En 30 segundos

  • El RGPD en gimnasios no es papeleo opcional: tratas datos de contacto, cuotas, imagen y, en muchos centros, datos de salud (categoría especial, art. 9 RGPD), cada uno con reglas distintas.
  • La huella dactilar o el reconocimiento facial en el torno de acceso es terreno minado: la AEPD ya ha sancionado a varios gimnasios, uno con 96.000 € por imponer el facial como única vía de entrada.
  • Lo que de verdad sanciona no suele ser exótico: un grupo de WhatsApp con todos los números a la vista, fotos de socios en Instagram sin permiso o un formulario que pide de más.
  • Cuando un socio se da de baja y pide "borradlo todo", hay una parte que sí puedes borrar y otra —las facturas— que estás obligado a conservar por ley durante años.
  • Con bases legales claras, contratos con tus proveedores y un puñado de hábitos, la mayoría de gimnasios puede estar tranquilo sin contratar un bufete.

Si gestionas un gimnasio, tratas datos personales de cientos de personas cada día sin pensarlo dos veces: la ficha de alta, el número de cuenta para la domiciliación, las fotos que subes a Instagram, las cámaras de la sala de pesas y, en no pocos centros, hasta la huella dactilar del torno de entrada. El RGPD en gimnasios no es una capa burocrática que puedas ignorar hasta que llegue una inspección: es el marco que decide qué puedes hacer con todo eso y qué te puede costar una sanción si te equivocas.

La buena noticia es que cumplir no exige un departamento legal propio, sino entender bien cuatro cosas: qué datos manejas de verdad y cuáles son "especiales", con qué base legal puedes tratarlos, qué errores cotidianos son los que de verdad sanciona la Agencia Española de Protección de Datos (AEPD), y qué hacer cuando un socio ejerce sus derechos. Vamos por partes, con datos reales y sin dramatizar.

Aviso

Este artículo es una guía práctica de orientación general, no asesoría jurídica. Antes de aplicar cambios en tu contrato de socio, tus consentimientos o tu sistema de acceso, consulta con un abogado o consultor especializado en protección de datos que conozca el caso concreto de tu centro.

RGPD en gimnasios: qué datos de tus socios puedes tratar, cuáles son categoría especial y cómo evitar una sanción de la AEPD

Qué datos maneja de verdad un gimnasio (y cuáles son "especiales")

Un gimnasio trata tres niveles de datos con distinto riesgo: contacto y cuota (riesgo bajo), imagen y presencia (riesgo medio) y salud o biometría, que el RGPD clasifica como categoría especial y trata con mucho más rigor que el resto.

El error más habitual no es tratar estos datos —es casi imposible gestionar un gimnasio sin hacerlo— sino tratarlos todos igual, con el mismo cartel genérico de "protección de datos" pegado en recepción y sin diferenciar qué necesita un consentimiento reforzado y qué no. El mapa siguiente resume, de un vistazo, en qué franja cae cada dato habitual de tu ficha de socio.

VERDE Contacto y cuotas ÁMBAR Imagen y cámaras ROJO Salud y biometría • Nombre, email, teléfono • Cuenta o tarjeta de cobro • Historial de pagos • Facturas emitidas • Fotos y vídeos en redes • Cámaras de videovig. • Asistencia a clases • Lesiones y patologías • Valoración física • Huella o facial Base legal Ejecución del contrato Base legal Consentimiento específico Base legal Consentimiento explícito reforzado Sin permiso extra Cartel + casilla propia Artículo 9 RGPD

Datos de salud: la categoría especial que casi nadie declara como tal

En cuanto haces una valoración física, registras una lesión o preguntas por una patología ("¿alguna lesión de rodilla?", "¿problemas cardiovasculares?"), dejas de tratar un dato normal y pasas a tratar un dato de salud, categoría especial del artículo 9 del RGPD. Y son muchos más gimnasios de los que creen los que lo hacen: cualquier ficha de valoración inicial, cualquier campo de "observaciones médicas" en el software, cualquier app de bienestar conectada al centro entra directamente en este cajón.

Tratar datos de salud exige un nivel de cuidado distinto: consentimiento explícito y separado (no vale la casilla genérica del contrato de alta), acceso restringido solo al personal técnico que lo necesita, y medidas de seguridad reforzadas en el software donde se guarda. Si además tu centro está en fase de apertura y todavía estás cerrando licencias, aforo e insonorización, esta parte de datos es solo una pieza más del expediente: el resto de trámites de apertura los cubrimos en la guía de normativa y licencias para abrir un gimnasio en España.

  • Consentimiento explícito, marcado de forma independiente al resto de cláusulas del contrato.
  • Acceso limitado: el monitor que hace la valoración, no toda la recepción.
  • Finalidad acotada: esos datos son para entrenar mejor al socio, no para nada más.
  • Conservación con caducidad: revísalos y bórralos cuando ya no aporten valor, no los acumules año tras año "por si acaso".

Biometría en tornos y accesos: por qué la AEPD dice que no

La huella dactilar y el reconocimiento facial también son datos biométricos de categoría especial, y desde que la AEPD publicó su guía específica sobre control de presencia mediante sistemas biométricos, en noviembre de 2023, el criterio es claro: usarlos para el acceso de socios es casi indefendible cuando existen alternativas menos invasivas —como una tarjeta o un QR— que cumplen la misma función.

Ya lo desarrollamos con detalle, coste por coste, en la comparativa de control de acceso en gimnasios: tornos, QR y huella; aquí nos quedamos con la parte legal, porque ya no es una advertencia teórica: son multas reales, y algunas muy por encima de lo que cualquier gimnasio ahorra en tarjetas.

3.000 € 10.000 € 27.000 € 96.000 € Datos excesivos en un formulario Datos de salud vía app Huella dactilar para el acceso Reconocimiento facial obligatorio

Los cuatro casos son reales y verificables: la AEPD sancionó con 3.000 € a un gimnasio por pedir datos excesivos (DNI, datos bancarios, sexo, código postal) en un formulario de acceso gratuito; con 10.000 € a un centro por solicitar datos de salud a través de una aplicación de bienestar sin base legal suficiente; con 27.000 € al gimnasio Metropolitan de Santander por pedir la huella dactilar para acceder sin haber informado ni recabado el consentimiento adecuado; y, la más elevada, con 96.000 € (rebajada de 160.000 € por reconocimiento de la infracción y pronto pago) a la cadena de gimnasios Supera, del grupo SIDECU, por imponer el reconocimiento facial como único método de entrada, sin evaluación de impacto ni alternativa real para quien no quisiera dar su rostro.

«SIDECU no acreditó ninguna de las excepciones del artículo 9.2 del RGPD que permiten el tratamiento de datos biométricos, ni realizó una evaluación de impacto en protección de datos previa, ni informó correctamente a los usuarios.»

FACUA, sobre la resolución de la AEPD

El patrón se repite en los cuatro casos: no es que la biometría esté prohibida por completo, es que casi nunca se puede justificar frente a alternativas —tarjeta, QR, pulsera— que hacen exactamente el mismo trabajo con muchísimo menos riesgo. Antes de instalar o mantener un lector de huella o de rostro en tu puerta, lee la guía oficial de la AEPD sobre control de presencia mediante sistemas biométricos y valora en serio si te compensa el riesgo.

Bases legales: cuándo usar contrato, consentimiento o interés legítimo

Cada dato que tratas necesita una base legal concreta del RGPD, y mezclarlas —tratar como "interés legítimo" lo que necesita consentimiento explícito— es uno de los fallos que más señalan las resoluciones de la AEPD.

Base legalCuándo se usaEjemplo en tu gimnasio
Ejecución del contratoDatos imprescindibles para prestar el servicio contratadoNombre, cuenta bancaria, cuota, historial de pagos y facturas
ConsentimientoTratamientos no imprescindibles para el servicio básicoComunicaciones comerciales, WhatsApp promocional, newsletter
Consentimiento explícitoCategoría especial: salud y biometríaFicha de valoración física, huella o facial en el acceso
Interés legítimoCon límites claros y ponderación de derechosVideovigilancia de seguridad bien señalizada, cartelería visible
Obligación legalCuando una norma exige conservar el datoFacturas emitidas (obligación fiscal y mercantil)

La confusión más frecuente es pedir consentimiento para todo, incluida la cuota o el pago, cuando en realidad ese tratamiento ya está cubierto por la ejecución del contrato: pedir un permiso que no hace falta no te protege más, solo genera más papeleo y la falsa sensación de que "ya está todo consentido".

Los 5 errores que de verdad sancionan (aunque parezcan inofensivos)

La mayoría de sanciones a pequeños negocios no vienen de sistemas sofisticados: vienen de hábitos del día a día que nadie identifica como un riesgo hasta que llega una reclamación.

Error habitualPor qué es un problemaAlternativa correcta
Grupo de WhatsApp con todos los números visiblesExpone el teléfono de cada socio a todos los demás sin su permisoListas de difusión o un canal, nunca un grupo abierto
Fotos de socios en Instagram sin consentimientoLa imagen es un dato personal; publicarla sin permiso vulnera el RGPDConsentimiento explícito y por escrito, específico para redes
Cámaras mal señalizadasSin cartel visible, el tratamiento no está bien informadoCartelería normalizada en cada acceso grabado
Lista de morosos en el corcho de recepciónExpone datos económicos de socios concretos a la vista de todosGestión de impagos dentro del software, nunca en papel visible
Formularios que piden de másPedir DNI, cuenta o sexo cuando no hacen falta viola el principio de minimizaciónPide solo lo imprescindible para la finalidad concreta

El caso de los 3.000 € que veíamos antes es justo el quinto de esta lista: un gimnasio pidió DNI, datos bancarios, sexo y código postal en un formulario para una promoción de acceso gratuito, cuando ninguno de esos datos era necesario para gestionar esa campaña. Cuanto más corto y justificado sea un formulario, menos expuesto estás.

Derechos del socio: acceso, baja y "quiero que borréis todo"

Todo socio tiene derecho a pedir acceso a sus datos, rectificación si están mal, y supresión cuando ya no hay motivo para conservarlos. El matiz que genera más dudas en un gimnasio es qué pasa cuando alguien se da de baja y pide, literalmente, que borres todo.

La respuesta honesta es que no puedes borrarlo todo de inmediato, y no porque el RGPD lo impida, sino porque otras leyes te obligan a conservar parte de esa información: las facturas emitidas deben conservarse un mínimo de seis años desde el último asiento, por obligación mercantil del artículo 30 del Código de Comercio, con matices adicionales por normativa fiscal. Lo que sí puedes y debes hacer es distinguir con claridad:

  • Datos que ya no hacen falta (valoraciones físicas, notas de entrenamiento, número de teléfono para avisos): se borran o se anonimizan al confirmar la baja.
  • Datos que debes conservar por ley (facturas, movimientos contables): se mantienen, pero con acceso restringido y solo para esa finalidad concreta, no para marketing ni para nada más.
  • Comunicaciones comerciales: se cortan de inmediato al retirar el consentimiento, sin necesidad de esperar a nada más.

Explícaselo así al socio: "puedo borrar tu ficha de entrenamiento y dejar de escribirte hoy mismo, pero la ley me obliga a conservar tus facturas unos años más, aunque con acceso restringido". Es una respuesta transparente, cumple la norma y, en la práctica, casi siempre satisface a quien pregunta. Como ejemplo de cómo comunicar este tipo de compromisos con claridad, puedes revisar la política de privacidad de GymGest.

Tu software y tu gestoría también tratan datos: el contrato de encargado

Cuando confías tus datos de socios a un software de gestión, a tu gestoría o a una pasarela de pago, esas empresas se convierten en lo que el RGPD llama "encargados de tratamiento", y la ley exige que exista un contrato específico entre vosotros (artículo 28 del RGPD), no basta con las condiciones generales de uso.

Ese contrato debe recoger, como mínimo, para qué puede usar tus datos el proveedor, qué medidas de seguridad aplica, si subcontrata a terceros y qué pasa con los datos si dejas de usar su servicio. Es exactamente el mismo criterio con el que deberías elegir cualquier software de gestión: si un proveedor no puede enseñarte ese contrato con naturalidad, es una señal de alarma.

Un encargado de tratamiento con las cosas claras

GymGest aloja los datos de tus socios cifrados en la UE, con copias diarias y contrato de encargado firmado, y en todo momento puedes exportar tus socios, cuotas y facturas: son tuyos. Revisa todas las funcionalidades del panel.

Probar GymGest gratis 30 días

Checklist mínimo viable para estar tranquilo con el RGPD

No necesitas un plan de cumplimiento de doscientas páginas: con estos ocho puntos cubiertos, la inmensa mayoría de gimnasios reduce su riesgo real a un nivel razonable.

  1. Registro de actividades de tratamiento: un documento breve que liste qué datos tratas, para qué y con qué base legal.
  2. Consentimientos separados para comunicaciones comerciales, imagen y datos de salud, cada uno con su propia casilla.
  3. Formularios mínimos: revisa qué campos pides de verdad y elimina los que no usas para nada.
  4. Cartelería de videovigilancia visible en cada acceso grabado, con la información básica del tratamiento.
  5. Sin biometría en el acceso salvo que tengas una justificación sólida y una evaluación de impacto que la respalde.
  6. Contratos de encargado de tratamiento firmados con tu software, tu gestoría y tu pasarela de pago.
  7. Protocolo de bajas que distinga lo que se borra de lo que hay que conservar por ley (facturas incluidas).
  8. Formación básica al equipo: que recepción y monitores sepan qué no se puede hacer con un dato (compartirlo, publicarlo, dejarlo a la vista) sin necesidad de leerse el reglamento entero.

Si además quieres saber qué opina de verdad tu equipo o tus socios sobre cómo se gestionan estos temas en el día a día, una encuesta de satisfacción y NPS bien planteada suele sacar a la luz fricciones —como el famoso corcho de morosos— antes de que se conviertan en una reclamación.

Preguntas frecuentes

¿Necesito el consentimiento de mis socios para tratar sus datos?

No para todo. Los datos imprescindibles para prestar el servicio (nombre, cuenta bancaria, cuota) se amparan en la ejecución del contrato, sin necesidad de un consentimiento aparte. Sí necesitas consentimiento explícito y separado para comunicaciones comerciales, para publicar su imagen y, de forma reforzada, para datos de salud o biometría.

¿Puedo pedir la huella dactilar o el reconocimiento facial para el acceso?

Es muy arriesgado. La AEPD ya ha sancionado a varios gimnasios por usar biometría en el acceso sin justificar por qué no bastaba una alternativa menos invasiva como una tarjeta o un QR, con multas que van de los 27.000 € a los 96.000 €. Salvo que tengas un caso muy concreto y una evaluación de impacto sólida, mejor evítalo.

¿Qué pasa si un socio se da de baja y pide que borre todos sus datos?

Debes borrar lo que ya no tenga finalidad (valoraciones, notas de entrenamiento, avisos comerciales), pero estás obligado a conservar las facturas emitidas un mínimo de seis años por normativa mercantil, con acceso restringido y sin usarlas para nada más que esa obligación legal.

¿Puedo publicar fotos de socios entrenando en mis redes sociales?

Solo con su consentimiento explícito, específico para redes sociales y por escrito; la casilla genérica del contrato de alta no es suficiente. Guarda ese consentimiento asociado a la ficha del socio y ofrece siempre la alternativa de no salir en las publicaciones.

¿Necesito un Delegado de Protección de Datos (DPO) en mi gimnasio?

No es obligatorio para la mayoría de gimnasios independientes, salvo que tu actividad implique un tratamiento a gran escala de categorías especiales como observación habitual y sistemática. Aun sin DPO obligatorio, sí conviene tener un registro de tratamientos y, ante dudas concretas, la orientación de un profesional especializado.

¿Cuánto puede costar una sanción de la AEPD a un gimnasio?

Varía mucho según la infracción: hay casos reales desde 3.000 € por pedir datos excesivos en un formulario hasta 96.000 € por imponer el reconocimiento facial como único método de acceso. El importe depende de la gravedad, la reincidencia y si hay reconocimiento y pago voluntario, pero en biometría las cifras han sido, con diferencia, las más altas.

El RGPD en un gimnasio no es un examen que se aprueba una vez y se olvida: es un puñado de hábitos —pedir solo lo necesario, separar bien los consentimientos, evitar la biometría en la puerta y tener claro qué se borra y qué se conserva— que, mantenidos con constancia, te dejan tranquilo sin necesitar un departamento legal propio. Empieza por el checklist de esta guía y, si algo no te encaja del todo, consúltalo con un profesional antes de que lo tenga que resolver una inspección.

Gestiona los datos de tus socios con un sistema pensado para esto

Fichas, cuotas, facturas y accesos en un único panel, con datos cifrados en la UE y sin biometría por defecto. Planes desde 59 €/mes, con 30 días de prueba.

Ver funcionalidades de GymGest