¿Se aplica en la práctica la normativa relativa a protección de datos en un club o en una federación? ¿Quién se encarga en un primer escalón de su control? A continuación, se expone uno de los expedientes publicados por parte de la autoridad de control en el que está involucrado un club deportivo.
Agencia Española de Protección de Datos (AEPD): autoridad administrativa independiente de ámbito estatal. Entre otras, tiene la facultad de supervisar el cumplimiento de la normativa sobre protección de datos, de facto, asume la potestad sancionadora. Sus funciones se establecen tanto en el Reglamento europeo como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).
¿Se toman medidas por parte de los clubes? Veamos un ejemplo de incumplimiento que generó un procedimiento sancionador en sede de la AEPD.
Spóiler: la AEPD apercibe al club deportivo «x» por infringir uno de los artículos del Reglamento europeo. Además, la AEPD requirió al club para que en el plazo de un mes procediera a tomar las medidas adecuadas para adecuar su política de privacidad a la normativa vigente, debiendo facilitar a los jugadores, padres, socios y/o abonados, en el momento en que recabe los datos personales de los mismos, a través de los formularios, la información exigida en la normativa, para lo que deberá tener en cuenta lo dispuesto en el artículo 6 del Reglamento europeo en relación con la licitud del tratamiento.
¿Qué ocurrió? Parece ser que en mayo de 2019 una persona vinculada al club presentó una reclamación ante la AEPD informando de lo siguiente (literalmente):
«Les informo que hace unos meses hubo elecciones a este club para la presidencia. Me extrañó que la lista de socios estuviera en una mesa de una sala de entrenadores y donde cualquier persona lo podía ver. Además, nunca nos han dado a firmar la nueva ley de protección de datos y tan solo está la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Además de que no nos la han dado, ellos siguen publicando la antigua ley y no la nueva. tengo la documentación de años anteriores y las nuevas inscripciones que además se pueden ver en su página web».
Así las cosas, la AEPD en su labor de organismo investigador, inició actuaciones para esclarecer los hechos que la persona reclamante había informado ante la misma AEPD.
Es curioso observar la falta de adaptación a la normativa de protección de datos vigente en las fichas de inscripción del club para las temporadas 2018/2019 y 2019/2020 aportadas como prueba por el propio reclamante. Y, en particular, se aprecia la «leyenda de aceptación» que sigue:
«AUTORIZA expresamente al club deportivo «x» a lo siguiente: DATOS PERSONALES: Autorizo y consiento expresamente a que el club deportivo «x» pueda tratar mis datos personales y los de mi hijo/a, para el adecuado funcionamiento de la organización en pro del buen servicio, para el tratamiento estadístico con fines de investigación y divulgación. Por su parte el club deportivo «x», se compromete a cuidar de la confidencialidad y secreto de los datos, a no cederlos ni venderlos ni permitir el acceso por parte de terceros, salvo en los casos que contempla la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Asimismo, se le informa de su derecho de acceso, rectificación, cancelación y oposición a/de sus datos. (…).
De acuerdo con lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal, le informamos que los datos personales recogidos en el contrato se incorporan a un fichero automatizado, cuyo responsable es el club deportivo «x», para la gestión interna y cedidos a la Federación de Futbol de Madrid, a las Administraciones Públicas y demás Organismos obligados por ley (Compañías de Seguros, Entidades Bancarias…). El titular de los datos se compromete a comunicar por escrito cualquier modificación que se produzca en los datos aportados. Asimismo, autoriza expresamente al tratamiento de los datos de imagen obtenidos del interesado en el desarrollo de las actividades, entendiéndose prestado su consentimiento en tanto no comunique por escrito la revocación del mismo. Vd. tiene derecho, en cualquier momento, a acceder, rectificar o cancelar los datos e imágenes referentes a su persona, remitiendo su solicitud al Responsable de Seguridad, en la dirección: «x».
Ante este contexto, la AEPD, como se mencionó apercibió al club y le indicó un plazo para su adaptación.
Queda claro que el club no ha adaptado el funcionamiento de su actividad deportiva (gestión de los datos personales, tanto de jugadores como de socios y/o abonados) a la nueva normativa.
Pero, ¿Qué consecuencias puede tener? ¡Esta infracción puede ser sancionada con multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía! (De conformidad con el artículo 83.5 a) del Reglamento europeo).
No adecuar los documentos a la normativa puede ser muy costoso e incluso puede llegar a suponer una situación de inestabilidad económica muy grave de un club. Por ello es preferible prevenir y encontrarse correctamente asesorado en un clima de seguridad jurídica para todas las partes… ¿Tu entidad deportiva está adaptada a la regulación de protección de datos?
#ProteccióndedatosenClub #proteccióndedatosfederacion #proteccióndedatosagenciaderepresentación #proteccióndedatosdeporte #GDPR #LeyOrgánicaProteccióndeDatos #adaptaciónProtecciónDatosClub #adaptaciónProtecciónDatosfederacion #adaptaciónProtecciónDatosagenciaderepresentación