La figura del delegado de protección de datos en un club deportivo
¿Qué es un delegado de protección de datos? ¿Qué funciones tiene? ¿Por qué es importante que un club disponga de esta figura? Antes de nada, ¿Sabías que la figura del delegado de protección de datos se conoce desde 1977 con la Ley Federal de Protección de Datos? Si bien es cierto que se ha ido consolidando con el paso del tiempo y de la normativa que le ha ido acompañando, es importante comprender que las entidades tendrían que ser conscientes de la importancia de su nombramiento pues no es una figura reciente que ayuda de algún modo a prevenir situaciones conflictivas.
De acuerdo con el Grupo de Trabajo sobre protección de datos el delegado de protección de datos “es la piedra angular de la rendición de cuentas…que puede facilitar el cumplimiento de la normativa y, además, convertirse en una ventaja competitiva para las empresas. Además de facilitar el cumplimiento mediante la aplicación de instrumentos de rendición de cuentas (tales como facilitar o llevar a cabo evaluaciones de impacto y auditorías de protección de datos), actúan como intermediarios entre las partes interesadas correspondientes” [1] a modo de ejemplo con autoridades de control, interesados y unidades de negocio dentro de una organización.
Se pueden entrever las funciones del delegado de protección de datos, no obstante, cabe hacer mención a la literalidad de las funciones indicadas en el artículo 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE:
“(a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; (b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; (c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación; (d) cooperar con la autoridad de control; (e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto”.
Una vez que conocemos qué es un delegado de protección de datos y sus funciones, por supuesto, indicadas a grandes rasgos y de forma sucinta, hay que acudir al artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) donde nada indica expresamente sobre la obligación de designar un delegado de protección de datos por parte de un club deportivo, no obstante, la LOPDGDD sí obliga a las federaciones deportivas a su designación para el supuesto de que éstas traten datos de menores de edad, es decir, estarán obligadas todas las federaciones deportivas pues todas recogen este tipo de datos observándose -de forma crítica- la falta de preocupación que los legisladores han tenido a la hora de determinar los riesgos en otras entidades deportivas que tratan también datos de menores de forma constante.
De facto, tal y como se puede deducir, los clubes deportivos, en la mayor parte de sus actividades, tratan este tipo de datos y, voluminosa y sistemáticamente, por lo que, a mi entender, debiera haberse previsto la obligación para los clubes deportivos en aras de proteger el interés superior de los menores participantes en las actividades federadas de los clubes.
Y es que, sea como fuere, se debe comprender que un menor participa en un deporte federado bien como representante de su federación (sea autonómica o nacional), o bien, como parte de un club a través de competiciones de clubes de modalidades individuales o colectivas. Dicho de otro modo, la actividad deportiva federada de un menor no se detiene en las federaciones, es decir, no sólo se compite en la cúspide de la pirámide federativa, sino que desciende en la actividad propia de los clubes que integran la base de esa pirámide federativa en la modalidad o especialidad respectiva.
Queda claro que los datos de los menores federados se intercambian de forma constante y no solo en sede federativa, sino también por parte de los clubes. Y es que cabe recordar que la licencia federada expedida por la federación particular como una autorización habilitante en el desarrollo de una de sus funciones públicas delegadas, licencia en la que se contienen los datos identificativos del menor deportista, se expide entre otras razones, para cubrir el seguro obligatorio deportivo durante su actividad federada ejercida en entrenamientos y partidos bajo el nombre de un club y para habilitar al menor a participar con integrante de su club en competiciones oficiales organizadas por la federación.
En definitiva, aunque no se haya previsto en la LOPDGDD, las responsabilidades que asume un club deportivo -que valga la redundancia es Responsable de Tratamiento- son tales que, a pesar de no ser obligatoria la designación de un delegado de protección de datos, la Junta Directiva, como gestión diligente, a modo de prevención, debiera nombrar esta figura (externa o interna) para proteger tanto el interés superior de los menores integrantes de su club, como el derecho fundamental a la protección de los datos personales de todos los integrantes, socios y cargos directivos. Ello sobre la base del principio de responsabilidad proactiva establecido en el artículo 5.2. del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Así las cosas, uno de los retos más interesantes que se debieran plantear para este tipo de asociaciones, sería sin duda el nombramiento voluntario de la figura de delegado de protección de datos, sobre todo, teniendo en cuenta determinados factores como el volumen, el tratamiento sistemático de datos de carácter personal, la tipología de los datos, los riesgos que se generan y el nivel de protección más elevado sobre los menores practicantes de deportes federados.
No hay que olvidarse de los datos de carácter personal que se intercambian a raíz del funcionamiento interno de un club en relación con las convocatorias de Asambleas Generales y Juntas Directivas, las interacciones con otras entidades terceras, patrocinadores, colaboradores empresariales, Ayuntamientos, y un largo etcétera de entidades y por ende de interacciones en las que se ven involucrados datos personales, y que salvo clubes destacados, en su mayoría no disponen de esta figura que provocaría sin duda alguna una mejora en la gestión de los propios clubes y en la protección de los derechos de los integrantes de los clubes.
Y tú qué opinas, ¿consideras que un club debería nombrar esta figura de forma voluntaria?
Muchas gracias por la lectura,
Montse.
[1] Directrices sobre los delegados de protección de datos adoptadas el 13 de diciembre de 2016, revisadas y adoptadas el 5 de abril de 2017. Grupo de Trabajo sobre el artículo 29. 16/ES, WP243 rev.01. Pág. 4.