• Horario: 09 a 19
  • info@legalglobal.es

Protección de datos para Peluquerías 

Spread the love
protección de datos en peluquerias

Los negocios como las peluquerías, recogen datos de clientes, empleados o proveedores, por lo que también están obligados a cumplir con lo dispuesto en el RGDP y la LOPDGDD. 

Obligaciones de las peluquerías con la LOPDGDD y el RGPD

Entre las principales obligaciones que establecen las leyes de protección de datos para  peluquerías   está la de llevar un registro de actividades de tratamiento. Ahora ya no es necesario comunicar los ficheros a la AEPD (Agencia Española de Protección de Datos), pero sí es necesario llevar un registro por si se produce una inspección por parte de la agencia.

Las  peluquerías   también deben asegurar que los empleados van a mantener el secreto respecto a los datos de clientes, proveedores, etc, para lo cual es necesario firmar un acuerdo de confidencialidad.

Otro de los puntos fundamentales que marca la ley es la obligación de informar. La  peluquería   ha de informar sobre la identidad del responsable del tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Asimismo, el RGPD y la LOPDGDD establecen la obligación de obtener consentimiento expreso para el tratamiento de datos de usuarios o clientes. Ya no sirve el consentimiento tácito, sino que este debe ser explícito, voluntario, inequívoco e informado.

Por último, la LOPDGDD hace especial hincapié en las obligaciones sobre protección de datos en  peluquerías   dentro del ámbito digital. En este sentido, es necesario informar al usuario a través de diversos textos legales en la página web, en concreto el aviso legal, la política de privacidad y la política de cookies.

Todas estas medidas se han de adoptar teniendo en cuenta el principio de transparencia y responsabilidad proactiva. Es decir, se deben aplicar las medidas técnicas y organizativas necesarias para garantizar que el tratamiento de los datos personales se hace de acuerdo a la normativa.

En el siguiente apartado profundizaremos en estos puntos y te explicaremos de forma más concreta cómo cumplir la ley de protección de datos en una  peluquería .

¿Cómo adaptar mi peluquería a la protección de datos?

Las  peluquerías   forman parte de ese tipo de negocios que manejan datos personales de clientes, empleados o proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de la ley de protección de datos en  peluquerías  , debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para contratar un tratamiento de estética o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externas, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. 

1. Registro de actividades de tratamiento

Lo primero que debe tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debe mantenerse siempre actualizado.

Los tratamientos más habituales en las  peluquerías son:

  • Clientes
  • Proveedores
  • Recursos Humanos
  • Currículum o candidatos
  • Videovigilancia
  • TPV
  • Contactos web y redes sociales
  • Certificados negativos de delitos penales

2. Análisis de riesgos

Para cumplir con la protección de datos en peluquerías es necesario realizar un análisis de riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • Tipo de datos
  • Cesión de datos
  • transferencias internacionales
  • Naturaleza de los datos
  • Medios de tratamiento
  • Número de afectados

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

Es raro que las peluquerías necesiten hacer una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, si en el centro se realizan tratamientos en los que es necesario recoger datos de salud de los clientes. Al ser datos sensibles, necesita la Evaluación de impacto.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

3. Contratos con Encargados de tratamiento

Si trabajas con una asesoría laboral o fiscal que te lleva los temas fiscales o las nóminas de tus empleados, o tienes contratada una empresa de informática que realiza el mantenimiento de los equipos, entonces sí cedes datos a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Numerosos   recurren con regularidad al software de gestión de clientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Es decir, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

4. Acuerdo de confidencialidad con empleados

Los empleados tienen acceso a mucha de la información que maneja la  peluquería  y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En estas entidades los empleados pueden tener un correo electrónico para comunicarse entre ellos y con clientes y proveedores. 

5. Consentimiento informado en una  peluquería 

La  peluquería  está obligada a solicitar el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Por ejemplo, si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

Uno de los principales objetivos del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

6. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal: Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
    • Nombre del propietario
    • Dirección
    • Email
    • CIF / NIF
    • Nº de inscripción en el Registro mercantil
  • Política de cookies: indica qué cookies almacena la web de la  peluquería  y con qué fines se utilizan. El usuario debe aceptar el uso de cookies a través de una acción voluntaria e inequívoca, por ejemplo, marcando una casilla de verificación.
  • Política de privacidad: es el texto que indica cómo trata la  peluquería  los datos de usuarios y clientes. Es necesario informar sobre:
    • Identidad del responsable del tratamiento, encargado o sus representantes
    • Finalidad
    • Cesión de datos a terceros
    • Base legal para el tratamiento.
    • Plazo de conservación de los datos
    • Cómo ejercer los derechos ARCO

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

8. Notificar brechas de seguridad

Si pese a todas tus medidas de seguridad, acabas sufriendo una brecha de seguridad que deje expuestos los datos personales de tus empleados o clientes, el actual Reglamento de protección de datos te obliga a comunicar en un plazo no superior a 72 horas de este tipo de incidentes, tanto a los interesados como la Agencia Española de Protección de Datos.

Ten en cuenta que los datos personales son actualmente un bien muy preciado, en esta era del Big Data, los datos tienen precio y hay quien se dedica a robarlos para venderlos al mejor postor o, peor, usarlos con intenciones fraudulentas, como la suplantación de identidad.

Por ello, aparte de implementar medidas de seguridad adecuadas y actualizadas, que podrán ser contempladas como atenuantes en caso de infracción y sanción, es recomendable que cuentas con un plan de actuación o protocolo que te permite responder y poner solución a la incidencia lo más rápidamente posible.

9. Designación de un Delegado de Protección de Datos (DPD/DPO)

Con carácter general, una peluquería o centro de belleza no va a necesitar contratar un DPO. Pero puede ser necesario que, si tratan un gran volumen de datos, tengan que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPO).

Además, para cumplir con el principio de información del RGPD, la designación del DPO y sus datos de contacto deben publicarse y comunicarse a la Agencia Española de Protección de Datos. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

10. Elaboración del documento de Seguridad

Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.

Sanciones por incumplimiento

Las sanciones por no cumplir la protección de datos para peluquerías varían en función de la gravedad de la infracción:

  • Infracciones Leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 € o el 4% de la facturación anual.

Por ejemplo:

  • No cumplir con la obligación de informar podría acarrear sanciones de 1.500 euros por cada infracción que sea detectada.
  • Apropiarse indebidamente de datos personales podría suponer una multa de 300.000 euros y hasta 5 años de prisión.

Preguntas frecuentes

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

  • número de tarjeta,
  • comercio donde se efectúa la compra,
  • su importe y
  • fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu peluquería o salón de estética instalas un sistema de videovigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro,
  • incluir esas grabaciones en el Registro de actividades de tratamiento,
  • no guardar grabaciones después de 30 días,
  • las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
  • si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
  • debemos tener un Impreso donde informe de
    • existencia de las grabaciones,
    • fin para el que se recogen dichas grabaciones,
    • posibilidad de que un cliente pueda ejercer sus derechos y
    • identidad del responsable de esta información.

¿Qué hago con los currículum que me dejan en la peluquería?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

En caso de que no te interese guardar el currículum, debes destruirlo de forma segura.

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu  y peluquería a la nueva normativa de Protección de Datos.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitarlo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Qué hago con los datos de salud que solicito?

Los datos de salud son datos sensibles por lo que están sujetos a una especial protección. Por tanto, aparte de tener el consentimiento expreso del cliente para poder tratarlos, debes adoptar mayores medidas de seguridad para evitar pérdidas, alteraciones o accesos no autorizados. Entre esas medidas de seguridad están:

  • Realizar copias de seguridad,
  • utilizar contraseñas únicas y seguras,
  • sistema operativo y software de gestión siempre actualizado,
  • solo instalar software original,
  • activar todas las opciones de seguridad del navegador de Internet y
  • cifrar los archivos con datos personales.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/

Abrir chat
Hola 👋
¿En qué podemos ayudarte?