leyes

Nueva Ley protección de Datos

¿Eres entrenador o diriges un club/gimnasio/asociación deportiva?

Pues esto te afecta, porque el próximo 25 de Mayo Entra en vigor la GDPR, el nuevo reglamento Europeo de Protección de datos que lleva dos años en periodo transitorio, así que si no quieres tener problemas hay que actualizarse YA!!!

Qué es GDPR (o RGPD)

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.

Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley NO puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo un deportista de 17 años que nos rellene una ficha de inscripción para empezar a entrenar con nosotros.)

A quién afecta GDPR

Esta nueva normativa determina que todas las entidades que recojan datos, independientemente de su país de origen o su actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple, Facebook o Amazon (por poner algunos ejemplos) también están sujetas a ella siendo compañías americanas por desarrollar su actividad dentro de Europa, por supuesto desde cadenas de gimnasios con presencia en distintos países Europeos, hasta pequeños clubes deportivos de barrio.

Algunas nuevas Obligaciones

  1. Hasta ahora los datos que te facilitaban (sobre todo en inscripciones on line) podías guardarlos codificados y cuando un usuario te los solicitaba para llevarlos a otra compañía podías enviarle el fichero de cualquier modo, pero con la nueva ley tendrás la obligación de entregar a cada usuario (si te lo pide) todos los datos que tengas sobre el mismo en un formato legible por estándares genéricos, por ejemplo excel.
  2. Cualquiera a quién le hayamos recogido datos podrá pedirnos en cualquier momento la totalidad de sus datos que tenemos, dónde y cómo los estamos almacenando, si los hemos cedido o vendido alguna vez y a quién, y con qué fin almacenamos sus datos. Además por ley, a partir del día 25 estará prohibido para las empresas cobrar por entregar esta copia de la información de cada usuario.
  3. Además, a partir del día 25 de Mayo, se considerará Dato Personal a cualquier cosa que pueda identificar directa o indirectamente a un usuarios, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de un ordenador, etc.
  4. Por otro lado deberemos decir adiós a las casillas pre-marcadas, hasta ahora en muchos sitios podías encontrar un “cliquea si NO estás de acuerdo”, o casillas premarcadas con un “descliquea si no estás de acuerdo”, pero a partir de ahora cada usuario deberá dar consentimiento expreso de cada cosa que se le solicite.  Es decir, que el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos. Las entidades tendremos que mostrar las condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo, si la inscripción la rellenan niños deberá ser entendible por niños. Esto permitirá ver en cualquier formulario de inscripción al menos tres casillas distintas:
  • Aceptación de finalidad para la que recogemos los datos
  • Aceptación de dónde y cómo los vamos a guardar y si los vamos a enseñar a otros o no
  • Aceptación de fines comerciales dónde nos autoricen a enviarles mails o whatsapps con información de nuestro gimnasio o club deportivo.

Volver a pedir todos los datos

El reglamento nos exige que todos los datos recogidos antes de la ley, si no lo hemos hecho como exige la ley (con casillas separadas para cada aceptación, sin casillas pre-marcadas, etc), deberán ser eliminados y pedidos de nuevo a cada usuario.

Si alguien nos denuncia por haber obtenido sus datos de forma ilícita, NOSOTROS deberemos probar que tenemos sus datos conforme dice la ley si no queremos ser duramente sancionados.

Datos Médicos de los Deportistas

Desde muchos clubes, gimnasios y asociaciones deportivas solemos pedir un documento a firmar por los deportistas dónde indiquen si tienen alguna enfermedad en las articulaciones, enfermedades cardíacas, enfermedades pulmonares, o si los entrenadores debemos conocer algo en especial sobre nuestros alumnos a fin de no incrementar sus lesiones por desconocimiento.

A partir de la nueva ley, recomendamos cambiar la ficha médica dónde nos especifiquen exactamente que tienen, por otra dónde simplemente nos indiquen si desean que les animemos a seguir con determinados ejercicios o no. Por ejemplo:

“si ves que me canso: [] anímame a seguir    [] déjame tomar aire”

De este modo estaremos obteniendo de igual modo la información necesaria para nuestras clases sin necesidad de recoger datos especialmente sensibles, ni tener que adoptar medidas de seguridad extraordinarias. Las informaciones específicas pueden seguir haciéndose de modo verbal entre profesor-alumno guardando confidencialidad profesional como siempre.

Explicar si nos han hackeado

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. Con la entrada en vigor de GDPR las entidades deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.

El Responsable de Datos

Esta es una figura nueva No obligatoria pero altamente recomendable para dar de alta en la Agencia Española de Protección de Datos. Es la persona que se encargará de tramitar los datos de los usuarios en redes sociales para campañas publicitarias, enviar los mails y whatsapp a los usuarios cuando haya que enviarles notificaciones, o atender las reclamaciones de los usuarios que tengan alguna duda o problema. En entidades pequeñas no es obligatorio dar de alta en la AEPD a nadie en concreto y esto puede hacerlo más de una persona en la entidad (siempre que lo sepan los usuarios).

Pero si tenemos a alguien de la entidad dado de alta y alguna vez la agencia recibe una denuncia hacia nosotros, primero se realizará una advertencia al Responsable de Datos de la entidad para que solucione el problema, y en caso de no solucionarlo y seguir con el problema, entonces es cuando vendrá la denuncia (en vez de ser denunciados directamente).

Sanciones

Si bien antes las sanciones por incumplimiento eran brutales y podían conllevar cárcel para los responsables del incumplimiento, ahora serán en base a un porcentaje de la facturación anual de la entidad desde un 0,1% hasta un 4% de la facturación o un máximo de 20 millones de €.

Además se crea la ventanilla única, de modo que desde cualquier país Europeo cualquier usuario podrá accionar una denuncia contra cualquier compañía que desarrolle actividad en cualquier lugar de Europa (como nuestro club deportivo).