RGPD per a federacions esportives: què has de complir amb les dades dels teus afiliats

Una federació esportiva gestiona algunes de les dades personals més sensibles que existeixen: DNIs, dates de naixement de menors, dades mèdiques, fotografies, signatures. I ho fa a gran escala: una federació autonòmica pot arribar a custodiar les dades de desenes de milers de persones.

El RGPD (Reglament UE 2016/679) i el seu desenvolupament espanyol a la LOPD-GDD s’apliquen amb la mateixa intensitat a una federació que a un banc. La diferència és que el banc té un departament de compliment i la federació sol tenir un secretari a mitja jornada. Aquesta guia resumeix el que sí o sí has de complir, sense argot innecessari.

Aquesta guia és informativa, no substitueix un assessorament legal personalitzat. Per a dubtes concrets, consulta amb el teu delegat de protecció de dades o un despatx especialitzat.

Els sis principis del RGPD aplicats a una federació

El RGPD es construeix sobre sis principis. Vegem-los en clau federativa:

1. Licitud, lleialtat i transparència. Només pots tractar dades si tens una base legal clara (contracte federatiu, obligació legal, consentiment…) i si ho comuniques amb honestedat al titular.
2. Limitació de la finalitat. Les dades de les llicències esportives no es poden fer servir per, per exemple, campanyes comercials d’un patrocinador sense consentiment addicional.
3. Minimització de dades. Si no necessites l’adreça postal per a res, no la demanis. Si mai fas servir la professió del federat, elimina aquest camp del formulari.
4. Exactitud. Les dades han d’estar actualitzades. Necessites un procediment perquè el federat pugui rectificar sense trucar-te per telèfon.
5. Limitació del termini de conservació. No pots conservar dades indefinidament. Fixa terminis per tipus de dada.
6. Integritat i confidencialitat. Les dades han d’estar protegides davant accessos no autoritzats, pèrdues i alteracions.

Categories de dades que gestiones (i el seu risc)

No totes les dades pesen igual. El RGPD distingeix entre dades ordinàries i categories especials amb protecció reforçada. En una federació conviuen totes dues:

Tipus de dada	Exemples	Risc RGPD
Identificatives	Nom, DNI, adreça, telèfon, email	Mitjà
Econòmiques	IBAN, historial de pagaments	Alt
Imatge	Foto del carnet, imatges de competicions	Alt (especialment si hi ha menors)
Salut	Certificats mèdics, reconeixements, lesions	Categoria especial — molt alt
Dades de menors	Tot l’anterior quan el titular té <14 anys	Reforçat

Les dades mèdiques i les de menors requereixen mesures tècniques i organitzatives reforçades: xifratge en repòs, logs d’accés, consentiment exprés de pares o tutors.

Bases legitimadores: per què pots tractar aquestes dades?

Moltes federacions cometen l’error de recolzar-ho tot en el consentiment. És la base més fràgil (es pot retirar en qualsevol moment). En realitat, gairebé tot el tractament federatiu s’empara en altres bases més sòlides:

• Execució d’un contracte (o relació associativa). La llicència federativa crea una relació gairebé contractual; tractar les dades necessàries per emetre-la, gestionar-la i renovar-la està emparat per aquesta base.
• Compliment d’una obligació legal. La Llei de l’Esport, normativa antidopatge, obligacions fiscals amb Hisenda: tot això obliga a tractar dades concretes.
• Interès legítim. Per a seguretat informàtica, prevenció de frau, auditories internes.
• Consentiment. Reservat al que no es pot justificar per cap altra base: butlletí comercial, cessió d’imatge per material de màrqueting, campanyes de tercers.

La clau operativa: registra quina base legal sustenta cada tractament al teu registre d’activitats. Si arriba una inspecció, aquesta taula és el primer que demanaran.

El registre d’activitats de tractament (RAT)

És obligatori si tractes dades a gran escala o dades especials, i una federació compleix tots dos criteris. El RAT és un document intern que llista tots els teus tractaments i respon, per cadascun, a:

• Finalitat del tractament (ex.: “emissió i renovació de llicències”).
• Categories d’interessats (ex.: “federats majors”, “federats menors”, “tècnics”).
• Categories de dades (ex.: “identificatives, econòmiques, salut”).
• Destinataris (clubs, federació nacional, asseguradora, administració tributària).
• Terminis de supressió.
• Mesures de seguretat tècniques i organitzatives.
• Transferències internacionals (si n’hi ha).

No és un document que es publiqui: és intern, però ha d’estar actualitzat i disponible per a l’APDCAT/AEPD si te’l demanen.

Les obligacions que més s’obliden

Dels 99 articles del RGPD, hi ha cinc punts que les federacions solen descuidar:

1. Informació a l’interessat en el moment de l’alta

Al formulari d’inscripció o renovació ha d’aparèixer, abans que signi, la informació sobre qui tracta les seves dades, amb quina finalitat, en què es basa, a qui les cedeix i com exercir els seus drets. No val amagar-ho en un PDF de 20 pàgines que ningú llegeix.

2. Consentiment parental per a menors de 14 anys

Per als menors, no n’hi ha prou amb la signatura del pare a la llicència: hi ha d’haver un consentiment específic al tractament de dades. Si passes imatges del menor a xarxes socials o a una publicació, necessites un consentiment addicional explícit.

3. Dret d’accés en 30 dies

Si un federat demana una còpia de totes les seves dades, tens un mes per respondre-li amb tota la informació en un format portable. Si el teu Excel està repartit entre 5 secretaris, complir aquest termini és un desafiament real.

4. Notificació de bretxes en 72 hores

Si hi ha una bretxa de seguretat (correu a la persona equivocada amb una base de dades adjunta, portàtil robat, base de dades filtrada), has de notificar-ho a l’APDCAT/AEPD en 72 hores. Tenir un protocol escrit per endavant estalvia pànic.

5. Encarregats del tractament (proveïdors)

El teu proveïdor de software, el teu gestor d’emails, la teva passarel·la de pagaments: tots són encarregats del tractament. Necessites signar amb cadascun un contracte específic (art. 28) que detalli què poden i no poden fer amb les dades. Demanar-ho proactivament és bona pràctica.

Delegat de Protecció de Dades (DPD)

Les federacions autonòmiques i nacionals, per volum i sensibilitat, haurien de designar un DPD — intern o extern. No és sempre estrictament obligatori, però l’APDCAT ho recomana fortament. Una federació petita pot compartir DPD amb altres entitats del grup.

El DPD no és qui resol els problemes: és qui assessora, audita i fa d’interlocutor amb l’autoritat de control. La seva figura ha d’estar publicada al web i comunicada a l’Agència.

Com el software t’ajuda (i com Excel t’enfonsa)

Treballar amb Excel contra el RGPD és gairebé impossible:

• No registra accessos ni modificacions (no hi ha traçabilitat).
• Es copia per email i es guarda en carpetes oblidades (difícil d’auditar).
• No xifra les dades en repòs.
• No facilita una exportació estructurada per persona per a drets d’accés.
• No implementa permisos granulars per camp.

Un software de gestió federativa ben fet et dona, de sèrie:

• Logs d’auditoria (qui va veure o modificar què i quan).
• Xifratge en repòs i en trànsit (HTTPS obligatori, base de dades xifrada).
• Exportació per persona amb un clic per a drets d’accés.
• Rols i permisos granulars.
• Backup diari amb termini de retenció.
• Allotjament a la UE, amb els contractes d’encàrrec signats.

Llista de control ràpida

Abans de tancar l’any, revisa:

• Tinc un RAT actualitzat amb tots els tractaments.
• Cada formulari inclou la informació de l’art. 13 RGPD abans de la signatura.
• Recullo consentiments separats per a butlletí i imatges.
• Tinc procediment escrit per respondre drets d’accés i supressió.
• Els meus proveïdors de software tenen contracte d’encàrrec signat.
• Tinc protocol escrit de notificació de bretxes.
• Totes les dades estan allotjades a la UE.
• Tinc un DPD designat i comunicat a l’autoritat (si escau).

Complir no és un tràmit. És el segell de qualitat d’una federació seriosa, i a més és un avantatge competitiu quan els clubs comparen opcions.