Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPDProfesionalesSectores

Protección de Datos en gimnasios y centros deportivos

Todos los gimnasios realizan alguna clase de tratamiento de datos personales, por ejemplo, en a la hora de hacer un nuevo socio, se recaban datos como el nombre y una forma de contacto (como mínimo), por ello, también están obligados a cumplir con la normativa de protección de datos. En esta guía explicamos cómo adaptar tu gimnasio para cumplir con la Ley de Protección de Datos.

En este artículo hablamos de:

¿Los gimnasios tienen que cumplir con la Ley de Protección de Datos?

En los gimnasios se trata con datos de carácter personal, tanto de los clientes como de los empleados, por lo que como titular de un gimnasio estás obligado a cumplir con la Ley de Protección de Datos. Además, en el caso de que llegues a tratar datos relativos a la salud de tus clientes, deberás contemplar también las obligaciones relativas al trato y protección de datos sensibles.

La normativa de protección de datos para gimnasios en 2022

La normativa de protección datos para gimnasios y centros deportivos la encontramos en:

  • El RGPD (Reglamento General de Protección de Datos)
  • La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)

RGPD

El RGPD se aprobó en 2016 y creaba el marco normativo común para la protección de datos personales dentro de la UE y el EEE (Espacio Económico Europeo). En España entró en vigor en mayo de 2018, introduciendo varias novedades en la legislación española de protección de datos (hasta entonces la LOPD).

Así, el RGPD, entre principios y otros cambios y novedades, trajo la obligación de recabar el consentimiento expreso, las categorías de datos especiales (o datos sensibles), la figura del Delegado de Protección de Datos (DPO o DPD), la denominada evaluación de impacto en protección de datos (EIPD), la obligación de notificar las brechas de seguridad a las autoridades de control competentes y la introducción de nuevos derechos para los titulares de los datos, de manera que los derechos ARCO se transformaron en los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento).

LOPDGDD

La LOPDGDD sustituyó a la LOPD para poder introducir las novedades del RGPD al ordenamiento jurídico español, de manera que los responsables del tratamiento de datos personales tenían nuevas obligaciones que cumplir (que detallaremos más adelante), pero también desaparecían algunos trámites, simplificando algunas de estas (por ejemplo, ya no es necesario inscribir los ficheros en la AEPD).

La LOPDGDD también regula de forma más detallada algunos aspectos relativos a la protección de datos que el RGPD trata de manera más general (ya que permite a los Estados miembros regular de acuerdo a su orden jurídico algunas materias). Es el caso, por ejemplo, de la graduación de las sanciones o algunos aspectos relativos al derecho al olvido digital.

tarifas proteccion datos

¿Cómo adaptar tu gimnasio al RGPD y la LOPDGDD?

Adaptar el gimnasio al RGPD y la LOPDGDD consiste en cumplir una serie de obligaciones, que vamos a detallar en los siguientes puntos.

Elabora el registro de actividades de tratamiento

Uno de los primeros pasos para cumplir con la normativa de protección de datos para gimnasios es elaborar el denominado registro de actividades de tratamiento.

Cada tratamiento de datos personales que realices en el gimnasio debe quedar documentado en este registro, que se mantendrá por escrito y siempre actualizado. No es necesario inscribirlo en la AEPD, pero esta si puede solicitarlo durante un proceso de inspección y se le debe facilitar.

En el registro de actividades de tratamiento se debe recoger toda la información relativa al tratamiento de datos realizado, que como mínimo será:

  • Datos identificativos del responsable del tratamiento y, si procede, del encargado o encargados del tratamiento y del DPO.
  • Finalidad del tratamiento y legitimación jurídica
  • Descripción de interesados afectados
  • Categorías de datos que se tratan
  • Categorías de destinatarios a quienes se les pueden comunicar los datos personales (existen o previstos)
  • Transferencias internacionales de datos (si procede)
  • Plazos para la supresión de los datos
  • Descripción de las medidas de seguridad implantadas

Recaba siempre el consentimiento expreso

Como ya señalamos más arriba, el RGPD introdujo el consentimiento expreso para poder recabar y tratar datos personales. Esto significa que siempre que debas recabar datos personales de tus clientes, es necesario que recabes su consentimiento inequívoco y expreso, mediante una acción afirmativa del cliente.

Este consentimiento, además, debe ser informado, es decir, el cliente debe saber para qué se usarán sus datos (finalidad), si se cederán a terceros y durante cuánto tiempo se guardarán. Además, se debe recabar el consentimiento por cada tratamiento de datos que se quiera realizar o si cambia la finalidad (por ejemplo, se recabará el consentimiento a la hora de realizar la ficha del cliente en el gimnasio y si esos datos se quieren usar para enviarle comunicaciones comerciales, se recabará otro consentimiento al respecto).

El consentimiento debe quedar registrado.

Realiza un análisis de riesgos

Antes de hacer ningún tratamiento de datos personales, el responsable debe llevar a cabo un análisis de riesgos, mediante el cual se puedan determinar los riesgos o amenazas que se puedan derivar de dicho tratamiento para los derechos y libertades de los titulares de los datos.

Basándonos en los resultados de este análisis y en la posibilidad de que esos riesgos se materialicen, así como el impacto que dicha materialización tendría en la vida de los interesados, se diseñarán e implantarán las medidas de seguridad necesarias para reducir o eliminar dichos riesgos o, al menos mitigar su impacto.

¿Tengo que hacer una evaluación de impacto de protección de datos (EIPD)?

En el caso de que el nivel de riesgo para los derechos y libertades de los titulares de los datos sea elevado, será necesario hacer una EIPD. Si los resultados de la EIPD determinan que el impacto de la materialización de los riesgos puede tener consecuencias negativas o afectar seriamente a los derechos y libertades de los titulares, el tratamiento no debería realizarse.

También será obligatorio hacer una EIPD cuando se traten datos a gran escala o se traten datos sensibles. Este segundo caso puede darse en algunos gimnasios donde se realicen tratamientos de fisioterapia, puesto que se podría tener acceso a determinados datos médicos o relativos a la salud de los clientes.

Firma acuerdos de encargo de tratamiento

La mayoría de negocios o empresas acaban cediendo determinados datos personales a terceros (es el caso, por ejemplo, con las gestorías, los servicios de prevención de riesgos laborales o cuando se contratan algunos servicios de un tercero), en estos casos, para cumplir con la normativa de protección de datos en los gimnasios o centros deportivos (como en otros negocios) se debe firmar un acuerdo de encargo de tratamiento.

En este acuerdo, el responsable del tratamiento acuerda con el encargado del tratamiento las medidas de seguridad, el plazo de conservación, la finalidad del tratamiento… de los datos personales que le cederá. Además, el responsable debe asegurarse de que el encargado cumple con la legislación.

Asegura la confidencialidad de tus empleados

Es probable que algunos de los empleados de tu gimnasio tengan acceso a los datos personales que tratas de tus clientes; estos empleados deben mantener la debida confidencialidad al respecto, para lo que habitualmente se recurre a incluir cláusulas de confidencialidad en el propio contrato de trabajo, donde también debería informarse de las consecuencias de no respetarlas.

En cualquier caso, asegúrate de que tus empleados cumplen con las normas de seguridad respecto al tratamiento de los datos personales de tus clientes.

Formación

Aunque la formación en protección de datos no es obligatoria, es muy recomendable que el responsable del tratamiento tenga conocimientos sobre la materia, puesto que será necesario elaborar documentos, hacer los análisis de riesgos, diseñar e implantar medidas de seguridad adecuadas y, además, conocer la legislación vigente y estar al día de sus novedades y modificaciones.

Informa a los propietarios de los datos

Como ya hemos dicho respecto al consentimiento expreso, el responsable del tratamiento deberá informar a los propietarios de los datos personales de dicho tratamiento. La información, que debe ser comprensible e inequívoca, tendrá, como mínimo, el siguiente contenido:

  • Nombre y datos de contacto del responsable del tratamiento
  • Legitimación para el tratamiento
  • Finalidad del tratamiento
  • Dónde y cómo ejercer los derechos ARSULIPO

Esta información se puede suministrar con el formulario de consentimiento o como un documento aparte.

Notifica las brechas de seguridad

En el caso de que se produzca alguna brecha de seguridad que pueda afectar a los datos personales guardados y que pueda tener consecuencias para los derechos y libertades de los titulares de los datos, el gimnasio deberá informar de la misma a la AEPD y los propios titulares un plazo máximo de 72 horas.

No notificar las brechas de seguridad es motivo de sanción.

Si el gimnasio tiene página web

Si tu gimnasio tiene una página web para promocionarse y atraer nuevos clientes, debes cumplir también con estas obligaciones relativas a tu sitio online:

  • Insertar el aviso legal, en el que se incluyen los datos identificativos de la web:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • N.º de inscripción en el Registro Mercantil
  • La política de privacidad debe contener toda la información relativa la gestión y tratamiento de datos personales que se realiza en la web:
    • Datos identificativos del responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Gestión de los datos personales
    • Plazos de conservación de los datos
    • Si se producen cesiones a tercero y la identificación de los mismos
    • Si se usan cookies en la web
    • Vía para ejercer los derechos ARSULIPO
  • Si la web de tu gimnasio usa cookies (que lo hará), también debes incluir la política de cookies y el aviso de cookies. En la primera debes identificar el tipo de cookies usadas, su titular, finalidad, conservación, etc. Y el segundo es un aviso que debe aparecer cuando un usuario entra por primera vez en la web, donde podrá aceptar o denegar el uso de cookies, además, contendrá un enlace a la política de cookies.

¿Necesito hacer auditorías periódicas de protección de datos?

Aunque ni el RGPD ni la LOPDGDD obligan a realizar una auditoría periódica de protección de datos, sí que exigen demostrar que se cuenta con las medidas técnicas y organizativas necesarias para garantizar la protección de datos. La mejor forma para que tu gimnasio pueda hacer esto es a través de una auditoría de protección de datos (recomendado que esté hecha por un tercero externo).

Además, la auditoría te servirá para detectar carencias o problemas relativos a la protección de datos en el gimnasio, de manera que puedas solucionarlos antes de que se produzca una brecha de seguridad.

¿Qué sanciones pueden imponer a mi gimnasio si no cumplo con la normativa de protección de datos?

El RGPD contempla dos rangos de sanciones en materia de protección de datos:

  • Hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que sea superior) para infracciones graves
  • Hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves.

La LOPDGDD gradúa un poco más estas sanciones, aunque las infracciones son las mismas que recoger el RGPD:

  • Hasta 40.000 euros por las infracciones leves (artículo 74)
  • De 40.001 a 300.000 euros por las infracciones graves (artículo 73)
  • De 300.001 a 20 millones de euros o el 4% de la facturación anual por las infracciones muy graves (artículo 72)

¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista

Si todavía nos has adaptado a la normativa de protección de datos tu gimnasio o centro deportivo, no tardes más y ponte en contacto con un especialista en protección de datos que te ayude a cumplir con la ley y te asesore en todo momento, o estarás expuesto a recibir sanciones por parte de la AEPD.

tarifas proteccion datos

Preguntas frecuentes

¿Cuándo trato con datos personales en el gimnasio?

Tratas con datos personales cuando estos permiten identificar a una persona física a través de ellos. No son datos personales los de las personas jurídicas.

¿Debo designar un Delegado de Protección de Datos para el gimnasio?

Salvo que trates datos a gran escala o datos sensibles, no tendrás obligación de designar un DPO.

En caso de necesitar hacerlo, podrás designar tanto a un empleado del gimnasio que cuenta con formación en protección de datos o contratar los servicios de un profesional o consultora externos especializados en la materia.

Para el cobro de mis productos uso una TPV, ¿los datos de las tarjetas de mis clientes se consideran datos personales?

Sí, los datos de las tarjetas de crédito o débito son considerados datos personales; el TPV determina el tipo de Tarjeta y establece comunicación con su correspondiente centro autorizador. Entre los datos que se envían a dicho centro para la aprobación de la operación, siguiendo protocolos estándar, se encuentran: número de tarjeta, comercial donde se efectúa la compra, su importe y fecha y hora de realización. La AEPD considera los datos de las tarjetas datos personales.

¿Qué medidas de seguridad tengo que aplicar en estos casos?

No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tú o tus asesores expertos en protección de datos

Tú solo tendrás que encargarte de guardar los tickets en un lugar seguro y que solo tú o tus empleados tengáis acceso.

¿Es obligatorio realizar un curso de protección de datos?

Ya dijimos antes, no es necesario realizar cursos de protección de datos para cumplir con la normativa, pero sí que es muy recomendable, si vas a ocuparte tú de las obligaciones que requiere, tener conocimientos sobre la normativa.

¿Cuánto tiempo puedo conservar los datos personales?

Depende del tipo de documentación y del tipo de datos de carácter personal que se encuentren almacenados en ellos. En nuestro artículo sobre los plazos de conservación de los datos podrás ver qué plazos corresponden a cada documentación.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si decides instalar cámaras de videovigilancia en tu gimnasio, debes documentarlo en el registro de actividades de tratamiento, además de firmar un acuerdo de encargo de tratamiento con la empresa de seguridad que las mantenga.

Así mismo, deberás colocar los correspondientes carteles informativos, que deben contener la información exigida por la normativa de protección de datos. Puedes encontrar más información al respecto en nuestra entrada sobre la normativa de cámaras de videovigilancia.

¿Y si tengo lector de huella dactilar?

La huella dactilar es un dato biométrico que permite la identificación de las personas, por ello es considerado un dato personal, por lo que deberán incluirse su tratamiento en el registro de actividades. Además, son considerados como datos sensibles, por lo que deben aplicarse las obligaciones que el RGPD y la LOPDGDD recogen para el tratamiento de estos datos.

Recomendaciones (mínimas) para verificar que mi gimnasio cumple con la normativa de protección de datos

Resumimos las obligaciones mínimas en materia de protección de datos para un gimnasio o club deportivo:

  • Tener actualizada y firmada toda la documentación respectiva a protección de datos
  • Recabar el consentimiento expreso para cada tratamiento de datos personales
  • Realizar previamente al tratamiento el análisis de riesgos que puede conllevar el mismo
  • Establecer las medidas de seguridad conforme a los riesgos detectados
  • Elaborar el registro de las actividades de tratamiento
  • Informar a los interesados del tratamiento de sus datos y derechos
  • Nombrar un Delegado de Protección de Datos si procede
  • Informar de las brechas de seguridad cuando se produzcan

Esperamos haber solucionado tus dudas sobre cómo adaptar tu gimnasio a la normativa de protección de datos. Pero si necesitas ayuda o asesoramiento personalizado, no dudes en contactar con tu oficina más cercana de Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.