Talleres mecánicos
Como otras muchas empresas, negocios o entidades, los talleres mecánicos tienen la obligación de cumplir con la normativa actual, aunque dependiendo de su tamaño y del volumen de datos que manejen, hay algunos elementos que no tendrán necesidad de contemplar.
Normativa aplicable
Con independencia de que tengas una empresa pequeña, mediana o grande, las leyes que regulan esta materia y a las que puedes acudir en busca de más información legal, son las siguientes:
¿Cómo cumplir con la normativa vigente?
Desde el momento en que un potencial cliente muestra interés en contratar los servicios de tu taller mecánico y hay un primer intercambio de datos (quizás ha pedido un presupuesto), debes contemplar la protección de los datos personales que te haya facilitado el cliente.
Ten en cuenta que la ley obliga a gestionar toda documentación resultante de tu actividad que pueda contener datos personales conforme a la normativa vigente en la materia.
Para llevar a cabo todo el proceso, debes realizar las siguientes actuaciones:
- Realizar el registro de actividades de tratamiento
- Análisis de riesgos
- Firmar contratos de encargo de tratamiento
- Incluir textos legales en tu página web
- Consentimiento de los clientes
- Derechos de los usuarios
- Acuerdo de confidencialidad con empleados
- Notificar brechas de seguridad
Vamos a ver cada una de estas actuaciones por separado, para ver sus contenidos esenciales.
Registro de actividades de tratamiento para talleres
El registro de actividades de tratamiento es un documento que tu taller debe tener actualizado y disponible en caso de que la AEPD te lo solicite. En este documento, como su propio nombre indica, se deben recoger todas las actividades de tratamiento de datos que se realizan en el taller, de manera que se puede determinar a través él tanto el tipo de datos que se manejan, así como la siguiente información:
- Fines del tratamiento
- Afectados
- Categorías de datos que se tratan
- Base jurídica que legitima el tratamiento
- Posibles destinatarios de los datos
- Si hay transferencias internacionales
- Plazos de supresión de los datos
- Medidas de seguridad aplicables
Este registro se puede recopilar tanto en formato electrónico como por escrito. Lo importante es que esté lo más actualizado posible.
¿Qué tratamientos de datos serán los más habituales en el taller mecánico?
- Clientes
- Curriculum
- Recursos Humanos
- Videovigilancia
- Aseguradoras
- Proveedores
- Empleados
Análisis de riesgos
Cualquier actividad de tratamiento datos puede implicar un riesgo, quizás por un descuido de tuyo o de un empleado, quizá por desconocimiento de algún aspecto de la normativa o puede que por un ciberataque.
Por estos motivos, entre otros, es necesario que lleves a cabo un análisis de riesgos con el que valores esas posibles amenazas y con el que puedas llevar a cabo la implementación de las medidas de seguridad adecuadas (acceso con contraseñas a los ordenadores del taller, por ejemplo) para prevenirlos o evitarlos.
Para realizar ese análisis de riesgos puedes tener en cuenta estas cuestiones:
- Qué tipos de datos manejas
- Qué medios de tratamiento empleas
- ¿Tienes que ceder a terceros esos datos?
- ¿Dónde los almacenas?
Cabe mencionar que si del análisis de riesgos se desprende que pueda existir algún riesgo especialmente alto que pueda afectar a los derechos y libertades de los interesados (los dueños de los datos personales), tendrías que realizar una evaluación de impacto. Pero dado que seguramente no manejarás un gran volumen de datos, ni realizarás análisis de los mismos ni estos pertenecerán a categorías especiales, no tendrás hacerla para cumplir.
Acuerda y firma contratos con Encargados de tratamiento
En el día a día de tu taller mecánica seguramente trates con otras empresas y profesionales (proveedores, servicio de limpieza, gestoría fiscal y/o laboral, mantenimiento informático, servicios de prevención y vigilancia de la salud, etc.). Es muy probable que esas empresas y profesionales externos puedan necesitar acceder a los datos personales que manejas para poder realizar sus actividades. En estos casos es muy importante asegurarnos de que ellos también cumplen con la Ley, ¿cómo?
Firmando un contrato de encargo de tratamiento, mediante el cual se establezcan las obligaciones en materia de protección de datos para esas entidades externas. Así te aseguras de que se cumple la ley y que los datos de tus clientes o empleados no se tratarán de forma distinta o se cederán a otros terceros.
Además, tampoco puedes olvidarte de informar a tus clientes sobre a quién y para que cedes sus datos a terceros. Esta información puedes suministrarla en el documento de consentimiento o incluso en la política de privacidad de tu página web (si cuentas con una).
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Si tu taller tiene página web
Es posible que promociones tu taller mecánico a través de una página web, donde ofrezcas información e, incluso, asesoramiento o un primer presupuesto o hasta vendas productos. Si es tu caso, aquí también debes contemplar varios aspectos del RGPD. Principalmente, en tu web debes incluir textos legales relacionados con:
- Aviso legal
- Política de privacidad
- Políticas de cookies
Vamos a detallar cada uno de ellos a continuación.
Aviso legal
En el aviso legal se debe identificar al propietario de la página web y debe incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
Debe haber un enlace claramente visible al aviso legal desde cualquier página de la web (lo habitual es que aparezca en el footer).
Política de privacidad
Tu texto de política de privacidad debe incluir información clara y detallada sobre el procesamiento de los datos y deberá aparecer expresamente:
- Existencia de un tratamiento de los datos que se le están solicitando.
- Finalidad del tratamiento.
- Destinatario o destinatarios de aquella información.
- Legitimación para el tratamiento.
- Plazo de conservación de los datos.
- Identidad y dirección del responsable del tratamiento de los datos.
- Posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Como el aviso legal, un enlace a la política de privacidad debe aparecer en todas las páginas de la web.
Política de cookies
Todas las webs utilizan cookies actualmente, son archivos de información enviados por el sitio web que quedan almacenados en el navegador cada vez que el usuario visita ese sitio. Se emplean para analizar las visitas o mostrar publicidad programática. Así, tu web debe incluir un texto que avise de las cookies que emplea y permita a los usuarios gestionarlas (aceptarlas o no).
Es la LSSI la encargada regular las cookies y de acuerdo a ella, el texto informativo sobre ellas debe incluir qué cookies utiliza la web, su finalidad y duración.
Como con los textos anteriores, en todas las páginas de la web debe aparecer un enlace a la política de cookies, además del aviso que debe aparece la primera vez que un usuario entra en la web.
¿Necesitas cumplir el RGPD?
Consentimiento de clientes
Tan importante como contar con textos actualizados sobre la misma, es contar con el consentimiento expreso para poder tratas los datos personales que nos cedan clientes o usuarios .
Este es uno de los principales objetivos del RGPD, conseguir que los ciudadanos estén más y mejor informados respecto a lo que hacen las empresas con los datos que les ceden. Por ello, cualquier variación en la política de privacidad debe comunicarse de manera adecuada a los clientes (mediante email, por redes sociales, a través de la web).
El consentimiento puede solicitarse de dos maneras:
- Si es través de un formulario en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar la política de privacidad.
- Si lo hace en el propio taller, debe firmar un documento donde se le informará del responsable del tratamiento, la finalidad para la que se usarán sus datos, si se cederán a terceros y los medios para ejercer sus derechos ARCO.
Derechos de los usuarios
Ya los hemos mencionado al final del punto anterior, pero los usuarios tienen una serie de derechos que pueden ejercer en cualquier momento respecto a sus datos y el tratamiento de los mismos, siendo obligación del taller mecánico proveer de los medios necesarios para poder ejercerlos. Y, cómo hemos visto, estos medios deben quedar claramente especificados en las políticas de privacidad o en el documento de consentimiento.
Esos derechos que todo usuario puede ejercer sobre sus datos son:
- Acceso a sus propios datos personales.
- Rectificación si son incorrectos.
- Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad para la que se recogieron.
- Limitación del tratamiento a la finalidad para la que cedieron.
- Portabilidad de los datos.
- Oposición a un uso posterior con fines comerciales, de investigación o estadísticos.
- No ser objeto de decisiones individualizadas automatizadas (elaboración de perfiles).
El acuerdo de confidencialidad con empleados
Si en tu taller mecánico tienes contratados empleados, estos también está sujetos a cumplir con la Lopd, especialmente si van a tener acceso a los datos personales de los clientes. Para ello deben firmar un acuerdo de confidencialidad, con el que garanticen que no permitirán el acceso a esa información a terceras personas no autorizadas.
Tampoco está de más que se les forme sobre los posibles riesgos que pueden poner en peligro los datos de los clientes, especialmente si tienen acceso al ordenador u ordenadores de la empresa donde se almacenan dichos datos. Deben estar informados sobre la posibilidad de sufrir ciberataques y cómo evitarlos.
¿Qué hacer en caso de brecha de seguridad?
En caso de que se produzca una brecha de seguridad, es decir, que alguien ajeno a tu taller consiga acceder a los datos de tus clientes, tienes la obligación de informar en un plazo máximo de 72 horas tanto a la AEPD como a los propios afectados.
Ten en cuenta que aunque el ataque no sea culpa tuya o de tus empleados, puedes enfrentar sanciones por infracción de la LOPD, especialmente si no tenías implementada ninguna medida de seguridad para prevenirlo o evitarlo. En caso de que sí las tuvieras, podrían considerarse como atenuantes.
¿Tienen los talleres que nombrar un DPO?
En principio los talleres mecánicos (a no ser que sean grandes franquicias) no tienen la obligación de contar con un Delegado de Protección de Datos (DPO). Aunque es recomendable que lo consideres si manejas gran cantidad de datos o algunos de ellos pueden ser considerados de categorías especiales.
Modelos
En caso de que necesites algún documento para adaptar tu taller mecánico a la protección de datos, aquí tienes varios modelos que puedes emplear:
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Como ocurre con el incumplimiento de cualquier ley, no cumplir con la normativa vigente lleva aparejadas sanciones económicas si llega el punto en que ya nos han enviado algún aviso al respecto. Y, cuidado, porque para que nos sancionen no solo hace falta que cometamos una infracción de manera consciente, pueden hacerlo incluso si somos víctimas de un ciberataque si no hemos puesto las medidas de seguridad adecuadas.
Las sanciones van desde un mínimo del 2% de la facturación o 10 millones de euros para cuestiones de índole administrativo, hasta un máximo del 4% del volumen de facturación anual o 20 millones de euros para las infracciones más graves.
Preguntas frecuentes
Si dejan un curriculum en el taller, ¿qué hago con él?
Si quieres guardar el curriculum para futuros procesos de selección, debes pedir el consentimiento expreso del solicitante para ello. Este documento debe incluir:
- Identificación del responsable del tratamiento.
- Finalidad del tratamiento.
- Plazo de conservación de los datos.
- destinatarios de esos datos.
- Derechos que asisten a esa persona.
Y si no lo vas a guardar, deberás destruirlo de forma segura.
¿Puedo enviar comunicaciones comerciales a clientes?
Para poder enviar comunicaciones comerciales a tus clientes necesitas tener su consentimiento expreso, hacerlo sin ello es una infracción.
¿Qué ocurre si tengo cámaras de videovigilancia en el taller?
Si tu taller tiene instaladas cámaras de videovigilancia, debes reflejarlo en el registro de actividades tratamiento, además se suscribir el contrato de encargo de tratamiento con la empresa de seguridad que lleve la instalación y el mantenimiento de las mismas. Así mismo, debes colocar carteles informativos normalizados. Estos carteles tienen una estructura de información en dos capas, la segunda ellas es información adicional, que pondremos en un apartado de la página web:
- Contendrá toda la información requerida por la legislación.
- Permitirá actualizar de manera sencilla sin sustituir los carteles.
¿Si soy autónomo también debo cumplir con la LOPD y el RGPD?
Sí, los autónomos también cumplir con la normativa de protección de datos, aunque pueden tener menos obligaciones en algunos de sus apartados, no son una excepción.
Si te resulta complicado, siempre puedes consultar el precio para protección de datos para autónomos pidiendo un presupuesto.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.