Según las informaciones reveladas por “Football Leaks” el pasado mes de octubre, el Paris Saint Germain, (PSG), equipo de fútbol de la capital francesa propiedad de un fondo de inversión qatarí, utilizó criterios de origen étnico y racial para el seguimiento de los fichajes de jóvenes para su centro de formación; según esta misma fuente, los encargados de captar futuras promesas por todo el país debían rellenar fichas en las que había un apartado sobre el origen de los jugadores, con cuatro opciones: francés, magrebí, antillano y africano.
Tras conocerse la noticia el Gobierno francés expresó su consternación por estos supuestos fichajes con criterios de origen étnico y pidió a la Federación Francesa de Fútbol y a la Ligue One que investigaran el caso lo antes posible. La ministra de Deportes, Roxana Maracineanu, indicó en un comunicado que los hechos difundidos por la prensa, en caso de confirmarse, podrían ser objeto de "sanciones disciplinarias e incluso penales".

En fecha 19 de noviembre de 2018 hemos conocido que La Fiscalía de París ha abierto una investigación al París Saint-Germain por discriminar según el origen, etnia o nacionalidad a los jóvenes que fichaba para su centro de formación. El club también está siendo investigado por "colecta de datos de carácter personal a través de un medio fraudulento, injusto o ilícito", por "tratamiento de datos personales sin autorización" y por “registro o conservación de datos en los que directa o indirectamente aparecía el origen racial o étnico de los jugadores”.

Analizaremos, con la información revelada, las infracciones y posibles sanciones que podría tener el equipo parisino según el Reglamento General de Protección de Datos de la Unión europea que entró en vigor el pasado 25 de mayo de 2018. Entendiendo que un club de fútbol de un país miembro de la Unión Europea se encuentra dentro del ámbito de aplicación del Reglamento.
Éste, en su artículo 9, prohíbe expresamente el “tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

Según parece y a nuestro entender, las actuaciones referidas no se pueden enmarcar con las exenciones establecidas en el apartado 2 del mencionado artículo 9, como serían el consentimiento, intereses de derechos laborales o de seguridad social, protección de intereses vitales del interesado o cualquier otra persona física, interés público, medicina preventiva…

Por otro lado, los datos de los menores no son considerados por el Reglamento como uno de los datos sensibles recogidos en el mencionado artículo 9, pero se les da una especial protección en el considerando 38 del Reglamento donde se recoge: “Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños.”

Nuestra normativa nacional, por ejemplo, hasta el día 25 de mayo consideraba que la madurez se producía desde los catorce años en adelante. Por tanto, los menores de dieciocho años que tuviesen catorce años o más, podían consentir el tratamiento de sus datos sin necesidad de requerir el consentimiento de quien ejerza la patria potestad o su tutela.

Como bien decimos, esto era así hasta el pasado día 25 de mayo. Con la entrada en vigor del Reglamento europeo este límite de edad se ve afectado por el artículo 8 del mismo. Y se considera que serán legales los tratamientos de datos personales de aquéllos mayores de dieciséis años. El Reglamento deja abierto que sea la legislación nacional la que vaya a determinar esa edad mínima. Pero siempre y cuando no sea nunca inferior a los trece años. En Francia, caso que nos ocupa, se ha establecido en quince años la edad para poder prestar consentimiento autónomo. Según las informaciones recogidas, el consentimiento en ningún caso fue solicitado, ni a los menores ni a sus representantes legales. Además, este consentimiento, debe ser expreso y previo a la recogido de los datos.

Por todo ello, el Club parisino ha infringido la legalidad establecida en el marco de la Unión Europea a través del Reglamento Europeo de Protección de Datos y puede enfrentarse a las sanciones impuestas por la autoridad nacional francesa de Protección de Datos (CNIL) que, por una infracción de estas características, a los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; se establecen unas sanciones de con multas de 20.000.000€ como máximo o, un 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Para la graduación de la sanción se tendrán en cuenta las circunstancias de cada caso individual como la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, las categorías de datos afectadas por la infracción e, incluso, cualquier factor agravante o atenuante.

Como vemos, las sanciones establecidas en el Reglamento son de cantidades del todo disuasorias por su cuantía. Aunque los clubes de fútbol se muevan en una legalidad paralela y sujetos a normativas internas de entes internacionales, no escapan a esta normativa europea. Y, aunque sus presupuestos consistan en cantidades millonarias con gastos anuales que se encuentran fuera de toda lógica, una sanción de estas características, no cabe duda, les afectaría de manera muy grave tanto económica como reputacionalmente. Elementos éstos que debían haber sido tenidos en cuenta por la directiva del Club antes de proceder de forma presuntamente ilegal asumiendo los riesgos inherentes a dicho modo de actuar, riesgos que, además, se habrían podido mitigar con el establecimiento de un Programa de Compliance eficaz.