Ayer me comentaba mi peluquera que le preocupaba el tema de protección de datos.

Que si también debía cumplir esa ley y que no sabía por dónde empezar

Los centros de estética y peluquería también manejan datos de carácter personal y deben preocuparse del buen uso de estos datos.

Si tú tampoco sabes cómo adaptarte al RGPD, igual que mi peluquera, no te pierdas este post.

Aquí tienes los pasos que debes seguir para adaptar tu centro de estética y peluquería a la normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en centros de estética son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los centros de estética el RGPD?

Los centros de estética y peluquería forman parte de ese tipo de negocios que también tiene en sus manos datos personales, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para contratar un tratamiento de estética o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu centro de estética para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los clientes
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad

No te preocupes.

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de actividades de tratamiento

Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las empresas de estética son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

Mi peluquera dice que no cede datos a ningún tercero.

Pero no me lo creo.

Si tienes una gestoría que te lleva los temas fiscales o las nóminas de tus empleados.

O una empresa informática que realiza el mantenimiento de los equipos.

Entonces sí cedes datos a terceros.

Y estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Numerosos centros de estética recurren con regularidad al software de gestión de clientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y esto qué significa?

Que debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Acuerdo de confidencialidad con empleados

¿Tienes algún trabajador en tu centro?

Entonces esto te interesa.

Los empleados tienen acceso a toda la información que maneja el salón de belleza y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En estas entidades los empleados pueden tener un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de clientes

Además de actualizar la política de privacidad, en el centro de estética debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En el centro

En caso de que el cliente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe de:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del centro de estética y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Sí, esto también debes hacerlo.

En el centro de estética debes realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

¿Esto también hay que hacerlo?

Es raro que este tipo de empresas necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, si en el centro se realizan tratamientos en los que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesita la Evaluación de impacto.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el centro de estética, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu peluquería o salón de estética instalas un sistema de videovigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro,
  • incluir esas grabaciones en el Registro de actividades de tratamiento,
  • no guardar grabaciones después de 30 días,
  • las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
  • si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
  • debemos tener un Impreso donde informe de
    • existencia de las grabaciones,
    • fin para el que se recogen dichas grabaciones,
    • posibilidad de que un cliente pueda ejercer sus derechos y
    • identidad del responsable de esta información.

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • número de tarjeta,
  • comercio donde se efectúa la compra,
  • su importe y
  • fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Qué hago con los datos de salud que solicito?

Los datos de salud son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:

  • Realizar copias de seguridad,
  • utilizar contraseñas únicas y seguras,
  • sistema operativo y software de gestión siempre actualizado,
  • solo instalar software original,
  • activar todas las opciones de seguridad del navegador de Internet y
  • cifrar los archivos con datos personales.

¿Qué hago con los curriculum que me dejan en el centro de estética?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro de estética a la normativa de Protección de Datos.

Sanciones

Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.

Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.

¿A que asusta?

Pues tómatelo en serio.

Más vale prevenir.

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu centro de estética y peluquería a la nueva normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Protección de datos en centros de estética y peluquería
4.5 (90.91%) 22 votos