Contenidos
Ley Orgánica de Protección de Datos
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) trata de proteger la intimidad de las personas como derecho fundamental previsto en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos. Por lo tanto, cualquier persona física o jurídica, tanto pública como privada, que para la realización de su actividad utilice datos de carácter personal está obligada a cumplir la LOPD, incluidas las entidades deportivas.
La ley Orgánica de protección de Datos tiene por objetivo impedir que los datos de carácter personal sean utilizados con fines distintos para los cuales fueron recabados, de forma que cualquier tipo de cesión de datos debe ser comunicada al interesado previamente.
Cualquier entidad deportiva puede crear ficheros que contengan datos de sus socios, abonados, usuarios, deportistas, entrenadores, árbitros, alumnos o patrocinadores, siempre que resulte necesario para el cumplimiento de sus objetivos y se respeten las garantías que la LOPD establece para la protección de las personas.
¿Qué debemos hacer para cumplir la Ley Orgánica de Protección de Datos?
La creación de ficheros de datos de carácter personal exige la notificación previa a la Agencia de Protección de Datos, indicando el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar. Posteriormente, se procederá a la inscripción en el Registro General de Protección de Datos.
Los datos personales que solicitemos deben ser adecuados y no excesivos en relación con nuestro ámbito de actuación y las finalidades para las que se hayan obtenido. Por ejemplo, no tiene sentido que a los socios de un club deportivo les pidamos su nivel de estudios o sus ingresos anuales. Preguntemos sólo lo necesario.
Además, los datos no podrán usarse para finalidades incompatibles con aquellas para los que hubieran sido recogidos y deberán ser cancelados cuando hayan dejado de ser necesarios (por ejemplo socios que se han dado de baja). La Ley nos obliga a que los datos personales sean exactos y puestos al día para que respondan con veracidad a la situación actual de cada persona.
Cuando solicitemos datos personales debemos informar de:
- La existencia de un fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de éstos y los destinatarios de la información.
- El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
La LOPD nos permite el tratamiento de datos de carácter personal sin haber sido recabados directamente del afectado, aunque ello no exime de la obligación de informar al interesado de forma expresa, precisa e inequívoca, dentro de los tres meses siguientes al inicio del tratamiento de los datos.
La entidad deportiva, como responsable del fichero, y, en su caso, el encargado del tratamiento, deben adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos, evitando su alteración, pérdida, tratamiento o acceso no autorizado. Además, están obligados al secreto profesional respecto de los mismos.
Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad en nivel básico, medio y alto, siendo los requisitos legales y las medidas de seguridad informáticas progresivamente más estrictas.
Así por ejemplo, deberemos implantar las medidas de nivel medio en ficheros con datos de infracciones y sanciones a socios o deportistas, y medidas de seguridad de nivel alto si realizamos controles periódicos del estado de salud de los deportistas y/o controles antidopaje.
En el nivel alto, las medidas acumulan las adoptadas en el nivel básico y medio y la entidad deportiva estará obligada a utilizar mecanismos más seguros de control y protección como son los programas de cifrado de los datos, almacenaje de las copias de seguridad en sitios distintos de la ubicación principal, además de la obligatoriedad de realizar auditorias periódicas.
Cualquier interesado puede dirigirse a nuestras entidades deportivas solicitando información sobre qué datos suyos tenemos y cómo los hemos obtenido (derecho de acceso), la rectificación de los mismos (derecho de rectificación), o en su caso, la cancelación de los datos (derecho de cancelación). Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos.
Se pueden tratar datos de los mayores de catorce años con su consentimiento. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar (profesión de los progenitores, información económica, etc.). La información deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos.
Desde octubre del año 2007 también es obligatoria la inscripción de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creación.
Los datos de carácter personal recogidos sólo pueden ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Este consentimiento es revocable en cualquier momento.
Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD deberá comunicarse a la Agencia Española de Protección de Datos.
Las consecuencias del incumplimiento de la Ley Orgánica de Protección de Datos
La LOPD tipifica una serie de infracciones según su gravedad; algunas de ellas son:
- Recoger datos personales sin informar al interesado y sin su consentimiento.
- No inscribir el fichero de datos en el Registro General de Protección de Datos.
- Utilizar los datos con una finalidad distinta a la que tiene nuestra entidad deportiva.
- Mantener datos inexactos o no realizar las rectificaciones o cancelaciones que procedan.
- Vulnerar el deber de guardar
- Recoger los datos de forma engañosa y fraudulenta.
- Ceder los datos personales sin autorización.
- Impedir o dificultar los derechos de acceso, rectificación, cancelación y oposición.
Las sanciones previstas van desde 601,01 euros para infracciones leves hasta 601.012,10 euros en infracciones muy graves.
Además, el incumplimiento de la LOPD nos obligará a indemnizar los daños causados en bienes o derechos de los afectados.
Cláusula tipo a incluir en los soportes de obtención de datos de carácter personal
“En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y del Real Decreto 1720/2007, de 21 de diciembre que desarrolla la LOPD, (incluir el nombre del responsable del fichero) como responsable del fichero informa de las siguientes consideraciones:
Los datos de carácter personal que le solicitamos quedarán incorporados a un fichero cuya finalidad es (describir). Los campos marcados con asterisco son de cumplimentación obligatoria, siendo imposible realizar la finalidad expresada si no aporta esos datos.
Queda igualmente informado de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de sus datos personales comunicándolo por escrito a (domicilio para ejercitar los derechos) o mediante correo electrónico a (dirección).
El titular de los datos autoriza expresamente a que sus datos sean cedidos a (por ejemplo: Federación deportiva, agencia de viaje, compañía de seguros, patrocinador, etc.). Autoriza a tratar sus datos de salud con la finalidad de gestionar las pruebas para el control de sustancias prohibidas en la práctica del deporte, así como a tratar los datos por el Comité de Disciplina Deportiva del Club, la Federación Autonómica o Española.”
