RGPD para clubes deportivos: cómo cumplir sin sustos (2026)

El RGPD (Reglamento UE 2016/679, vigente desde el 25 de mayo de 2018) y la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales) son las dos normas que regulan cómo tu club deportivo trata datos personales. No hay excepción por tamaño ni por forma jurídica: si gestionas socios, jugadores o familias — y todos los clubes lo hacen — el RGPD te aplica al 100%.

El RGPD no exige solo redactar una política de privacidad y colgarla en la web. Te obliga a documentar qué datos tratas y bajo qué base legal (el Registro de Actividades de Tratamiento o RAT), a recabar consentimientos válidos cuando aplique — especialmente para fotos de menores y marketing —, a firmar contratos con tus proveedores (Stripe, software de gestión, asesoría, banco), a notificar brechas a la AEPD en 72 horas y a respetar los derechos de los interesados (acceso, rectificación, supresión, oposición y portabilidad).

Las sanciones son altas en términos absolutos — hasta 20 millones de euros o el 4% de la facturación anual — pero en la práctica las multas a clubes pequeños se mueven entre 1.500 y 30.000 € según el caso. Lo más sancionado: publicar fotos de menores en redes sociales sin consentimiento explícito de ambos progenitores y publicar listas con datos personales completos (DNI, dirección, teléfono).

La buena noticia: cumplir RGPD en un club pequeño cuesta entre 500 y 1.500 € el primer año (política de privacidad redactada por abogado + RAT inicial) y entre 200 y 500 € anuales (mantenimiento, formación, renovaciones). La AEPD ofrece plantillas gratuitas y herramientas de autoevaluación. Esta guía recorre las 7 obligaciones clave, las bases legales para cada tratamiento típico de un club, la sección crítica de imagen de menores, la diferencia con LOPIVI y una checklist de 18 puntos.

La respuesta corta: a todos los clubes deportivos, sin excepción. El RGPD aplica a cualquier entidad — pública o privada, con o sin ánimo de lucro — que trate datos personales de personas físicas en el Espacio Económico Europeo. Como cualquier club gestiona socios, jugadores, padres y proveedores, el RGPD aplica desde el primer alta. No hay umbral mínimo: un club de pádel con 30 socios está tan obligado como una sociedad anónima deportiva con miles.

Club pequeño (<200 socios): obligaciones proporcionadas

Un club de barrio con 80 socios y 4 equipos también cumple RGPD: necesita política de privacidad pública, cláusulas informativas en el formulario de inscripción, RAT (puede ser un Excel sencillo), contratos con encargados (Stripe, software de gestión, asesoría fiscal), consentimientos explícitos para fotos en redes y para newsletter. No necesita DPO obligatorio en la mayoría de casos. Coste anual realista: 500-800 € primer año, 200-300 € siguientes.

Club mediano-grande (>500 jugadores menores): atención reforzada

Cuando el club gestiona tratamiento a gran escala — especialmente de datos especiales como fichas médicas o de menores — la AEPD recomienda DPO y revisión legal más profunda. No es automáticamente obligatorio (el Art. 37 RGPD habla de 'gran escala' sin umbral numérico fijo), pero en clubes con >500 menores, escuelas con actividad permanente o tratamiento sistemático de fichas médicas es la práctica habitual. Coste DPO externo: 600-2.000 €/año.

Caso típico de error: 'mi club es pequeño y sin ánimo de lucro, esto no aplica'. Aplica. El RGPD no distingue por tamaño ni por forma jurídica. Lo que sí cambia es la proporcionalidad: las medidas técnicas y organizativas exigibles a un club de 80 socios no son las mismas que a un club de 8.000.

El Art. 6 RGPD exige que todo tratamiento tenga una base legal — no basta con que sea útil, debe estar justificado. Las 6 bases son: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público e interés legítimo. En un club deportivo la mayoría de tratamientos se apoyan en ejecución de contrato (la cuota de socio), obligación legal (fiscal, federativo) o consentimiento (marketing, imagen). Esta es la tabla de referencia.

Errores frecuentes: asumir que el consentimiento sirve para todo (entonces el socio que lo retira deja al club sin poder cobrarle la cuota — falso, esa base es ejecución de contrato) o, al revés, basar las fotos en redes sociales en 'interés legítimo' (la AEPD lo rechaza sistemáticamente cuando hay menores). Documenta la base en el RAT y úsala en las cláusulas informativas.

Antes de poder protegerlos hay que inventariarlos. La mayoría de clubes subestiman el volumen de datos que manejan — entre los formularios de inscripción, las fichas federativas, los pagos, las comunicaciones por WhatsApp y los grupos de fotos, la cantidad real es mucho mayor que el típico 'nombre y email'.

Datos típicos de socios adultos

Nombre y apellidos, DNI/NIE, fecha de nacimiento, dirección postal, email, teléfono móvil, número de cuenta bancaria (IBAN) para domiciliación de cuota, fotografía (si aporta), historial de pagos, posible licencia federativa, equipo o grupo asignado y, en algunos casos, profesión o empresa. Todos estos datos son 'comunes' a efectos del Art. 6 RGPD: requieren base legitimadora pero no protección reforzada.

Datos típicos de jugadores menores

Nombre y apellidos del menor, fecha de nacimiento, nacionalidad, fotografía, equipo o categoría, posición, talla de equipación, alergias y restricciones alimentarias, historial médico relevante (asma, diabetes, lesiones previas), datos de los progenitores (DNI, teléfonos, email, dirección) y, cuando aplica, autorizaciones específicas (viajes, salidas, uso de imagen). Aquí confluyen dos categorías reforzadas: menores y datos de salud.

Categorías especiales (Art. 9 RGPD)

Datos de salud (ficha médica, alergias, lesiones, restricciones), datos biométricos si los hay (huellas para acceso a instalaciones), datos relativos a vida sexual u origen racial cuando aparecen incidentalmente (foto de equipo, por ejemplo) y datos de menores en general. Estos tratamientos exigen consentimiento explícito o una base reforzada del Art. 9.2 — la más habitual en clubes es la 9.2.h (asistencia sanitaria) y la 9.2.a (consentimiento explícito).

Truco práctico para el RAT: lista todos los puntos donde recoges datos (formulario de alta web, formulario en papel, app, WhatsApp, hojas de inscripción a eventos, fichas médicas, etc.) y trata cada uno como un 'tratamiento' separado en tu Registro. Suelen aparecer 8-15 tratamientos en un club de base sin grandes complicaciones.

Resumen del marco de obligaciones. Cada una se desarrolla en su sección dedicada más abajo. Tómatelo como la columna vertebral del cumplimiento — todo lo demás cuelga de aquí.

1. Registro de Actividades de Tratamiento (RAT). Obligatorio por Art. 30 RGPD. Documenta cada tratamiento de datos del club con su finalidad, base legitimadora, categorías de interesados y datos, destinatarios, plazos de conservación y medidas de seguridad. Sin RAT, todo lo demás es papel mojado: la AEPD lo pide en cualquier inspección.
2. Política de Privacidad pública. Documento accesible en la web del club, redactado en lenguaje claro, que informa de quién es el responsable, qué datos se tratan, por qué, durante cuánto tiempo, a quién se ceden, qué derechos tiene el interesado y cómo ejercerlos. Es el equivalente público del RAT.
3. Cláusulas RGPD en formularios de inscripción. Toda recogida de datos debe ir acompañada de la información del Art. 13 RGPD: responsable, finalidad, base legitimadora, derechos y plazo. Esta cláusula vive en el formulario de alta (web o papel), en la hoja de matrícula y en cualquier formulario nuevo (campus, evento, encuesta).
4. Consentimiento explícito cuando aplique. Para todo lo que no tenga otra base — marketing, fotos en redes, cesión a patrocinadores — el consentimiento debe ser libre, específico, informado e inequívoco. Casilla separada (no premarcada), texto claro y posibilidad de retirarlo igual de fácil que se dio.
5. Delegado de Protección de Datos (DPO/DPD). Obligatorio en algunos supuestos (Art. 37 RGPD): tratamiento a gran escala de datos especiales o de menores. En clubes pequeños no es obligatorio pero sí recomendable nombrar un responsable interno. En clubes con >500 menores y ficha médica, la AEPD recomienda DPO formal.
6. Contratos con encargados de tratamiento (Art. 28). Todo proveedor que trate datos en nombre del club (software, pasarela de pago, asesoría fiscal, mailing, banco) es un 'encargado de tratamiento' y debe haber firmado un contrato Art. 28 RGPD. Sin ese contrato la transferencia de datos es ilícita.
7. Notificación de brechas de seguridad. Si hay una brecha — robo del portátil con la base de datos, ataque informático, envío masivo de email con destinatarios en CC — debe notificarse a la AEPD en 72 horas y, si hay alto riesgo, comunicarse a los afectados sin demora.

El conjunto solo funciona como sistema. Tener política de privacidad sin RAT que la respalde, o consentimientos sin contrato con el proveedor que los almacena, deja agujeros que la AEPD detecta en cualquier inspección. Trabaja las 7 piezas como un todo.

El RAT es el inventario interno de todos los tratamientos de datos personales del club. Lo exige el Art. 30 RGPD a casi cualquier responsable (la única exención formal es para entidades de menos de 250 trabajadores que no traten datos especiales ni de forma sistemática — un club con menores casi nunca encaja en la exención). Si la AEPD audita o si tienes una brecha, lo primero que piden es el RAT.

Qué debe contener cada entrada del RAT

• Nombre del tratamiento (cuota socio, ficha médica, newsletter, fotos partidos, etc.).
• Finalidad concreta (no genérica) y base legitimadora del Art. 6 o 9 RGPD.
• Categorías de interesados (socios adultos, jugadores menores, progenitores, personal, proveedores).
• Categorías de datos tratados (identificativos, contacto, económicos, salud, imagen).
• Destinatarios o categorías de destinatarios (federación, asesoría, Hacienda, pasarela de pago, software de gestión).
• Plazo de conservación previsto y medidas técnicas y organizativas de seguridad.

Cómo hacerlo en la práctica

No necesitas un software caro: la propia AEPD ofrece la herramienta gratuita FACILITA RGPD para entidades pequeñas. Para un club de base un Excel bien estructurado funciona perfectamente. Lista los tratamientos típicos (suelen salir 8-15: gestión de socio, gestión de jugador menor, ficha médica, fotos uso interno, fotos redes sociales, marketing, contabilidad, gestión federativa, ticketing, eventos, voluntariado, RRHH, videovigilancia si existe, cookies web, etc.) y rellena cada fila.

Quién mantiene el RAT y con qué frecuencia

El responsable del club (Junta Directiva) firma el RAT; el DPO o el responsable interno lo mantiene actualizado. Revisión obligada cuando entra un nuevo tratamiento (lanzamos newsletter por primera vez, contratamos un nuevo software) o se modifica uno existente (cambiamos de pasarela de pago). Como mínimo, revisión anual completa.

La política de privacidad es la versión pública del RAT. No es un documento opcional ni decorativo: es la pieza más visible del cumplimiento y la primera que mira cualquier interesado — y cualquier inspector. Debe ser accesible desde todas las páginas de la web del club (footer), en lenguaje claro y actualizada con cada cambio sustancial.

Información obligatoria (Art. 13 RGPD)

• Identidad y datos de contacto del responsable del tratamiento (el club, con su CIF y domicilio).
• Datos de contacto del DPO si lo hay (o del responsable interno de privacidad).
• Finalidad del tratamiento y base legitimadora concreta para cada finalidad.
• Destinatarios o categorías de destinatarios (con mención a transferencias internacionales si las hay).
• Plazo de conservación o criterios para determinarlo.
• Derechos del interesado (acceso, rectificación, supresión, oposición, limitación, portabilidad) y forma de ejercerlos.
• Derecho a presentar reclamación ante la AEPD.
• Existencia de decisiones automatizadas, si aplica.

Dónde publicarla

Enlace visible en el footer de TODAS las páginas de la web del club, no solo en la home. Si el club tiene app, también debe estar accesible desde la pantalla de configuración. Cada formulario debe enlazar a ella desde la cláusula informativa. Cualquier email transaccional o de marketing debe incluir un enlace al pie.

Cómo redactarla para que no sea papel mojado

Lenguaje claro y conciso. La AEPD penaliza políticas copy-paste genéricas que no reflejan los tratamientos reales del club. Estructura por capas: primer nivel resumido y muy visual, segundo nivel con el detalle completo. Versión específica para menores en clubes con escuela: explicación adaptada a sus progenitores y, a partir de 14 años, también al propio menor (Art. 7 LOPDGDD).

El consentimiento es solo una de las seis bases del Art. 6 RGPD, no la única. El error más común en clubes es asumir que 'pedir consentimiento para todo' es la mejor opción defensiva — no lo es. Cuando hay otra base aplicable (contrato, obligación legal), usar consentimiento la hace más débil porque el interesado puede retirarlo y deshacer el tratamiento.

Cuándo se debe pedir consentimiento (y solo entonces)

Pide consentimiento únicamente para los tratamientos que no tienen otra base: email marketing y newsletter no operativos, uso de imagen en redes sociales y publicidad, cesión de datos a patrocinadores, cookies no esenciales en la web, geolocalización si aplica, comunicaciones no esenciales por WhatsApp. Para todo lo demás (cuota, comunicaciones operativas, fichas federativas, contabilidad), la base correcta es contrato u obligación legal.

Cómo se obtiene un consentimiento válido

• Libre: sin presión y sin condicionar la prestación principal a darlo (no puedes negar la cuota a quien no acepte fotos en redes).
• Específico: una casilla por finalidad — separa marketing, redes sociales, cesión a patrocinadores; no un único 'sí a todo'.
• Informado: el interesado debe saber qué consiente, para qué y por cuánto tiempo.
• Inequívoco: acción afirmativa clara — casilla NO premarcada, firma, click explícito; nunca silencio o casilla preconfigurada.
• Documentado y retirable: debe quedar registro (fecha, IP, versión del texto firmado) y el interesado debe poder retirarlo con la misma facilidad con la que lo dio.

Errores frecuentes en consentimientos de clubes

• Una sola casilla para 'tratamiento de datos y marketing' — no es específico, no vale.
• Casilla premarcada por defecto — el Tribunal de Justicia de la UE lo invalidó expresamente (sentencia Planet49, 2019).
• Pedir consentimiento para tratamientos que ya tienen otra base — debilita la posición jurídica del club.
• No registrar el consentimiento (fecha, versión del texto, IP/firma) — sin trazabilidad, no se puede probar.

Sección donde más sanciones de la AEPD se concentran en clubes deportivos. Léelo dos veces. La regla: SIEMPRE explícito, SIEMPRE granular, SIEMPRE ambos progenitores, SIEMPRE revocable.

Publicar la foto de un menor en la web del club, en redes sociales, en la revista o en un cartel publicitario es un tratamiento de datos personales que la AEPD examina con lupa. La normativa es clara y, sin embargo, es donde más errores comete la mayoría de clubes — habitualmente por desconocimiento o por inercia ('en mi club lo hemos hecho siempre así'). El RGPD no permite atajos cuando hay menores de por medio: el consentimiento debe ser explícito, granular y de ambos progenitores en caso de custodia compartida.

Las 5 reglas del consentimiento de imagen de menores

• SIEMPRE explícito, nunca implícito. Inscribir al niño en el club no autoriza a usar su imagen. La firma del consentimiento de imagen es un documento separado.
• Granular: separa por canal y finalidad. Casilla independiente para uso interno del club (revista, álbum), redes sociales del club, prensa y publicidad. El interesado decide canal a canal.
• Firma de AMBOS progenitores cuando existe custodia compartida. Si firma uno solo y el otro reclama, el consentimiento es nulo. En custodia exclusiva basta con quien la ostente, pero hay que poder acreditarlo.
• A partir de 14 años el propio menor también firma (Art. 7 LOPDGDD). Por debajo de esa edad la firma es exclusivamente de progenitores o tutores.
• Revocable en cualquier momento, sin justificación. Cuando se revoca, el club tiene la obligación de retirar las imágenes ya publicadas en canales bajo su control. No puede invocar 'es que ya están publicadas hace dos años'.

El consentimiento debe quedar documentado por escrito o digital con trazabilidad: nombre del menor, nombres y firmas de los dos progenitores con DNI, ámbito de uso autorizado (con las casillas marcadas), duración (lo habitual es 'mientras dure la condición de jugador' con posibilidad de revocación), fecha y versión del texto. Si se actualiza la política o se amplía el ámbito (por ejemplo, una nueva campaña de patrocinio), debe pedirse de nuevo.

Errores que la AEPD sanciona en clubes

• 'Si firma un progenitor, ya vale'. En custodia compartida hace falta la firma de ambos. Si firma uno solo, basta una sola reclamación del otro para que el consentimiento sea nulo y la publicación constituya infracción.
• 'Si firmaron el consentimiento hace cinco años, sigue vigente para siempre'. El consentimiento es revocable en cualquier momento. Además, si cambian las finalidades (nueva plataforma, nuevo patrocinador, nueva web) hay que recabarlo de nuevo.
• 'Publicamos las fotos del partido en Instagram sin pedir nada porque están en un espacio público'. Que el partido sea en un campo abierto no exime del consentimiento. La AEPD ha sancionado a varios clubes por publicar fotos de menores en redes sin recabar autorización.
• 'Colgamos la lista completa de socios con DNI en el tablón'. Publicar datos identificativos (DNI, dirección, teléfono) en un espacio accesible es una infracción grave del RGPD, con sanciones reportadas en el rango medio-alto.

Recomendación práctica para clubes con escuela: incorpora el consentimiento de imagen como documento separado de la matrícula, con casillas granulares (interno / redes / prensa / publicidad), línea para la firma de ambos progenitores, casilla específica para mayores de 14 años, y guarda copia escaneada en el expediente del jugador. Revisa anualmente al inicio de temporada: pregunta si quieren modificar el alcance o revocar. Quien revoque sale automáticamente de la lista de imágenes utilizables.

El DPO es la figura del Art. 37 RGPD encargada de supervisar el cumplimiento dentro de la entidad. No es lo mismo que el DPI de LOPIVI (que vigila la protección física y psicológica del menor) — son figuras distintas con marcos legales distintos. Si tu club tiene escuela con menores, probablemente necesitas las dos, aunque en clubes pequeños pueden recaer en la misma persona si tiene la formación adecuada.

Cuándo es obligatorio nombrar DPO

El Art. 37.1 RGPD obliga a nombrar DPO cuando la actividad principal del responsable consiste en operaciones de tratamiento que requieren observación habitual y sistemática a gran escala, o en el tratamiento a gran escala de datos especiales (Art. 9) o de menores. La AEPD interpreta 'a gran escala' caso a caso: no hay umbral numérico cerrado. En clubes con escuela permanente >500 menores, ficha médica sistemática y comunicaciones continuas, la mayoría de asesorías recomiendan DPO formal.

Cuándo es recomendable aunque no obligatorio

En clubes con 150-500 menores la mayoría no está formalmente obligada, pero designar un DPO interno (o un responsable de privacidad) reduce mucho el riesgo: alguien con responsabilidad explícita de mantener el RAT, las cláusulas, los contratos con encargados y la formación interna. La AEPD valora positivamente el nombramiento voluntario en caso de inspección.

DPO interno o externo: ventajas y coste

DPO interno: persona del club con formación específica (curso oficial de 60-100 horas, 300-600 €). Funciona bien en clubes pequeños y medianos. Riesgo: conflicto de intereses si la misma persona toma decisiones operativas que luego debe supervisar. DPO externo: consultor especializado o despacho. Coste 600-2.000 €/año en clubes pequeños, más en grandes. Ventaja: independencia, formación garantizada, experiencia previa. Recomendación: si ya tienes una asesoría jurídica que lleve al club, valora externalizar el DPO con ella para no dispersar interlocutores.

Cualquier proveedor que trate datos personales del club en nombre del club es un encargado de tratamiento. Por imperativo del Art. 28 RGPD debe existir un contrato escrito (o cláusula adicional) que regule esa relación: finalidad, duración, naturaleza del tratamiento, tipo de datos, obligaciones del encargado, medidas de seguridad y devolución/destrucción al finalizar. Sin ese contrato, la cesión es ilícita.

Encargados típicos en un club deportivo

• Software de gestión del club (OneClub u otros).
• Pasarela de pago (Stripe, Redsys, PayPal).
• Asesoría fiscal/contable que procesa la contabilidad.
• Plataforma de email marketing (Mailchimp, Brevo, etc.).
• Servicio de hosting de la web del club.
• Servicios de mensajería profesional si se usan para comunicación con familias.

Qué debe regular el contrato Art. 28

Objeto y duración del encargo, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados, obligaciones específicas del encargado, instrucciones del responsable, autorización de subencargados, medidas técnicas y organizativas de seguridad, protocolo en caso de brecha, devolución o destrucción al final, posibilidad de auditoría. Los grandes proveedores (Stripe, Google, etc.) ya tienen su propio Data Processing Agreement (DPA) — basta con aceptarlo. Para proveedores pequeños (asesoría local) habrá que pedirle que firme el modelo.

Una 'brecha de seguridad' (o violación de la seguridad de los datos personales, en jerga RGPD) es cualquier incidente que provoque destrucción, pérdida, alteración o comunicación no autorizada de datos personales. No tiene que ser un ataque informático — la mayoría son errores humanos. El Art. 33 RGPD obliga a notificarlas a la AEPD en 72 horas y, si hay alto riesgo para los derechos de los afectados (Art. 34), comunicárselo también a ellos sin dilación.

Ejemplos típicos de brecha en clubes

• Robo o pérdida del portátil o pendrive con la base de datos de socios.
• Envío masivo de email con los destinatarios en el campo CC en lugar de CCO (todos ven todos los emails).
• Acceso indebido por antiguo entrenador con credenciales no revocadas.
• Hackeo de la web del club o de la plataforma de gestión con extracción de datos.
• Publicación accidental en la web de un Excel con datos personales en una URL pública.

Cómo actuar paso a paso

1. Contener la brecha en cuanto se detecta. Aislar el sistema afectado, revocar credenciales, retirar el documento publicado por error, cortar el acceso al atacante. Documentar fecha y hora de la detección.
2. Evaluar el riesgo en las primeras 24 horas. Qué datos están afectados, cuántas personas, qué consecuencias razonables tiene la brecha (riesgo de suplantación, daño económico, daño moral, especialmente en menores).
3. Notificar a la AEPD en plazo de 72 horas. Notificación a través de la sede electrónica de la AEPD. Si no llegas en 72 h, notifica igualmente pero motivando el retraso. Detalla naturaleza, número de interesados afectados, consecuencias y medidas tomadas o propuestas.
4. Comunicar a los afectados si hay alto riesgo. Carta o email a cada persona afectada explicando qué pasó, qué datos, qué hacer (cambiar contraseña, vigilar movimientos bancarios, etc.) y a quién pueden dirigirse. Lenguaje claro, sin tecnicismos.
5. Registrar la brecha internamente. Ficha confidencial con cronología, datos afectados, comunicaciones, decisiones tomadas y aprendizaje. Conservación al menos 5 años. Sirve para defensa en caso de futura inspección y para mejorar las medidas técnicas y organizativas.

Las brechas no son raras: ocurren en clubes pequeños mucho más a menudo de lo que parece, casi siempre por errores humanos (CCO/CC, documento mal publicado, dispositivo perdido). Lo que la AEPD sanciona no es solo la brecha en sí, sino la falta de notificación o la falta de medidas de seguridad razonables. Notificar bien y a tiempo reduce mucho el riesgo de multa.

LOPIVI y RGPD comparten un objetivo — proteger a las personas — pero protegen cosas distintas, exigen figuras distintas y se sancionan por organismos distintos. Casi todos los clubes que asesoramos confunden las dos al menos en algún punto. Esta es la tabla que despeja la confusión, con un cruce práctico al final.

Cruce práctico: la foto de un menor publicada sin consentimiento puede activar las dos leyes a la vez. RGPD por tratamiento ilícito de datos personales (la imagen); LOPIVI por exposición no autorizada del menor en un canal del club. Por eso DPI y responsable de RGPD tienen que hablarse. Más detalle en nuestra guía dedicada en /guias/lopivi-clubes-deportivos.

18 puntos binarios que te dicen si tu club está al día con RGPD. Si fallas más de 4 — toca trabajo esta semana. Si fallas más de 8 — riesgo serio ante una eventual inspección o reclamación.

• Tenemos política de privacidad accesible en el footer de toda la web.
• La política de privacidad incluye toda la información del Art. 13 RGPD.
• Tenemos un Registro de Actividades de Tratamiento (RAT) escrito y firmado.
• El RAT cubre todos los tratamientos reales del club (al menos 8-15 entradas).
• Todo formulario de inscripción incluye la cláusula informativa del Art. 13.
• Las casillas de consentimiento son separadas, no premarcadas, y específicas por finalidad.
• El consentimiento de imagen de menores es un documento aparte de la matrícula.
• El consentimiento de imagen tiene casillas granulares por canal (interno / redes / prensa).
• En custodia compartida exigimos firma de ambos progenitores.
• Tenemos firmados contratos Art. 28 con todos los proveedores que tratan datos (software, pasarela, asesoría).
• Las fichas médicas se guardan con acceso restringido y consentimiento explícito.
• Sabemos cómo notificar una brecha a la AEPD en 72 horas y tenemos protocolo escrito.
• Hay un responsable interno (o DPO) designado para temas de privacidad.
• Los emails masivos van con destinatarios en CCO, nunca en CC.
• Las listas de socios o jugadores con datos identificativos no son públicas.
• Sabemos diferenciar un incidente RGPD de un incidente LOPIVI.
• Hemos revisado la política de privacidad y el RAT en los últimos 12 meses.
• El personal del club ha recibido al menos una formación básica de protección de datos.

OneClub no sustituye al abogado ni redacta tu política de privacidad, pero sí elimina la fricción operativa que hace que la mayoría de clubes incumplan por desorden — no por mala fe. Esto es lo que automatizamos:

• Cláusulas RGPD integradas en formularios. Los formularios de inscripción y matrícula ya incluyen la información del Art. 13 con casillas separadas por finalidad. Cada consentimiento queda registrado con fecha, versión del texto y trazabilidad por usuario.
• Consentimiento de imagen de menores granular. Documento separado de la inscripción, con casillas por canal (interno, redes, prensa, publicidad), línea para la firma de ambos progenitores y casilla específica para mayores de 14 años. Revocable desde el portal del socio.
• Acceso a datos restringido por rol. OWNER, ADMIN y USER tienen permisos distintos. Solo Presidencia y DPO acceden a ficha médica y CDNS. Todo acceso queda auditado para responder a futuras solicitudes de derechos.
• Encargado de tratamiento con DPA firmado. OneClub firma con tu club el contrato Art. 28 RGPD como encargado de tratamiento. Plantillas, datos cifrados en reposo, copias de seguridad y procedimiento de brecha de seguridad documentado.

Empezar es gratuito hasta 50 socios — sin tarjeta. Si tu club ya tiene política de privacidad y RAT, en una tarde puedes tener el sistema funcionando con cláusulas activas y consentimientos trazables para todo el personal y las familias.

Trabaja siempre con fuente oficial. Estos son los enlaces de referencia de la AEPD y BOE — bookmark obligatorio para cualquier responsable de privacidad o DPO.

• AEPD — Agencia Española de Protección de Datos — Página oficial de la AEPD. Punto de entrada a guías, plantillas, formularios de notificación de brecha y consulta de resoluciones.
• AEPD — FACILITA RGPD — Herramienta gratuita de la AEPD para generar RAT y documentación básica adaptada a pymes y entidades pequeñas.
• BOE — Reglamento (UE) 2016/679 (RGPD) consolidado — Texto oficial del RGPD consolidado en español, con todas sus modificaciones — versión EUR-Lex.
• BOE — LO 3/2018 LOPDGDD — Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, texto consolidado.
• AEPD — Guías de cumplimiento — Documentos divulgativos de la AEPD con orientaciones prácticas para asociaciones, clubes y entidades del tercer sector.
• AEPD — Notificación de brechas de seguridad — Formulario y guía oficial para notificar una brecha de seguridad en el plazo de 72 horas del Art. 33 RGPD.