[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/","headline":"Consejos sobre Protecci\u00f3n de Datos para comercios","name":"Consejos sobre Protecci\u00f3n de Datos para comercios","description":"como cumplir el rgpd en un comercio, principales actuaciones para adaptarse a la normativa de proteccion de datos, modelos rgpd","datePublished":"2018-08-23","dateModified":"2021-09-20","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/pasos-cumplir-rgpd-lopd.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/pasos-cumplir-rgpd-lopd.png","height":"779","width":"1590"},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/","commentCount":"2","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/#Comment1","dateCreated":"2020-10-26 18:30:56","description":"Buenas tardes Mamen, s\u00ed podr\u00eda hacerse un solo consentimiento pero especificando bien los datos de las dos empresas y para qu\u00e9 va a usar esos datos cada una de ellas.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/#Comment2","dateCreated":"2020-10-23 11:55:38","description":"Buenos d\u00edas.\r\n\r\nSi una persona tiene creada 2 sociedades con actividades similares y tienen una base de datos personales conjunta de todos sus clientes y proveedores, \u00bfse podr\u00eda hacer un consentimiento en el que aparezcan el nombre y nif de las dos empresas y as\u00ed los clientes firmar un solo consentimiento pero que a la vez sea \u00fatil para las dos?\r\n\r\nUn saludo","author":{"@type":"Person","name":"MAMEN","url":""}}],"about":["EMPRESAS","GU\u00cdAS","LOPDGDD & RGPD"],"wordCount":3771,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } \u00bfTienes una tienda?\u00bfVendes a trav\u00e9s de Internet?\u00bfNo sabes por d\u00f3nde empezar con eso de \u00abla protecci\u00f3n de datos\u00bb?Entonces esto te interesa.Aqu\u00ed te explico las principales actuaciones que debes realizar para adaptar tu comercio a la ley de Protecci\u00f3n de Datos.Normativa de Protecci\u00f3n de Datos\u00bfC\u00f3mo deben adaptarse los comercios al RGPD?1. Registro de actividades de tratamiento2. Contratos con terceros3. P\u00e1gina web \/ Tienda onlineAviso legalPol\u00edtica de privacidadPol\u00edtica de cookiesCondiciones de uso y contrataci\u00f3n4. Consentimiento de clientes5. Contratos con empleados6. An\u00e1lisis de riesgos7. Evaluaci\u00f3n de impacto8. Notificar violaciones de seguridad9. Delegado de Protecci\u00f3n de DatosPreguntas frecuentes\u00bfQu\u00e9 tipo de datos personales tratan los comercios?\u00bfQu\u00e9 ocurre con los datos recogidos a trav\u00e9s de la TPV?\u00bfC\u00f3mo debo tratar los datos de clientes morosos?\u00bfPuedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?Tengo instalada una c\u00e1mara que no graba, s\u00f3lo permite el visionado en tiempo real. \u00bfTengo que cumplir alguna obligaci\u00f3n?\u00bfQu\u00e9 hago con los curriculum que me dejan en la tienda?\u00bfPuedo ceder datos de los clientes a empresas de mensajer\u00eda?ModelosSanciones\u00bfNecesitas cumplir el RGPD?Entradas relacionadasNormativa de Protecci\u00f3n de DatosLas normas que regulan la Protecci\u00f3n de Datos son:RGPD (vigente a partir del 25 de mayo en toda Europa)LOPD (Espa\u00f1a)Nueva LOPD (pendiente de aprobar a\u00fan en Espa\u00f1a)LSSI (regula los servicios de la sociedad de la informaci\u00f3n y el comercio electr\u00f3nico)\u00bfC\u00f3mo deben adaptarse los comercios al RGPD?Los comercios manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que tambi\u00e9n tendr\u00e1n que adaptarse a la nueva normativa.Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitar\u00e1n la tarea.Cada vez que un cliente te deja sus datos para la compra de cualquier producto o servicio, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de tus empleados para elaborar las n\u00f3minas, est\u00e1s manejando datos de car\u00e1cter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protecci\u00f3n de datos.Las principales actuaciones que debes realizar en tu comercio para adaptarte al RGPD son:Realizar un Registro de actividades de tratamientoFirmar los contratos con tercerosIncluir los textos legales en la p\u00e1gina webSolicitar el consentimiento a los clientesFirmar los contratos con los empleadosRealizar un An\u00e1lisis de riesgosElaborar una Evaluaci\u00f3n de impactoNotificar las brechas de seguridadNombrar un DPOA continuaci\u00f3n te explico detalladamente cada una de esas actuaciones.1. Registro de actividades de tratamientoLo primero que debe tenerse en cuenta es qu\u00e9 tipo de datos se manejan y qu\u00e9 cantidad.En ese registro debes incluir la siguiente informaci\u00f3n:Tipo de datos almacenadosFinalidadLegitimadosPol\u00edtica de almacenamiento\u00a0de esos datosSi se realizan cesiones o transferencias internacionalesMedios a trav\u00e9s de los que se realiza el tratamientoEste\u00a0registro de actividades de tratamiento\u00a0debes mantenerlo siempre actualizado.Los tratamientos m\u00e1s habituales en los comercios son:ClientesProveedoresContabilidadRecursos HumanosCurriculumVideovigilanciaDescarga aqu\u00ed todos los modelos gratis para tu comercio2. Contratos con terceros\u00bfQue no tienes terceros a los que cedas datos?No me lo creo.Si tienes una gestor\u00eda que te lleva los temas fiscales o laborales.O una empresa inform\u00e1tica que realiza el mantenimiento de los equipos.Entonces s\u00ed hay terceros que tienen acceso a datos de tus clientes y empleados.As\u00ed que, adem\u00e1s de tener un registro de actividades de tratamiento, deben disponer de una lista de esas empresas externas con las que se tiene contacto y asegurar que tambi\u00e9n cumplan la normativa obligatoria.\u00bfY eso c\u00f3mo?Recuerda firmar el contrato de encargo de tratamiento con los tercerosPara ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.3. P\u00e1gina web \/ Tienda onlineSi operas online, algo muy com\u00fan en una gran mayor\u00eda de comercios, debes incluir en la p\u00e1gina web los textos exigidos por la ley de Protecci\u00f3n de Datos y la LSSI:Aviso legalPol\u00edtica de privacidadPol\u00edtica de cookiesCondiciones de uso y contrataci\u00f3n (en caso de ofrecer productos o servicios por Internet)Aviso legalEste es el documento donde se identifica al propietario de la p\u00e1gina web. En \u00e9l debes incluir:Nombre del propietarioCIF \/ NIFDirecci\u00f3nEmailN\u00ba de inscripci\u00f3n en el Registro Mercantil\u00bfD\u00f3nde lo pones?Debes poner un enlace visible a este texto desde cualquier p\u00e1gina de la web.Pol\u00edtica de privacidadEs importante\u00a0revisar la pol\u00edtica de privacidad de tu comercio y hacer una versi\u00f3n de esta m\u00e1s extensa, que incluya m\u00e1s informaci\u00f3n acerca del procesamiento de los datos.As\u00ed, en el texto de Pol\u00edtica de privacidad\u00a0habr\u00e1s de informar expresamente de:existencia de un tratamiento de los datos que se le est\u00e1n solicitando,finalidad,destinatario o destinatarios de aquella informaci\u00f3n,legitimaci\u00f3n para el tratamiento,plazo de conservaci\u00f3n de los datos,identidad y direcci\u00f3n del responsable del tratamiento de los datos yposibilidad de ejercer sus derechos ARCO y de limitaci\u00f3n y portabilidad y por qu\u00e9 v\u00eda.Todos esos detalles deber\u00e1n formar parte de la pol\u00edtica de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versi\u00f3n se publique en la web.Pol\u00edtica de cookiesLas cookies son archivos\u00a0de informaci\u00f3n enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio.\u00bfY para qu\u00e9 sirven?Se utilizan para\u00a0analizar las visitas a nuestra p\u00e1gina web o mostrar publicidad din\u00e1mica.Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la p\u00e1gina, su finalidad y duraci\u00f3n.\u00bfCu\u00e1nto cuesta cumplir la LOPD?Condiciones de uso y contrataci\u00f3nEn este texto se regula\u00a0la prestaci\u00f3n de servicios o venta de productos a trav\u00e9s de Internet.\u00bfQu\u00e9 debes incluir?Informaci\u00f3n sobre:c\u00f3mo se prestan servicios o se comercializa la venta,en qu\u00e9 condiciones, yqu\u00e9 derechos tienen los consumidores o usuarios al respecto (desistimiento o devoluci\u00f3n).4. Consentimiento de clientesAdem\u00e1s de actualizar la pol\u00edtica de privacidad, en tu comercio debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.\u00bfY c\u00f3mo lo obtienes?Este consentimiento puede solicitarse de dos formas:Si el cliente introduce sus datos personales en la p\u00e1gina web, debe existir una casilla desmarcada por defecto que le permita aceptar esa pol\u00edtica de privacidad.En caso de que el cliente facilite sus datos personalmente en la tienda, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.Uno de los fines principales del RGPD es que los clientes sean mucho m\u00e1s conscientes de qu\u00e9 informaci\u00f3n disponen las empresas de ellos y para qu\u00e9 se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opci\u00f3n ser\u00eda enviar emails a los clientes y empleados o publicar alguna entrada en la p\u00e1gina web y difundirla posteriormente por redes sociales, para generar m\u00e1s confianza.5. Contratos con empleadosLos empleados tienen acceso a toda la informaci\u00f3n que manejas en el comercio y, por tanto, deben firmar un acuerdo para la confidencialidad para evitar que esa informaci\u00f3n sea revelada a personas no autorizadas.Tambi\u00e9n deben\u00a0cumplir las medidas de seguridad establecidas por la empresa para garantizar la protecci\u00f3n de los datos personales.En los comercios, sobre todo si operan online, los empleados se comunican con clientes y proveedores a trav\u00e9s de correo electr\u00f3nico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingenier\u00eda social y las t\u00e9cnicas como el phishing son los m\u00e9todos de ataque m\u00e1s utilizados debido al \u00e9xito que tiene para los ciberdelincuentes.6. An\u00e1lisis de riesgosEn tu comercio debes tambi\u00e9n realizar un\u00a0an\u00e1lisis del riesgo en el que tienes que valorar los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,tipo de datos,naturaleza de los datos,medios de tratamiento,cesiones,transferencias internacionales yn\u00famero de interesados afectados;Tras este an\u00e1lisis deber\u00e1s implementar unas medidas de seguridad adecuadas.7. Evaluaci\u00f3n de impactoAqu\u00ed viene lo complicado.Pero no te asustes, te lo explico.Si el riesgo resultara ser especialmente alto deber\u00e1s realizar una evaluaci\u00f3n de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.\u00bfNecesitas hacerla?Es raro que un comercio necesite una Evaluaci\u00f3n de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, en el caso de tener tienda online y realizar actividades de prospecci\u00f3n comercial.Si en tu comercio se realizan procesos automatizados de elaboraci\u00f3n de perfiles de tus clientes para segmentarlos en funci\u00f3n de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegaci\u00f3n, que puedan producir efectos jur\u00eddicos o afectar significativamente en las personas, deber\u00e1s realizar una evaluaci\u00f3n de impacto para:valorar la idoneidad, necesidad y proporcionalidad de ese tratamiento,determinar los riesgos que entra\u00f1a para los derechos y libertades de los interesados,adoptar las medidas y garant\u00edas adecuadas para reducir los riesgos, yevitar que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause da\u00f1os o perjuicios.\u00bfTe ha quedado claro?Pues eso.8. Notificar violaciones de seguridadUna de las obligaciones que establece el nuevo Reglamento es la notificaci\u00f3n de los incidentes de seguridad que se produzcan en la empresa.\u00bfA qui\u00e9n?Tanto a los afectados como a la AEPD.Ni m\u00e1s ni menos.En el caso de que se d\u00e9 una situaci\u00f3n de ciberataque o infracci\u00f3n de seguridad en la tienda, lo ideal es que est\u00e9s prevenido con un plan de respuesta ante incidentes. Existe un l\u00edmite de 72 horas para notificar a las autoridades y dotar a estas de informaci\u00f3n, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.\u00a1Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horasEs importante destacar que, aunque no se permitir\u00e1n infracciones intencionadas de la ley, existir\u00e1n atenuantes si se puede demostrar a las autoridades y a los clientes que se est\u00e1 haciendo todo lo posible para cumplir con ella.9. Delegado de Protecci\u00f3n de DatosDentro de los cambios, el RGPD establece que los ecommerces deben contar con un Delegado de Protecci\u00f3n de Datos (DPO). Dicho experto se encargar\u00e1 de auditar el sistema para identificar las posibles fallas de seguridad, notificarlas y realizar los ajustes necesarios.El delegado de Protecci\u00f3n de Datos deber\u00e1 contar con conocimientos especializados del Derecho, y obviamente en protecci\u00f3n de datos.No obstante, conviene precisar dos aspectos al respecto:El RGPD no exige que deba ser un jurista, pero s\u00ed que cuente con ese conocimiento en Derecho anteriormente citado.El DPO podr\u00e1 ser interno o externo, persona f\u00edsica o persona jur\u00eddica especializada en esta materia.Preguntas frecuentes\u00bfQu\u00e9 tipo de datos personales tratan los comercios?Si tienes un comercio, necesariamente recoges alg\u00fan tipo de informaci\u00f3n personal como:Datos de una tarjeta de cr\u00e9dito.Datos para una tarjeta de fidelizaci\u00f3n.Correos para env\u00edo de promociones, sorteos y ofertas.Datos de contacto para reservas o pedidos.Im\u00e1genes obtenidas de c\u00e1maras de videovigilancia.\u00bfQu\u00e9 ocurre con los datos recogidos a trav\u00e9s de la TPV?Estos datos tambi\u00e9n se consideran datos personales.\u00a0Entre los datos que se recogen se encuentran:n\u00famero de tarjeta,comercial donde se efect\u00faa la compra,su importe yfecha y hora de realizaci\u00f3n.No se env\u00edan otros datos de car\u00e1cter personal como el nombre y apellidos del cliente.Debes considerarlo como un tratamiento m\u00e1s y guardar esos tickets de forma segura.\u00bfC\u00f3mo debo tratar los datos de clientes morosos?La inclusi\u00f3n de los datos de car\u00e1cter personal en ficheros de morosos s\u00f3lo podr\u00e1 efectuarse cuando se cumplan los siguientes requisitors:exista una deuda cierta, vencida y exigible,haya resultado impagada, yse haya requerido al ciudadano afectado el pago de la deuda por el acreedor.Esto significa que no puedes incluir en un fichero de morosos a alguien sin haber requerido antes el pago de la deuda por medios que puedes acreditar.Cuando un cliente cancele su deuda, deber\u00e1s proceder a la cancelaci\u00f3n inmediata del dato referido a su deuda.\u00bfPuedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por \u00e9l. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicit\u00e1rselo. De otra forma, no podremos enviarles ning\u00fan tipo de comunicaci\u00f3n comercial.Tengo instalada una c\u00e1mara que no graba, s\u00f3lo permite el visionado en tiempo real. \u00bfTengo que cumplir alguna obligaci\u00f3n?Si\u00a0las c\u00e1maras no graban im\u00e1genes pero s\u00ed se permite la reproducci\u00f3n en tiempo real de las mismas, tambi\u00e9n es necesario cumplir lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales.Entre las obligaciones que hay que adoptar estar\u00edan, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de informaci\u00f3n, a los que nos hemos referido anteriormente.\u00bfQu\u00e9 hago con los curriculum que me dejan en la tienda?Si vas a guardar los curriculum para futuros procesos de selecci\u00f3n, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:identificaci\u00f3n del responsable del tratamiento,finalidad del tratamiento,plazo de conservaci\u00f3n de los datos,destinatarios de esos datos yderechos que asisten a esa persona.En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.\u00bfPuedo ceder datos de los clientes a empresas de mensajer\u00eda?S\u00ed, puedes cederlos. Pero debes informar a los clientes sobre esa cesi\u00f3n y solicitar su consentimiento expreso.Si realizar venta online es frecuente contratar los env\u00edo de las mercanc\u00edas con estas empresas de mensajer\u00eda. De esta forma se convierten en Encargados de tratamiento al ser terceros que nos prestan un servicio y, como tales, deben firmar el correspondiente contrato de acceso a datos por cuenta de terceros al que hemos hecho referencia anteriormente.ModelosAqu\u00ed te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protecci\u00f3n de Datos en tu comercio.Contrato con tercerosP\u00e1gina webAviso legalPol\u00edtica de cookiesPol\u00edtica de privacidadCompromiso confidencialidad empleadosConsentimientosConsentimiento clientesConsentimiento CVVideovigilanciaCarteles VideovigilanciaInformaci\u00f3n a trabajadores de instalaci\u00f3n de VideovigilanciaComunicacionesCorreos electr\u00f3nicosFacturasSancionesNo le hagas a nadie lo que no te gustar\u00eda que te hicieran a ti.\u00bfEs lo de siempre?Puede ser.Lo que se pueda hacer, se hace, lo que no, no.Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protecci\u00f3n de datos. Esta regulaci\u00f3n est\u00e1 demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.Las sanciones econ\u00f3micas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturaci\u00f3n de una empresa. Adem\u00e1s, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones seg\u00fan los dispuestos en la regulaci\u00f3n.Ahora que ya conoces los pasos, comienza cuanto antes la adaptaci\u00f3n de tu comercio a la nueva normativa de Protecci\u00f3n de Datos. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tProtecci\u00f3n de datos para empresas de telecomunicaciones\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/comercios\/#breadcrumbitem","name":"Consejos sobre Protecci\u00f3n de Datos para comercios"}}]}]