Vivimos en la era de los datos, y el deporte en particular el mundo del futbol, no podía ser una excepción. El futbolista, desde que todavía es un simple proyecto, apenas un niño, ya empieza a ser meros datos. El ojeador tradicional, ha sido sustituido por programas informáticos, cada vez más sofisticados que analizan hasta el mínimos de sus movimientos. A los 6 años ya contiene el germen que nos permitirá descubrir a un nuevo crack. Velocidad punta, índice de fatiga, visión periférica todo está sistematizado.
A la vez, los clubs cada vez son más complejos. Su masa de aficionados es un nuevo activo, susceptible de proporcionar datos que se conviertan en la elaboración de pautas, en su doble vertiente de procurar su satisfacción y de ser fuentes de ingresos.
Cuando durante la pandemia han desaparecido los espectadores de los campos, el negocio ha seguido a pleno rendimiento. El motivo está en derechos televisivos y publicidad en general. En cuanto a esta última, su grado de efectividad vendrá en gran medida dado por la disposición de datos de sus destinatarios.
Así se nos presenta un complejo campo dentro de los clubs de futbol, para las gestión de su protección de datos. Común en muchos de sus aspectos a cualquier otro sector, y singular en algunos.
El criterio de establecer “las 10 cuestiones esenciales”, es tan válido como otro cualquiera, los 5, los 20, pero puede servir parta determinar cuales son los aspectos básicos que necesariamente hay que seguir. Vamos a ello.
Fijar una política de protección de datos del club.
Fijar las líneas maestras de la protección de datos en el club es la primera tarea. Los organismos rectores del club deben concienciarse de que la protección de datos es un activo más del que debe disponer el club. Resulta imprescindible el nombramiento de un Delegado de Protección de Datos, el arquitecto de la política en la materia, y garante de su cumplimiento. A partir de aquí se deben de establecer los distintos elementos a desarrollar (información, obtención de consentimientos, comunicaciones, etc.), que detallamos en los siguientes puntos.
Tengamos en cuenta que deberemos efectuar un Análisis de los Riesgos y una Evaluación de Impacto de la entidad. Ello al objeto de detectar el cumplimiento de los requisitos y proponer soluciones de ser oportunas. Pensemos que la nueva ley deja en manos de la organización tratar las políticas de protección de datos, sin establecer una enumeración de las mismas.
Información, información, información.
El cumplimiento de una normativa, de cualquiera, se potencia extraordinariamente con la información de sus destinatarios. La confusión de normas de la pandemia ha producido el doble efecto de dificultar su cumplimiento, y de provocar un rechazo ante lo contradictorio. De esta forma una adecuada información a los distintos actores se convierte en un elemento fundamental para su cumplimiento.
Esta información debe darse en distintos estamentos. El propio club, sus socios y los terceros. Los trabajadores del club son los primeros destinatarios de los datos. Algunos de ellos sensibles: de menores, biométricos, masivos, etc. La capacidad de cumplimiento de la normativa vendrá en gran parte dada por su información.
El socio facilita, en muchos casos, una gran cantidad de datos al club. Debe informársele del uso que va a hacerse de sus datos, y de los derechos que sobre los mismos ostenta. La transparencia se convierte en imprescindible, así como la claridad en los contenidos; una información ininteligible o de difícil acceso no es válida. Debe informarse de los derechos de que disponen socios y terceros: acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad.
En cuanto a los terceros, la información sobre la política de protección de datos del club, además de cumplir la normativa, forma parte de la propia imagen que oferta al exterior. El primer escaparate es la web, donde se expondrá claramente la política de privacidad y la advertencias legales. El correo electrónico y otros soportes físicos de la entidad, como las facturas, son otros de los elementos en que informamos a los que tienen relación con el club.
¿He pedido el consentimiento? ¿Es necesario en este caso?
Todos tenemos la plena propiedad sobre nuestros datos. El tratamiento de ellos por parte de un tercero necesitará de nuestro consentimiento, salvo en algunos casos. El club debe evaluar si está delante de esos supuestos que no necesitan aplicar la norma general de solicitar el consentimiento del titular de los datos. Y, por supuesto, no olvidemos que el consentimiento debe ser expreso; no son admisibles fórmulas del tipo “si no rechaza, está afirmando” o “si continúa navegando, entendemos que acepta”.
Así, como norma general, la toma y tratamiento de datos exigen permiso expreso de su titular. El registro para la inscripción de un socio, su incorporación a una actividad, su participación en un concurso, exige la petición del consentimiento para el tratamiento de sus datos.
El soporte para ello es indiferente, tanto el clásico formulario en papel, como los incluidos en las web. Aquí incluiremos un checkbox, para comprobar que ha leído y acepta las condiciones de recopilación y tratamiento de sus datos.
No olvidemos que datos personales, son tanto los alfanuméricos (nombre, documento de identificación, etc.), como la imagen y los biométricos. Especial atención a consentimientos con estos datos (fotografías de grupos, imágenes de partidos, etc.)
Todos los datos son importantes. Algunos sensibles.
El derecho a la protección de los datos abarca a todos los aspectos que relacione a una persona con un dato. Pensemos en los más inmediatos, nombre, domicilio, identificación personal, etc. En una segunda línea nos encontramos los relacionados con la imagen y el sonido, incluyendo en este campo las grabaciones audiovisuales. Todos los protocolos que establezcamos están destinados a estos datos, pero es que además debemos extremar la precaución en lo referente a los datos sensibles.
Son sensibles, y por tanto especialmente protegidos, entre otros, el origen racial o étnico, salud, información genética, creencias religiosas, opiniones políticas o preferencia sexual.
Debe evitarse la solicitud de datos que no respondan a una finalidad clara, y sus destinatarios absolutamente restringidos. Pensemos que cualquier fuga de datos sensibles puede agravar las posibles consecuencias, vía sanciones o reclamaciones. Los clubs están muy sometidos al escrutinio y censura pública, por lo que una fuga de información traería problemáticas consecuencias para los responsables.
Menores de edad: protección reforzada.
La protección de los datos personales abarca a cualquier edad. Sin embargo, la nueva LOPEGDD ha dotado a los menores de una protección reforzada. Sitúa los catorce años como la edad mínima en la que el menor puede prestar el consentimiento para el tratamiento de sus datos.
Hay que tener en cuenta que los datos de menores a solicitar han de ser los imprescindibles. Si se recogen para formar parte del equipo, el consentimiento deberá de demandarse para cada uno de los destinos accesorios de los datos, como la publicación de fotografías o la comunicación de sus datos a empresas u organizaciones. Como regla general no deben utilizarse las aplicaciones de mensajería instantánea como wassap para comunicarse con los menores, entre otras razones porque el control de sus datos puede escapar de sus representantes legales. Es posible recabar datos personales, como grabaciones de imágenes o sonido con la finalidad de evaluación y seguimiento, por los entrenadores o responsable, siempre dentro de las instrucciones, protocolos establecidos por el Club.
Especial atención a las nuevas tecnologías.
Hace apenas poco tiempo, conceptos como geolocalización, reconocimiento facial o controles biométricos, hubieran resultado ciencia ficción. Hoy están presentes, incluso son imprescindibles, en la actividad deportiva. Detrás de todos ellos se encuentran millones de datos de los afectados por los mismos.
En el caso de la geolocalización, debemos tener en cuenta que, caso de que el club facilite los terminales telefónicos, se advierta expresamente sobre esta circunstancia, y la posibilidad de la desconexión. Este será también el caso de existencia de otro tipo artefactos, incorporados al deportista que contengan esta función.
En el terreno de la imagen deben extremarse los controles. Pensemos en los drones, para toma de imágenes de eventos, que deben circunscribir su radio de acción a la actividad en si. El reconocimiento facial, como forma de control horario, implica el conocimiento fehaciente de sus destinatarios. Finalmente, la utilización de cualquier dispositivo que realice controles biométricos, asociados de forma inequívoca a una persona, exige su consentimiento expreso.
Cuestión distinta que plantean, todos los dispositivos anteriores, es la cesión de datos a terceros. El criterio general es que esta no es posible sin que el titular de los datos tenga conocimiento fehaciente y haya facilitado su consentimiento. La alternativa para obtener datos estadísticos es su anonimización.
Manos a la obra con los requisitos de la protección de datos.
Cumplir con la protección de datos no es complejo, pero exige atención y seguimiento. Una relación de las obligaciones a cumplir excede de la extensión de este artículo, sin embargo aquí van algunas actuaciones insoslayables:
* Adaptación de todos los formularios que recojan datos. Deben contener una información mínima: Responsable del tratamiento, finalidad, legitimación (por ejemplo, el consentimiento del interesado), destinatarios de esos datos, indicando a quien se van a transmitir, derechos que le asisten (acceso, rectificación, cancelación o supresión, etc.), tiempo de conservación, donde reclamar y donde obtener más información (un buen lugar puede ser la web del club).
* Establecimiento de medidas de seguridad. Quien tiene acceso a los datos, como se custodian, utilización de los recursos informáticos de la sociedad, etc. Y cuando todo esto ha fallado es importante establecer un sistema de brechas de seguridad.
* Una vez que el dato prestó la utilidad para la que se recabó hay que eliminarlo. En un club muchas de las actividades tienen una vida limitada en el tiempo, pensemos en un torneo, un campeonato. Recordemos que entre la información que se facilita al usuario se encuentra el tiempo durante el cual los datos son recabados. Finalmente conviene establecer un sistema de destrucción por empresas homologadas.
Vigilar el destino de los datos.
El club trabaja con una ingente cantidad de datos, trabajadores, deportistas, socios, simpatizantes, etc. Hemos visto como debe realizarse el tratamiento de esos datos y que información tienen sus titulares. La Ley ha denominado responsable al que recaba, custodia y trata esos datos, una palabra expresiva de la importancia que encomienda a su función. Pues bien, la cesión a terceros de estos datos debe estar rigurosamente controlada. Los destinatarios serán desde las empresas colaboradoras de la gestión (asesoría, informático, seguridad, etc.), hasta Asociaciones y organismos, como Laliga.
En todos estos casos es necesario suscribir un contrato de encargo de tratamiento, en el que se plasmarán las condiciones de esta cesión, e incluso las medidas de salvaguarda que debe de adoptar el cesionario.
La web del club: su escaparate.
Normalmente tomamos conocimiento de las empresas a través de su web. En el caso de los clubs, normalmente están dotadas de mucho contenido, pues es una de sus formas de relación más importante con socios y aficionados.
Son varias las adaptaciones a la normativa que deben de realizarse. Desde una detallada política de privacidad y un aviso legal, hasta la cumplimentación de la información en los distintos formularios de toma de datos que se contienen.
Mención aparte merecen las cookies. Se trata de un archivo de datos creado por la web visitada y almacenado en la memoria de nuestro dispositivo. Tienen varios objetivos, desde los necesarios para una rápida navegación, a la recopilación de datos. Establecer la política de cookies, tanto un banner de la propia página, como en su interior es obligatorio y, además, completamente visible para los terceros que la visiten.
Finalmente y por el momento, el COVID-19
La pandemia ha acarreado, entre otras consecuencias, un cambio en las relaciones laborales y sociales. En materia de protección de datos tiene influencia en diversos aspectos. Citemos los controles de salud de trabajadores y visitantes, que nos obligan a tomar datos en algunos casos sensibles, como y cuanto vamos a utilizarlo. El teletrabajo y los sistemas de control remoto, también están regulados.
Todo ello nos lleva a señalar que todas las normas que se establezcan en relación al COVID-19, deben de contener los principios que ya se han informado en los puntos anteriores. Y es que en una sociedad cada vez más interconectada, la protección de los datos, con o sin pandemia, se convierte en un elemento esencial.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación