Protección de datos en centros de estética

Guía 2021

¿No sabes cómo adaptarte al RGPD y la LOPDGDD en tu salón de belleza? No te preocupes. En este artículo te contamos cómo cumplir con la protección de datos en centros de estética. Descubre todos los requisitos y obligaciones que establece la normativa, y evita sanciones por parte de la agencia de protección de datos.

Leyes que regulan a los centros de estética

Las leyes que establecen los requisitos y obligaciones sobre protección de datos en un centro de estética son las siguientes:

  • RGPD (Reglamento General de Protección de Datos): es la normativa europea de protección de datos, que desde su entrada en vigor el 25 de mayo de 2018 establece un marco común en toda la Unión Europea.
  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales): es la ley española, que adapta a nivel nacional las exigencias del RGPD.
  • LSSI-CE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico): regula los comportamiento de los agentes implicados en las comunicaciones electrónicas y en las actividades comerciales online.

Obligaciones de los esteticistas con el LOPDGDD y el RGPD

Vamos a empezar haciendo referencia a las principales obligaciones que establece la ley de protección de datos en estética. Estas exigencias son comunes a todas aquellas empresas o negocios que hagan un tratamiento de datos personales para el ejercicio de su actividad.

En primer lugar, es obligatorio llevar un registro de actividades de tratamiento. Esta exigencia sustituye a la que establecía la anterior LOPD, que obligaba a inscribir los ficheros en la AEPD. Ahora, la inscripción de los ficheros ya no es necesaria, pero sí se debe llevar un registro donde se almacenen al menos cuatro años todos los tratamientos de datos realizados.

El RGPD y la LOPDGDD en centros de estética también establecen nuevas obligaciones en cuanto al deber de informar a los usuarios. Más adelante profundizaremos en las obligaciones en este sentido para los centros de estética, y los nuevos derechos que asisten a los usuarios.

Otra de las novedades fundamentales en la protección de datos en centros de estética es la obligación de obtener consentimiento expreso para tratar los datos de los clientes. Ya no sirve con el consentimiento tácito, sino que este debe ser explícito, voluntario e informado.

Estas son, de entrada, las principales novedades del RGPD y la LOPDGDD. Pero para cumplir con la normativa de protección de datos en tu salón de belleza o centro de estética, deberás tener en cuenta muchos otros factores. En el siguiente punto te lo contamos.

Cómo adaptar mi centro de estética a la protección de datos

A continuación te mostramos más en detalle todas las medidas que has de tomar para adaptar tu centro de estética a la ley de protección de datos. Recuerda que todas estas medidas se han de tomar teniendo en cuenta el principio de responsabilidad proactiva.

pasos cumplir ley lopd rgpd centros estética

Registro de las actividades de tratamiento

Como ya te hemos avanzado, es imprescindible contar con un registro de actividades de tratamiento en el que se guarden todos los tratamientos realizados en diferentes ficheros. Por ejemplo, en tu centro de estética has de contar con ficheros diferenciados para fichas de clientes del centro de estética, proveedores, empleados, imágenes de videovigilancia, etc.

Esta información ha de ser almacenada durante al menos cuatro años, en previsión de que pueda ser solicitada en una inspección de la AEPD (Agencia Española de Protección de Datos):

Contrato con encargados del tratamiento

Es probable que en tu centro de estética cedas datos a terceros, por ejemplo, a asesorías encargadas de la gestión de nóminas de empleados, o empresas de informática para el mantenimiento de equipos. Estas empresas tendrán acceso a los datos almacenados sobre clientes o empleados, por lo que será necesario firmar con ellos un contrato de encargo de tratamiento.

Consentimiento informado en centro de estética

Para poder enviar comunicaciones comerciales o realizar un tratamiento de datos de usuarios y clientes, será necesario obtener consentimiento expreso. Este consentimiento ha de ser inequívoco e informado, para lo cual, el interesado deberá realizar alguna acción voluntaria que demuestre su consentimiento, por ejemplo, marcar una casilla de verificación o check box.

Contrato de confidencialidad

Otra de las obligaciones en materia de protección de datos para centros de estética es firmar un acuerdo de confidencialidad con los empleados. Esto es imprescindible para garantizar que las trabajadoras del salón de belleza guardan el deber de secreto, y que no comunicarán información privilegiada a terceros no autorizados.

Análisis de riesgos

También es necesario realizar un análisis de riesgos para determinar los peligros que puede suponer el tratamiento para los interesados. En base a este análisis de riesgos, se establecerán las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de la información.

En caso de que el centro de estética trate datos especialmente sensibles (como datos sobre la salud de los clientes) o realice tratamientos a gran escala, también será necesario realizar una evaluación de impacto o EIPD.

Textos legales en página web

La nueva normativa de protección de datos en centro de estética obliga a estos negocios a incluir una serie de textos legales en su página web:

  • Aviso legal: en él se identifica al propietario de la página web. Ha de incluir información como el nombre, razón social, NIF, correo electrónico o número de inscripción en el registro mercantil.
  • Política de privacidad: informa sobre el tratamiento de datos que realiza el centro de estética. Ha de incluir la identidad del responsable, encargado o sus representantes, finalidad del tratamiento, cesión de datos a terceros, plazo de conservación de datos y vías para que los usuarios ejerzan sus derechos ARCO.
  • Política de cookies: las cookies son pequeños archivos que se colocan en el navegador del usuario para realizar un seguimiento de su actividad online y enviarle comunicaciones comerciales. El centro de estética debe informar sobre el tipo de cookies que usa y solicitar consentimiento expreso del usuario para colocarlas en su navegador.

Notificar brechas de seguridad

Para cumplir con la protección de datos en los centros de estética es imprescindible tomar las medidas de seguridad adecuadas para evitar pérdidas de datos, robos de información o accesos no autorizados. Además, se deben notificar las brechas de seguridad a la AEPD en un plazo máximo de 72 horas.

Delegado de protección de datos

La LOPDGDD indica qué entidades están obligadas a contar de forma obligatoria con un Delegado de Protección de Datos. En principio, los centros de estética no están en ese grupo de entidades obligadas.

Sin embargo, la normativa también dice que el DPO será necesario en caso de que se traten datos especialmente sensibles, se haga un tratamiento automatizado de perfiles, o se traten datos personales a gran escala. Por lo que, si el centro de estética cumple esos requisitos, debería contratar un DPO.

Derechos de los usuarios

Los usuarios tienen derecho a saber quién está tratando sus datos, con qué finalidad, si se van a ceder a terceros o durante cuánto tiempo se van a almacenar sus datos.

Además, pueden ejercer en cualquier momento sus derechos ARCO o ARSULIPO, esto es, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Sanciones por incumplimiento

En caso de no cumplir con la ley de protección de datos en tu centro de estética, te podrías enfrentar a duras sanciones:

  • Infracciones Leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 € o hasta el 4% de la facturación anual.

Modelos

Aquí tienes los principales documentos que necesitarás para cumplir la ley de protección de datos en tu centro de estética:

Preguntas frecuentes

¿Qué tengo que hacer si instalo cámaras de videovigilancia

Si en tu centro de estética tienes instaladas cámaras de seguridad, debes proceder de la siguiente manera:

  • Instalar carteles informativos en todas las entradas al centro.
  • incluir esas grabaciones en el Registro de actividades de tratamiento.
  • No guardar grabaciones después de 30 días.
  • Las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local.
  • Si tienes una pantalla donde ves las grabaciones, ésta solo debe estar visible por personal autorizado.
  • Has de tener un Impreso donde se informe de:
    • Existencia de las grabaciones.
    • Fin para el que se recogen dichas grabaciones.
    • Posibilidad de que un cliente pueda ejercer sus derechos.
    • Identidad del responsable de esta información.

¿Qué ocurre con los datos recogidos a través de la TPV?

Los datos recogidos a través de las terminales de pago TPV también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • Número de tarjeta,
  • Comercio donde se efectúa la compra,
  • Importe.
  • Fecha y hora de la transacción.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente. En cualquier caso, debes considerarlo como un tratamiento más y almacenar esos tickets de forma segura.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Solo si el consentimiento se hubiese otorgado de acuerdo a lo que establece la ley actual, es decir, de forma expresa, voluntaria e informada. De lo contrario, será obligatorio volver a solicitar el consentimiento para obtenerlo de acuerdo a lo que marcan el RGPD y la LOPDGDD.

¿Qué hago con los datos de salud que solicito?

Los datos de salud son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre estas medidas están la elaboración de una evaluación de impacto, la realización de copias de seguridad o utilizar las adecuadas técnicas de anonimización y seudonimización.

¿Qué hago con los currículum que me dejan en el centro de estética?

Para almacenarlos será necesario obtener el consentimiento expreso de la persona, así como informarle acerca de la identidad del responsable del tratamiento, finalidad del tratamiento, cesión del currículum a terceros, plazo de conservación o vías para ejercer sus derechos ARCO. En caso de que el currículum ya no interese, se deberá proceder a su destrucción de forma segura.

¿Dónde encontrar un especialista en protección de datos para centros de estética?

En España existen diversas consultorías especialistas en protección de datos que te pueden guiar a la hora de cumplir la normativa en tu centro de estética. En nuestra web puede consultar las principales consultoras RGPD a través de nuestro buscador de empresas de protección de datos y contratar la que mejor se adapte a tus necesidades.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.