Empresas de ocio y tiempo libre, ¿cómo cumplir el RGPD?

Como otros muchos negocios, las empresas de ocio y el tiempo libre manejan en su día a día datos personales de sus clientes, proveedores y empleados, cuyo tratamiento debe ser acorde a la normativa de Protección de Datos vigente.

En esta entrada vamos a cómo debe gestionar la protección de datos una empresa de ocio y tiempo libre.

¿Cómo deben cumplir las empresas de ocio y tiempo libre el RGPD?

Las empresas de ocio y tiempo libre forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.
Las normas que regulan la Protección de Datos son:

RGPD
LOPD (España)
LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario da sus datos a una empresa de ocio para contratar un servicio o actividad o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que deben realizar en las empresas de ocio y tiempo libre, así como de servicios de entretenimiento para adaptarte al RGPD son:

Realizar un Registro de actividades de tratamiento
Firmar los contratos con terceros
Firmar los contratos con los empleados
Solicitar el consentimiento a los clientes
Incluir los textos legales en la página web
Realizar un Análisis de riesgos
Notificar brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas de ocio y tiempo libre y entretenimiento

1. Registro de actividades de tratamiento en una empresa de ocio

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad en la gestión de tu empresa de ocio.

En ese registro debes incluir la siguiente información:

Tipo de datos almacenados
Finalidad
Legitimados
Política de almacenamiento de esos datos
Si se realizan cesiones o transferencias internacionales
Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

¿Por qué?

Porque te lo puede pedir la AEPD en caso de inspección.

Los tratamientos más habituales en las empresas de ocio son:

Clientes
Proveedores
Contabilidad
Recursos Humanos
Curriculum
Videovigilancia

Descarga aquí todos los modelos gratis para tu empresa de ocio

2. Contratos con Encargados de tratamiento

¿Sabes quienes son los encargados de tratamiento?

Por ejemplo, la empresa de transportes a la que contratas para llevar a tus clientes.

O el hotel donde van a alojarse para realizar las actividades contratadas.

O la gestoría que te lleva los temas fiscales o laborales.

Todos estos terceros acceden a datos de los clientes o empleados de tu empresa de ocio y tiempo libre.

Y por eso son encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Acuerdo de confidencialidad con empleados de una empresa de ocio y tiempo libre

Los empleados tienen acceso a toda la información que maneja tu empresa de ocio y, por tanto, deben firmar un contrato de confidencialidad.

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En las empresas de servicios de entretenimiento los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de clientes

Esto es muy importante ¡ojo!

Además de actualizar la política de privacidad, en tu empresa de servicios de ocio y tiempo libre debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puedes solicitarlo de dos formas:

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el cliente facilite sus datos personalmente en la empresa, debe firmar un documento en el que se le informe de:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales de la ley de protección de datos en empresas es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Imagen de empresas de ocio y tiempo libre

5. Página web de empresas de ocio y tiempo libre

Aquellas empresas de tiempo libre u ocio que operen online, deben incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

Aviso legal
Política de privacidad
Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

Nombre del propietario
CIF / NIF
Dirección
Email
Nº de inscripción en el Registro mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que las empresas de tiempo libre revisen la política de privacidad y hagan una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

existencia de un tratamiento de los datos que se le están solicitando,
finalidad,
destinatario o destinatarios de aquella información,
legitimación para el tratamiento,
plazo de conservación de los datos,
identidad y dirección del responsable del tratamiento de los datos y
posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

¿Cuánto cuesta cumplir la LOPD?

6. Análisis de riesgos para empresas de ocio y tiempo libre

En tu empresa de ocio y tiempo libre debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen.

¿Y esto qué significa?

Pues sencillamente que debes identificar todos los riesgos que puedan existir sobre los datos que manejas teniendo en cuenta, entre otras cuestiones,

tipo de datos,
naturaleza de los datos,
medios de tratamiento,
cesiones,
transferencias internacionales y
número de interesados afectados;

Ni más ni menos.

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

¿Necesitarás esa evaluación de impacto?

Es raro que este tipo de empresas necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, si la empresa realiza campamentos de menores tendrá que recoger datos de alergias o enfermedades por lo que, al ser datos sensibles, necesita la Evaluación de impacto.

Tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Y llegamos a lo más peliagudo.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la empresa de ocio, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Puedo publicar fotografías realizadas en actividades de ocio en Internet?

No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.

La publicación en una página web de las fotos de los menores constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Puede incluirse el nombre, apellidos y DNI de los empleados en las tarjetas identificativas?

Depende. Estos trabajadores que llevan las tarjetas identificativas, están de cara al público y en consecuencia, sus datos estarán a la vista de terceras personas ajenas al estricto ámbito laboral.

Si la finalidad que justifica la inclusión de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificación en el desempeño de sus funciones, el tratamiento de los datos puede considerarse amparado en el marco del cumplimiento de un contrato.

¿Puedo seguir enviando comunicaciones comerciales a mi lista de contactos actual?

Solo si dispones del consentimiento expreso de cada uno de esos contactos. El RGPD no se aplica solo a la información recopilada a partir del 25 de mayo de 2018, sino también a los datos recogidos con anterioridad. Por tanto, si el consentimiento que tenemos es tácito, debemos volver a solicitárselo para poder enviarles la publicidad.

¿Qué hago con los curriculum que recibo por correo electrónico?

Si vas a almacenar esos curriculum, debes responder al mismo correo que nos lo ha enviado informándole sobre:

dónde van a almacenarse los datos,
dónde y cómo puede el interesado ejercer sus derechos y
para qué se van a usar.

En el supuesto de que no vayas a tratar los datos personales del currículum vitae, debes contestar al correo electrónico informando que esos datos no serán usados y que los soportes que los contienen van a ser destruidos.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Se considera otro tratamiento, por tanto deberás incluirlo en el Registro de actividades de tratamiento e informar sobre el uso de estos dispositivos de grabación.

Recomiendo que leas esta guía para instalar un sistema de videovigilancia cumpliendo el RGPD.

Plantillas

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de ocio.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

¿A que asusta?

Por poner algún ejemplo, ahora la realización de actividades de márketing sin haber obtenido previamente el correspondiente consentimiento para ello, con los requisitos necesarios y establecidos por el RGPD, que actualmente es castigado con hasta 600.000€, pasará a ser multado hasta con 20 millones de euros o un 4% del volumen de negocio total anual del año anterior.

Estos son algunos ejemplos de sanciones impuestas por la AEPD a empresas de servicios de ocio y tiempo libre:

No facilitar o atender debidamente el ejercicio de derechos ARCO por los afectados

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. Resolución AEPD R/01342/2018

No cumplir las medidas de índole técnica y organizativas necesarias

La empresa de ocio debe cumplir las medidas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Resolución AEPD E/01327/2018

Espero que te haya quedado claro lo que debes hacer para adaptarte a la normativa de Protección de Datos y empieces cuanto antes.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Empresas de ocio y tiempo libre, ¿Cómo cumplir el RGPD?