Si tienes un taller debes saber que también tienes que cumplir con la nueva ley de Protección de Datos.

Por ejemplo, si pretendes enviar información comercial sobre productos y servicios, incluso a través de comunicaciones electrónicas, es necesario contar con el consentimiento del cliente. También debes tener cuidado con compartir bases de datos de clientes e informar del uso de cookies en tu página web.

Aquí tienes los pasos que debes seguir para adaptar tu taller al RGPD.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los talleres el RGPD?

Los talleres manejan también datos de clientes, empleados y proveedores, por lo que están obligados a adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente deja sus datos cuando lleva su vehículo a reparar, contratan con los profesionales y empresas externas servicios de mantenimiento, o ceden los datos de sus empleados para elaborar las nóminas, están manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar un taller para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Incluir los textos legales en la página web
  5. Solicitar el consentimiento a los clientes
  6. Realizar un Análisis de riesgos
  7. Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de actividades de tratamiento

¿Y esto qué es?

El RGPD sustituye la obligación de inscribir ficheros en la AEPD por la necesidad de llevar un registro interno en la empresa del tipo de tratamientos que se realizan. Este es el registro de actividades de tratamiento.

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

¿Qué debo incluir?

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los talleres son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Terceros

¿Tienes una asesoría que lleva los temas fiscales y laborales del taller?

¿Y una empresa informática que realiza el mantenimiento de los equipos?

Entonces trabajas con terceros a los que cedes datos personales de tus clientes o empleados.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que se tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Qué hago?

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Consentimiento de Clientes

Además de actualizar la política de privacidad, en tu taller debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

¿Y eso cómo lo hago?

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en el taller, debe firmar un documento en el que se le informe de:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

4. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • Número de inscripción en el Registro mercantil (en caso de empresas)
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

¿Y dónde lo pongo?

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del taller y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debes informar sobre las cookies utilizadas en la página, su finalidad y duración.

5. Contratos con Empleados

Los empleados pueden tener acceso a toda la información que manejas en el taller y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Para qué?

Pues para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un taller los empleados se comunican entre ellos y con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

Presta atención.

Esto te interesa.

En el taller debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras este análisis deberán implementar unas medidas de seguridad adecuadas.

¿Cuáles?

  • Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
  • Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.

7. Notificar incidentes de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

Pero, ¿por dónde empezar?

En el caso de que se dé una situación de ciberataque o infracción de seguridad en el taller, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Así de simple.

Ni más ni menos.

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

Con estas cuestiones puedes entender mejor cómo adaptar tu taller a esta normativa de protección de datos.

¿Es obligatorio realizar un curso sobre Protección de Datos?

No, no es obligatorio.

Pero sí es recomendable formar a los empleados para que cumplan las medidas de seguridad necesarias para proteger los datos personales que manejan.

Las compañías deben concienciar y proporcionar a sus trabajadores todas las herramientas necesarias para que comprendan la importancia de su labor de custodia. Estos operarios deben ser conscientes de que están trabajando con material muy sensible que está legalmente protegido. Por lo tanto, sus empresas deben informarles bien sobre cuáles son sus funciones y responsabilidades y las consecuencias que acarrearía realizar una custodia desleal.

¿Puede el taller entregar datos del histórico de averías de un vehículo a una persona distinta a su dueño?

. Siempre y cuando sean datos del vehículo y no de la persona que es o ha sido su titular. Según la Agencia de Protección de Datos, los datos protegidos son sólo los de carácter personal. De manera que los datos de los vehículos no estarían protegidos y podrían cederse a terceros siempre que no se faciliten datos personales de sus titulares.

¿Puedo realizar envíos masivos de mail sin autorización expresa?

No, no puedes.

Hasta la fecha, las campañas de mailing podían ir dirigidas a suscriptores de los cuales teníamos un consentimiento expreso, tácito o por omisión. Pero a partir del 25 de mayo el consentimiento debe ser exclusivamente expreso, aplicándose de forma retroactiva. Para poder tratar toda aquella información recogida de forma tácita o por omisión es necesario recopilar de nuevo el consentimiento expreso por parte de dichos usuarios, aceptando la posibilidad de seguir recibiendo nuestros correos. El RGPD hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

¿Puedo instalar sistemas de geolocalización en las grúas?

Sí, puedes instalarlos.

No obstante, debes informar al trabajador del uso de este sistema, la finalidad y la conservación de esos datos. Pero no necesitas su consentimiento ya que se enmarca dentro de la facultad empresarial de control de la actividad laboral.

La instalación de sistemas de geolocalización debe cumplir además el principio de proporcionalidad.

¿Es posible ceder los datos de clientes a otros talleres o empresas colaboradoras (recambios, venta de neumáticos, etc.)?

, pueden cederse esos datos. Pero siempre con el consentimiento del cliente y firmando el correspondiente contrato con esos terceros considerados Encargados de tratamiento.

En cambio, no puedes compartir bases de datos de clientes con otros talleres. Y menos con fines comerciales. En este caso la responsabilidad se comparte entre el que haya cedido los datos y el que los utilice. Además, debes tener en cuenta que no es suficiente con que los obtengas de forma legal. Debes asegurarte de que todos los destinatarios de tu lista han consentido expresamente recibir e-mails.

Plantillas

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu taller.

Sanciones

Aquí viene la peor parte.

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Por poner algún ejemplo, ahora la cesión de datos a un prestador de servicios sin que se haya suscrito previamente el correspondiente acuerdo, con las medidas de seguridad necesarias y establecidas por el RGPD, que actualmente es castigado con hasta 300.000€, pasará a ser multado hasta con 10 millones de euros o un 2% del volumen de negocio total anual del año anterior.

¿Qué te parece?

Mucho, ¿verdad?

Pues aquí tienes algunas de las sanciones impuestas por la AEPD a talleres son:

No facilitar el ejercicio de derechos a los clientes

El RGPD establece la obligación de facilitar el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad a los clientes. Debes indicar un medio sencillo y gratuito (email o dirección postal) donde los clientes puedan solicitar el ejercicio de esos derechos. Y responderles en plazo y forma. Resolución AEPD R/00723/2018

Cámaras que graban la vía pública

En caso de instalar cámaras de videovigilancia no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el espacio que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras. En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Resolución AEPD R/01768/2017

Con esta información ya puedes adaptar tu taller a la normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Pasos para adaptar un taller a la ley de Protección de Datos
4.6 (91.11%) 9 votos