La industria mundial del fitness se prepara para el GDPR

El 25 de mayo entra en vigor en la Unión Europea (UE) el nuevoReglamento General de Protección de Datos (RGPD) .

Es la causa de cierta confusión, de mucha preocupación y de una buena cantidad de quejas.

"El GDPR supone el mayor cambio en las leyes de protección de datos en Europa desde hace 20 años", afirma Alan Leach, director de marketing del West Wood Club, una cadena de siete establecimientos con sede en Dublín (Irlanda). "Las implicaciones para las empresas de toda Europa son enormes".

La razón de ser del RGPD es proteger la privacidad de los datos de los ciudadanos y perfeccionar la forma en que las organizaciones manejan los datos.

Aunque el GDPR fue redactado en Europa, su impacto se sentirá definitivamente en los Estados Unidos -incluyendo a IHRSA- y en cualquier país que haga negocios en la UE. En diciembre, Forbes publicó un artículo en el que informaba a sus lectores de que "Sí, el GDPR afectará a su negocio con sede en Estados Unidos". Y, en enero, The New York Times informó de que, en Silicon Valley, "Los gigantes tecnológicos se preparan para las nuevas normas de privacidad de datos de Europa".

La IHRSA cumple con el GDPR pidiendo a los residentes de la UE que opten por recibir comunicaciones por correo electrónico.

"El GDPR es un cambio de juego global en las normas de privacidad", dice Florian Cartoux, el director de IHRSA Europe.

Las sanciones por incumplimiento son imposibles de ignorar. Las infracciones pueden dar lugar a una multa de hasta 20 millones de euros, o el 4% de los ingresos anuales de la empresa, lo que sea mayor.

Las empresas internacionales del sector del fitness con sede en Estados Unidos, como Life Fitness, con sede en Rosemont (Illinois), y Anytime Fitnes, de Woodbury (Minnesota), han tomado nota y están adoptando medidas. "Hemos trabajado (...) para desarrollar un plan de proyecto para abordar las obligaciones de seguridad y privacidad de acuerdo con el GDPR", dice Life Fitness.

La aparición de Internet y su posterior explosión han contribuido a transformar los datos en una de las mercancías más valiosas del mundo, y ahora, podría decirse que es la base, la plataforma universal, sobre la que se asienta la civilización moderna.

Pero para todos y cada uno de los infinitos usos que ofrece, existe la posibilidad de un mal uso y/o abuso. Cuando se habla del RGPD, el objetivo suele estar vinculado a los consumidores, que corren el riesgo de sufrir robos de identidad, fraudes financieros, robo de información, manipulación en las redes sociales, etc. El GDPR está diseñado para garantizar, en la medida de lo posible, la seguridad de los datos personales de las personas. Pero la premisa que impulsa el RGPD -que los datos son valiosos, deben ser protegidos y, por tanto, regulados- se aplica igualmente a las empresas.

No pasa un mes sin que nos enteremos de otra enorme violación de datos con efectos de gran alcance y, a veces, incalculables. En marzo, cuando se descubrió que Cambridge Analytica podría haber utilizado los datos de más de 50 millones de usuarios de Facebook con fines políticos, los titulares posteriores del Times decían: "Cambridge Analytica suspende a su director general" y "El jefe de seguridad de datos de Facebook dejará el cargo en medio de la indignación".

Tal vez lo más importante es que, por primera vez, el desarrollo hizo que el GDPR fuera un tema candente, y un tema de Estados Unidos: uno del que informaron los locutores, del que hablaron los presentadores de los programas de entrevistas y que ocupó un lugar destacado en otros titulares, como: "¿Podría el GDPR haber detenido el escándalo de Cambridge Analytica?"

El diablo en los detalles

"Los clubes de salud recopilan datos personales de socios y no socios", dice Leach. "Recogen nombres, direcciones, correos electrónicos, datos bancarios, información médica y mucha otra información. Los datos son fundamentales para todos los aspectos de nuestro negocio, y somos responsables de protegerlos. ... El RGPD está diseñado para "reforzar y unificar" la protección de datos para todos en la UE".

Las críticas a la medida van desde "no es esencial" hasta "el jurado todavía está fuera", pero una de las cosas en las que todos parecen estar de acuerdo la resume Jim Goniea, el consejero general de Anytime Fitness, que tiene una importante presencia internacional. "Vemos las normas del GDPR como la ola del futuro, y tenemos la intención de aplicarlas en todas nuestras operaciones internacionales, incluso fuera de la UE, en la medida en que no entren en conflicto con las leyes locales."

Otra de las conclusiones a las que llegan todos, incluidos Leach y Cartoux, es la importancia de recurrir a abogados o consultores con conocimientos serios de regulación. "Recomiendo encarecidamente que cualquier club de fitness consulte con sus asesores todas las implicaciones del GDPR", dice Leach.

Aunque los objetivos del reglamento parecen razonables, el reto de traducirlos en acciones es desalentador. "No es que el nuevo RGPD sea innecesario, o que cualquier requisito individual sea particularmente impactante; más bien, la mayor parte del problema es que el RGPD ha llegado a nosotros de golpe y podría tener un impacto potencial en casi todas las organizaciones del mundo", dice Leach.

Otro obstáculo, se apresura a señalar, es que "el GDPR es complejo. Muy complejo".

La guía más completa y autorizada es el sitio web oficial del RGPD.

"El artículo 5 del RGPD esboza seis principios que deben aplicarse a cualquier recogida o tratamiento de los datos de una persona", explica Leach. "Estos seis principios son el núcleo del GDPR". Son:

1. Los datos personales (DP) deben ser tratados de forma legal, justa y transparente.
2. Los DP sólo pueden recogerse con fines específicos, explícitos y legítimos.
3. Los DP deben ser adecuados, pertinentes y limitados a lo necesario para el tratamiento.
4. La EP debe ser precisa y estar actualizada.
5. Los DP deben conservarse de forma que el interesado sólo pueda ser identificado "mientras sea necesario" para su tratamiento.
6. La DP debe ser procesada de manera que se garantice su seguridad.

El mes pasado, IHRSA presentó un seminario web sobre "Nuevas normas europeas de protección de datos: El impacto en su gimnasio", que puede escuchar en cualquier momento.

Cumplimiento: Los costes y las recompensas

Dominar la intrincada y compleja normativa del GDPR es, en muchos sentidos, como aprender un idioma completamente nuevo, pero desde Estados Unidos hasta la UE, los clubes de salud y otras empresas del sector se están aplicando con diligencia.

Leach y los principales directivos de su cadena han asistido a una formación profesional de CMG en Dublín y han recibido certificados de clase magistral de CMG para el GDPR. "A estas alturas, he asistido a tantas reuniones y sesiones de planificación que creo que podría recitar todo el documento del GDPR palabra por palabra", afirma.

El West Wood Club comenzó a prepararse para el Día del GDPR hace unos siete meses. "El primer objetivo, y el más importante, era separar el alarmismo de los hechos", dice Leach, que también es miembro de la junta directiva de IHRSA.

"Se va a necesitar mucho trabajo y esfuerzo para que el West Wood Club cumpla totalmente con el GDPR antes del 25 de mayo", dice. "Habrá que formar a más de 400 empleados. Habrá que contratar a un responsable de protección de datos. Habrá que revisar todo el software de afiliación y ventas para ver si todo cumple con el GDPR."

Anytime Fitness, que cuenta con unos 4.000 clubes en 20 países, se ha dado cuenta de que el GDPR se acercaba desde hace tiempo, y "reunió a un equipo compuesto por nuestros departamentos de tecnología y legal para evaluar los requisitos del reglamento e implementar los cambios necesarios para garantizar su cumplimiento", dice Goniea.

La lista de medidas que hay que tomar parece monumental, pero esta franquicia de fitness parece tomárselo con cierta naturalidad. "Las tareas que hemos tenido que completar incluyen, entre otras, la evaluación de los requisitos del GDPR; el mapeo de los flujos de datos en nuestro sistema; la evaluación de quién dentro de nuestro sistema constituye un controlador y / o un procesador; la revisión y la revisión de nuestra política de privacidad; la revisión y la revisión de los contratos de cara a los miembros donde se recopila la historia personal; la revisión y la revisión de los contratos de proveedores de la UE. ..."

Anytime Fitness, explica Goniea, siempre ha empleado las mejores prácticas con respecto a las cuestiones de privacidad de los datos y, como resultado, es capaz de contemplar el GDPR con cierta frialdad profesional, aceptando con calma los esfuerzos y gastos adicionales que conlleva.

"Cumplir con las normas del GDPR no ha requerido una alteración significativa en la forma en que hacemos negocios o manejamos los datos de los miembros o empleados", dice. "Para las empresas que ya aplican las mejores prácticas en el ámbito de la privacidad de los datos, el GDPR probablemente no acabe siendo un obstáculo importante para su expansión de las operaciones en la UE."

Los retos, los costes adicionales y la confusión pasajera que conlleva el RGPD vienen con una zanahoria y un palo. El incumplimiento de las numerosas estipulaciones de la medida da lugar a una sanción y podría incluso llevar a una empresa a no poder operar en la UE.

"El coste del incumplimiento es demasiado peligroso para ignorarlo", advierte Cartoux. "Podrías enfrentarte a una multa de hasta 20 millones de euros, o el 4% de tus ingresos globales -lo que sea mayor- si te pillan manejando mal los datos de tus clientes europeos". Al mismo tiempo, señala, "el RGPD ofrecerá a los clubes y otras empresas la oportunidad de cuidar mejor los datos de su personal y de sus clientes".

"Para las empresas estadounidenses, la ecuación debería ser muy sencilla", dice. "No quieres cerrarte a un mercado con 500 millones de consumidores".