encargado del tratamiento de datos. Es encargada del tratamiento de datos toda aquella empresa que preste un servicio a la federación o club, como por ejemplo asesorías y gestorías, compañías aseguradoras, clínicas médicas o fisioterapeutas, tiendas de ropa deportiva o agencias de organización de eventos. También entrarán dentro de esta categoría aquellos entrenadores y técnicos que estén dados de alta como autónomos. Los encargados del tratamiento no podrán prestar sus servicios al responsable de tratamiento si entre ellos no existe un contrato previo con las garantías pertinentes.

         d) Delegado de protección de datos:  constituye una de las principales novedades  de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental en la reforma iniciada por el nuevo RGPD europeo puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. Es un garante del cumplimiento de la normativa de la protección de datos en las organizaciones empresariales o asociaciones y clubes. Debe ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el Reglamento y Ley ( arts 34 a 37 de la LOPDGDD)

         Solo será obligatorio en:

         a) Para las Administraciones Públicas.
         b) Empresas del sector privado que realicen tratamientos que requieran una observación habitual o sistemática de las personas o bien que traten datos especialmente protegidos a gran escala.
         c) Los centros docentes.
         d) Operadores de telecomunicaciones, entidades financieras, entidades de publicidad y prospección comercial, centros sanitarios, operadores de juego, empresas de seguridad privada, entre otros.

         Por otro lado, el artículo 37.1 del Reglamento Europeo de Protección de Datos establece que:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

         En conclusión, la obligatoriedad del Delegado de Protección de Datos (DPO), aplica a  las Administraciones Públicas, (sin perjuicio que puedan designar un único delegado para varias autoridades, teniendo en cuenta su estructura organizativa y tamaño), así como a las compañías privadas que realicen el tratamiento de datos sensibles a gran escala.

         Por tanto, el concepto de tratamiento de datos “a gran escala”, lo establece el citado art. 37.1 b):  las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, “requieran una observación habitual y sistemática de interesados a gran escala”, concepto jurídico indeterminado.

         Uno de los elementos novedosos del RGPD es el concepto de “gran escala”, que no queda precisamente bien definido en el texto legal y queda sujeto a la libre de interpretación, a pesar de lo cual vamos a intentar acotar en la medida de nuestras posibilidades, analizando el texto del propio RGPD y las directrices del Grupo de Trabajo del Art. 29 (Grupo de expertos en protección de datos dependiente de la Comisión Europea GT29)

         En el Considerando 91 del RGPD  se habla ya de operaciones de tratamiento a gran escala: que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

         También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

         De estas primeras informaciones podemos extractar:

·         Gran  cantidad de datos.

·         Con ámbito geográfico regional o superior.

·         Con afectación a gran número de interesados.

·         Referidos a datos sensibles.

·         Aplicando nuevas tecnologías a esa gran escala.

·         Que entrañen alto riesgo para los derechos y libertades de los interesados.

(Y hay que prestar especial atención a los dos ejemplos que propone para excluir de estas consideraciones como son un médico y/o un abogado que trabajen individualmente).

         El GT29 en su directriz 248 sobre la evaluación del impacto de la protección de datos (DPIA) concreta el concepto de “gran escala”:

      5. Datos tratados gran escala: el GDPR no define lo que constituye a gran escala, aunque el considerando 91 proporciona algunas orientaciones. En cualquier caso, el GT29 recomienda que se tengan en cuenta, en particular, los siguientes factores para determinar si el tratamiento se realiza a gran escala:

- El número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población;

- El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;

- La duración o permanencia de la actividad de tratamiento de datos;

- La extensión geográfica del tratamiento.

         Téngase en cuenta que no es un criterio único ni muy objetivo, aunque lo pretende, y por lo tanto cualquier interpretación debe estar  justificada y argumentada jurídicamente.

         4) EL Delegado de Proteccion de Datos (DPO)  en las federaciones y clubes deportivos.

         Sin perjuicio de lo expuesto en el punto anterior como se ha dicho anteriormente, el artículo 34. O) LOPDGDD establece la obligación de designar un Delegado de Protección de Datos  (DPO) por parte de las Federaciones Deportivas que traten datos de menores de edad.

         Por tanto, entendemos que será obligatoria la presencia de un Delegado de Protección de Datos (DPO), en todas las federaciones deportivas  (considerando que todas tratan datos de menores de edad) , pero no por regla general en los clubes, siendo  únicamente  obligatoria en aquellos  clubes deportivos  que  realicen  entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados, lo cual no siempre es muy frecuente.

         Como medidas de responsabilidad activa, la nueva normativa exige tres obligaciones fundamentales si realizamos este tipo de tratamiento “a gran escala” de datos personales:

• Tener en nuestra entidad a un Delegado de Protección de Datos (DPO)
• Llevar un registro de las actividades de tratamiento, siempre actualizado
• Realización de una evaluación de impacto

         El Delegado de Protección de Datos (DPO) mantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones, debiendo el encargado o el responsable del tratamiento facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. Será designado por sus cualidades profesionales y conocimientos especializados en esta materia, pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios.

         Según el artículo 73 LOPDGDD, el incumplimiento de la obligación de designar un DPO cuando sea exigible se considerará como una infracción grave pudiendo acarrear sanciones consistentes, entre otras, en multas administrativas como las recogidas en el artículo 83.4.a) del RGPD que prevé “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”-

         Por tanto, la figura del DPO aparece como una figura esencial para las Federaciones Deportivas, y para determinados clubes, los cuales deben tener en consideración la gran importancia de los datos que tratan de sus federados  en materia de  licencias,  procedimiento disciplinario, inscripciones  en competiciones y reclamaciones en materia de protección de datos.

         En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD redactó un esquema de certificación de Delegados de Protección de Datos con este objeto

         Estas directrices, genéricas e interpretables en muchos casos, serán de obligado cumplimiento para todas aquellas federaciones deportivas y clubes  cuyo obtención, tratamiento y protección de los datos que utilizan en el desempeño de su actividad cotidiana, y en consecuencia deben finalizar sus trabajos de adaptación para cumplir con las medidas enumeradas y no cometer ninguna infracción que derive en sanciones pecuniarias cuyo importe puede llegar a ser muy elevado. 

         Recomendamos a todas aquellas entidades deportivas que  procedan a realizar los trabajos necesarios de adaptación al nuevo RGPD y LOPDGDD, y concierten los convenios de colaboración empresarial precisos con expertos en “data compliance”, con objeto de implementar a la mayor brevedad posible las principales tareas de adaptación al nuevo marco regulatorio.

         Analizar debidamente la organización y designación de  un Delegado de Protección de Datos consideramos es absolutamente esencial para estas entidades.

12 diciembre de 2018

José Antonio del Valle

ABOGADO DERECHO DEPORTIVO