Las obligaciones que establece la normativa de protección de datos a clubes deportivos no difieren mucho de las de una pyme tradicional, sin embargo, por su tipología de asociación normalmente entre amigos o conocidos que se han unido para compartir sus hobbies e ilusiones deportivas, acostumbra a ser una normativa con bajo índice de cumplimiento en este colectivo. Exponemos a continuación un breve resumen de los aspectos a tener en cuenta y os recordamos que en PymeLegal ofrecemos una solución online a medida para clubs y asociaciones que os permitirá estar al día en dicha materia:
Documento de seguridad:
El club o federación deportiva deberá disponer de un documento de seguridad interno donde se reflejen los requisitos que establece el reglamento. Entre otros, deberá contener:
– Usuarios con acceso a datos.
– Descripción de la gestión de los datos personales (ficheros).
– Aplicaciones informáticas utilizadas.
– Inventario de ordenadores y dispositivos.
– Medidas de seguridad implantadas (claves, perfiles, backups, …)
– Protocolos ARCO y registro incidencias.
Cláusulas de información y consentimiento:
Para la recogida de datos, por ejemplo, de los miembros del club o de los federados, ya sea en papel o en formato electrónico (web, mail) se deberá informar al afectado:
– Del motivo para el que se recogen los datos.
– Que formaran parte de un fichero y los derechos que tiene sobre sus datos.
– Indicar posibles cesiones de datos o transferencias internacionales que se puedan producir.
Esto se articulará incluyendo las correspondientes cláusulas de información en los formularios (papel, digital) de recogida de datos.
Asimismo, será necesario incluir en la página web del club/federación:
– Los correspondientes avisos legales (cookies, privacidad, condiciones contratación – si fuera el caso, etc.).
– Avisos en los posibles boletines comerciales de información periódica sobre eventos.
– Textos correspondientes a posibles concursos que se realicen, por ejemplo, a través de redes sociales.
Firma con encargados de tratamiento:
Se deberán firmar los correspondientes contratos con los encargados de tratamiento (terceros con acceso a datos que prestan un servicio al club o a la federación) con el contenido mínimo que establece la normativa. Algunos de estos terceros podrían ser:
– Gestoría / asesoría (contable, fiscal, nóminas, …)
– Empresas que gestionen seguros para los deportistas.
– Prestadores de servicios con acuerdos de colaboración como fisioterapeutas, clínicas de salud, tiendas deportivas, entrenadores, etc.
– Terceras empresas o profesionales que presten un servicio al club correspondiente para un evento donde se le cedan datos personales de los deportistas participantes.
Cesión de datos de socios a la federación:
Caso aparte es la cesión de datos de los federados por parte de un club a la federación correspondiente con objeto de la participación de estos en competiciones nacionales.
En este caso, según resolución de la AEPD y según la legislación referente a la emisión de licencias encontramos que este hecho se encuentra amparado en una normativa con lo que no es necesario el consentimiento del deportista ni es necesaria la firma del referido contrato de encargado de tratamiento al tratarse de una cesión de datos legitimada por imperativo legal.
Firma con trabajadores:
En la mayoría de clubes, los cargos de dirección y gestión del club no son considerados trabajadores como tal porque no reciben remuneración, pero sería recomendable que firmaran un compromiso de confidencialidad respecto a los datos a los que tienen acceso.
Otra figura a tener en cuenta en los clubes son los entrenadores. En caso de tratarse de personas en nómina constarán como trabajadores y deberán firmar el correspondiente compromiso. En caso de ser autónomos y facturar sus servicios al club correspondiente, serán considerados como encargados de tratamiento.
Notificación de Ficheros, ¿públicos o privados?:
A pesar de que con el nuevo Reglamento Europeo (RGPD) la obligación de notificar los ficheros desaparece, siendo sustituida por un protocolo llamado ‘registro de actividades’ interno, hasta mayo de 2018 es de total aplicación la obligación de inscribir los ficheros correspondientes.
La LOPD distingue entre ficheros de titularidad pública y privada, y a veces, como en este caso, dependiendo de la actividad y la tipología de la entidad puede que el responsable del fichero tenga una naturaleza mixta y nos genere dudas respecto la conveniencia de notificar ficheros de carácter privado o público.
El artículo 33 de la Ley 10/1990, de 15 de octubre, del Deporte establece que las Federaciones deportivas españolas, bajo la coordinación y tutela del Consejo Superior de Deportes ejercerán una serie de funciones, entre otras, la de calificar y organizar, en su caso, las actividades y competiciones deportivas de ámbito estatal, la promoción general de su modalidad deportiva, los planes de preparación de deportistas de alto nivel, la formación de técnicos deportivos, la prevención, control y represión del uso de sustancias y grupos farmacológicos prohibidos y métodos no reglamentarios del deporte, la potestad disciplinaria.
La jurisprudencia del Tribunal Supremo atribuye a las federaciones deportivas, no obstante, su carácter de entidades privadas, un carácter mixto en atención a las funciones que ejercen (STS, de 22.12.10), pues junto a las atribuciones que le son propias también ejercen por delegación funciones públicas de carácter administrativo, actuando en este caso como agentes de la Administración Pública.
En consecuencia, los ficheros de las Federaciones deportivas que se creen para el ejercicio de las funciones públicas de carácter administrativo serán de titularidad pública, como los de federados, competiciones y resultados, controles de salud y de dopaje, sanciones, mientras que aquellos ficheros que respondan a actividades propias de las Federaciones deportivas, como el de empleados, o proveedores, serán de titularidad privada.
Si no estáis seguros de tener vuestro club o asociación al día en esta materia, consultadnos y os ayudaremos a regularizar la situación y cumplir con la protección de datos a través de nuestra plataforma online (info@pymelegal.es).
El equipo de PymeLegal.