RGPD para federaciones deportivas: qué debes cumplir con los datos de tus afiliados

Una federación deportiva maneja algunos de los datos personales más sensibles que existen: DNIs, fechas de nacimiento de menores, datos médicos, fotografías, firmas. Y lo hace a gran escala: una federación autonómica puede llegar a custodiar los datos de decenas de miles de personas.

El RGPD (Reglamento UE 2016/679) y su desarrollo español en la LOPD-GDD aplican con la misma intensidad a una federación que a un banco. La diferencia es que el banco tiene un departamento de cumplimiento y la federación suele tener un secretario a media jornada. Esta guía resume lo que sí o sí tienes que cumplir, sin jerga innecesaria.

Esta guía es informativa, no sustituye a un asesoramiento legal personalizado. Para dudas concretas, consulta con tu delegado de protección de datos o un despacho especializado.

Los seis principios del RGPD aplicados a una federación

El RGPD se construye sobre seis principios. Veámoslos en clave federativa:

1. Licitud, lealtad y transparencia. Solo puedes tratar datos si tienes una base legal clara (contrato federativo, obligación legal, consentimiento…) y si lo comunicas con honestidad al titular.
2. Limitación de la finalidad. Los datos de las licencias deportivas no pueden usarse para, por ejemplo, campañas comerciales de un patrocinador sin consentimiento adicional.
3. Minimización de datos. Si no necesitas la dirección postal para nada, no la pidas. Si nunca usas la profesión del federado, elimina ese campo del formulario.
4. Exactitud. Los datos deben estar actualizados. Necesitas un procedimiento para que el federado pueda rectificar sin llamarte por teléfono.
5. Limitación del plazo de conservación. No puedes conservar datos indefinidamente. Fija plazos por tipo de dato.
6. Integridad y confidencialidad. Los datos tienen que estar protegidos frente a accesos no autorizados, pérdidas y alteraciones.

Categorías de datos que manejas (y su riesgo)

No todos los datos pesan igual. El RGPD distingue entre datos ordinarios y categorías especiales con protección reforzada. En una federación conviven ambos:

Tipo de dato	Ejemplos	Riesgo RGPD
Identificativos	Nombre, DNI, dirección, teléfono, email	Medio
Económicos	IBAN, historial de pagos	Alto
Imagen	Foto del carnet, imágenes de competiciones	Alto (especialmente si hay menores)
Salud	Certificados médicos, reconocimientos, lesiones	Categoría especial — muy alto
Datos de menores	Todo lo anterior cuando el titular tiene <14 años	Reforzado

Los datos médicos y los de menores requieren medidas técnicas y organizativas reforzadas: cifrado en reposo, logs de acceso, consentimiento expreso de padres o tutores.

Bases legitimadoras: ¿por qué puedes tratar esos datos?

Muchas federaciones cometen el error de apoyarlo todo en el consentimiento. Es la base más frágil (se puede retirar en cualquier momento). En realidad, casi todo el tratamiento federativo se ampara en otras bases más sólidas:

• Ejecución de un contrato (o relación asociativa). La licencia federativa crea una relación casi contractual; tratar los datos necesarios para emitirla, gestionarla y renovarla está amparado por esta base.
• Cumplimiento de una obligación legal. La Ley del Deporte, normativa antidopaje, obligaciones fiscales con Hacienda: todo esto obliga a tratar datos concretos.
• Interés legítimo. Para seguridad informática, prevención de fraude, auditorías internas.
• Consentimiento. Reservado a lo que no se puede justificar por ninguna otra base: newsletter comercial, cesión de imagen para material de marketing, campañas de terceros.

La clave operativa: registra qué base legal sustenta cada tratamiento en tu registro de actividades. Si llega una inspección, esa tabla es lo primero que te pedirán.

El registro de actividades de tratamiento (RAT)

Es obligatorio si tratas datos a gran escala o datos especiales, y una federación cumple ambos criterios. El RAT es un documento interno que lista todos tus tratamientos y responde, por cada uno, a:

• Finalidad del tratamiento (ej.: “emisión y renovación de licencias”).
• Categorías de interesados (ej.: “federados mayores”, “federados menores”, “técnicos”).
• Categorías de datos (ej.: “identificativos, económicos, salud”).
• Destinatarios (clubs, federación nacional, aseguradora, administración tributaria).
• Plazos de supresión.
• Medidas de seguridad técnicas y organizativas.
• Transferencias internacionales (si las hay).

No es un documento que se publique: es interno, pero debe estar actualizado y disponible para la AEPD si te lo piden.

Las obligaciones que más se olvidan

De los 99 artículos del RGPD, hay cinco puntos que las federaciones suelen descuidar:

1. Información al interesado en el momento del alta

En el formulario de inscripción o renovación debe aparecer, antes de que firme, la información sobre quién trata sus datos, con qué finalidad, en qué se basa, a quién los cede y cómo ejercer sus derechos. No vale esconderlo en un PDF de 20 páginas que nadie lee.

2. Consentimiento paterno/materno para menores de 14 años

Para los menores, no basta con la firma del padre en la licencia: debe haber un consentimiento específico al tratamiento de datos. Si pasas imágenes del menor a redes sociales o a una publicación, necesitas un consentimiento adicional explícito.

3. Derecho de acceso en 30 días

Si un federado pide una copia de todos sus datos, tienes un mes para responderle con toda la información en un formato portable. Si tu Excel está repartido entre 5 secretarios, cumplir este plazo es un desafío real.

4. Notificación de brechas en 72 horas

Si hay una brecha de seguridad (correo a la persona equivocada con una base de datos adjunta, portátil robado, base de datos filtrada), debes notificar a la AEPD en 72 horas. Tener un protocolo escrito de antemano ahorra pánico.

5. Encargados del tratamiento (proveedores)

Tu proveedor de software, tu gestor de emails, tu pasarela de pagos: todos son encargados del tratamiento. Necesitas firmar con cada uno un contrato específico (art. 28) que detalle qué pueden y no pueden hacer con los datos. Pedirlo proactivamente es buena práctica.

Delegado de Protección de Datos (DPD)

Las federaciones autonómicas y nacionales, por volumen y sensibilidad, deberían designar un DPD — interno o externo. No es siempre estrictamente obligatorio, pero la AEPD lo recomienda fuertemente. Una federación pequeña puede compartir DPD con otras entidades del grupo.

El DPD no es el que resuelve los problemas: es quien asesora, audita y hace de interlocutor con la AEPD. Su figura debe estar publicada en la web y comunicada a la Agencia.

Cómo el software te ayuda (y cómo Excel te hunde)

Trabajar con Excel contra el RGPD es casi imposible:

• No registra accesos ni modificaciones (no hay trazabilidad).
• Se copia por email y se guarda en carpetas olvidadas (difícil de auditar).
• No cifra los datos en reposo.
• No facilita una exportación estructurada por persona para derechos de acceso.
• No implementa permisos granulares por campo.

Un software de gestión federativa bien hecho te da, de serie:

• Logs de auditoría (quién vio o modificó qué y cuándo).
• Cifrado en reposo y en tránsito (HTTPS obligatorio, base de datos cifrada).
• Exportación por persona con un clic para derechos de acceso.
• Roles y permisos granulares.
• Backup diario con plazo de retención.
• Alojamiento en la UE, con los contratos de encargo firmados.

Lista de control rápida

Antes de cerrar el año, revisa:

• Tengo un RAT actualizado con todos los tratamientos.
• Cada formulario incluye la información del art. 13 RGPD antes de la firma.
• Recojo consentimientos separados para newsletter e imágenes.
• Tengo procedimiento escrito para responder derechos de acceso y supresión.
• Mis proveedores de software tienen contrato de encargo firmado.
• Tengo protocolo escrito de notificación de brechas.
• Todos los datos están alojados en la UE.
• Tengo un DPD designado y comunicado a la AEPD (si procede).

Cumplir no es un trámite. Es el sello de calidad de una federación seria, y además es una ventaja competitiva cuando los clubs comparan opciones.