Esteticistas. Normativa 2024

¿No sabes cómo adaptarte al RGPD y la LOPDGDD en tu salón de belleza? No te preocupes. En este artículo te contamos todos los requisitos y obligaciones que establece la normativa, para evitar sanciones por parte de la agencia de protección de datos.

Cómo adaptar mi centro a la normativa actual

Existen una serie de obligaciones para cumplir con la protección de datos en centros de estética. Todas estas medidas se han de tomar teniendo en cuenta el principio de responsabilidad proactiva.

Registro de las actividades de tratamiento

Como ya te hemos avanzado, es imprescindible contar con un registro de actividades de tratamiento en el que se guarden todos los tratamientos realizados en diferentes ficheros. Por ejemplo, en tu centro de estética has de contar con ficheros diferenciados para fichas de clientes, proveedores, empleados, imágenes de videovigilancia, etc.

Esta información ha de ser almacenada durante al menos cuatro años, en previsión de que pueda ser solicitada en una inspección de la AEPD (Agencia Española de Protección de Datos):

Contrato con encargados del tratamiento

Es probable que cedas datos a terceros, por ejemplo, a asesorías encargadas de la gestión de nóminas de empleados, o empresas de informática para el mantenimiento de equipos. Estas empresas tendrán acceso a los datos almacenados sobre clientes o empleados, por lo que será necesario firmar con ellos un contrato de encargo de tratamiento.

Consentimiento informado

Para poder enviar comunicaciones comerciales o realizar un tratamiento de datos de usuarios y clientes, será necesario obtener consentimiento expreso. Este consentimiento ha de ser inequívoco e informado, para lo cual, el interesado deberá realizar alguna acción voluntaria que demuestre su consentimiento, por ejemplo, marcar una casilla de verificación o check box.

Contrato de confidencialidad

Otra de las obligaciones es firmar un acuerdo de confidencialidad con los empleados. Esto es imprescindible para garantizar que las trabajadoras del salón de belleza guardan el deber de secreto, y que no comunicarán información privilegiada a terceros no autorizados.

Análisis de riesgos

También es necesario realizar un análisis de riesgos para determinar los peligros que puede suponer el tratamiento para los interesados. En base a este análisis de riesgos, se establecerán las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de la información.

En caso de que se traten datos especialmente sensibles (como datos sobre la salud de los clientes) o realice tratamientos a gran escala, también será necesario realizar una evaluación de impacto o EIPD.

Textos legales en página web

La nueva normativa obliga a estos negocios a incluir una serie de textos legales en su página web:

Aviso legal: en él se identifica al propietario de la página web. Ha de incluir información como el nombre, razón social, NIF, correo electrónico o número de inscripción en el registro mercantil.
Política de privacidad: informa sobre el tratamiento de datos que realiza el centro de estética. Ha de incluir la identidad del responsable, encargado o sus representantes, finalidad del tratamiento, cesión de datos a terceros, plazo de conservación de datos y vías para que los usuarios ejerzan sus derechos ARCO.
Política de cookies: las cookies son pequeños archivos que se colocan en el navegador del usuario para realizar un seguimiento de su actividad online y enviarle comunicaciones comerciales. El centro de estética debe informar sobre el tipo de cookies que usa y solicitar consentimiento expreso del usuario para colocarlas en su navegador.

Notificar brechas de seguridad

Para cumplir con la ley es imprescindible tomar las medidas de seguridad adecuadas para evitar pérdidas de datos, robos de información o accesos no autorizados. Además, se deben notificar las brechas de seguridad a la AEPD en un plazo máximo de 72 horas.

Delegado de protección de datos

La normativa dice que el DPO será necesario en caso de que se traten datos especialmente sensibles, se haga un tratamiento automatizado de perfiles, o se traten datos personales a gran escala.

Derechos de los usuarios

Los usuarios tienen derecho a saber quién está tratando sus datos, con qué finalidad, si se van a ceder a terceros o durante cuánto tiempo se van a almacenar sus datos.

Además, pueden ejercer en cualquier momento sus derechos ARCO o ARSULIPO, esto es, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Modelos

Aquí tienes los principales documentos que necesitarás para cumplir la normativa:

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.