Por qué el tema se ha vuelto urgente
La digitalización del ecosistema deportivo ha sido vertiginosa. Un club modesto hoy usa pasarelas de pago, plataformas de gestión, videograbación de entrenamientos y canales sociales. Cada capa añade tratamientos de datos personales y, con ellos, obligaciones. La novedad no está en la ley, sino en el alcance real de la tecnología: sensores en el cuerpo, reconocimiento facial en accesos, análisis de rendimiento y difusión masiva de imágenes en segundos.
Marco legal, en román paladino
En España rige el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, LOPDGDD.
Ambos marcan los principios que toda entidad deportiva debe cumplir: licitud, transparencia, minimización, exactitud, limitación de la conservación e integridad y confidencialidad.
No hay excepciones por tamaño o forma jurídica. Un club de barrio, una federación autonómica o una empresa gestora comparten deberes: informar bien, recabar consentimientos válidos cuando proceda, firmar contratos con proveedores, evaluar riesgos y proteger de verdad la información.
Qué datos se tratan realmente
Más allá del nombre y el correo, el deporte toca categorías sensibles. La imagen del deportista, el historial de lesiones, los parámetros fisiológicos de un wearable, los datos de dopaje o la voz en una retransmisión son datos personales.
Si además se usan métricas biométricas para acceso a instalaciones o control de asistencia, entramos en terreno de protección reforzada.
En menores, el listón sube: el interés superior del menor exige más cautelas, lenguaje claro y pruebas del consentimiento por quien tiene la patria potestad, salvo supuestos de autonomía del joven en actividades concretas.
La base jurídica no es siempre el consentimiento
No todo se sostiene en “firme aquí”. En el día a día, el tratamiento puede apoyarse en la ejecución de un contrato de alta como socio, en obligaciones legales de seguros o en intereses legítimos ponderados, por ejemplo, para seguridad de instalaciones.
El consentimiento sigue siendo clave para finalidades no imprescindibles: uso promocional de la imagen, comunicaciones comerciales, publicaciones en redes o tratamientos biométricos.
Debe ser libre, informado, específico y revocable sin penalización. Si la alternativa es “aceptar o no entrenar”, no es libre.
Tecnologías que exigen freno y análisis
El reconocimiento facial en tornos de acceso, la identificación por huella o la clasificación automática de asistentes en eventos requieren evaluación de impacto antes de arrancar.
También lo piden los programas de videoanálisis con etiquetado de jugadas si generan perfiles.
Las cámaras en salas de entrenamiento y clases colectivas no pueden convertirse en un panóptico: la finalidad debe ser concreta, la captación proporcional y las zonas sensibles, excluidas. El principio es simple: tanta tecnología como necesidad real y respaldo jurídico, no al revés.
Lecciones de casos recientes
Las resoluciones sancionadoras han marcado líneas rojas claras: no imponer biometría sin alternativa equivalente, no grabar clases sin un consentimiento válido y documentado, no divulgar datos de salud o dopaje fuera de los cauces previstos.
Más allá de la multa, el daño reputacional y la obligación de parar sistemas en marcha generan costes ocultos.
Aprender de terceros sale siempre más barato que corregir en caliente.
Qué debe hacer hoy una entidad deportiva
Primero, mapa de datos: quién recoge qué, para qué, con quién se comparte y cuánto tiempo se conserva. Segundo, avisos de privacidad claros en inscripciones, web y cartelería física. Tercero, contratos con encargados de tratamiento que toquen datos: gestorías, CRMs, plataformas de cobro, apps de reservas, proveedores de video y streaming. Cuarto, medidas de seguridad acordes al riesgo: control de accesos, cifrado, copias, segregación de entornos, registros de actividad y pruebas de restauración. Quinto, canal operativo para derechos de las personas: acceso, rectificación, oposición, supresión y portabilidad con plazos y responsable definidos.
Menores, imagen y competiciones
En campus, ligas escolares o tecnificaciones, las reglas cambian. La captación y uso de imágenes debe acotarse a finalidades legítimas, con consentimiento específico de progenitores o tutores cuando proceda.
Es prudente ofrecer vías “sin foto” y pulseras o distintivos para identificar a menores no autorizados. En competiciones, las bases y reglamentos deben informar sobre la difusión y el alcance de las retransmisiones, y prever zonas libres de cámaras cuando sea viable.
Patrocinios y cesiones de imagen
Los acuerdos con patrocinadores y medios deben incluir cláusulas de protección de datos y de propiedad intelectual. La entidad no puede ceder a terceros un uso promocional de la imagen del deportista que no tenga amparado.
Si se produce contenido con fines comerciales, el consentimiento debe mencionar canales, formatos, duración y derecho a revocar.
Nada de fórmulas genéricas que intenten cubrir todo para siempre.
Errores frecuentes que conviene evitar
Confundir comunicado informativo con consentimiento.
Grabar por defecto “por si acaso”.
Subir a redes imágenes de menores sin control.
Delegar en el proveedor la responsabilidad de cumplir la ley.
No documentar lo obvio y, por tanto, no poder demostrar cumplimiento.
Confiar la seguridad a contraseñas repetidas o a un único administrador.
El cumplimiento no se presume, se demuestra.
Más allá de la multa: valor y confianza
Cumplir protege a la entidad frente a sanciones, sí, pero también ordena procesos, mejora la relación con familias y deportistas y da argumentos sólidos ante patrocinadores e instituciones.
Un club que explica bien cómo trata los datos, que ofrece alternativas razonables y que responde a tiempo cuando alguien ejerce sus derechos, compite mejor también fuera del campo.
La privacidad es cultura organizativa y se entrena.
Referencias y fuentes
- 2Playbook. “Protección de datos personales en deporte: el nuevo reto legal para federaciones, clubes y empresas” (11/07/2025).
- Reglamento (UE) 2016/679, RGPD. EUR-Lex.
- Ley Orgánica 3/2018, LOPDGDD. BOE.
- AEPD. Guía sobre tratamientos biométricos para control de presencia y acceso (2023).
- AEPD. Guía de videovigilancia (2025).
- AEPD. Gestión del riesgo y evaluación de impacto (EIPD).
- AEPD. Realización de evaluaciones de impacto (EIPD) — lista orientativa y criterios (actualizado 23/04/2025).
- Iusport. “La protección de datos en las entidades deportivas”.
- El País Tecnología. “Protección de Datos impone una multa de un millón de euros a LaLiga por recoger datos…” (04/03/2025).
- Cinco Días. “Los datos personales de los deportistas en materia de dopaje gozan de una protección reforzada” (28/10/2024).
- Cadena SER Madrid Sur. “Multa de 96.000 euros a una cadena de gimnasios… por imponer reconocimiento facial” (06/08/2025).
- AS. “Una cadena de gimnasios exige reconocimiento facial… 96.000 euros de sanción” (agosto 2025).
- HuffPost. “Acude a una clase… y su negativa a salir en la grabación acaba con una multa de 21.000 euros” (junio 2025).
- GDPRhub. Caso AEPD EXP202309454 — Holiday Fit Tres Cantos (publicado 24/04/2025).
