¿Afecta la normativa sobre protección de datos al deporte? Es una pregunta que uno se puede plantear tras el bombardeo de noticias que ha protagonizado los meses de mayo y junio.
Antes de nada, para contextualizar el artÃculo, nos encontramos en una situación de transición normativa pues, aunque el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas fÃsicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos[1], es directamente aplicable en cada uno de los Estados Miembros (EEMM), no hay que olvidar que en muchos de sus considerandos y en el propio articulado, el Reglamento afirma que los EEMM deberán adaptarse a cada ordenamiento interno.
El derecho en juego reviste especial importancia al tratarse de un derecho fundamental establecido en el art. 18. 4 de la Constitución Española[2] y [3]; por eso mismo, antes de nada, España se ha puesto manos a la obra y, antes de dictar la Ley Orgánica pertinente, ha dictado un Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la UE en materia de protección de datos.
El ámbito de aplicación del Reglamento no abarca a las actividades exclusivamente personales o domésticas. Esta afirmación responde a la cuestión que nos planteábamos al inicio, y sÃ, afecta al deporte, sale de la esfera doméstica pues para practicarlo es necesario estar en posesión de una licencia expedida por la federación de turno, es decir, requiere de una organización reglada.
De este modo, el deporte federado y profesional entran dentro del ámbito de aplicación material del Reglamento, esto es, todo tratamiento total o parcialmente automatizado o no de datos personales contenidos o destinados a ser incluidos en un fichero. De esto último se desprende que, no solo el deportista federado, sino aquel que reside y entrena en Centros de Alto Rendimiento o aquellos que se apuntan a una carrera popular pues, sean o no de élite, son incluidos en bases de datos de la organización.
Pero, ¿a qué se refiere con datos personales? Será ‘’ toda información sobre una persona fÃsica identificada o identificable (ej. deportista de un club o un futuro fichaje); se considerará persona fÃsica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en lÃnea o uno o varios elementos propios de la identidad fÃsica, fisiológica, genética, psÃquica, económica, cultural o social de dicha persona’’ (art. 4 Reglamento UE).
La definición de ‘’datos personales’’ añade un concepto más, el de ‘’tratamiento’’, ‘’cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción’’. La cesión de datos con el objeto de tramitar licencias deportivas o la cesión de datos de deportistas por parte de las Federaciones Autonómicas a la Federación Española con el fin de incluirlos en el listado de ‘x’ campeonatos o Centros de Alto Rendimiento; la tenencia de listados por parte de la AEPSAD con el fin realizar controles anti-dopaje sin la previa autorización explÃcita del deportista, …
En todas las situaciones anteriores, entran en juego los principios que deben presidir los tratamientos de datos: licitud, lealtad, transparencia, finalidad determinada, minimización de datos, exactitud, limitación en la conservación, integridad y confidencialidad. Cabe incluir a todos ellos, el consentimiento.
Es fácil el acceso a los datos por parte de los deportistas? ¿Es posible ejercitar el derecho de supresión de los datos para un deportista profesional? ¿Se facilita información clara y exacta sobre la finalidad de la recogida y registro de los datos? ¿La expedición de la licencia es consecuencia de un consentimiento libre o se puede entender que el tratamiento de los datos del deportista es necesario para ejercitar el contrato?[4] ¿Se solicita permiso para transferir los datos entre paÃses por un posible traspaso? Estas cuestiones no son fáciles de responder, teniendo en cuenta, claro, que el consentimiento tácito ha dejado de ser válido.
A mayores, el Reglamento añade la responsabilidad proactiva del responsable del tratamiento, el que deberá ser capaz de demostrar el cumplimiento de los principios, la licitud del tratamiento y el consentimiento explÃcito. Tareas nada sencillas para las organizaciones deportivas que deberán adaptarse y solicitar asesoramiento sobre el tema para no incurrir en sanciones de miles de euros.
Para acabar, hay que destacar que el sector deportivo en España se forma de entidades de titularidad pública o privada, y de entidades privadas con funciones públicas delegadas. Esto reviste al deporte de cierta complejidad a la hora de cumplir con los requisitos establecidos en el Reglamento puesto que dependiendo de la naturaleza de las entidades se requerirá o no delegado, o bien, se deberá llevar a cabo evaluación de impacto dependiendo de la categorÃa del dato afectado […].
Concluyo insistiendo en que se trata de una cuestión compleja que necesita de esfuerzo y medios para tratar de garantizar el derecho a la protección de los deportistas en relación con el tratamiento de sus datos personales, asà como la seguridad en la circulación de los mismos entre las diversas entidades que intervienen en el mundo del deporte. En fin, poco tiempo y mucho por aprender para proteger nuestros datos de la globalización tecnológica.
[1] Por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
[2] En consecuencia, a la vista de los hechos descritos, la extraordinaria y urgente necesidad de este real decreto-ley resulta plenamente justificada. Dada la plena aplicación del Reglamento General de Protección de Datos desde el 25 de mayo de 2018, hasta la completa adecuación a él de nuestro ordenamiento, que solamente será posible a través de una nueva legislación orgánica, es ineludible la adopción de una disposición con rango de ley que permita la adaptación del Derecho español en varias cuestiones a la normativa de la Unión Europea en materia de protección de datos, para garantizar de forma efectiva el derecho del artÃculo 18.4 de la Constitución en un marco de seguridad jurÃdica. En coherencia con ello, la vigencia de este real decreto-ley se limita al perÃodo que medie entre el dÃa siguiente de su publicación en el BoletÃn Oficial del Estado y la entrada en vigor de la nueva ley orgánica que se encuentra en tramitación parlamentaria. Exposición de Motivos II del RD-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
[3] Art. 18. 4 CE: ‘’La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos’’.
[4] Art. 7. 4 Reglamento UE