La protección de datos tiene como finalidad garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas y, en especial, su honor e integridad personal y familiar. Los datos personales son aquellos que conllevan cualquier información relativa a una persona física, que permite identificarla, por ejemplo, por el nombre, domicilio, documento de identidad, etc. Sin embargo, existe otra clase de datos que también merecen especial atención, y es la relativa a los registros biométricos, que tal y como establece el RGPD (Reglamento de la UE relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos), para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
Pero ¿qué tiene que ver la protección de datos con el deporte? ¿Es aplicable la normativa del RGPD y la LOPDGDD (Ley de Protección de Datos y Garantía de Derechos Digitales) a los clubes y asociaciones deportivas? La respuesta corta es sí; es aplicable y tiene mucho que ver —con variantes y matices—.
Protección de datos personales en el deporte
Una federación, asociación o club deportivo —dentro de su normal funcionamiento— maneja datos personales de directivos, empleados, socios y deportistas, por lo que la normativa de protección de datos le es aplicable. Por ende, se deben tener en cuenta varios aspectos relevantes, resaltando los siguientes.
— La LOPDGDD obliga a cualquier entidad a obtener consentimiento para tratar los datos personales, el cual debe ser expreso y nunca puede ser tácito. Esto también aplica a las entidades deportivas.
— En el caso del tratamiento de datos de los menores, el consentimiento debe ser otorgado por sus padres o tutores legales. Con respecto a los menores, el RGPD habilita a los Estados miembros de la Unión Europea a establecer por ley una edad inferior a 16 años para considerar lícito el tratamiento de sus datos basado en su consentimiento, siempre y cuando dicha edad no fuera inferior a 13 años —España ha establecido ese límite de edad en los 14 años—.
— Es imprescindible indicar durante cuánto tiempo se mantendrá la información en la base de datos. Por ejemplo: durante un campeonato de baloncesto, el organizador y encargado del tratamiento de datos podrá guardar estos registros (previo consentimiento) únicamente durante el evento deportivo. Una vez finalizado, deberán ser eliminados.
— La designación de un DPO (Delegado de Protección de Datos) es obligatoria únicamente para aquellos clubes o federaciones deportivas que traten datos de menores de edad y, también, cuando traten datos a gran escala de manera habitual o cuando manejen de manera sistemática datos de categorías especiales (arts. 9 y 34 RGPD).
— Es fundamental indicar la finalidad que tiene el uso de aquellos datos personales. Así mismo, si los datos se usan de forma privada, será necesario informar si se va a ceder dicha información a terceros.
— Si la entidad deportiva posee página web en internet, deberá indicar, en apartados debidamente separados del resto y claramente visibles, cuál es su política de privacidad y cookies.
— Es importante que la entidad deportiva haga un análisis del riesgo, cuyo propósito será identificar qué riesgos conlleva el tratamiento que se le da a los datos y qué medidas de seguridad deben ser adoptadas para mitigarlo.
La Agencia Española de Protección de Datos (AEPD) y el deporte: algunos casos
— El gimnasio Metropolitan, de Santander, fue sancionado por la AEPD a inicio del 2024. El motivo: pedir la huella dactilar para acceder a las instalaciones. La sanción: 27.000 euros.
La socia afectada del gimnasio decidió acudir a la AEPD porque el centro deportivo había cambiado su método de acceso —hasta mayo de 2021 tan solo pedían la pulsera y la tarjeta identificativa— pero desde ese día, también estaban exigiendo como requisito la huella dactilar. La socia comunicó su inconformidad al gimnasio, advirtiéndoles que en ninguna parte del contrato se aludía al consentimiento para el tratamiento de los datos del registro biométrico, a su obtención. El gimnasio procedió a darle de baja como socia a la afectada.
La AEPD, tras recibir la reclamación, pidió explicaciones al gimnasio, el cual manifestó que la finalidad del tratamiento era “el acceso inequívoco e intransferible del usuario a las instalaciones del gimnasio”. Una huella que se conservaba encriptada mientras esa persona era socia y que se destruía una vez se daba de baja. (La AEPD comprobó que 100 socios se habían dado de baja y que su huella aún era conservada por el gimnasio).
La Agencia Española de Protección de Datos se remitió al artículo 9.1 del RGPD, el cual establece que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física”. Esta prohibición tiene excepciones, por ejemplo, cuando se da consentimiento explícito para el tratamiento de dichos datos – cosa que no ocurrió en este caso- Además, para la AEPD, el uso de la huella no era algo necesario porque hasta mayo de 2021 no se pedía.
El peligro de las inversiones de los deportistas: «Desde animales hasta plantaciones de pistachos»
— El Burgos CF fue sancionado en abril del 2024 por la AEPD. El motivo: irregularidades al pedir la huella dactilar a sus socios. La sanción: 200.000 euros.
Según lo recogido en la resolución, publicada el pasado 9 de abril, todo comenzó cuando recibieron una denuncia y reclamación de dos socios en distintos días. La primera llegó el 4 de noviembre de 2022, y la persona que la presentó consideró que pedir la huella era algo excesivo, ya que se podía realizar los mismos controles solicitando los abonos nominales o, incluso, el DNI. Y la segunda se dio el 7 de ese mismo mes y año, en la que otro aficionado manifestó que él no había firmado nada relacionado con la protección de datos cuando se hizo socio y que hasta la fecha el método de acceso era enseñando el DNI y el carnet de socio tras pasar por el torno. Además, en esta segunda denuncia el socio manifestaba que este nuevo requisito de acceso únicamente se le solicitaba a su grada y no a otras.
La AEPD solicitó respuestas al club, el cual afirmó que la instalación de este sistema tenía como finalidad evitar la violencia en el deporte y por ello se centraba en ciertas gradas, lo cual facilitaría la identificación en caso de ser necesario. La Agencia no pudo admitirlo como válido porque existen otros métodos para prevenir la violencia en los estadios e identificar a los responsables. De igual forma, el Burgos CF estuvo recogiendo datos personales de estos abonados —unos 700— sin informar a los interesados de forma expresa de todos los aspectos exigidos a los efectos de la protección de datos.
La Agencia Española de Protección de Datos procedió a sancionar al Club por infringir cinco artículos del RGPD —el 35, el 9, el 5.1.c) el 8 y el 13— Finalmente, el Burgos CF se acogió a dos reducciones y la sanción se quedó en 120.000.
