Sector · Fitness y bienestar

RGPD para gimnasios: biometría y datos de salud

Los gimnasios tratan datos personales sensibles: huella o reconocimiento facial para acceso, datos de salud para entrenamientos personalizados, fotos para fidelización y el típico marketing por WhatsApp y email. La AEPD ha endurecido el uso de biometría en 2023-2024 — y los gimnasios son uno de los sectores más inspeccionados tras denuncia de socios.

Calcular mi tarifa para gimnasioLeer la guía completa

RGPD en un gimnasio: por qué la biometría lo cambia todo

El RGPD gimnasio es la adecuación específica del Reglamento (UE) 2016/679 al tratamiento de datos personales en centros fitness, gimnasios boutique, cadenas low-cost, estudios de crossfit, centros de pilates y wellness, considerando que el huellero o cámara facial de la entrada y el certificado médico del alta son datos del Art. 9 RGPD (categoría especial: biometría identificativa y salud). Esa simple constatación cambia la conversación entera: ya no estamos hablando de un contrato civil ordinario con un socio, sino de un tratamiento de categorías especiales que activa todas las garantías reforzadas del Reglamento.

En un gimnasio se cruzan, en muy pocos metros cuadrados, todas las capas críticas de la normativa de protección de datos. La capa de identidad (alta del socio, documento de identidad, foto de perfil para reconocimiento del personal de recepción), la capa biométrica si se usa huella o reconocimiento facial para abrir el torno de acceso, la capa de salud si el centro recoge certificado médico, lesiones previas, alergias declaradas o medicación crónica, la capa de actividad si la marca dispone de app o wearable que mida frecuencia cardiaca, calorías, peso o sueño, la capa de pago si hay domiciliación SEPA recurrente y pasarela de pago, la capa de videovigilancia con cámaras en sala fitness y, frecuentemente prohibida, en vestuarios o aseos, la capa de marketing por WhatsApp y email a los socios, la capa de imagen cuando se publican fotos de clases en redes sociales, la capa laboral con monitores y recepción sujetos al registro de jornada del Art. 34.9 ET, y la capa de menores si el centro tiene escuela infantil de natación, escalada o ciclo formativo deportivo.

Cada una de esas capas tiene su norma de referencia, su base jurídica y su riesgo de sanción. La Agencia Española de Protección de Datos (AEPD) inspecciona el sector con regularidad, normalmente a raíz de denuncias de ex-socios o ex-empleados, y publica en su buscador resoluciones donde el incumplimiento típico es triple: uso de huella sin Evaluación de Impacto en Protección de Datos (EIPD) ni alternativa proporcional, publicación de fotografías de socios en Instagram sin consentimiento específico para esa finalidad, y cámaras de videovigilancia mal orientadas hacia zonas privadas. El servicio de Adecuación y Cumplimiento Normativo de Cardeseo aborda esas diez capas bajo un único modelo de gobernanza documentado.

Biometría de acceso: el camino más rápido a una sanción

La biometría de acceso en gimnasios (huella dactilar para tornos, reconocimiento facial para abrir puerta, lectura de palma o vena) es probablemente la decisión tecnológica con mayor exposición sancionadora del sector. La AEPD publicó en noviembre de 2023 la Guía sobre el tratamiento de datos personales en el control de presencia mediante sistemas biométricos y, en línea con el criterio del Comité Europeo de Protección de Datos (CEPD), califica el dato biométrico utilizado con fines de identificación unívoca como categoría especial del Art. 9 RGPD. La consecuencia es directa: el tratamiento solo es lícito si concurre una excepción del Art. 9.2 y, además, supera el test de proporcionalidad y minimización del Art. 5 RGPD.

La duda recurrente es si vale el consentimiento del socio. En la relación gimnasio-socio existe un desequilibrio mercantil suficiente para que la AEPD interprete con suma cautela la libertad del consentimiento, especialmente cuando el huellero es el único método ofrecido para acceder a la instalación contratada. El consentimiento debe ser libre, específico, informado e inequívoco (Art. 4.11 RGPD): si el socio no puede entrar al gimnasio sin dar su huella, ese consentimiento queda viciado y la AEPD lo declara nulo. La salida segura es ofrecer una alternativa proporcional no biométrica (tarjeta NFC, código numérico, app móvil con código QR) y reservar la biometría para quien la elija expresamente.

Antes de instalar cualquier sistema biométrico, la EIPD del Art. 35 RGPD es obligatoria. La AEPD incluyó la biometría a gran escala en su Listado de tratamientos sujetos a EIPD de 2018 y la guía de 2023 lo confirma. La metodología debe contener inventario del tratamiento, descripción del flujo del dato biométrico (plantilla algorítmica, no imagen bruta), evaluación de riesgos sobre derechos y libertades, medidas técnicas (cifrado de la plantilla, almacenamiento separado del identificador), medidas organizativas (acceso restringido al administrador del sistema, registro de auditoría), valoración de alternativas proporcionales y dictamen final. Si tras la EIPD subsiste un alto riesgo residual, el Art. 36 RGPD obliga a consulta previa con la AEPD.

El criterio práctico que recomienda Cardeseo en la gran mayoría de gimnasios pymes es renunciar al huellero. La tarjeta NFC, el código numérico personal o el QR generado por la app del socio cubren la finalidad de control de acceso sin tocar el Art. 9. El ahorro de riesgo sancionador y de trámite documental (EIPD, RAT, cláusulas reforzadas) compensa con creces la marginal mejora de comodidad del huellero. Cuando el gimnasio insiste en la biometría por motivos comerciales o de antifraude (impedir el préstamo de la tarjeta entre socios), la EIPD debe documentar por qué la alternativa no biométrica es insuficiente, y ofrecerse en cualquier caso a los socios que la rechacen.

Datos de salud y certificado médico

El segundo nudo crítico es la salud. En el alta del socio es habitual pedir certificado médico de aptitud para el ejercicio, declaración de lesiones previas, alergias, intervenciones quirúrgicas, medicación crónica o condiciones cardiovasculares. Toda esa información es categoría especial del Art. 9 RGPD y necesita base jurídica reforzada del Art. 9.2.

Las bases compatibles en un gimnasio son básicamente dos: el Art. 9.2.a (consentimiento explícito, libre, específico, informado e inequívoco del socio) cuando los datos se procesan únicamente por personal administrativo, y el Art. 9.2.h (asistencia sanitaria o evaluación de la capacidad laboral por profesional sujeto a secreto profesional con base en Derecho de los Estados miembros), reforzada por el Art. 9.3, cuando el centro cuenta con fisioterapeuta, médico del deporte o readaptador colegiado que sea quien acceda al historial. La recomendación operativa es clara: si el gimnasio NO cuenta con personal sanitario colegiado, lo prudente es evitar guardar el certificado médico en su base y limitarse a una declaración firmada del socio en la que afirme estar apto para la práctica deportiva.

Si el centro decide custodiar certificados médicos, la información debe ir a un fichero separado, con cifrado en reposo, acceso restringido por rol, registro de auditoría y plazo de conservación específico ligado a la duración de la relación contractual más el plazo de prescripción de eventuales reclamaciones civiles. Las declaraciones de lesiones y alergias deben pseudonimizarse en la medida de lo posible, y nunca aparecer impresas en hojas de sala o accesibles a monitores que no tengan necesidad operativa real. La AEPD ha sancionado a varios centros por dejar fichas con datos médicos a la vista del público en mostradores de recepción.

Wearables y apps de actividad

Muchas cadenas de gimnasios integran apps propias (Technogym MyWellness, Polar Beat, app del propio centro) o son compatibles con wearables del socio (Apple Watch, Garmin, Fitbit, pulsómetros torácicos) que capturan frecuencia cardiaca, calorías estimadas, peso, distribución de sueño, variabilidad cardiaca o saturación de oxígeno. Esa información, cuando puede asociarse a una persona identificada o identificable, es dato de salud del Art. 9 RGPD según el considerando 35 del Reglamento. La consecuencia es la misma de siempre: necesita base reforzada del Art. 9.2 y, normalmente, consentimiento explícito específico para esa finalidad concreta.

El flujo más limpio es que el wearable se sincronice contra la cuenta personal del socio en la app del fabricante (Apple Health, Google Fit), y que sea el socio quien decida compartir métricas con el gimnasio mediante token de acceso revocable. En ese escenario, el gimnasio es responsable solo de los datos que efectivamente recibe y procesa, no del histórico completo del wearable. Si en cambio el gimnasio implanta una app integrada que captura todo el ecosistema biométrico del socio, el gimnasio se convierte en responsable de un tratamiento de salud a gran escala y entra de lleno en la EIPD obligatoria del Art. 35.3.b RGPD.

El proveedor de la app, si trata datos por cuenta del centro, es encargado del tratamiento del Art. 28 RGPD y necesita contrato firmado con cláusulas reforzadas (medidas técnicas, gestión de subencargados, transferencias internacionales si los servidores están fuera del Espacio Económico Europeo). Cuando el proveedor está en Estados Unidos, conviene documentar el marco EU-US Data Privacy Framework o las Cláusulas Contractuales Tipo, tras la sentencia Schrems II del TJUE.

Cobro recurrente: SEPA y pasarelas

El cobro de la cuota mensual se hace habitualmente por mandato SEPA o por suscripción en pasarela de pago (Stripe, Redsys, Adyen). El IBAN y la tarjeta no son categorías especiales, pero sí datos personales identificativos cuya licitud descansa en el Art. 6.1.b RGPD (ejecución del contrato de socio). Las pasarelas de pago son encargados del tratamiento si gestionan datos por cuenta del centro, o responsables independientes si retienen el dato y deciden las finalidades por sí mismas: la calificación depende del modelo contractual concreto y debe documentarse en el RAT.

El contrato con la pasarela debe firmarse antes de empezar a procesar pagos, e incluir los elementos del Art. 28.3 RGPD: objeto, duración, naturaleza, finalidad, tipos de datos, obligaciones del encargado, gestión de subencargados, gestión de brechas, devolución o supresión al finalizar el servicio. Cuando la pasarela almacena tokens de tarjeta para cobros recurrentes, debe cumplir además el estándar PCI DSS, y el gimnasio debe acreditar que ha externalizado correctamente esa responsabilidad. Las domiciliaciones SEPA exigen mandato firmado por el socio (Reglamento UE 260/2012), conservación del mandato durante 14 meses tras la última operación y disponibilidad para inspección.

Cuando el gimnasio cobra a través de Stripe u otra pasarela internacional, conviene revisar dónde se almacenan los datos y qué subencargados intervienen, para mantener la trazabilidad documental.

Videovigilancia: salas fitness sí, vestuarios NO

Las cámaras de seguridad están presentes en casi todos los gimnasios: recepción, accesos, sala de musculación, sala de cardio, salas de actividades dirigidas. La normativa aplicable es el Art. 22 LOPDGDD y la Guía AEPD de Videovigilancia en su edición 2024. La regla operativa es taxativa.

Permitido grabar, con condiciones:

  • Recepción, pasillos, sala de musculación y sala de cardio, siempre que el cartel homologado AEPD (formato cartel-distintivo, idioma castellano y cooficiales cuando proceda) esté visible antes de acceder a la zona vigilada.
  • Información ampliada (responsable, finalidad, base jurídica, plazo, derechos, contacto) disponible en recepción y en la política de privacidad de la web.
  • Plazo máximo de conservación 30 días desde la captación (Art. 22.3 LOPDGDD), salvo bloqueo por incidente concreto que justifique mayor plazo.
  • Inscripción del tratamiento en el RAT del Art. 30 RGPD, con ubicación de cámaras, ángulos, plazo y medidas de seguridad.
  • Sin captación de audio, salvo justificación reforzada de proporcionalidad. La regla por defecto es vídeo sin sonido.
  • Acceso restringido a las grabaciones, registro de auditoría de visionados y separación funcional entre quien visiona y quien gestiona historiales.

Prohibido grabar, sin excepción:

  • Vestuarios, aseos, duchas, zonas de cambio, salas de masaje y fisioterapia, salas de descanso de personal. Son zonas en las que opera la expectativa razonable de intimidad protegida por los Arts. 18.1 CE y 15 LOPDGDD. La AEPD sanciona automáticamente la cámara mal orientada, incluso sin necesidad de visionado efectivo, conforme a la doctrina consolidada de la Audiencia Nacional.
  • Captación que invada espacio público (calle, acera) más allá del estrictamente necesario para vigilar el acceso al centro.
  • Visionado en directo por personal de recepción sin separación funcional con quienes gestionen datos de socios o historiales médicos.

Una sanción típica del sector arranca en 6.000-30.000 € cuando se trata de cámara en zona prohibida o sin información, y se eleva cuando concurren agravantes (afectación a menores, falta absoluta de RAT, antecedentes previos).

WhatsApp y marketing a socios

El marketing por WhatsApp, SMS o email a los socios es uno de los focos de denuncia más recurrentes. La base jurídica para comunicaciones comerciales por canales electrónicos está regulada por el Art. 21 LSSI-CE: requiere consentimiento previo, expreso y específico del destinatario, salvo el supuesto excepcional del Art. 21.2 (productos o servicios similares a los contratados, dentro de una relación contractual previa, con opción simple y gratuita de oponerse en cada comunicación).

La AEPD interpreta de forma estricta esa excepción. Un socio que paga una cuota mensual de gimnasio NO ha consentido tácitamente recibir promociones de nutrición deportiva, suplementación, fisioterapia externa o eventos. Lo recomendable es recoger consentimiento expreso e independiente en el momento del alta, con casilla específica para marketing por canales electrónicos, nunca pre-marcada (STJUE Planet49 C-673/17, sentencia de 1 de octubre de 2019; reforzada por la doctrina Breyer C-582/14 sobre concepto amplio de dato personal). La técnica recomendada es doble opt-in: el socio marca la casilla en el formulario de alta y, a continuación, recibe un primer mensaje pidiendo confirmación.

Los recordatorios operacionales (confirmación de clase reservada, cambio de horario, cierre por festividad, incidencia en cuota) están amparados por la ejecución del contrato del Art. 6.1.b RGPD y no necesitan consentimiento adicional siempre que el socio facilitó su teléfono o email para esa finalidad. Lo que distingue al recordatorio operacional del marketing es la finalidad: si la comunicación promueve un producto, servicio o evento ajeno a la cuota contratada, es marketing y necesita consentimiento Art. 21 LSSI-CE.

Si el centro usa la API de WhatsApp Business y Meta como proveedor, debe firmar el contrato de encargado correspondiente y documentar la transferencia internacional, ya que Meta procesa datos fuera del EEE. Cada mensaje debe identificar al responsable y ofrecer instrucción simple y gratuita para revocar el consentimiento (Art. 22 LSSI-CE).

Menores y consentimiento (14 años Art. 7 LOPDGDD)

La edad RGPD para que un menor consienta válidamente el tratamiento de sus datos personales por parte del responsable es 14 años (Art. 7 LOPDGDD). Por debajo, el consentimiento debe ser otorgado por quien ostente la patria potestad o tutela, conforme al Art. 154 del Código Civil. Esa regla aplica al alta del socio menor, a la inscripción en escuela infantil de natación o actividad deportiva, a las fotografías para la web del centro y, especialmente, a las publicaciones en redes sociales.

En supuestos de padres separados o divorciados con guarda y custodia compartida, ambos progenitores deben firmar el alta y consentimientos asociados (fotografías, salidas, redes sociales) en aplicación del Art. 156 del Código Civil. Para urgencias deportivas basta el progenitor presente. Documentar el escenario familiar al alta evita conflictos posteriores. La clínica debe mantener copia del libro de familia o resolución judicial de custodia cuando el contexto lo justifique.

Las fotografías de actividades infantiles (sesiones de natación, campeonatos, exhibiciones) merecen atención específica. La publicación en web, Instagram o WhatsApp del centro requiere consentimiento expreso e informado de ambos progenitores, especificando el canal concreto, el plazo y la posibilidad de retirar el consentimiento en cualquier momento. La AEPD ha sancionado a varios centros deportivos por publicar fotos de menores sin consentimiento parental específico.

Empleados monitores y registro de jornada

La plantilla del gimnasio (monitores, recepción, personal de limpieza, fisioterapeutas autónomos asimilados) está sujeta a la normativa laboral ordinaria. La base jurídica del tratamiento de sus datos personales es el Art. 6.1.b RGPD (contrato laboral) y el Art. 6.1.c RGPD (cumplimiento de obligaciones legales: nóminas, Seguridad Social, prevención de riesgos laborales, Hacienda).

El registro horario obligatorio del Art. 34.9 ET, introducido por el Real Decreto-ley 8/2019, exige documentar la jornada efectiva de cada trabajador. El sistema puede ser manual (firma en papel), digital (app o software de fichaje) o biométrico (huella, facial). Recordemos que la biometría laboral activa la guía AEPD de noviembre 2023, exige EIPD, alternativa proporcional y, en la práctica, suele ser desaconsejable frente a alternativas más simples como el código de identificación o la tarjeta. La obligación de conservar el registro horario es de 4 años desde la finalización del periodo, conforme al Art. 21.5 LISOS (texto refundido aprobado por RDLeg 5/2000). Plazo de conservación distinto del plazo de prescripción, que es de 3 años para las infracciones del Art. 4.1 LISOS.

El régimen sancionador por infracción laboral en materia de protección de datos del trabajador depende de la calificación del hecho. Las sanciones del Art. 8 LISOS (infracciones muy graves) van de 7.501 € a 225.018 € por infracción detectada en la empresa, no por trabajador ni automáticamente por centro (Criterio Técnico 101/2019 de la Inspección de Trabajo y Seguridad Social). Las infracciones graves del Art. 7 LISOS oscilan entre 751 y 7.500 €. La prescripción es de 2 años para graves y 3 para muy graves (Art. 78 LOPDGDD).

Cuando el centro tiene cámaras orientadas al puesto de trabajo del monitor o recepcionista, debe informar previa y expresamente al trabajador del Art. 89 LOPDGDD, e incluir la videovigilancia en el contrato o anexo. La grabación oculta del trabajador, salvo investigación de un ilícito concreto del Art. 90 LOPDGDD, es radicalmente nula y origina sanción AEPD añadida a la laboral.

Sanciones AEPD orientativas para gimnasios

El régimen sancionador del RGPD distingue dos niveles. El Art. 83.4 fija multas administrativas de hasta 10 millones de euros o 2% del volumen de negocio anual mundial total del ejercicio financiero anterior (lo que sea mayor) para infracciones como falta de contrato de encargo (Art. 28), falta de RAT (Art. 30) o falta de notificación de brecha (Art. 33). El Art. 83.5 eleva el tope a 20 millones o 4% del volumen de negocio para infracciones más graves: vulneración de principios del Art. 5, falta de base jurídica del Art. 6, vulneración del Art. 9 sobre categorías especiales, vulneración de derechos del titular (Arts. 12-22) y transferencias internacionales sin base.

Para gimnasios y centros fitness pymes, la AEPD aplica el Art. 83.2 RGPD y los criterios de modulación: naturaleza, gravedad y duración de la infracción, intencionalidad, medidas adoptadas para mitigar el daño, grado de cooperación, categorías de datos afectadas y antecedentes. La prescripción es de 2 años para infracciones graves y 3 años para muy graves, conforme al Art. 78 LOPDGDD.

El rango orientativo observable en resoluciones públicas de los últimos años para centros fitness pymes oscila en la franja 5.000-100.000 €, sin perjuicio de topes legales superiores (20M€/4% del volumen de negocio) cuando la infracción sea muy grave o la facturación lo justifique. Casos representativos publicados en el buscador de resoluciones AEPD incluyen sistemas biométricos sin EIPD ni alternativa proporcional (rango 10.000-40.000 €), cámaras orientadas a vestuarios o aseos (8.000-30.000 €), publicación de fotos de socios en redes sociales sin consentimiento específico (3.000-20.000 €) y envío masivo de WhatsApp comercial sin consentimiento previo (3.000-15.000 €).

La advertencia previa del Art. 58.2.b RGPD, combinada con el Art. 83.2 RGPD y el Art. 76 LOPDGDD, no es trámite obligatorio antes de la sanción: la AEPD puede ir directamente al expediente sancionador si los hechos son graves. La doctrina de la Audiencia Nacional y del Tribunal Supremo valora positivamente las medidas de adecuación previas y la cooperación durante la inspección, pero NO exige advertencia previa como condición de validez de la sanción.

Cómo adecua Cardeseo un gimnasio

Cardeseo presta el servicio de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE con tarifa anual de 349€/año para gimnasios y centros fitness pequeños (hasta 5 trabajadores), escalable por número de empleados, sociedades vinculadas, sistemas biométricos y nivel de tratamiento. El servicio cubre los tres planos: documental, técnico y de soporte continuo durante 12 meses.

Hitos del onboarding entre 7 y 14 días naturales:

  • Día 1-3: análisis previo por llamada o formulario detallado (sector, plantilla, sociedades, software de gestión, web, tornos biométricos o tarjeta, app, wearables integrados, cámaras, pasarela de pago, marketing).
  • Día 4-7: generación del pack documental personalizado (política de privacidad, política de cookies, aviso legal, RAT, contrato de encargo con cada proveedor de software, app y pasarela, manual de personal, plantilla de consentimiento de alta del socio, cláusula de consentimiento expreso para marketing, política de videovigilancia, EIPD si el centro opta por biometría, plan de respuesta a brechas).
  • Día 8-10: publicación en la web del gimnasio de los tres textos legales con enlaces correctos y, si aplica, integración del banner de cookies conforme a la Guía AEPD de cookies.
  • Día 11-14: formación de personal (sesión de 60 minutos sobre obligaciones, secreto profesional cuando intervenga fisioterapeuta, acceso al software, fotos en redes, marketing) y entrega del certificado de adecuación.

El pack es plantilla auditada por jurista colaborador externo, personalizada con los datos reales del centro. Cardeseo NO promete cumplimiento total porque ningún consultor puede garantizarlo: comprometemos pack documental válido, soporte continuo con SLA 24h en consultas y representación documental en caso de inspección o denuncia AEPD. Para profundizar en qué incluye y qué no, revisa la página Cumplimiento Legal y la guía ¿Qué es el RGPD?.

Preguntas frecuentes

¿Puedo poner huellero o reconocimiento facial en la entrada del gimnasio?

Es la decisión con mayor exposición sancionadora del sector. La Guía AEPD de noviembre de 2023 califica la biometría identificativa como categoría especial del Art. 9 RGPD y exige Evaluación de Impacto previa, alternativa proporcional no biométrica (tarjeta NFC, código, app) y, en la práctica, consentimiento muy difícil de articular como libre por el desequilibrio mercantil socio-gimnasio. Cardeseo recomienda renunciar al huellero salvo justificación reforzada y, si se mantiene, documentar la EIPD y ofrecer siempre la alternativa.

¿Qué hago con el certificado médico y las lesiones declaradas en el alta?

Son datos de salud del Art. 9 RGPD. Si tu gimnasio NO cuenta con fisioterapeuta, médico del deporte o readaptador colegiado, lo prudente es no guardar el certificado en tu base y limitarte a una declaración firmada de aptitud. Si decides custodiarlo, ficheros separados, cifrado en reposo, acceso restringido por rol, registro de auditoría y plazo de conservación ligado a la duración del contrato más prescripción civil. Nunca dejes fichas con datos médicos a la vista en recepción.

¿Puedo grabar con cámaras la sala de fitness y la zona de pesas?

Sí, con cartel homologado AEPD visible antes de acceder, sin audio salvo justificación reforzada, plazo máximo 30 días, inscripción del tratamiento en el RAT y acceso restringido a las grabaciones. Prohibido absolutamente vestuarios, aseos, duchas, salas de masaje y zonas de descanso de personal. La AEPD sanciona automáticamente la cámara mal orientada a zona privada, sin necesidad de visionado efectivo, según doctrina consolidada de la Audiencia Nacional.

¿Los datos de mi app y de los wearables del socio son datos de salud?

Si la app o el wearable mide frecuencia cardiaca, sueño, peso, variabilidad cardiaca, calorías o variables asociables a una persona identificable, son datos de salud del Art. 9 RGPD (considerando 35). Exigen base reforzada del Art. 9.2 y, normalmente, consentimiento explícito específico. El flujo más limpio es que la sincronización se haga desde la cuenta personal del socio en Apple Health o Google Fit, con token revocable, para que el gimnasio reciba solo lo imprescindible.

¿Puedo mandar ofertas y promociones por WhatsApp a mis socios?

Solo con consentimiento previo, expreso y específico del Art. 21 LSSI-CE, recogido en casilla independiente al alta, nunca pre-marcada (STJUE Planet49 C-673/17). El supuesto del Art. 21.2 (productos similares dentro de la relación contractual) lo interpreta la AEPD de forma estricta y NO ampara enviar promociones de nutrición, suplementación o eventos a un socio que solo contrató cuota mensual. Los recordatorios operacionales (confirmación de clase, incidencias) sí están amparados por el Art. 6.1.b RGPD.

¿Cómo trato a los socios menores de edad de mi escuela infantil deportiva?

El consentimiento RGPD lo otorga quien ostente la patria potestad por debajo de 14 años (Art. 7 LOPDGDD). Si los padres están separados con custodia compartida, ambos deben firmar tratamientos no urgentes (Art. 156 Código Civil), incluyendo fotografías para web o redes sociales. Para urgencias deportivas basta el progenitor presente. La publicación de fotos de actividades infantiles en Instagram exige consentimiento expreso e informado de ambos progenitores, especificando canal y plazo.

¿Qué sanción me puede caer si la AEPD me inspecciona?

El rango orientativo observable en resoluciones públicas para gimnasios pymes es 5.000-100.000 €, sin perjuicio de topes legales superiores (20M€/4% del volumen de negocio) en infracciones muy graves. La AEPD modula según naturaleza, gravedad, intencionalidad, medidas adoptadas, cooperación y categorías de datos afectadas. Los motivos más frecuentes son biometría sin EIPD ni alternativa, cámaras en zonas prohibidas, fotos de socios sin consentimiento específico y WhatsApp comercial sin consentimiento previo.

Próximos pasos

Si tu gimnasio o centro fitness aún no tiene la documentación RGPD al día, el siguiente paso lógico es revisar el alcance del servicio de Cumplimiento Legal, iniciar el onboarding RGPD y descargar las plantillas base de modelo de consentimiento RGPD. Para entender en profundidad el marco general antes de contratar, revisa la guía ¿Qué es el RGPD?. Si prefieres hablarlo directamente, llama al +34 604 56 05 48 o escribe a departamentojuridico@cardeseo.com y un asesor de Cardeseo te responde en menos de 24 horas.

← Volver a cumplimiento legalEmpezar adecuación RGPD →