Evaluación de las preocupaciones sobre la privacidad de los datos biométricos en el deporte profesional

Este artículo se publicó originalmente en Law360 el 15 de mayo de 2025 y se reproduce aquí con permiso.

En la industria deportiva actual, basada en datos, los equipos, las ligas y los patrocinadores dependen cada vez más de los datos biométricos y de rendimiento para mejorar el rendimiento de los jugadores, prevenir lesiones y optimizar las negociaciones contractuales. La recopilación de estos datos suele incluir información fisiológica y sanitaria muy sensible que va más allá de las meras estadísticas, lo que plantea consideraciones éticas y legales adicionales.

Sin embargo, esta creciente dependencia de datos altamente sensibles plantea importantes preocupaciones legales y de privacidad, especialmente a la luz de la evolución de las leyes de privacidad biométrica, como la Ley de Privacidad de la Información Biométrica de Illinois (BIPA, por sus siglas en inglés),[1] así como otras leyes de privacidad del consumidor y protección de datos a nivel estatal e internacional que imponen requisitos más estrictos para la recopilación y el procesamiento de datos biométricos, incluidas varias leyes estatales de privacidad del consumidor de EE. UU. y el Reglamento General de Protección de Datos de la Unión Europea.[2]

Las ligas deportivas profesionales y sus respectivos clubes que utilizan datos biométricos y de rendimiento deben ser conscientes de estos riesgos, así como de otras consideraciones legales y normativas relacionadas, y de las medidas que pueden adoptar para ayudar a minimizar su exposición a posibles responsabilidades.

Además, estas organizaciones deben ser conscientes de las diversas implicaciones que su dependencia de los datos biométricos y de rendimiento puede tener y tendrá en las negociaciones contractuales con los deportistas, así como en la cuestión de la propiedad de los datos. A continuación se examinan estos aspectos críticos que rodean la recopilación y el uso de datos biométricos en el deporte profesional actual, y cómo es probable que evolucionen.

Monitorización de jugadores y recopilación de datos biométricos

Hipotético

Un jugador estrella de fútbol acepta el uso de tecnología wearable para prevenir lesiones. Con el tiempo, el sistema recopila datos que indican un riesgo superior al normal de sufrir determinadas roturas musculares. El personal médico y técnico del club tiene acceso a estas métricas, lo que hace que el agente del jugador se preocupe por que esta información pueda reducir el valor del contrato del jugador. La liga, por su parte, destaca los beneficios para la salud de la atención preventiva.

Este escenario ilustra cómo ambas partes —el jugador y el equipo— pueden beneficiarse de la detección temprana, pero también plantea una posible disputa sobre cómo esos datos predictivos podrían afectar negativamente a las negociaciones.

Análisis

Las organizaciones deportivas profesionales aprovechan tecnologías de vanguardia, como dispositivos portátiles, sistemas de seguimiento del movimiento y análisis basados en inteligencia artificial, para recopilar y analizar datos biométricos de los jugadores, incluyendo la variabilidad del ritmo cardíaco, los ciclos de sueño, los niveles de hidratación y los patrones de recuperación muscular.[3] La promesa de estas herramientas es clara: mejora del entrenamiento, mejores estrategias de juego y mejor gestión de la salud de los jugadores.

Sin embargo, aunque estas innovaciones están diseñadas para optimizar el rendimiento y proporcionar información sin precedentes sobre el estado físico de los jugadores, su potencial a largo plazo y su salud, también plantean riesgos importantes para la privacidad. Los datos recopilados pueden revelar información personal y sensible sobre el estado físico y mental de un deportista, incluidos los niveles de fatiga, los riesgos de lesiones y su estado físico general.

El manejo inadecuado, el acceso no autorizado o el uso indebido de estos datos podrían tener graves repercusiones en la carrera y la reputación de los jugadores, además de dar lugar a disputas legales. Por ejemplo, la divulgación de datos que pongan de relieve el descenso del rendimiento de un deportista podría perjudicar su comercialización, lo que se traduciría en una reducción de los contratos publicitarios o en un mayor escrutinio público. Además, estos datos podrían utilizarse en contra de los jugadores en situaciones en las que su rendimiento disminuya debido a lesiones, edad o fatiga, lo que los pondría en desventaja tanto dentro como fuera del campo.

La BIPA y otras leyes estatales similares imponen restricciones estrictas sobre la recopilación, el almacenamiento y el uso de datos biométricos. En virtud de la BIPA, por ejemplo, las organizaciones deben obtener el consentimiento explícito e informado de las personas antes de recopilar sus identificadores biométricos, proporcionar información clara sobre el uso y la conservación de los datos, y aplicar medidas de seguridad sólidas para proteger la integridad de dichos datos.

Washington[4] y Texas[5] también han promulgado leyes de privacidad biométrica que, aunque no tienen el mismo alcance que la BIPA, imponen obligaciones a las entidades que recopilan datos biométricos.

La ley de Washington exige que las entidades informen a las personas sobre la recopilación de datos biométricos y obtengan su consentimiento, mientras que la ley de Texas prohíbe la venta o divulgación de datos biométricos sin permiso explícito.

Además, con las tendencias legislativas apuntando hacia un mayor énfasis en la privacidad de los datos, varios otros estados están considerando mejorar las protecciones de la privacidad biométrica, lo que indica una tendencia constante hacia regulaciones más estrictas en todo el país.

Políticas de la liga sobre datos biométricos

Como se ilustra a continuación, las principales ligas profesionales estadounidenses han tomado medidas para definir el alcance del uso de datos biométricos en la supervisión de los jugadores, lo que refleja la creciente concienciación sobre las preocupaciones en materia de privacidad de los datos a nivel de las ligas.

• La NFL implementó normas en 2020 que permiten a los equipos recopilar datos biométricos, pero restringió su uso en las negociaciones contractuales.
• La NHL está actualizando su convenio colectivo para exigir el consentimiento de los jugadores antes de utilizar los datos biométricos recopilados durante los partidos o entrenamientos; y 
• La MLB estableció en 2020 una serie de políticas que otorgan a los jugadores la posibilidad de revisar y controlar el acceso a sus datos biométricos.[6]

Obtener el consentimiento es un primer paso importante, pero solo aborda el problema inmediato de la recopilación no autorizada de datos. No tiene en cuenta el uso continuo o a largo plazo de esos datos, como la forma en que podrían compartirse, almacenarse o utilizarse en negociaciones años después de su recopilación original.

Además, los acuerdos de consentimiento suelen ser complejos y pueden firmarse bajo coacción, ya que los jugadores se sienten presionados a aceptarlos para asegurarse su puesto en el equipo.

A medida que el seguimiento biométrico se vaya integrando cada vez más en la ciencia del deporte, es probable que las ligas sigan perfeccionando sus políticas para equilibrar las ventajas competitivas con los derechos de privacidad de los jugadores. Las futuras versiones de las políticas podrían incluir disposiciones sobre el uso de la anonimización o la seudonimización, así como restricciones a la venta de datos o la concesión de licencias a terceros.

Propiedad de los datos y derechos de uso

Hipotético

Una franquicia de baloncesto invierte en una plataforma propia de análisis del rendimiento. Los datos del jugador se comparten con proveedores externos de medicina deportiva para obtener recomendaciones de tratamiento. A mitad de temporada, el jugador es traspasado, pero la franquicia conserva el acceso completo al historial biométrico del deportista, incluso después de que este se haya incorporado a un nuevo equipo.

Surgen disputas sobre si el deportista puede solicitar la eliminación de datos antiguos, si esos datos pueden ser conservados por el antiguo equipo y utilizados como ventaja competitiva, o si el antiguo equipo puede beneficiarse de los conjuntos de datos agregados que utiliza en iniciativas comerciales más amplias.

Análisis

Determinar quién es el propietario de los datos recopilados de los deportistas es una cuestión jurídica compleja y, en ocasiones, controvertida. Esto es especialmente frecuente en el contexto de los datos biométricos y de rendimiento, que tienen implicaciones directas en las negociaciones salariales, la evaluación del riesgo de lesiones y la valoración de mercado.

¿Los datos pertenecen al deportista, al equipo, a la liga o al proveedor de tecnología? Es esencial establecer acuerdos contractuales claros que definan la propiedad de los datos y los derechos de uso, con el fin de evitar posibles disputas y garantizar un uso justo de la información de los deportistas.

Los CBA desempeñan un papel fundamental a la hora de definir el alcance del uso de datos biométricos en las ligas profesionales. Por ejemplo, en 2017, la Asociación Nacional de Jugadores de Baloncesto negoció disposiciones relativas a la recopilación y el uso de datos de tecnología wearable, garantizando que los jugadores conservaran derechos específicos sobre su información biométrica personal.

A medida que el seguimiento biométrico se vuelva más avanzado, es probable que los futuros CBA perfeccionen aún más estas protecciones.

Consideraciones legales y normativas

Más allá de la BIPA y las leyes de Washington y Texas, otras normativas estatales e internacionales afectan a la forma en que las ligas, los clubes y los equipos recopilan y utilizan los datos biométricos y de rendimiento en los deportes profesionales. A continuación se presentan algunos ejemplos destacados.

Leyes estatales de privacidad del consumidor de EE. UU.

Actualmente, hay 20 estados que han promulgado leyes de privacidad del consumidor, algunas de las cuales ya están en vigor, mientras que otras entrarán en vigor a finales de este año o el próximo.[7]

Los datos biométricos se consideran datos sensibles en virtud de todas estas leyes, que amplían sus respectivas protecciones a los residentes de esos estados —incluidos los deportistas— mediante: (1) la obligación de las empresas afectadas de proporcionar un aviso específico y obtener el consentimiento antes de recopilar o procesar datos biométricos o identificadores de esas personas, como ocurre en la mayoría de las leyes estatales de privacidad del consumidor; o (2) concediendo a las personas derechos adicionales, como la posibilidad de limitar el uso y la divulgación de sus datos biométricos únicamente a los fines expresamente permitidos por la ley.

Curiosamente, a diferencia de la BIPA, que no exige explícitamente que se dé el consentimiento libremente antes de recopilar y procesar los datos biométricos o identificadores de las personas, casi todas las leyes estatales de privacidad del consumidor promulgadas hasta la fecha han adoptado una definición similar del consentimiento, entendiendo por tal un acto afirmativo claro que signifique el acuerdo libre, específico, informado e inequívoco de la persona.

Dado el desequilibrio de poder entre los atletas y las organizaciones deportivas, existe la preocupación de si el consentimiento puede darse realmente de forma libre. Si un atleta debe proporcionar sus datos biométricos para poder participar en una competición, ¿puede considerarse realmente voluntario su consentimiento?

Además, a diferencia de la BIPA, varias leyes estatales sobre privacidad del consumidor exigen a las entidades que recopilan y procesan datos biométricos para fines propios o comerciales que realicen una evaluación de riesgos diseñada para ayudar a las organizaciones a identificar, analizar y minimizar los riesgos para la privacidad asociados con sus prácticas de recopilación, uso, conservación y divulgación de datos. Esto también se conoce como evaluación del impacto de la protección de datos.

Dicho esto, los requisitos asociados con las evaluaciones de impacto sobre la protección de datos varían según el estado.

Reglamento general de protección de datos

Las ligas deportivas profesionales europeas, los equipos y clubes, así como los atletas, en particular los que compiten en ligas o eventos internacionales, probablemente estén sujetos a la jurisdicción del RGPD, que impone estrictos requisitos de protección de datos y privacidad en el tratamiento de los datos biométricos, clasificados como datos sensibles por la ley.

Por ejemplo, las entidades deben tener una base legal para procesar dichos datos antes de poder hacerlo, como (1) obtener el consentimiento explícito de los atletas europeos, que es similar a cómo se define el consentimiento en las leyes estatales de privacidad del consumidor; o (2) si el procesamiento es necesario para cumplir con las obligaciones laborales o ejercer derechos específicos, siempre que esté autorizado por la legislación nacional pertinente o los convenios colectivos con las garantías adecuadas para el atleta europeo.

Las organizaciones reguladas por el RGPD que procesan datos biométricos de atletas europeos deben implementar medidas de seguridad robustas, proporcionar transparencia en cuanto al uso de los datos y facilitar los derechos de los interesados, tales como el acceso, la rectificación y la supresión, salvo que se aplique una excepción.

Además, dado que los datos biométricos se consideran un tipo de datos sensibles en virtud del RGPD, las entidades sujetas a este reglamento también deben llevar a cabo una evaluación de impacto relativa a la protección de datos antes de tratar dichos datos.

Puntos clave para las organizaciones deportivas profesionales

Escenario de la vida real

En una liga internacional de fútbol, los equipos adoptan el monitoreo biométrico en tiempo real para optimizar el rendimiento. Los jugadores aceptan compartir datos con el personal médico, los entrenadores y los nutricionistas. Sin embargo, los patrocinadores de la liga, que producen los dispositivos portátiles, comienzan a solicitar datos anónimos y agregados para su propia investigación y desarrollo.

Algunos jugadores temen la explotación comercial y cuestionan hasta qué punto esos datos pueden ser realmente anónimos. En última instancia, es posible que el organismo regulador de la liga tenga que negociar protocolos de anonimización más estrictos en nombre de los jugadores y la liga, pero la controversia pone de relieve la facilidad con la que los datos pueden traspasar fronteras una vez recopilados.

Análisis

A medida que la recopilación de datos biométricos y de rendimiento se vuelve más sofisticada, las partes interesadas en los deportes profesionales deben navegar por un panorama legal cada vez más complejo para garantizar el cumplimiento y proteger los derechos de los jugadores.

Además de las obligaciones legales, las consideraciones éticas en torno a la equidad, el consentimiento y el bienestar de los atletas son igualmente urgentes. Es fundamental que las ligas y equipos deportivos profesionales implementen políticas integrales en materia de tecnología wearable y privacidad de datos para salvaguardar los derechos de los atletas. A continuación se presentan algunas buenas prácticas a tener en cuenta.

Obtenga el consentimiento explícito e informado.

Asegúrese de que los atletas comprendan exactamente qué datos se recopilan, cómo se utilizarán y quién tendrá acceso a ellos. Los formularios de consentimiento deben detallar cualquier posible intercambio de datos con terceros y especificar cualquier supervisión más allá de los entrenamientos y los partidos, así como cumplir con los requisitos relacionados con las leyes de privacidad aplicables. Haga hincapié en que los atletas pueden revocar su consentimiento o solicitar la eliminación de los datos cuando lo permita la ley.

Limitar la supervisión a los momentos pertinentes.

Limitar la recopilación de datos a los entornos de entrenamiento y competición para respetar la privacidad de los atletas durante su tiempo libre. Las políticas claras deben describir las circunstancias específicas en las que se justifica la supervisión continua y limitar la recopilación innecesaria de datos.

Proteja los datos contra el uso indebido.

Implemente medidas sólidas de seguridad de datos para ayudar a prevenir el acceso y/o uso no autorizados de datos biométricos y de rendimiento.

Establezca expectativas claras con los proveedores externos.

Exigir a los proveedores externos que procesan datos biométricos y de rendimiento en su nombre que cumplan con las leyes de protección de datos aplicables y establezcan medidas de seguridad de datos que protejan contra el acceso o uso no autorizado de dichos datos.

Estos acuerdos deben describir explícitamente las responsabilidades del proveedor en materia de privacidad y seguridad, así como ofrecer amplios derechos de indemnización a la liga y/o al equipo contratante si el mal manejo de los datos por parte del proveedor da lugar a un incidente de seguridad.

[1] 740 ILCS 14/1 y siguientes (Ley de Privacidad de la Información Biométrica de Illinois), disponible en https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004.

[2] Reglamento (UE) 2016/679, Reglamento general de protección de datos (RGPD), disponible en https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng.

[3] Jen Booton, «Analyzing Movement and Biometrics in Sports» (Análisis del movimiento y la biometría en el deporte), Sports Business Journal (29 de julio de 2020), disponible en https://www.sportsbusinessjournal.com/Daily/Issues/2020/07/30/Technology/biometrics-sports-athletes-performance-injury-prevention/ (puede ser necesaria una suscripción).

[4] Código Revisado de Washington § 19.375.010 y siguientes (Ley de Protección de la Privacidad Biométrica de Washington), disponible en https://app.leg.wa.gov/RCW/default.aspx?cite=19.375.

[5] Código Comercial y de Negocios de Texas, § 503.001 y siguientes (Ley de Texas sobre la captura o el uso de identificadores biométricos), disponible en https://statutes.capitol.texas.gov/docs/bc/htm/bc.503.htm.

[6] Nick Fustor, «MLB Approves Use of Device to Measure Biometrics of Players» (La MLB aprueba el uso de un dispositivo para medir los datos biométricos de los jugadores), Fox Sports (marzo de 2020), disponible en https://www.foxsports.com/stories/mlb/mlb-approves-use-of-device-to-measure-biometrics-of-players. Tom Friend, El lenguaje biométrico evoluciona con cada nuevo convenio colectivo, Sports Business Journal (1 de agosto de 2022), disponible en https://www.sportsbusinessjournal.com/Journal/Issues/2022/08/01/In-Depth/Biometrics (puede ser necesaria una suscripción).

[7] Asociación Internacional de Profesionales de la Privacidad (IAPP), Rastreador de legislación estatal sobre privacidad de EE. UU. (última actualización: 7 de abril de 2025), disponible en https://iapp.org/resources/article/us-state-privacy-legislation-tracker/.