La protección de datos personales es uno de los pilares fundamentales en la gestión de cualquier organización moderna, especialmente aquellas que manejan información sensible como es el caso de las entidades deportivas. El tratamiento adecuado de los datos personales no solo es una obligación legal, sino una cuestión de ética y confianza con los miembros de la organización, en especial cuando se trata de menores de edad.
En este contexto, la Resolución PS-00460-2024 de la Agencia Española de Protección de Datos (en adelante AEPD) se erige como un ejemplo crucial de cómo una infracción en el manejo de los datos personales puede generar consecuencias significativas tanto para la entidad responsable como para los interesados, en este caso, los jugadores juveniles de un club deportivo.
En el presente artículo, vamos a analizar la resolución anteriormente referenciada. Comenzamos haciendo mención al incidente objeto de conflicto: un modesto club de fútbol con una importante base de jugadores jóvenes recibió una alerta acerca de una caja de cartón abandonada en un contenedor de basura cercano a las instalaciones deportivas por parte de la Policía Local. Al investigar el contenido de la caja, los agentes encontraron una gran cantidad de documentos que contenían datos personales de los jugadores del club, la mayoría de ellos menores de edad.
Los documentos encontrados incluían información extremadamente sensible, como nombres completos, direcciones, fotografías de los menores, números de identificación e incluso datos relacionados con la salud de los jugadores, como antecedentes médicos o informes relacionados con lesiones. Este tipo de datos son clasificados como datos especialmente protegidos bajo el Reglamento General de Protección de Datos (en adelante RGPD) debido a su naturaleza sensible y a su potencial de causar daño a los interesados en caso de divulgación no autorizada.
El gerente del Club fue inmediatamente contactado por las autoridades y explicó que, durante una limpieza de las instalaciones, un miembro del personal del club había dejado accidentalmente la caja con los documentos personales en un lugar visible, lo que facilitó el acceso no autorizado a dichos datos. Aunque no se pudo identificar al responsable directo del abandono de la caja, el hecho mismo de que los documentos fueran dejados sin protección alguna constituyó una violación grave de las obligaciones de seguridad que impone el RGPD.
Pasando al marco normativo y su vulneración, el caso se fundamenta en el incumplimiento de varias disposiciones clave del RGPD. Uno de los principios fundamentales que se vulneró en este caso fue el principio de integridad y confidencialidad, establecido en el artículo 5.1.f) del RGPD.
Dicho artículo establece que los datos personales deben ser tratados de forma que se garantice su seguridad, lo que implica su protección contra el tratamiento no autorizado, su destrucción accidental o su pérdida. En este caso, los datos personales de los menores fueron dejados al alcance de cualquier persona sin medidas de seguridad adecuadas, lo que comprometió seriamente la integridad de los datos y expuso a los interesados a riesgos como el robo de identidad, el uso indebido de la información y el daño reputacional.
El Club, como responsable del tratamiento de los datos personales de sus jugadores, tenía la obligación legal de implementar medidas técnicas y organizativas adecuadas para proteger esos datos. El hecho de que los documentos con información sensible fueran almacenados y eliminados de manera inadecuada refleja un incumplimiento de esta obligación, lo que pone de manifiesto la falta de procedimientos internos eficaces para garantizar el cumplimiento del RGPD.
Un punto clave en este caso es que la mayoría de los datos afectados pertenecían a menores de edad. El RGPD establece que los datos personales de menores requieren un nivel adicional de protección debido a su vulnerabilidad. Las entidades que manejan datos de menores deben ser aún más rigurosas en cuanto a las medidas de seguridad, ya que los menores no siempre son conscientes de los riesgos asociados con el tratamiento de sus datos.
De todo ello se deduciría que dicho Club no ha adoptado las medidas técnicas y organizativas apropiadas a fin de preservar la confidencialidad y la integridad de los datos que almacena, por cuanto tras introducirlos de forma poco ordenada en una caja de cartón, “alguien” los consideró como “basura”. Bastaría, manifiesta la Agencia, con haber establecido medidas organizativas adecuadas, implantarlas y utilizarlas con una diligencia razonable. Por tanto, de conformidad con las evidencias de las que se disponía en el momento de acuerdo de inicio de procedimiento sancionador, la AEPD considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable al Club reclamado, por vulneración del artículo anteriormente mencionado.
Una vez tipificada a infracción conforme a los artículos 83 RGPD y 71 y 76 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), nuestra autoridad de control fijó una sanción inicial de 500 euros.
Asimismo, y con independencia de lo anterior, de conformidad con las evidencias de que se dispone en el presente momento de acuerdo de inicio de procedimiento sancionador, en la resolución que se adopte se podrá requerir al Club para que, en el plazo de 3 meses, adoptara las siguientes medidas:
1.- Acreditar la adopción de medidas técnicas y organizativas, a fin de preservar la confidencialidad y la integridad de los datos personales de jugadores del Club que almacena, y así garantizar el cumplimiento de lo dispuesto en el artículo 5.1 f) del RGPD.
2.- En relación con el tiempo de conservación de dichos datos, establecer un plazo máximo de conservación de esa información, en relación con la necesidad de acreditar, que dichos jugadores puedan seguir participando en competiciones, pero suprimirla cuando abandonen el Club o bien ya no sea necesaria.
3.- Establecer un mecanismo seguro de destrucción de dicha información.
No obstante, en el acuerdo de inicio de procedimiento sancionador, en su estipulación CUARTA, indican que a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la sanción que pudiera corresponder sería de multa administrativa de 1.000,00 euros.
En respuesta a la infracción, la AEPD propuso una multa de 1.000 euros que se redujo a 600 euros tras la aceptación de la responsabilidad por parte del club y el pago voluntario de la sanción. Esta multa, subraya la importancia de que las organizaciones cumplan con las normativas de protección de datos, ya que el incumplimiento de la ley puede resultar en consecuencias económicas, así como en daños a la reputación de la entidad.
El caso de este Club nos recuerda que la protección de datos no es una cuestión secundaria, sino una responsabilidad crucial para cualquier organización. El incumplimiento de las normativas de protección de datos puede tener consecuencias graves, tanto en términos legales como en la confianza que los miembros depositan en la entidad. Para las organizaciones deportivas, especialmente aquellas que gestionan información sensible de menores, el cumplimiento del RGPD y la implementación de políticas adecuadas de seguridad son fundamentales no solo para evitar sanciones, sino para garantizar un entorno seguro y de confianza para todos los involucrados.
Al aplicar las lecciones aprendidas de esta resolución y tomar medidas proactivas, las entidades deportivas pueden garantizar la protección de los datos de sus miembros y contribuir al desarrollo de un entorno respetuoso con la privacidad y la seguridad de la información personal.
Si queréis más información sobre sanciones a clubs deportivos pincha aquí y aquí.
