El nuevo Reglamento de protección de datos y las entidades deportivas
El 6 de Abril de 2016, la Unión Europea acordó la reforma de su política de protección de datos, instrumentalizada en la aprobación de un nuevo paquete legislativo entre cuyas medidas se incluye la aprobación del Reglamento general de protección de datos 679/2016, en adelante “RGPD”, que introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea.
El Reglamento entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta el 25 de mayo de este año. Hasta esa fecha, tanto la Directiva 95/46 como la normativa nacional vigente en esta materia, en nuestro país la LOPD y el RD 1720/2007, siguen siendo plenamente válidas y aplicables. Por tanto, se aproxima la fecha de aplicación del RGPD y los organismos públicos, empresas y, por supuesto, las federaciones deportivas y diversas entidades deportivas deberían estar finalizando las diversas tareas de actualización y adaptación de sus políticas y protocolos de protección de datos a las nuevas directrices que establece el Reglamento.
En líneas generales, el nuevo Reglamento trata de reforzar la protección del derecho de las personas a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros. Esa armonización de la normativa de protección de datos coadyuva a la consecución de un verdadero mercado único digital, al garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE. Las novedades que incorpora este Reglamento exigen para la mayoría de países una concienzuda reforma de sus respectivas legislaciones vigentes en esta materia, de ahí el periodo transitorio de dos años para su entrada en vigor. En nuestro caso, debemos reseñar que el Consejo de Ministros aprobó el 10 de Noviembre de 2017 el proyecto de la nueva LOPD que actualmente se encuentra en fase de tramitación parlamentaria y será difícil que pueda aprobarse antes del 25 de Mayo de 2018.
Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del próximo 25 de Mayo.
Tratando de sintetizar las principales novedades y actuaciones que exige el nuevo RGPD, a continuación detallamos las principales cuestiones que, en nuestra opinión, las entidades deportivas deberán tener en cuenta para cumplir con la aplicación del RGPD:
- Consentimiento: No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.
- Transparencia e información a los interesados: Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos. Concretamente, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. Recordemos que nuestra LOPD, sólo exige que se preste de forma expresa, precisa e inequívoca.
Concretando se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia. El nuevo RGPD establece el contenido mínimo que debe ofrecerse: fines para los que se está recabando el consentimiento, intención de transferencias internacionales, identificación del Delegado de protección de datos, perfiles….etc.
- Reconocimiento de nuevos derechos: A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la LOPD, se reconoce a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario Se debería incidir en la adaptación de los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Igualmente las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.
- Medidas de responsabilidad proactiva: El nuevo RGPD no establece medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos: 1) análisis de riesgos, protección de datos desde el diseño y por defecto; 2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad; 3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD; 4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.
- Delegado de protección de datos: Destacamos de forma independiente una de las medidas “estrella” de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental en la reforma iniciada por el nuevo RGPD europeo puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. El RGPD establece una serie de entidades en las que será obligatoria la presencia de un DPD, entre las que debemos incardinar a las federaciones deportivas o los clubes deportivos por tener entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados.
El DPD mantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones, debiendo el encargado o el responsable del tratamiento facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. Será designado por sus cualidades profesionales y conocimientos especializados en esta materia, pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios. En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD redactó un esquema de certificación de Delegados de Protección de Datos con este objeto.
Otros aspectos como el establecimiento de los trece años como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos, la transferencia de datos a nivel internacional o el régimen sancionador que prevé para los supuestos muy graves la imposición de multas administrativas de hasta veinte millones de euros o del 4% del volumen del negocio anual total si se trata de una empresa, reiteran la apuesta de la UE por este nuevo marco de protección de datos único para todos los Estados miembro.
En estos tres meses que restan para la aplicación del RGPD, salvo aprobación del nuevo proyecto de LOPD que actualmente se encuentra actualmente en fase de debate parlamentario, estas directrices, genéricas e interpretables en muchos casos, serán de obligado cumplimiento para todas aquellas entidades o federaciones deportivas cuyo obtención, tratamiento y protección de los datos que utilizan en el desempeño de su actividad cotidiana, y en consecuencia deben finalizar sus trabajos de adaptación para cumplir con las medidas enumeradas y no cometer ninguna infracción que derive en sanciones pecuniarias cuyo importe puede llegar a ser muy elevado. Es importante reseñar que en el supuesto en el que no se apruebe el proyecto de nueva Ley Orgánica de Protección de datos antes del 25 de Mayo de 2018, el RGPD entrará directamente en vigor coexistiendo con aquellos artículos de la LOPD actual y su Reglamento de desarrollo que no se opongan en su redactado a lo estipulado por el Reglamento, generando graves problemas de inseguridad jurídica a entidades y ciudadanos. Como referencia, señalar que a fecha 24 de Enero del presente año, únicamente Austria y Alemania han finalizado sus procedimientos legilastivos de adaptación a la nueva normativa comunitaria.
Por eso recomendamos a todas aquellas entidades deportivas que no hayan iniciado ningún trabajo de adaptación al nuevo RGPD, concierten convenios de colaboración empresarial con expertos en “data compliance”, como es el caso de GC Legal, con objeto de implementar a la mayor brevedad posible las principales tareas de adaptación al nuevo RGPD.