[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/empresas-ocio\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/empresas-ocio\/","headline":"Empresas de ocio y tiempo libre, \u00bfC\u00f3mo cumplir el RGPD?","name":"Empresas de ocio y tiempo libre, \u00bfC\u00f3mo cumplir el RGPD?","description":"C\u00f3mo deben cumplir el RGPD las empresas de ocio y tiempo libre, principales actuaciones para adaptarse a la normativa de proteccion de datos, con modelos \u2705","datePublished":"2018-08-23","dateModified":"2021-09-20","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/08\/empresas-de-ocio-y-tiempo-libre-portada.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/08\/empresas-de-ocio-y-tiempo-libre-portada.jpg","height":933,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/empresas-ocio\/","about":["GU\u00cdAS","LOPDGDD & RGPD","OCIO Y DEPORTE"],"wordCount":3469,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Como otros muchos negocios, las empresas de ocio y el tiempo libre manejan en su d\u00eda a d\u00eda datos personales de sus clientes, proveedores y empleados, cuyo tratamiento debe ser acorde a la normativa de Protecci\u00f3n de Datos vigente.En esta entrada vamos a c\u00f3mo debe gestionar la protecci\u00f3n de datos una empresa de ocio y tiempo libre.\u00bfC\u00f3mo deben cumplir las empresas de ocio y tiempo libre el RGPD?1. Registro de actividades de tratamiento en una empresa de ocio2. Contratos con Encargados de tratamiento3. Acuerdo de confidencialidad con empleados de una empresa de ocio y tiempo libre4. Consentimiento de clientes5. P\u00e1gina web de empresas de ocio y tiempo libreAviso legalPol\u00edtica de privacidadPol\u00edtica de cookies6. An\u00e1lisis de riesgos para empresas de ocio y tiempo libre7. Notificar brechas de seguridadPreguntas frecuentes\u00bfPuedo publicar fotograf\u00edas realizadas en actividades de ocio en Internet?\u00bfPuede incluirse el nombre, apellidos y DNI de los empleados en las tarjetas identificativas?\u00bfPuedo seguir enviando comunicaciones comerciales a mi lista de contactos actual?\u00bfQu\u00e9 hago con los curriculum que recibo por correo electr\u00f3nico?\u00bfQu\u00e9 tengo que hacer si instalo c\u00e1maras de videovigilancia?PlantillasSancionesNo facilitar o atender debidamente el ejercicio de derechos ARCO por los afectadosNo cumplir las medidas de \u00edndole t\u00e9cnica y organizativas necesarias\u00bfNecesitas cumplir el RGPD?Entradas relacionadas\u00bfC\u00f3mo deben cumplir las empresas de ocio y tiempo libre el RGPD?Las empresas de ocio y tiempo libre forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que tambi\u00e9n tendr\u00e1n que adaptarse a la nueva normativa.Las normas que regulan la Protecci\u00f3n de Datos son:RGPDLOPD (Espa\u00f1a)LSSI (regula los servicios de la sociedad de la informaci\u00f3n y el comercio electr\u00f3nico)Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitar\u00e1n la tarea.Cada vez que un usuario da sus datos a una empresa de ocio para contratar un servicio o actividad o para solicitar informaci\u00f3n, acuerdas la prestaci\u00f3n de servicios con los profesionales y empresas externos, o cedes los datos de sus empleados para elaborar las n\u00f3minas, est\u00e1s manejando datos de car\u00e1cter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protecci\u00f3n de datos.Las principales actuaciones que deben realizar en las empresas de ocio y tiempo libre, as\u00ed como de servicios de entretenimiento para adaptarte al RGPD son:Realizar un Registro de actividades de tratamientoFirmar los contratos con tercerosFirmar los contratos con los empleadosSolicitar el consentimiento a los clientesIncluir los textos legales en la p\u00e1gina webRealizar un An\u00e1lisis de riesgosNotificar brechas de seguridadA continuaci\u00f3n te explico detalladamente cada una de esas actuaciones.1. Registro de actividades de tratamiento en una empresa de ocioLo primero que debes tener en cuenta es qu\u00e9 tipo de datos manejas y qu\u00e9 cantidad en la gesti\u00f3n de tu empresa de ocio.En ese registro debes incluir la siguiente informaci\u00f3n:Tipo de datos almacenadosFinalidadLegitimadosPol\u00edtica de almacenamiento\u00a0de esos datosSi se realizan cesiones o transferencias internacionalesMedios a trav\u00e9s de los que se realiza el tratamientoEste\u00a0registro de actividades de tratamiento\u00a0debes mantenerlo siempre actualizado.\u00bfPor qu\u00e9?Porque te lo puede pedir la AEPD en caso de inspecci\u00f3n.Los tratamientos m\u00e1s habituales en las empresas de ocio son:ClientesProveedoresContabilidadRecursos HumanosCurriculumVideovigilanciaDescarga aqu\u00ed todos los modelos gratis para tu empresa de ocio2. Contratos con Encargados de tratamiento\u00bfSabes quienes son los encargados de tratamiento?Por ejemplo, la empresa de transportes a la que contratas para llevar a tus clientes.O el hotel donde van a alojarse para realizar las actividades contratadas.O la gestor\u00eda que te lleva los temas fiscales o laborales.Todos estos terceros acceden a datos de los clientes o empleados de tu empresa de ocio y\u00a0 tiempo libre.Y por eso son encargados de tratamiento.As\u00ed que, adem\u00e1s de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que tambi\u00e9n cumplan la normativa obligatoria. Y qu\u00e9 decir tiene que hay que estar seguros de que el cliente sepa qu\u00e9 datos suyos se recopilan a trav\u00e9s de estas p\u00e1ginas.Recuerda firmar el contrato de encargo de tratamiento con los tercerosPara ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.3. Acuerdo de confidencialidad con empleados de una empresa de ocio y tiempo libreLos empleados tienen acceso a toda la informaci\u00f3n que maneja tu empresa de ocio y, por tanto, deben firmar un contrato de confidencialidad.\u00bfPara qu\u00e9?Para evitar que esa informaci\u00f3n sea revelada a personas no autorizadas.Tambi\u00e9n deben\u00a0cumplir las medidas de seguridad establecidas por la empresa para garantizar la protecci\u00f3n de los datos personales.En las empresas de servicios de entretenimiento los empleados disponen de un correo electr\u00f3nico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingenier\u00eda social y las t\u00e9cnicas como el phishing son los m\u00e9todos de ataque m\u00e1s utilizados debido al \u00e9xito que tiene para los ciberdelincuentes.4. Consentimiento de clientesEsto es muy importante \u00a1ojo!Adem\u00e1s de actualizar la pol\u00edtica de privacidad, en tu empresa de servicios de ocio y tiempo libre debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.Este consentimiento puedes solicitarlo de dos formas:Si el cliente introduce sus datos personales en la p\u00e1gina web, debe existir una casilla desmarcada por defecto que le permita aceptar esa pol\u00edtica de privacidad.En caso de que el cliente facilite sus datos personalmente en la empresa, debe firmar un documento en el que se le informe de:responsable del tratamiento,finalidad para la que se van a usar los datos,si se van a ceder a terceros ymedio por el que puede ejercer sus derechos ARCO.Uno de los fines principales de la ley de protecci\u00f3n de datos en empresas es que los clientes sean mucho m\u00e1s conscientes de qu\u00e9 informaci\u00f3n disponen las empresas de ellos y para qu\u00e9 se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opci\u00f3n ser\u00eda enviar emails a los clientes y empleados o publicar alguna entrada en la p\u00e1gina web y difundirla posteriormente por redes sociales, para generar m\u00e1s confianza.5. P\u00e1gina web de empresas de ocio y tiempo libreAquellas empresas de tiempo libre u ocio que operen online, deben\u00a0incluir en la p\u00e1gina web los textos exigidos por la ley de Protecci\u00f3n de Datos y la LSSI:Aviso legalPol\u00edtica de privacidadPol\u00edtica de cookiesAviso legalEste es el documento donde se identifica al propietario de la p\u00e1gina web. En \u00e9l debes incluir:Nombre del propietarioCIF \/ NIFDirecci\u00f3nEmailN\u00ba de inscripci\u00f3n en el Registro mercantilDebe ponerse un enlace visible a este texto desde cualquier p\u00e1gina de la web.Pol\u00edtica de privacidadEs importante que las empresas de tiempo libre revisen la pol\u00edtica de privacidad y hagan una versi\u00f3n de esta m\u00e1s extensa, que incluya m\u00e1s informaci\u00f3n acerca del procesamiento de los datos.As\u00ed, en el texto de Pol\u00edtica de privacidad\u00a0tendr\u00e1s que informar expresamente de:existencia de un tratamiento de los datos que se le est\u00e1n solicitando,finalidad,destinatario o destinatarios de aquella informaci\u00f3n,legitimaci\u00f3n para el tratamiento,plazo de conservaci\u00f3n de los datos,identidad y direcci\u00f3n del responsable del tratamiento de los datos yposibilidad de ejercer sus derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n y oposici\u00f3n y por qu\u00e9 v\u00eda.Todos esos detalles deber\u00e1n formar parte de la pol\u00edtica de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versi\u00f3n se publique en la web.Pol\u00edtica de cookiesLas cookies son archivos\u00a0de informaci\u00f3n enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para\u00a0analizar las visitas a nuestra p\u00e1gina web o mostrar publicidad din\u00e1mica.Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la p\u00e1gina, su finalidad y duraci\u00f3n.\u00bfCu\u00e1nto cuesta cumplir la LOPD?6. An\u00e1lisis de riesgos para empresas de ocio y tiempo libreEn tu empresa de ocio y tiempo libre debes tambi\u00e9n realizar un\u00a0an\u00e1lisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen.\u00bfY esto qu\u00e9 significa?Pues sencillamente que debes identificar todos los riesgos que puedan existir sobre los datos que manejas\u00a0teniendo en cuenta, entre otras cuestiones,tipo de datos,naturaleza de los datos,medios de tratamiento,cesiones,transferencias internacionales yn\u00famero de interesados afectados;Ni m\u00e1s ni menos.Adem\u00e1s, si el riesgo resultara ser especialmente alto deber\u00e1n realizar una evaluaci\u00f3n de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.\u00bfNecesitar\u00e1s esa evaluaci\u00f3n de impacto?Es raro que este tipo de empresas necesite una Evaluaci\u00f3n de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, si la empresa realiza campamentos de menores tendr\u00e1 que recoger datos de alergias o enfermedades por lo que, al ser datos sensibles, necesita la Evaluaci\u00f3n de impacto.Tras estos an\u00e1lisis deber\u00e1n implementar unas medidas de seguridad adecuadas.7. Notificar brechas de seguridadY llegamos a lo m\u00e1s peliagudo.Una de las obligaciones que establece el nuevo Reglamento es la notificaci\u00f3n de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.En el caso de que se d\u00e9 una situaci\u00f3n de ciberataque o infracci\u00f3n en la empresa de ocio, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un l\u00edmite de 72 horas para notificar a las autoridades y dotar a estas de informaci\u00f3n, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.\u00a1Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horasCabe destacar que, aunque no se permitir\u00e1n infracciones intencionadas de la ley, existir\u00e1n atenuantes si se puede demostrar a las autoridades y a los clientes que se est\u00e1 haciendo todo lo posible para cumplir con ella.Preguntas frecuentes\u00bfPuedo publicar fotograf\u00edas realizadas en actividades de ocio en Internet?No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.La\u00a0publicaci\u00f3n en una p\u00e1gina web\u00a0de las fotos de los menores constituye una cesi\u00f3n o comunicaci\u00f3n de datos de car\u00e1cter personal. La cesi\u00f3n es definida como \u201cToda revelaci\u00f3n de datos realizada a una persona distinta del interesado\u201d. Y\u00a0requiere el consentimiento\u00a0del afectado.\u00bfPuede incluirse el nombre, apellidos y DNI de los empleados en las tarjetas identificativas?Depende. Estos trabajadores que llevan las tarjetas identificativas, est\u00e1n de cara al p\u00fablico y en consecuencia, sus datos estar\u00e1n a la vista de terceras personas ajenas al estricto \u00e1mbito laboral.Si la finalidad que justifica la inclusi\u00f3n de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificaci\u00f3n en el desempe\u00f1o de sus funciones, el tratamiento de los datos puede considerarse amparado en el marco del cumplimiento de un contrato.\u00bfPuedo seguir enviando comunicaciones comerciales a mi lista de contactos actual?Solo si dispones del consentimiento expreso de cada uno de esos contactos.\u00a0El RGPD no se aplica solo a la informaci\u00f3n recopilada a partir del 25 de mayo de 2018, sino tambi\u00e9n a los datos recogidos con anterioridad. Por tanto, si el consentimiento que tenemos es t\u00e1cito, debemos volver a solicit\u00e1rselo para poder enviarles la publicidad.\u00bfQu\u00e9 hago con los curriculum que recibo por correo electr\u00f3nico?Si vas a almacenar esos curriculum, debes\u00a0responder al mismo correo que nos lo ha enviado inform\u00e1ndole sobre:d\u00f3nde van a almacenarse los datos,d\u00f3nde y\u00a0c\u00f3mo puede el interesado ejercer sus derechos ypara qu\u00e9 se van a usar.En el supuesto de que no vayas a tratar los datos personales del curr\u00edculum vitae, debes contestar al correo electr\u00f3nico informando que esos datos no ser\u00e1n usados y que los soportes que los contienen van a ser destruidos.\u00bfQu\u00e9 tengo que hacer si instalo c\u00e1maras de videovigilancia?Se considera otro tratamiento, por tanto deber\u00e1s incluirlo en el Registro de actividades de tratamiento e informar sobre el uso de estos dispositivos de grabaci\u00f3n.Recomiendo que leas esta gu\u00eda para instalar un sistema de videovigilancia cumpliendo el RGPD.PlantillasAqu\u00ed tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protecci\u00f3n de Datos en tu empresa de ocio.Contrato con tercerosP\u00e1gina webAviso legalPol\u00edtica de cookiesPol\u00edtica de privacidadCompromiso confidencialidad empleadosConsentimientosConsentimiento clientesConsentimiento CVVideovigilanciaCarteles VideovigilanciaInformaci\u00f3n a trabajadores de instalaci\u00f3n de VideovigilanciaComunicacionesCorreos electr\u00f3nicosFacturasSancionesCon esta nueva normativa se incrementan las exigencias en materia de Protecci\u00f3n de Datos, y tambi\u00e9n las sanciones en caso de incumplimiento.\u00bfA que asusta?Por poner alg\u00fan ejemplo, ahora la realizaci\u00f3n de actividades de m\u00e1rketing sin haber obtenido previamente el correspondiente consentimiento para ello, con los requisitos necesarios y establecidos por el RGPD, que actualmente es castigado con hasta 600.000\u20ac, pasar\u00e1 a ser multado hasta con 20 millones de euros o un 4% del volumen de negocio total anual del a\u00f1o anterior.Estos son algunos ejemplos de sanciones impuestas por la AEPD a empresas de servicios de ocio y tiempo libre:No facilitar o atender debidamente el ejercicio de derechos ARCO por los afectadosEl interesado tendr\u00e1 derecho a solicitar y obtener gratuitamente informaci\u00f3n de sus datos de car\u00e1cter personal sometidos a tratamiento, el origen de dichos datos, as\u00ed como las comunicaciones realizadas o que se prev\u00e9n hacer de los mismos. Resoluci\u00f3n AEPD\u00a0R\/01342\/2018No cumplir las medidas de \u00edndole t\u00e9cnica y organizativas necesariasLa empresa de ocio debe cumplir las medidas que garanticen la seguridad de los datos de car\u00e1cter personal y eviten su alteraci\u00f3n, p\u00e9rdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnolog\u00eda, la naturaleza de los datos almacenados y los riesgos a que est\u00e1n expuestos, ya provengan de la acci\u00f3n humana o del medio f\u00edsico o natural. Resoluci\u00f3n AEPD\u00a0E\/01327\/2018Espero que te haya quedado claro lo que debes hacer para adaptarte a la normativa de Protecci\u00f3n de Datos y empieces cuanto antes. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\u00bfC\u00f3mo cumplen las Agencias de viajes el RGPD?\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tFederaciones deportivas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/08\/23\/empresas-ocio\/#breadcrumbitem","name":"Empresas de ocio y tiempo libre, \u00bfC\u00f3mo cumplir el RGPD?"}}]}]