With the new European Data Protection Regulation going into effect on May 25, businesses are working feverishly to understand what is required to be in compliance.

Containing 99 articles, the comprehensive regulation “was designed to harmonize data privacy laws across Europe, to protect and empower all EU citizens’ data privacy, and to reshape the way organizations across the region approach data privacy,” explained Roman Spitko in a special session at IHRSA 2018 in San Diego, CA. Spitko also hosted an IHRSA webinar about GDPR, which is available now.

(Live in the EU? Verify your identity to continue receiving communications from IHRSA.)

Spitko, que es director de la facultad de administración y economía de empresas de la Universidad Alemana de Prevención y Gestión Sanitaria, asesoró a los asistentes sobre cómo cumplir la nueva normativa y los riesgos de no hacerlo.

He aquí cinco puntos de interés de su sesión.

1. El RGPD se aplica a todos los que hacen negocios en la UE

La nueva normativa es relevante para todos los clubes de fitness, y por lo tanto para todos los operadores de clubes, que hacen negocios en la Unión Europea.

2. El incumplimiento tiene un precio

El incumplimiento le costará hasta el 4% de su facturación anual o 20 millones de euros, lo que sea mayor.

3. Considerar el nombramiento de un responsable de la protección de datos

Es posible que tenga que nombrar a un responsable de la protección de datos (DPO). Hay muchos modelos de negocio en la industria del fitness que procesan datos biométricos o datos relativos a la salud. Si el tratamiento de este tipo de datos se califica como actividad principal, entonces podría ser obligatorio para estos clubes nombrar un RPD.

"El incumplimiento le costará hasta el 4% de su facturación anual o 20 millones de euros, lo que sea mayor".

4. Los requisitos difieren según el tamaño

Requirements are different for organizations with fewer than 250 employees. A business in this category is not required to maintain a record of processing activities under its responsibility unless “the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data […] or personal data relating to criminal convictions and offenses” (Article 30, Number 5).

5. Subcontratar con cautela

La subcontratación del procesamiento de datos a otra empresa que diga que cumple la normativa no exime a su club de la responsabilidad. Si se descubre que la empresa elegida no cumple las normas, su empresa también será responsable.

Más información sobre el GDPR

For more advice about GDPR from Roman Spitko, watch his IHRSA webinar, “New European Protection Rules: The Impact on Your Gym” (free for IHRSA members).