La protección de datos personales y la FIFA

La FIFA tiene el firme compromiso de respetar los derechos personales de cada individuo con el que interactúa

Javier Puyol
10/11/2019
 Actualizado a 10/11/2019
Hoy en día la Protección de Datos personales lo abarca prácticamente todo, y ello se hace extensivo e incluye todos los aspectos de la actividad económica, social, cultural, y en la que el ámbito deportivo no puede constituir, sin lugar a duda, una excepción.

Así, y como buena muestra de ello, debe señalarse que, en el mes de octubre pasado, se ha procedido a la aprobación del Reglamento sobre la Protección de Datos Personales de la FIFA.

En él se ha tratado de recoger las principales consideraciones existentes sobre la privacidad, en relación a los tratamientos de datos personales vinculados con el mundo del fútbol.

En su preámbulo, se dice que la FIFA tiene el firme compromiso de respetar los derechos personales de cada individuo con el que interactúa, y, por tanto, en este panorama, la protección de los datos personales cobra de nuevo una vital importancia y trascendencia.

En el citado Reglamento, se definen aspectos tan importantes como pueden ser los principios para el tratamiento de los datos de carácter personal, las transferencias de datos en el ámbito de la FIFA, entre sus Federaciones miembro.

También hace referencia, al mismo tiempo, a cualquier otra entidad deportiva dentro del ámbito del Futbol, a la que se aplique el indicado Reglamento sobre privacidad.

Debe destacarse que en dicha norma se establecen, asimismo, las reglas para la protección de categorías especiales de datos personales, y los derechos de todos los titulares o de los interesados.

Regular los diferentes tipos de tratamientos de datos


Tiene como objeto regular los diferentes tipos de tratamientos de datos personales que se producen dentro de las operaciones propias del ámbito de actividad de la FIFA.

Por ello, persigue la consecución de determinados objetivos que se detallan a continuación, y entre los que se encuentran los siguientes:

a). La creación de una norma aplicable al tratamiento de datos personales dentro del ámbito de actuación de la FIFA.

b). La provisión de garantías preventivas contra la violación de los derechos de la personalidad y de la privacidad, a través del tratamiento inadecuado de datos personales.

Se determina en esta nueva norma su carácter eminentemente complementario a la legislación aplicable en materia de protección de datos personales con función del ámbito territorial de cada sujeto obligado por dicho Reglamento.

Prevalece la normativa de carácter general en la materia, frente al Reglamento que nos ocupa, siempre y cuando dicha legislación sea más estricta, que los principios que se establecen en la indicada norma reglamentaria.

Además, este Reglamento se caracteriza porque se aplica a todas las actividades de la FIFA sin que exista limitación alguna al respecto.

Y es importante poner de manifiesto que el mismo hace responsable a las todas las Federaciones miembro de dicha organización, de garantizar su efectivo cumplimiento dentro de su ámbito de funciones.

Velando así, activamente, por el hecho de que sus miembros -por ejemplo, los Clubs de futbol- también la cumplan.

En lo que respecta a su ámbito objetivo de aplicación, se debe tener en cuenta que el Reglamento sólo se aplica en la medida en que:

a). Se traten datos personales para coma en nombre o con la FIFA.

b). Se intercambien o transfieran datos personales con la FIFA, con cualquier otra Federación miembro, o sus miembros, o con cualquier tercero en nombre de la FIFA.

c). Cuando se use la infraestructura facilitada por la FIFA a sus Federaciones miembros, y sus miembros, con el fin de tratar datos personales.

En lo que respecta a los principios aplicables a los tratamientos de datos de carácter personal en el ámbito de la FIFA, se establece una catalogación de los mismos, que son sucintamente los siguientes:

a). Los datos deben tratarse de manera lícita, justa y transparente en relación con el interesado.

En la norma se pone como ejemplo, que el tratamiento de los datos personales, ha de ser lícito, justo y transparente, considerándolo como tal cuando el nombre y apellidos, el género, la fecha de nacimiento y la dirección postal se usen para identificar y enviar una entrada para un evento deportivo a su comprador.

Siempre que el comprador haya sido informado previamente de cuáles de sus datos personales se van a usar, y con qué fin.

b). Los datos deben recabarse con fines específicos, explícitos y legítimos, y no tratarse posteriormente de ningún modo incompatible con los fines previstos en dicho Reglamento.
Se establece, asimismo, que es legítimo y plenamente compatible con los fines iniciales, aquellos tratamientos posteriores, que tengan como finalidad:

(i) el archivo histórico; (ii) los que se produzcan en interés público; o, (iii) los que se lleven a cabo con fines de investigación científica o histórica, o de carácter estadísticos.

En este sentido, se determina también como ejemplo, que, si los datos para la compra de una entrada de un evento deportivo se recopilaron con el único fin de emitir dicha entrada, y el comprador no ha sido informado del uso posterior de sus datos personales, dichos datos personales no podrán usarse para otros fines.

Es decir, por ejemplo, para la actividad de reventa a un patrocinador oficial para fines de comercialización de dichas entradas.

c). Los datos deben ser adecuados, relevantes y limitarse a lo que sea necesario para los fines para los que fueron tratados.

Consecuentemente con ello, cualquier dato personal que se trate debe cumplir con el fin con el que se recabó. Y por ello, no se recabará, ni se tratará adicionalmente algún dato personal que no sea necesario para cumplir con el fin previsto.

d). Los datos deben ser exactos y, cuando sea necesario, mantenerse permanentemente actualizados. Para ello, se deberán adoptar medidas razonables para garantizar que algún dato personal sea inexacto, teniendo en cuenta los fines para los que se tratan, se eliminan o se rectifican sin demora alguna.

Al hilo de ello, se reconoce la facultad de los interesados de poder solicitar del responsable de tratamiento.

La corrección de datos personales inexactos cuando sea posible y adecuado, el cual podrá establecer expresamente aquellos medios adecuados para que el interesado pueda acceder, examinar y corregir sus datos personales.

e). Los datos personales podrán conservarse en una forma que permita la identificación de los interesados solamente por el tiempo necesario para los fines para los que se trataron los mismos.

Los datos personales se podrán almacenar durante periodos más largos siempre que sean tratados únicamente con fines de archivo, en interés público, para fines de investigación científica o histórica o para fines estadísticos.

Siempre que estén sujetos a las medidas técnicas y organizativas adecuadas, que sean exigidas por la legislación vigente en materia de protección de datos personales, con el fin de proteger los derechos y las libertades del interesado.

Para ello se determina que corresponde al responsable del tratamiento determinar, junto con otras unidades de la entidad deportiva, si procede, la máxima duración de almacenamiento de los datos personales, así como el deber de documentar adecuadamente dicha decisión.

f). Los datos deben tratarse de tal modo, que se garantice la seguridad de estos, incluida la protección contra tratamientos no autorizados o ilícitos y contra pérdidas accidentales, destrucción o daño, usando para ello las medidas técnicas u organizativas adecuadas.

Para ello, se propone que las medidas organizativas adecuadas, puedan incluir la posibilidad de crear tratamientos internos para cumplir con la legislación aplicable en materia de privacidad.

Estos tratamientos deben ir dirigidos a la concienciación y a la formación de la correspondiente cultura corporativa en esta materia, entre aquellas personas que ostenten la condición de voluntarios, de empleados o de proveedores de las entidades deportivas.

Dichas personas se encuentran legalmente vinculados al tratamiento de los datos de manera lícita y en pleno contacto con ellos en el ejercicio de sus funciones profesionales.
Para ello se sugiere desde el ámbito FIFA, que se elaboren reglamentos internos y que se realicen ejercicios de todo tipo, que permitan la concienciación y la formación de tales personas.

g). Los datos personales sólo serán accesibles para las personas que los necesiten para el ejercicio de su actividad, y todo ello, sólo en la medida en que efectivamente los necesiten.

h). Cada entidad deportiva se tiene que asegurar de que toda la infraestructura utilizada para el tratamiento de datos personales está protegida adecuadamente con las medidas técnicas y organizativas de última generación.

Y al mismo tiempo, que sean razonables desde el punto de vista comercial, teniendo en cuenta, los riesgos a los que se van a enfrentar los interesados como resultado de un tratamiento incorrecto de sus propios datos personales.

Mención especial se hace en el Reglamento FIFA, a semejanza de lo dispuesto en el artículo 9º del RGPD, a las llamadas categorías especiales de datos personales, entre los que se encuentran:

Datos genéticos o biométricos

Los datos que revelen el origen étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos o biométricos, los datos relativos a la salud, los datos sobre la vida sexual, o la orientación sexual de una persona física, tienen necesariamente que contar con una protección especial a los efectos de impedir la producción de accesos no autorizados a los mismos.

En lo que atañe a los derechos básicos en el ámbito de la protección de datos, se reconocen una serie de derechos entre los que se encuentran los siguientes: el derecho a recibir información sobre la recopilación y el uso de los datos personales; el derecho a acceder a sus datos personales.

Dicho derecho deberá atender a las solicitudes de acceso en un plazo de 30 días.

Consecuentemente con ello, los interesados que soliciten el acceso sus datos deberán ser capaces de identificarse.

Los medios de identificación deberán ser proporcionados por los propios interesados, los cuales tienen la obligación de especificar a los datos personales a los qie quieren tener acceso.

Al mismo tiempo, tal como señala el Reglamento FIFA, cuando sea factible, técnicamente adecuado y económicamente razonable, los interesados deberán poder tener acceso a sus datos a través de una interfaz web que proporcionen los medios de seguridad y autenticación suficientes.

En este sentido, se dice que los interesados tienen derecho a conocer qué datos personales se están tratando por parte de la entidad deportiva en cuestión, y con qué fin o fines se está llevando a cabo.

Asimismo, es necesario por parte del responsable del tratamiento poner en marcha medidas de autenticación, con el fin de poder comprobar que la persona que realiza la solicitud es realmente el interesado que dice ser quien es.

En esta nueva norma, para poder acceder a datos de carácter sensibles, serán necesarias medidas de autenticación más seguras, qué podrían incluir incluso una copia de un documento de identidad oficial (DNI, carnet de conducir, pasaporte, etc.).

En este caso, la transferencia de la copia de un documento de identidad también requerirá también, según se dice en la norma, una protección adecuada.

Para acceder a los datos de baja sensibilidad desde una aplicación webbastará, por ejemplo, con la aportación de los datos de inicio de la sesión proporcionados por el propio interesado.

Acceso desde la aplicación web

En este caso, desde el Reglamento FIFA se recomienda que los interesados obtengan acceso a sus datos personales desde la aplicación web, como puede ser, un foro, una tienda virtual con credenciales de cliente, etc.

Esto puede ayudar en sobremanera a facilitar y simplificar el procedimiento de conceder el acceso a dichos datos personales.

Del mismo modo, se reconocen los derechos a la rectificación de los datos personales; el derecho al olvido; el derecho a restringir o impedir el tratamiento de datos personales de conformidad con la legislación aplicable en materia de protección de datos; el derecho a la portabilidad de los datos,considerado como el derecho a obtener una copia de los datos personales para reutilizarlos en otros servicios u organización.

También el derecho a presentar la correspondiente reclamación ante las autoridades y los tribunales competentes, de conformidad con la legislación aplicable en materia de protección de datos; el derecho a obtener una indemnización, y, cuando proceda, una compensación por violación de la legislación aplicable en este ámbito material.

Y, finalmente, cuando el tratamiento de datos personales incluya la toma de decisiones y la elaboración de perfiles, se podrásolicitar y ejercitar el derecho a la revisión de dicho proceso por parte de un humano, en virtud de la legislación aplicable en materia de protección de datos, cuando la toma de decisiones automatizada tenga como resultado una decisión jurídicamente vinculante para el interesado.

Como se vislumbra de esta nueva normativa, el nuevo Reglamento FIFA de protección de datos personales, parte en su fundamentos y trata de respetar especialmente el contenido del Reglamento (UE) 2016/679, aunque debe tenerse presente la dificultad y la complejidad de su aplicación, ya que dicho Reglamento FIFA sobrepasa con creces los límites de aplicación territorial de dicha normativa comunitaria, y por ende su ámbito de influencia.

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.

Lo más leído