La recogida de datos para mejorar y optimizar el rendimiento físico individual es una práctica habitual en los deportistas de alto nivel y profesionales. Sin embargo, debe cumplir ciertas normas para proteger la privacidad de las personas afectadas, especialmente en lo que respecta a sus datos de salud.
¿Qué es el rendimiento deportivo?
El rendimiento deportivo es esencialmente la consecución de resultados, medallas o récords. Es el resultado de un largo proceso de detección, entrenamiento, confrontación y optimización del potencial. Conduce a una clasificación de los mejores resultados obtenidos y a la concesión de medallas. Está vinculado a factores externos (por ejemplo, el sorteo, el adversario en el caso de los deportes cara a cara, las condiciones ambientales en el caso de los deportes al aire libre), pero también a factores energéticos, artísticos, cronométricos, mentales, fisiológicos, técnicos y tácticos, etc.).
La medición del rendimiento físico deportivo individual se basa en la elaboración de estadísticas un tanto sensibles en la medida en que implican la recogida de datos relativos a la salud (por ejemplo, frecuencia cardíaca, peso, estatura, etc.).
La normativa sobre protección de datos personales regula el tratamiento de los datos recogidos en este contexto.
¿Cómo identificar el papel de cada uno de los actores del ecosistema (en particular instituciones, federaciones, CREPS, MRP, clubes, ligas profesionales)?
En el ámbito del deporte de alto nivel o profesional, se pueden utilizar herramientas como los objetos conectados existentes en el mercado o los objetos experimentales con sensores para medir el rendimiento físico individual mediante la compilación de estadísticas a partir de los datos recogidos sobre los deportistas.
Para cada uno de los ficheros o bases de datos creados en este contexto, es importante identificar a la persona realmente responsable de la correcta aplicación de las normas de protección de datos.
Existen tres estatutos posibles: responsable del tratamiento, corresponsable del tratamiento y encargado del tratamiento.
- El responsable del tratamiento de datos es la entidad jurídica o departamento que determina la finalidad para la que se utiliza la información y las condiciones específicas de uso (por ejemplo, la naturaleza de la información recopilada, el periodo de conservación de la información, las medidas de seguridad establecidas, la política de gestión de autorizaciones y accesos). El responsable del tratamiento determina las condiciones de uso y, por tanto, es responsable de garantizar el cumplimiento de las normas. Por lo tanto, el responsable del tratamiento es plenamente responsable de que el tratamiento de datos se ajuste a las normas sobre tratamiento de datos, ficheros de datos y libertades individuales.
- En otras situaciones, varias personas o departamentos pueden decidir conjuntamente la finalidad y los detalles prácticos del uso de los datos personales: son los denominados corresponsables del tratamiento de datos. En este caso, debe celebrarse un acuerdo para definir de forma transparente el papel y las obligaciones respectivas de cada parte en relación con el cumplimiento de las normas derivadas del RGPD, a menos que estas obligaciones hayan sido definidas por el Derecho de la Unión o del Estado miembro al que estén sujetos los responsables conjuntos del tratamiento.
- Cuando el responsable del tratamiento recurre a un organismo para tratar información en su propio nombre, siguiendo sus instrucciones y bajo su autoridad, dicho organismo se considera un encargado del tratamiento en el sentido del RGPD. Deberá redactarse un contrato u otro documento jurídico. En él se establecerán las obligaciones del responsable y del encargado del tratamiento, en particular en lo que respecta a la finalidad, la duración, la naturaleza y el objetivo del uso de la información y las categorías de información recabada de los empleados.
Tenga en cuenta que
La línea divisoria entre estas tres categorías puede ser a veces difícil de trazar.
La clasificación debe basarse en un análisis concreto de los métodos utilizados para crear y aplicar el fichero o base de datos. Se evaluará caso por caso, a nivel del usuario de una herramienta de medición del rendimiento (por ejemplo, club deportivo, CREPS).
De acuerdo con el principio de responsabilidad, corresponde a cada jugador documentar el análisis que ha conducido a una determinada calificación. Sin embargo, esto no significa que cada jugador pueda «elegir» la clasificación que más le convenga. La clasificación debe reflejar la realidad. En caso de duda, es importante documentar la reflexión que ha llevado a esta clasificación y poder justificarla.
Definir las responsabilidades sólo facilita la definición de las obligaciones de cada una de las partes.
¿En qué condiciones es posible tratar datos personales con el fin de mejorar y/u optimizar el rendimiento físico-deportivo individual?
1. Elección de una base jurídica
Para ser lícito, el tratamiento de datos personales con este fin debe tener una base jurídica. La elección de la base jurídica debe tener en cuenta el contexto en el que se realiza el tratamiento (tipo de organización responsable del tratamiento, sector de actividad, objetivo general perseguido, etc.). Si son posibles varias bases jurídicas para el mismo fin, sólo deberá elegirse la más adecuada.
Por ejemplo
- El INSEP basa la utilización de un «Sistema de Gestión de Atletas» para el análisis postural de los atletas con fines de prevención de lesiones y optimización del rendimiento, en la misión de interés público de conformidad con las disposiciones del artículo R. 211-2 del Código del Deporte francés. El INSEP participa en la política nacional de desarrollo de las actividades físicas y deportivas, en particular en el ámbito del deporte de élite, y contribuye a la protección de la salud de los atletas y al respeto de la ética deportiva. Para ello, colabora con las federaciones deportivas en la formación y preparación de deportistas de alto nivel. También pone en práctica el doble proyecto de conciliar la búsqueda del rendimiento deportivo con el éxito académico y profesional del atleta.
- Las federaciones delegantes basan la recogida de datos de entrenamiento en la misión de interés público en aplicación del contrato de rendimiento y del contrato de delegación (artículos L. 131-15 y R. 131-28 y R. 131-28-1 del Código del Deporte francés, que regulan el contrato de rendimiento y el contrato de delegación).
Atención
Según las recomendaciones profesionales formuladas por los actores del ecosistema, el uso de un sensor durante los entrenamientos y las competiciones oficiales requiere el consentimiento del deportista.
2. Determinar un objetivo (o finalidad)
La información sobre los deportistas debe recopilarse y almacenarse con fines específicos, explícitos y legítimos.
Por ejemplo: los datos recogidos con el fin de mejorar u optimizar el rendimiento deportivo no podrán reutilizarse con fines antidopaje.
3. Minimización de los datos recogidos
Sólo podrá recogerse información sobre los deportistas que sea adecuada, pertinente y limitada a lo necesario (principio de minimización) para cumplir la finalidad de la recogida.
Ejemplos:
- El análisis de los niveles de ácido láctico de un deportista permite determinar su resistencia muscular antes de que se vuelva tetánica. Así pues, una sobrecarga de ácido láctico no impide el rendimiento: es sólo un dato en la búsqueda de la optimización del rendimiento, que permite, por una parte, adaptar la hidratación y la nutrición del deportista y, por otra, compensar esta debilidad en otros factores adaptando la carga de entrenamiento. La recogida de estos datos es, por tanto, adecuada y pertinente para la mejora y/u optimización del rendimiento deportivo individual.
- Por otra parte, la medición permanente de la frecuencia cardíaca de un deportista a través de un reloj conectado fuera de los períodos de entrenamiento o las competiciones sería excesiva y no cumpliría los requisitos del GDPR.
- Aunque a veces pueda parecer necesario preguntar a las deportistas la fecha de su menstruación para adaptar la carga de entrenamiento y limitar el riesgo de lesiones, debe excluirse la recogida de datos adicionales como el uso de anticonceptivos, el tipo de anticonceptivo o la marca del mismo.
4. Tratar la información personal de forma lícita, justa y transparente
Por ejemplo: durante el entrenamiento, pedir al deportista que lleve un sensor de rendimiento (por ejemplo, un sensor que se coloca en un equipo, cinturón o chaleco) sin informarle de ello de acuerdo con todos los procedimientos establecidos en el artículo 13 del RGPD no constituye una recogida de datos transparente.
5. Cumplimiento de las normas de recogida de datos relativos a la salud
La información relativa a la salud de los deportistas, como el peso, los resultados de análisis de sangre u orina, el seguimiento de lesiones, los estudios óseos, el seguimiento de la frecuencia cardíaca y la distribución de las fibras musculares, puede recopilarse siempre que se base en un interés público importante (artículo 9.2.g del RGPD).
Métodos de recogida de datos sobre la salud de los deportistas profesionales o de alto nivel
Según el artículo 9.1 del RGPD, el tratamiento de datos relativos a la salud de los deportistas está prohibido en principio, salvo que sea aplicable una de las excepciones del artículo 9.2 del RGPD.
La noción de interés público importante (artículo 9.2.g) del RGPD) autoriza el tratamiento de los datos de salud de los deportistas con el fin de mejorar y/u optimizar su rendimiento. El Código del Deporte otorga un papel especial a determinados actores en el ámbito del deporte de élite y del desarrollo del rendimiento, como las federaciones y los CREPS.
Cabe señalar, no obstante, que aunque el consentimiento para la recogida de los datos de salud de un deportista se utiliza habitualmente en la práctica, no es apropiado en el caso específico del deporte de élite o profesional. A diferencia del deporte aficionado (en el sentido habitual del término), el consentimiento del deportista no es libre, específico, informado e inequívoco, en la medida en que puede ser eventualmente una condición de participación en la selección realizada por el entrenador.
Para más información sobre los procedimientos de recogida de datos de salud en el ámbito del deporte aficionado no contractual con fines estadísticos, consulte la ficha dedicada.
Según la CNIL, habida cuenta de los riesgos asociados a las operaciones de tratamiento relativas al rendimiento físico individual, la adopción de un texto que establezca un marco para la creación de operaciones de tratamiento relativas al rendimiento deportivo proporcionaría una de las garantías adicionales previstas en el artículo 9-2-g) del RGPD para garantizar :
- el cumplimiento de los principios del RGPD, incluido el de minimización de datos;
- la adopción de medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales de los deportistas afectados.
6. Conservar la información durante el periodo de tiempo estrictamente necesario para los fines para los que se va a tratar.
Ejemplos:
- Conservar los datos de rendimiento físico individual durante el mismo tiempo que la carrera del deportista es necesario para el tratamiento de datos realizado con el fin de gestionar la carrera del deportista. Deben aplicarse las disposiciones del Código del Deporte francés que regulan la inclusión de deportistas en una de las listas ministeriales (Espoirs, Collectifs nationaux, Haut niveau o projet de performance fédéral).
- En caso de subcontratación del análisis de los datos de rendimiento físico individual por parte de una organización de acogida por cuenta de una federación, el periodo de conservación de datos adecuado será el correspondiente al periodo de validez del acuerdo de subcontratación.
7. Aplicar medidas de seguridad adecuadas
Ejemplo: los auxiliares educativos y el personal administrativo del CREPS no tienen acceso a los datos de salud de los deportistas.
¿Se requieren formalidades especiales?
Aunque la medición del rendimiento físico-deportivo individual no puede separarse del estudio del cuerpo del atleta, implica necesariamente la recogida y utilización de datos sobre la salud.
No obstante, el tratamiento de datos personales con fines de mejora y/u optimización del rendimiento deportivo no requiere el cumplimiento de ninguna formalidad previa.
Los datos no se utilizan con fines de asistencia sanitaria o investigación sanitaria. Por lo tanto, el tratamiento de datos personales de este modo no entra en el ámbito del tratamiento relacionado con la salud.
Nota
Dependiendo de los fines precisos para los que pueda utilizarse dicho tratamiento, en particular si se utiliza para identificar lesiones relacionadas con la práctica de un deporte concreto, es posible que se clasifique como tratamiento relacionado con la salud.
En este caso, será necesario realizar trámites previos ante la CNIL (art. 65 y siguientes de la LOPD).
► ¿Qué trámites son necesarios para el tratamiento de datos personales relativos a la salud?
En función de su finalidad exacta, las investigaciones, estudios o evaluaciones realizados a partir de los datos contenidos en estos tratamientos pueden entrar en la categoría de investigaciones relacionadas con la salud (desarrollo de conocimientos biológicos, por ejemplo). En función de su alcance, pueden entrar en el ámbito del tratamiento con fines de investigación, estudio o evaluación en el ámbito de la salud, lo que requiere trámites previos ante la CNIL (compromiso de respetar una metodología de referencia o solicitud de autorización). En caso necesario, habrá que dirigirse a otros actores (plataforma de datos sanitarios, comité de protección de datos personales).
► Investigación médica: ¿cuál es el marco jurídico?
Antes de recopilar y utilizar datos relativos al rendimiento deportivo, los actores del ecosistema no deben olvidar realizar una evaluación de impacto sobre la protección de datos (EIPD), si se cumplen las condiciones (recopilación de datos sanitarios o muy personales, recopilación de datos a gran escala, personas vulnerables, elaboración de perfiles, uso innovador de nuevas tecnologías).
Las preguntas correctas para evaluar el cumplimiento
- ¿Se han definido claramente las funciones de las partes implicadas (responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento)?
- ¿Se respetan los principios fundamentales de la protección de datos (minimización, periodos de conservación, medidas de seguridad, etc.)?
- ¿Se recogen y almacenan datos sanitarios? En caso afirmativo, ¿se ha verificado la posibilidad de invocar un interés público importante para autorizar la recogida de datos sanitarios?
- ¿Se ha verificado la finalidad precisa del tratamiento y la necesidad o no de cumplir las formalidades?
- Si se cumplen las condiciones, ¿se ha llevado a cabo un AIPD?