Los centros deportivos y gimnasios se enfrentan a un panorama de cumplimiento del RGPD más exigente de lo que habitualmente se percibe. La razón principal es la utilización de datos biométricos —con frecuencia huellas dactilares— para el control de acceso. El artículo 9.1 del Reglamento (UE) 2016/679 incluye expresamente los «datos biométricos dirigidos a identificar de manera unívoca a una persona física» entre las categorías especiales de datos, cuyo tratamiento está prohibido con carácter general salvo que concurra alguna de las excepciones del artículo 9.2. Para la mayoría de los gimnasios la única base habilitante viable es el consentimiento explícito del socio en los términos del artículo 9.2.a del RGPD, lo que implica que ese consentimiento debe ser libre, específico, informado e inequívoco y que el socio que no desee ceder su biometría debe poder acceder a la instalación por un medio alternativo sin menoscabo de sus derechos.
El uso de sistemas biométricos de control de acceso activa además la obligación de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) con carácter previo al inicio del tratamiento, conforme al artículo 35 del RGPD. La AEPD ha incluido el tratamiento a gran escala de datos de categorías especiales en su relación de tipos de operaciones que requieren EIPD, y los sistemas de huella dactilar implantados en instalaciones deportivas se encuadran en ese supuesto cuando el volumen de socios es significativo. La EIPD no es un formulario: es un análisis estructurado de los riesgos para los derechos y libertades de los socios, las medidas para mitigarlos y la justificación de que el tratamiento es necesario y proporcional al fin perseguido. Si tras la evaluación el riesgo residual sigue siendo alto y el responsable no puede adoptar medidas suficientes para reducirlo, el artículo 36 del RGPD obliga a consultar a la AEPD antes de iniciar el tratamiento.
Los cuestionarios de aptitud física —como el PAR-Q o formularios equivalentes— suponen otro frente de cumplimiento. Estos documentos recogen datos sobre enfermedades cardiovasculares, lesiones, medicación o contraindicaciones para el ejercicio, lo que los sitúa en el ámbito de los datos relativos a la salud del artículo 9.1 del RGPD. El tratamiento de esta información exige una base jurídica específica del artículo 9.2 —habitualmente el consentimiento explícito del artículo 9.2.a— y una cláusula informativa del artículo 13 del RGPD que explique la finalidad del tratamiento, el plazo de conservación y los derechos que el socio puede ejercer. No es suficiente con añadir el cuestionario al reverso del contrato de adhesión: el centro deportivo debe garantizar que el socio comprende que está cediendo datos de salud y que presta su consentimiento de forma diferenciada y consciente.
La videovigilancia es el tercer elemento crítico en las instalaciones deportivas. El artículo 22 de la LOPDGDD (LO 3/2018) regula el tratamiento de imágenes mediante cámaras de seguridad: exige colocar señalización informativa en lugar visible en todos los accesos a las zonas vigiladas, conservar las imágenes durante un plazo máximo de un mes desde su captación —salvo que estén vinculadas a hechos delictivos o incidentes que requieran su aportación a las autoridades o a procedimientos judiciales— y garantizar que las cámaras no captan zonas donde se vulnere la intimidad de las personas. La instalación de cámaras en vestuarios, aseos o duchas constituye una infracción grave del RGPD y de la LOPDGDD y puede dar lugar a procedimientos sancionadores ante la AEPD.
Las domiciliaciones bancarias de las cuotas mensuales y los datos de pago de los socios completan el mapa de tratamientos. Aunque el IBAN y los datos de pago no son categorías especiales, su tratamiento requiere una base jurídica del artículo 6 del RGPD —habitualmente la ejecución del contrato conforme al artículo 6.1.b— y medidas de seguridad adecuadas al riesgo conforme al artículo 32 del RGPD, que comprenden el cifrado de la información, el control de acceso interno y la gestión de los contratos con los encargados del tratamiento (plataformas de gestión de socios, procesadores de pago, entidades de cobro). En Summum Consultoría acompañamos al centro deportivo en la identificación y documentación de todos estos tratamientos, en la implantación de las medidas técnicas y organizativas adecuadas y en la formación del equipo para que el cumplimiento sea efectivo en el día a día de la instalación.