En este tipo de actividad podemos incluir gimnasios, estudios de entrenamiento personal, centros deportivos, centros de fitness, centros de Yoga, Centro Fitness & Wellness, Centros Boutique, club de deportes, rocódromos, instalaciones de CrossFit, actividades de baile,.etc, de todos los tamaños y actividades.
Cuando un nuevo cliente se inscribe en un gimnasio o centro deportivo, lo habitual es que tenga que rellenar o aportar ciertos datos personales.. Por ello, este tipo de empresas deben adaptarse a la actual normativa de protección de datos. En esta entrada vamos a explicarte cómo cumplir con la Ley de Protección de Datos en gimnasios y centros deportivos
- ¿Cómo deben cumplir los gimnasios y centros deportivos el RGPD?
- 1.Registro de actividades de tratamiento para un gimnasio o centro deportivo
- 2. Análisis de riesgos
- 3. ¿Qué debo hacer si mi gimnasio debe ceder datos a terceros?
- 4. Consentimiento de clientes
- 5. Los empleados del gimnasio o centro deportivo también deben cumplir la protección de datos
- 6. ¿Qué medidas debe tomar un gimnasio o centro deportivo si tiene página web?
- 7. Notificar brechas de seguridad
- ¿Necesita tu gimnasio o centro deportivo nombrar un DPD/DPO?
- Preguntas frecuentes
- ¿Qué tengo que hacer en caso de tratar datos de salud o tener un lector de huella dactilar?
- ¿Qué hago con los curriculum que me dejan en el gimnasio o centro deportivo?
- ¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?
- ¿Puedo enviar comunicaciones comerciales a clientes?
- ¿Si soy entrenador personal debo cumplir con la protección de datos?
- Sanciones
¿Cómo deben cumplir los gimnasios y centros deportivos el RGPD?
Al inscribirse un alumno, tendrá que dar ciertos datos personales al cumplimentar la solicitud, datos que a veces pueden incluir información sobre la condición física o la salud del usuario. Además, tampoco es raro que si el usuario solicita que le hagan un régimen o tabla de ejercicios, se le solicite más información personal relacionada con su condición física.
Pero además de los datos personales que se manejan de los clientes del gimnasio o centro deportivo, también están aquellos de los empleados que trabajan allí y que también quedan amparados por la LOPD y el RGPD. Para poder cumplir con la protección de datos para empresas, hay una serie de actuaciones que es necesario llevar a cabo.
Tanto si debes adaptar la protección de datos para un club deportivo como para un gimnasio, estas son las principales actuaciones que debes realizar:
Las principales actuaciones que debes realizar en tu gimnasio para adaptarte a la normativa son:
- Realizar un Registro de actividades de tratamiento
- Realizar un Análisis de riesgos
- Realizar la Evaluación de impacto
- Elaborar el Documento de seguridad
- Firmar los contratos con terceros
- Firmar los contratos con los empleados
- Solicitar el consentimiento a los clientes
- Incluir los textos legales en la página web
- Notificar brechas de seguridad
A continuación vamos a ver más en detalle algunas de estas actuaciones.
1.Registro de actividades de tratamiento para un gimnasio o centro deportivo
La primera de las obligaciones de los gimnasios o centros deportivos en materia de protección de datos es elaborar un registro de actividades de tratamiento, con el que podremos determinar el tipo de datos personales que manejamos, en qué cantidad lo hacemos y cómo se realiza este tratamiento.
El registro de actividades de tratamiento contendrá la siguiente información:
- Tipo de datos almacenados
- Legitimados
- Política de almacenamiento de esos datos
- Finalidad
- Si realizas cesiones o transferencias internacionales
- Medios a través de los que realizas el tratamiento
Es fundamental mantener este registro lo más actualizado posible, puesto que en caso de una inspección de la Agencia Española de Protección de Datos (AEPD), este es uno de los primeros documentos que te van a pedir que presentes. Puede estar recogido tanto en formato electrónico como en formato papel.
Los tratamientos de datos que son más habituales en los gimnasios o centros deportivos son:
- Clientes y familiares
- Proveedores
- Curriculum o candidatos
- Videovigilancia
- Recursos Humanos
- TPV
- Información de salud del deportista: condición física o la salud del usuario, tratamientos de fisioterapia, etc.
- Contacto Web y redes sociales
- Certificados negativos de delitos penales
2. Análisis de riesgos
En el momento en que tu gimnasio o centro deportivo maneja datos personales de tus usuarios y empleados, debes ser consciente de que existen riesgos a los que las actividades de tratamiento pueden dejarlos expuestos. Por ello es necesario llevar a cabo un análisis de estos riesgos, para lo que puedes tener en cuenta los siguientes puntos:
- medios de tratamiento,
- cesiones,
- tipo de datos,
- naturaleza de los datos,
- transferencias internacionales y
- número de interesados afectados;
Si de ese análisis concluyes que además existe algún riesgo especialmente alto, deberás llevar a cabo una evaluación de impacto para minimizar los perjuicios que puedan causarse en materia de los derechos o libertades de los interesados (los clientes o empleados).
Es raro que este tipo de empresas necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla. Por ejemplo, si en el centro se realizan actividades para las que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesitas la Evaluación de impacto.
Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.
3. ¿Qué debo hacer si mi gimnasio debe ceder datos a terceros?
Una de las obligaciones recogidas en la normativa de protección de datos que también deben aplicar los gimnasios o centros deportivos es asegurarse de que las empresas o profesionales externos con los que tengan una relación laboral y que puedan tener acceso a los datos personales de sus clientes, cumplan con la ley también.
Cuando una empresa cede datos de sus clientes a terceros, es su responsabilidad asegurarse de que estos terceros también cumplen la Ley de Protección de Datos. Para ello, es necesario firmar un contrato de encargo de tratamiento con esos terceros, acuerdo donde se establecerán las obligaciones de estos para proteger los datos personales a los que puedan acceder.
Además, también debemos asegurarnos que los usuarios o clientes están informados sobre quién y para qué se recopilan sus datos.
Tu gimnasio o centro deportivo cede datos a terceros cuando contrata una asesoría fiscal o laboral para que lleve todos los temas laborales, como por ejemplo la gestión de nóminas de los empleados, y la información fiscal. También si ha contratado algún tipo de servicio en la nube para almacenar datos, a un fisioterapeuta autónomo, guardería externa o a una empresa de asesoramiento en prevención de riesgos laborales o en otros temas. Cuidado si contratas a trabajadores del gimnasio en modo autónomo en vez de por cuenta ajena.
4. Consentimiento de clientes
Cumplir con la actual normativa de protección de datos en gimnasios o centros deportivos no se limita solo a los puntos que ya hemos visto o a la actualización de la política de privacidad. Ahora es necesario contar con el consentimiento expreso de todos los clientes para poder tratar sus datos personales.
Esta es la principal consecuencia de la adaptación del RGPD, cuya primera finalidad es que los usuarios estén más y mejor informados sobre el uso que las empresas pueden hacer de sus datos, qué datos personales pueden recoger, cómo tratarlos y para qué fin. Por ello, también es fundamental comunicar a nuestros clientes, empleados y otros usuarios cualquier cambio que realicemos sobre nuestras políticas de privacidad.
Este consentimiento puede solicitarse de dos formas:
- Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
5. Los empleados del gimnasio o centro deportivo también deben cumplir la protección de datos
Si tienes empleados en tu gimnasio, es obligación de la empresa asegurarse de que ellos también cumplirán con la protección de los datos personales a los que puedan acceder.
Para evitar que tus empleados revelen información a terceros no autorizados, deben firmar un acuerdo de confidencialidad o incluir cláusulas de confidencialidad en el contrato de trabajo, donde se especifiquen obligaciones y consecuencias en caso de incumplimiento.
Además, debes informar y formar sobre las medidas de seguridad para cumplir con la protección de datos en tu gimnasio a tus empleados, para que puedan contemplarlas y aplicarlas, puesto que si cuentan con correos de trabajo o acceso a la red interna de la empresa, pueden suponer un punto vulnerable frente a ciberataques que busquen robar datos.
6. ¿Qué medidas debe tomar un gimnasio o centro deportivo si tiene página web?
Si tu gimnasio o centro deportivo cuenta con una página web, hay ciertas acciones en materia de protección de datos que debes realizar, para asegurarte de que cumples con la ley, especialmente si a través de esa web ofreces alguna clase de servicio o tienes una tienda online en la que vendas productos deportivos o relacionados con el deporte.
Principalmente, en tu página web deberás incluir los textos legales exigidos por la LOPD y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
A continuación te detallamos el contenido de cada uno de estos apartados.
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de cookies
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
Política de privacidad
Es importante que revises la política de privacidad del centro deportivo y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- existencia de un tratamiento de los datos que se le están solicitando,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- finalidad,
- destinatario o destinatarios de aquella información,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.
7. Notificar brechas de seguridad
Tu gimnasio o centro deportivo tendrá un plazo máximo de 72 horas para notificar una incidencia de seguridad sobre los datos, tanto a los interesados como la Agencia Española de Protección de datos. Deberías tener implementado un plan o protocolo de actuación para responder de forma rápida ante estas situaciones, asegurándote de que cumples el plazo, pero además, de que eres capaz de solucionar cualquier problema o incidencia relacionada con la vulnerabilidad de tu sistema.
Además, contar con medidas de seguridad adecuadas y planes de respuesta puede funcionar de atenuante ante posibles sanciones de la Agencia Española de Protección de datos.
¿Necesita tu gimnasio o centro deportivo nombrar un DPD/DPO?
Lo cierto es que depende del volumen y tipo de datos que manejes en el gimnasio o centro deportivo. Designar un Delegado de Protección de Datos es obligatorio cuando se manejan grandes cantidades de datos personales sistemáticamente, cuando esos datos son de categoría especial (como los de salud) o son de menores de edad.
Así que si en tu gimnasio o centro deportivo vas a tratar ese tipo de datos, necesitarás nombrar a un DPO, que puede ser un empleado de la plantilla, un profesional externo o una empresa especializada en protección de datos.
En cualquier caso, la identidad y los datos de contacto del DPO deben ser comunicados a la AEPD.
También en cuenta que aunque en tu gimnasio no sea obligatorio contar con este tipo de profesional, puede ser recomendable contar con él, puesto que se asegurará de que se cumple la normativa de protección de datos en tu centro.
Preguntas frecuentes
¿Qué tengo que hacer en caso de tratar datos de salud o tener un lector de huella dactilar?
Los datos de salud o la huella dactilar son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:
- sistema operativo y software de gestión siempre actualizado,
- solo instalar software original,
- realizar copias de seguridad,
- utilizar contraseñas únicas y seguras,
- activar todas las opciones de seguridad del navegador de Internet y
- cifrar los archivos con datos personales.
¿Qué hago con los curriculum que me dejan en el gimnasio o centro deportivo?
Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:
- finalidad del tratamiento,
- plazo de conservación de los datos,
- identificación del responsable del tratamiento,
- destinatarios de esos datos y
- derechos que asisten a esa persona.
En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.
¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?
Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.
¿Puedo enviar comunicaciones comerciales a clientes?
Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitarlo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.
¿Si soy entrenador personal debo cumplir con la protección de datos?
Sí, también debe cumplir con la Ley de Protección de Datos un entrenador personal, en la misma medida que una empresa, cuando maneja datos personales de sus clientes; es decir, debe informar de su política de privacidad, sus datos de contacto, el tratamiento de datos y la finalidad, así como recabar el consentimiento de sus clientes para manejar dichos datos.
Sanciones
Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.
Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.
A continuación puedes ver algunos ejemplos de sanciones impuestas por la AEPD a gimnasios.
Tratar datos biométricos sin legitimación para ello
Un socio de un gimnasio denuncia ante la Agencia Española de Protección de Datos que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Se impone una multa al gimnasio de 1.500 €. Resolución AEPD R/00900/2018
Enviar correos a varios clientes sin copia oculta
Un cliente de un gimnasio recibió un correo por error con un archivo adjunto con datos personales, incluidos los suyos propios, de 9.293 usuarios. Decidió poner en conocimiento de la Agencia Española de Protección de Datos este hecho, la cual inició la investigación para saber cómo se habían producido los hechos.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Fue impuesta una multa al gimnasio de 3.000 euros por incumplir la ley de Protección de Datos.
Te recomendamos que adaptes tu gimnasio o centro deportivo a la normativa de Protección de Datos.
¿Necesitas Ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/