Esteticistas
¿No sabes cómo adaptarte al RGPD y la LOPDGDD en tu salón de belleza? No te preocupes. En este artículo te contamos todos los requisitos y obligaciones que establece la normativa, para evitar sanciones por parte de la agencia de protección de datos.
Cómo adaptar mi centro a la normativa actual
Existen una serie de obligaciones para cumplir con la protección de datos en centros de estética. Todas estas medidas se han de tomar teniendo en cuenta el principio de responsabilidad proactiva.
Registro de las actividades de tratamiento
Como ya te hemos avanzado, es imprescindible contar con un registro de actividades de tratamiento en el que se guarden todos los tratamientos realizados en diferentes ficheros. Por ejemplo, en tu centro de estética has de contar con ficheros diferenciados para fichas de clientes, proveedores, empleados, imágenes de videovigilancia, etc.
Esta información ha de ser almacenada durante al menos cuatro años, en previsión de que pueda ser solicitada en una inspección de la AEPD (Agencia Española de Protección de Datos):
Contrato con encargados del tratamiento
Es probable que cedas datos a terceros, por ejemplo, a asesorías encargadas de la gestión de nóminas de empleados, o empresas de informática para el mantenimiento de equipos. Estas empresas tendrán acceso a los datos almacenados sobre clientes o empleados, por lo que será necesario firmar con ellos un contrato de encargo de tratamiento.
Consentimiento informado
Para poder enviar comunicaciones comerciales o realizar un tratamiento de datos de usuarios y clientes, será necesario obtener consentimiento expreso. Este consentimiento ha de ser inequívoco e informado, para lo cual, el interesado deberá realizar alguna acción voluntaria que demuestre su consentimiento, por ejemplo, marcar una casilla de verificación o check box.
Contrato de confidencialidad
Otra de las obligaciones es firmar un acuerdo de confidencialidad con los empleados. Esto es imprescindible para garantizar que las trabajadoras del salón de belleza guardan el deber de secreto, y que no comunicarán información privilegiada a terceros no autorizados.
Análisis de riesgos
También es necesario realizar un análisis de riesgos para determinar los peligros que puede suponer el tratamiento para los interesados. En base a este análisis de riesgos, se establecerán las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de la información.
En caso de que se traten datos especialmente sensibles (como datos sobre la salud de los clientes) o realice tratamientos a gran escala, también será necesario realizar una evaluación de impacto o EIPD.
Textos legales en página web
La nueva normativa obliga a estos negocios a incluir una serie de textos legales en su página web:
- Aviso legal: en él se identifica al propietario de la página web. Ha de incluir información como el nombre, razón social, NIF, correo electrónico o número de inscripción en el registro mercantil.
- Política de privacidad: informa sobre el tratamiento de datos que realiza el centro de estética. Ha de incluir la identidad del responsable, encargado o sus representantes, finalidad del tratamiento, cesión de datos a terceros, plazo de conservación de datos y vías para que los usuarios ejerzan sus derechos ARCO.
- Política de cookies: las cookies son pequeños archivos que se colocan en el navegador del usuario para realizar un seguimiento de su actividad online y enviarle comunicaciones comerciales. El centro de estética debe informar sobre el tipo de cookies que usa y solicitar consentimiento expreso del usuario para colocarlas en su navegador.
Notificar brechas de seguridad
Para cumplir con la ley es imprescindible tomar las medidas de seguridad adecuadas para evitar pérdidas de datos, robos de información o accesos no autorizados. Además, se deben notificar las brechas de seguridad a la AEPD en un plazo máximo de 72 horas.
Delegado de protección de datos
La normativa dice que el DPO será necesario en caso de que se traten datos especialmente sensibles, se haga un tratamiento automatizado de perfiles, o se traten datos personales a gran escala.
Derechos de los usuarios
Los usuarios tienen derecho a saber quién está tratando sus datos, con qué finalidad, si se van a ceder a terceros o durante cuánto tiempo se van a almacenar sus datos.
Además, pueden ejercer en cualquier momento sus derechos ARCO o ARSULIPO, esto es, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
¿Necesitas cumplir el RGPD?
Modelos
Aquí tienes los principales documentos que necesitarás para cumplir la normativa:
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.