Protección de datos para peluquerías

Guía 2021

Los negocios de toda la vida, como puede ser una peluquería, recogen datos de clientes, empleados o proveedores, por lo que también están obligados a cumplir con lo dispuesto en el RGDP y la LOPDGDD. En esta guía te hablamos sobre la protección de datos en peluquerías. ¿Cuáles son las exigencias que marca la ley? ¿Cómo adaptar mi peluquería a la normativa para evitar sanciones?

¿Qué leyes regulan a las peluquerías?

Las normas que regulan la Protección de Datos en centros de estética son:

  • RGPD (vigente desde el 25 de mayo 2018 en toda Europa)
  • LOPDGDD (adapta la normativa europea al marco español)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

Obligaciones de las peluquerías con la LOPDGDD y el RGPD

Entre las principales obligaciones que establecen las leyes de protección de datos para peluquerías está la de llevar un registro de actividades de tratamiento. Ahora ya no es necesario comunicar los ficheros a la AEPD (Agencia Española de Protección de Datos), pero sí es necesario llevar un registro por si se produce una inspección por parte de la agencia.

Otro de los puntos fundamentales que marca la ley es la obligación de informar. La peluquería ha de informar sobre la identidad del responsable del tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Asimismo, el RGPD y la LOPDGDD establecen la obligación de obtener consentimiento expreso para el tratamiento de datos de usuarios o clientes. Ya no sirve el consentimiento tácito, sino que este debe ser explícito, voluntario, inequívoco e informado.

Las peluquería también deben asegurar que los empleados van a mantener el secreto respecto a los datos de clientes, proveedores, etc, para lo cual es necesario firmar un acuerdo de confidencialidad.

Por último, la LOPDGDD hace especial hincapié en las obligaciones sobre protección de datos en peluquerías dentro del ámbito digital. En este sentido, es necesario informar al usuario a través de diversos textos legales en la página web, en concreto el aviso legal, la política de privacidad y la política de cookies.

Todas estas medidas se han de adoptar teniendo en cuenta el principio de transparencia y responsabilidad proactiva. Es decir, se deben aplicar las medidas técnicas y organizativas necesarias para garantizar que el tratamiento de los datos personales se hace de acuerdo a la normativa.

En el siguiente epígrafe profundizamos un poco más en estos puntos y te explicamos de forma más concreta cómo cumplir la ley de protección de datos en una peluquería.

¿Cómo adaptar mi peluquería a la protección de datos?

Las peluquerías forman parte de ese tipo de negocios que maneja datos personales de clientes, empleados o proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de la ley de protección de datos en peluquerías, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para contratar un tratamiento de estética o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu peluquería para adaptarte al RGPD son:

Registro de actividades de tratamiento

Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las peluquerías son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Currículum
  • Videovigilancia

Contratos con Encargados de tratamiento

Si trabajas con una gestoría que te lleva los temas fiscales o las nóminas de tus empleados, o tienes contratada una empresa de informática que realiza el mantenimiento de los equipos, entonces sí cedes datos a terceros.

Y estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Numerosos centros de estética recurren con regularidad al software de gestión de clientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y esto qué significa?

Que debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Acuerdo de confidencialidad con empleados

Los empleados tienen acceso a mucha de la información que maneja la peluquería y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En estas entidades los empleados pueden tener un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Consentimiento informado en una peluquería

La peluquería está obligada a solicitar el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Por ejemplo, si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

Uno de los principales objetivos del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal: Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
    • Nombre del propietario
    • CIF / NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro mercantil
  • Política de privacidad: es el texto que indica cómo trata la peluquería los datos de usuarios y clientes. Es necesario informar sobre:
    • Identidad del responsable del tratamiento, encargado o sus representantes
    • Base legal para el tratamiento.
    • Finalidad
    • Cesión de datos a terceros
    • Plazo de conservación de los datos
    • Cómo ejercer los derechos ARCO
  • Política de cookies: indica qué cookies almacena la web de la peluquería y con qué fines se utilizan. El usuario debe aceptar el uso de cookies a través de una acción voluntaria e inequívoca, por ejemplo, marcando una casilla de verificación.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Análisis de riesgos

Para cumplir con la protección de datos en peluquerías es necesario realizar un análisis de riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • Tipo de datos
  • Naturaleza de los datos
  • Medios de tratamiento
  • Cesión de datos
  • transferencias internacionales
  • Número de afectados

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

¿Esto también hay que hacerlo?

Es raro que las peluquerías necesiten hacer una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, si en el centro se realizan tratamientos en los que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesita la Evaluación de impacto.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el centro de estética, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Sanciones por incumplimiento

Las sanciones por no cumplir la protección de datos para peluquerías varían en función de la gravedad de la infracción:

  • Infracciones Leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 € o el 4% de la facturación anual.

Por ejemplo:

  • No cumplir con la obligación de informar podría acarrear sanciones de 1.500 euros por cada infracción que sea detectada.
  • Apropiarse indebidamente de datos personales podría suponer una multa de 300.000 euros y hasta 5 años de prisión.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro de estética a la normativa de Protección de Datos.

Preguntas frecuentes

¿Dónde encontrar un especialista en protección de datos para peluquerías?

Si quieres cumplir con la normativa de protección de datos en tu peluquería, necesitas la ayuda a una consultora especializada en protección de datos.

Existen empresas como Grupo Atico34, Coberlegal o Prodat que ofrecen un servicio personalizado y totalmente adaptado a tus necesidades.

Siempre puedes implantar tú mismo las medidas, pero te llevará más tiempo y cabe la posibilidad de que cometas errores que pueden traerte consecuencias negativas.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu peluquería o salón de estética instalas un sistema de videovigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro,
  • incluir esas grabaciones en el Registro de actividades de tratamiento,
  • no guardar grabaciones después de 30 días,
  • las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
  • si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
  • debemos tener un Impreso donde informe de
    • existencia de las grabaciones,
    • fin para el que se recogen dichas grabaciones,
    • posibilidad de que un cliente pueda ejercer sus derechos y
    • identidad del responsable de esta información.

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • número de tarjeta,
  • comercio donde se efectúa la compra,
  • su importe y
  • fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Qué hago con los datos de salud que solicito?

Los datos de salud son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:

  • Realizar copias de seguridad,
  • utilizar contraseñas únicas y seguras,
  • sistema operativo y software de gestión siempre actualizado,
  • solo instalar software original,
  • activar todas las opciones de seguridad del navegador de Internet y
  • cifrar los archivos con datos personales.

¿Qué hago con los currículum que me dejan en la peluquería?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

En caso de que no te interese guardar el currículum, debes destruirlo de forma segura.

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu centro de estética y peluquería a la nueva normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.