Obligaciones del nuevo Reglamento Europeo General de Protección de Datos para las Federaciones Deportivas

No Comments

El nuevo Reglamento Europeo General de Protección de Datos denominado en adelante como “RGPD”,  introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea. El Reglamento entró en vigor el 25 de mayo de 2016 y comenzó a aplicarse el 25 de mayo de  2018.

Si con el Compliance deportivo, como ya explicamos,  de manera autorregulatoria se busca el establecimiento de una serie de controles en entornos operativos de las personas jurídicas (entidades deportivas), con el nuevo Reglamento Europeo General de Protección de Datos, en lineas generales, trata de reforzar la protección del derecho de las personas  a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros, con el objetivo de garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE.

Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del  25 de Mayo de 2018.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD)

En  la fecha anteriormente expuesta  se encontraba vigente, y de aplicación en todo lo que no fuera contrario a las normas del Reglamento, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el RD 1720/2007, encontrándose en tramitación parlamentaria una nueva Ley reguladora de esta materia, que finalmente ha dado lugar a   la reciente nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) remitiéndose, en  una gran parte, al contenido del mencionado RGPD y modificando en gran parte el contenido de la  anterior LOPD.

Una de las principales novedades que se han introducido que inciden en gran medida en la actividad habitual de las Federaciones Deportivas es que el artículo 34. O) de la LOPDGDD establece la obligación de designar un Delegado de Protección de Datos (DPO) por parte de las Federaciones Deportivas que traten datos de menores de edad, situación que prácticamente aparece en la totalidad de ellas.

¿Qué obligaciones trae consigo el nuevo Reglamento Europeo General de Protección de Datos personales para las Federaciones Deportivas?

El nuevo Reglamento Europeo General de Protección de Datos (RGPD) afecta por igual a empresas, asociaciones, Clubes, fundaciones y autónomos que, en el ejercicio de su actividad, soliciten y utilicen (en términos de la norma, “traten” y “usen”) los datos personales de personas físicas.

Concepto de “dato personal”

Dato personal es cualquier información que pueda vincularse a una persona física concreta o que permita su identificación. Son datos personales generales, por ejemplo, el nombre y apellidos, el DNI, el teléfono, el correo electrónico, el identificador en línea (IP), entre otros…, y por su importancia para las entidades deportivas en su actividad diaria, la imagen de los participantes en las actividades deportivas.

Dentro de los datos, existen además datos denominados especiales, entendiendo por tales aquéllos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual, o la orientación sexual de una persona física.

Estos datos no podrán ser objeto de tratamiento salvo en los casos y en las condiciones que especifica el nuevo Reglamento Europeo General de Protección de Datos.

Tratamiento de datos personales por Federaciones, Clubes y empresas deportivas

Por tratamiento de datos se entiende cualquier operación llevada a cabo sobre los datos o conjuntos de datos recogidos, y ello con independencia de que el proceso se lleve a cabo por procedimientos automatizados o manuales.

Constituye pues tratamiento de datos la recogida de los datos y su registro; la estructuración, segmentación y organización de los datos; las tareas de conservación, adaptación o modificación de aquéllos; la consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso y la cesión de datos a terceros; la limitación del uso de datos, la supresión o la destrucción de éstos, entre otra.

Por tanto un Club o entidad deportiva realiza tratamiento de datos cada vez que realiza las inscripciones de sus deportistas; cuando archiva los datos de los participantes en el Club; cuando realiza la inscripción federativa; da listas de convocados; cuando realiza comunicaciones a los deportistas y padres; y también, como elemento muy importante, cada vez que nuestro Club u otra entidad graba, emite o distribuye las imágenes de un partido; también es tratamiento de dato la cesión de los datos a patrocinadores y entidades colaboradoras de los Clubes, si bien esta actividad precisará de otros requisitos.

Principales novedades y actuaciones que exige el nuevo Reglamento Europeo General de Protección de Datos (RGPD)  y la nueva LOPDGDD

En síntesis, las principales novedades y actuaciones que exige el nuevo Reglamento Europeo General de Protección de Datos (RGPD)  y la nueva LOPDGDD que, en nuestra opinión, deben cumplir las entidades deportivas para cumplir con la aplicación de la normativa vigente en materia de protección de datos son las siguientes:

a) Consentimiento.

No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.

Se establece en la nueva LOPDGDD los catorce años  como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos.

b) Transparencia e información a los interesados.

Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos.  Así, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro.

Es imprescindible garantizar que los interesados pueden conocer y entender a la perfección la política de privacidad de la entidad, y para ello, ésta estará redactada con un lenguaje sencillo y comprensible y comprenderá aspectos como qué datos se tratan, quién trata estos datos, con qué finalidad, valoraciones de los riesgos y la protección de estos datos, y desde luego, los derechos de los interesados y cómo pueden ejercerlos.

Si la entidad dispone de web debe incluir en la misma  esta información así como, por ejemplo, incluirla en la firma de la entidad del correo electrónico con un enlace a ella. Por tanto, se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia.

c) Reconocimiento de nuevos derechos. 

A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la anterior  LOPD, se reconoce  en el nuevo Reglamento Europeo General de Protección de Datos (RGPD) y en la nueva LOPDGDD a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario. Se hace preciso revisar y adaptar los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.

d) Medidas de responsabilidad proactiva.

El nuevo Reglamento Europeo General de Protección de Datos (RGPD)  y la LOPDGDD no establecen medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos:

1) análisis de riesgos, protección de datos desde el diseño y por defecto;

2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad;

3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD;

4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

 

Ya sabéis que si necesitas más información sobre las obligaciones del nuevo Reglamento Europeo General de Protección de Datos para las Federaciones Deportivas, no dudéis en poneros en contacto con nosotros como abogados expertos en derecho deportivo en Madrid.

Your Thoughts