A todos los comercios, como a cualquier organización se les aplica la normativa de protección de datos, debido a que archivan información de clientes, proveedores,..etc.
Pero de qué comercios podríamos estar hablando:
- Comercios al por menor, tiendas y suministros industriales. (Ejemplos: artículos médicos y ortopédicos; alarmas contra robos e incendios; cuberterías, vajillas, porcelana, loza y vidrio; muebles domésticos y lámparas; utensilios de madera, corcho y cestería; reparación de equipos de audio y video; artículos de segunda mano; alfombras, revestimientos de paredes y suelos; artículos deportivos; bricolaje; frutas y hortalizas; ordenadores, periféricos y programas; animales; electrodomésticos; equipos de audio y video; equipos de telecomunicaciones; grabación de música y video; libros; material fotográfico, sellos y souvenirs: periódicos y artículos de papelería; prendas de vestir; productos farmacéuticos en establecimientos especializados; ropa de cama y mesa, instrumentos musicales; jugueterías; zapaterías; accesorios para vehículos; ferreterías; droguerías; estancos; floristerías; herbolarios; mercerías; papelerías y venta de periódicos; perfumerías; relojerías y joyerías; anticuario; numismática; decoración; artículos náuticos; suministros industriales, etc).
- Comercios de alimentación (Ejemplos: Carnicerías, Charcuterías, Sucursal de carne, Volatería/Recova, Pescadería, Freiduría de pescado, Frutería, Panadería, Panificadoras, Obradores, Pastelería-Confitería, Horneado de pan, Venta de golosinas, Freiduría de patatas, Heladerías, Congelados, Minorista polivalente (supermercado y almacenes), Bebidas, Vinoteca).
- ¿Qué tipos de datos personales se tratan habitualmente en los comercios?
- Pasos para que un comercio cumpla adecuadamente con la protección de datos
- 1. Registro de actividades de tratamiento
- 2. Análisis de riesgos
- 3. Evaluación de impacto
- 4. Contratos con Encargados de tratamiento
- 5. Consentimiento de clientes
- 6. Acuerdos de confidencialidad de los empleados
- 7. Si tienes una Página web
- 8. Notificación de posibles violaciones de seguridad
- 9. Designación de un Delegado de Protección de Datos (DPD/DPO)
- 10. Elaboración del documento de Seguridad
- Sanciones
- Preguntas frecuentes
- ¿Qué ocurre con los datos recogidos a través de la TPV?
- ¿Qué hago con los curriculum que me dejan en el comercio?
- ¿Puedo ceder datos de los clientes a empresas de mensajería?
- ¿Qué tipo de datos personales tratan los comercios?
- ¿Cómo debo tratar los datos de clientes morosos?
- ¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del Reglamento Europeo de Protección de Datos?
- Tengo instalada una cámara que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?
- ¿Puedo exponer información o fotografías o video en el escaparate del comercio?
- ¿Necesitas ayuda?
¿Qué tipos de datos personales se tratan habitualmente en los comercios?
Cada vez que un cliente te deja sus datos para la compra de cualquier producto o servicio, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.
Los comercios pueden tratar con una amplia variedad de datos personales de sus clientes, en función de la especialización o áreas sobre las que ofrezcan sus servicios.
- Clientes
- Empleados
- Proveedores
- Contabilidad
- Videovigilancia (en su caso)
- Candidatos
- Contacto Web y Redes Sociales
- Programa de fidelización
- Financiación (en su caso)
- Morosos (en su caso)
Por este motivo, es fundamental que los comercios cumplan con la Ley de Protección de Datos y observen todas las obligaciones recogidas en ella.
Pasos para que un comercio cumpla adecuadamente con la protección de datos
Debes saber que para cumplir con la normativa vigente de protección de datos los comercios (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:
- Realizar un Registro de actividades de tratamiento
- Realizar un Análisis de riesgos
- Evaluación de Impacto
- Firmar los contratos con terceros
- Firmar las cláusulas legales con los empleados
- Solicitar el consentimiento a los clientes
- Incluir los textos legales en la página web
- Notificar brechas de seguridad
- Elaboración del documento de seguridad
Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.
1. Registro de actividades de tratamiento
El Reglamento de protección de datos introdujo la obligación de elaborar un registro de actividades de tratamiento, donde se deben recoger todos los tratamientos de datos personales realizados por una entidad.
El registro de actividades de tratamiento debe ofrecer la siguiente información concisa, pero detallada:
- Nombre y datos de contacto del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
- Descripción de las categorías de datos personales e interesados
- Descripción de las categorías de destinatarios de los datos (existentes y previstos)
- Legitimación del tratamiento
- Plazos de conservación de los datos
- Descripción de las medidas de seguridad implantadas
- Fines del tratamiento
- Si se producirán transferencias internacionales de datos fuera de la UE
El registro de actividades de tratamiento es un documento interno, que siempre debe estar actualizado, y que puede mantenerse tanto en formato impreso como en formato digital. En caso de que la Agencia Española de Protección de Datos lo solicite, hay que facilitarlo.
2. Análisis de riesgos
La normativa de protección de datos obliga al comercio a llevar a cabo un análisis de riesgos.
Este análisis de riesgos debe realizarlo el responsable del tratamiento y sirve para evaluar los riesgos que pueden derivarse de los tratamientos de datos personales para los derechos y libertades de los interesados. Es decir, sirve para determinar las posibilidades de que una amenaza se materialice y el impacto negativo que pueda tener sobre los interesados.
De sus conclusiones, se pueden determinar las medidas o soluciones de seguridad que es necesario implantar para minimizar o eliminar la posibilidad de que ocurra el riesgo o, en caso de producirse, reducir su impacto y consecuencias.
3. Evaluación de impacto
Cuando del análisis de riesgos del punto anterior se concluye que puede existir un nivel de riesgo alto para los derechos y libertades de los interesados, es necesario realizar una evaluación de impacto.
La evaluación de impacto es un nuevo análisis de riesgos, pero más centrado en el impacto negativo que el tratamiento de datos personales puede tener sobre las libertades y derechos de los interesados. El objetivo sigue siendo minimizar las posibilidades de que un riesgo se materialice, para lo que se deberán determinar las medidas de seguridad que ayuden a ello y a garantizar la confidencialidad de la información.
4. Contratos con Encargados de tratamiento
Cuando se van a ceder datos de carácter personal a terceros, es necesario firmar un contrato de encargo de tratamiento. Esto ocurre, por ejemplo, cuando el comercio tiene contratado un servicio de prevención de riesgos laborales y vigilancia de la salud, puesto que tendrán acceso a datos personales de los empleados. También ocurre cuando se contrata externamente a una asesoría fiscal y laboral, para la gestión contable y las nóminas de los trabajadores.
Es necesario que por cada cesión de datos a terceros, el responsable del tratamiento firme un contrato con el encargado del tratamiento. En el contrato de encargo se especificarán todas las obligaciones en materia de protección de datos que debe contemplar el encargado del tratamiento.
5. Consentimiento de clientes
Para cumplir con la normativa de protección de datos, el comercio debe recabar siempre el consentimiento expreso de sus clientes para recabar y tratar sus datos personales.
Este consentimiento siempre debe darse mediante una acción afirmativa, puede ser la firma del documento en el que se informa sobre el tratamiento de sus datos o mediante un botón «acepto» en un formulario en línea, siempre que cuenta con un enlace a la información correspondiente sobre el tratamiento de los datos.
Cuando se solicite el consentimiento, se debe informar a los interesados de:
- Si sus datos se ceden a terceros
- Cómo y dónde ejercer sus derechos ARCO, de portabilidad y olvido
- Quién es el responsable del tratamiento
- Finalidad del tratamiento
6. Acuerdos de confidencialidad de los empleados
Con aquellos empleados, del comercio que puedan acceder a la información personal de los clientes, será necesario firmar un acuerdo de confidencialidad o incluir unas cláusulas de confidencialidad en sus concretos, para evitar que esa información sea revelada a personas no autorizadas. En él se establecerán las consecuencias de infringirlas.
Los empleados también deben cumplir las medidas de seguridad que se hayan establecido, para garantizar en el comercio la protección de los datos personales.
7. Si tienes una Página web
Si el comercio cuenta con página web, esta debe tener enlazados los correspondientes textos legales:
- Política de privacidad (es toda la información referente a la protección de datos):
- Existencia de un tratamiento de los datos que se están solicitando
- Finalidad
- Destinatario o destinatarios de aquella información
- Identidad y dirección del responsable del tratamiento de los datos
- Posibilidad de ejercer sus derechos
- Aviso legal (donde se identifica al propietario de la página web):
- Nombre del propietario
- NIF
- Dirección
- Política de cookies (se informa de las cookies que se generan en la web, su finalidad, duración y si pertenecen a terceros)
- Condiciones de uso y contratación. En este texto se regula la prestación de servicios o venta de productos a través de Internet. Incluirá la siguiente información:
- cómo se prestan servicios o se comercializa la venta,
- en qué condiciones, y
- qué derechos tienen los consumidores o usuarios al respecto (desistimiento o devolución).
8. Notificación de posibles violaciones de seguridad
La actual normativa de protección de datos obliga a las entidades que hayan sufrido brechas de seguridad, a notificar a la autoridad competente de las mismas.
El plazo para comunicar las brechas de seguridad que pueda poner en riesgo los datos personales de sus clientes, tendrá un plazo de 72 horas máximo para informar a la Agencia Española de Protección de Datos. Además, también deberá notificar el hecho a todos los interesados cuyos datos hayan podido verse afectados.
No notificar de una brecha de seguridad que haya expuesto los datos personales de los usuarios, es motivo de sanción.
9. Designación de un Delegado de Protección de Datos (DPD/DPO)
Con carácter general, un comercio no va a necesitar contratar un Delegado de Protección de Datos. Pero puede ser necesario que, si tratan un gran volumen de datos, tengan que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos.
Además, para cumplir con el principio de información del Reglamento de Protección de Datos, la designación del Delegado de Protección de Datos y sus datos de contacto deben publicarse y comunicarse a la Agencia Española de Protección de Datos. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
10. Elaboración del documento de Seguridad
Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.
Sanciones
Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.
Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el Reglamento Europeo de Protección de Datos permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.
Preguntas frecuentes
¿Qué ocurre con los datos recogidos a través de la TPV?
Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:
- comercial donde se efectúa la compra,
- número de tarjeta,
- su importe y
- fecha y hora de realización.
Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.
¿Qué hago con los curriculum que me dejan en el comercio?
Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:
- finalidad del tratamiento,
- plazo de conservación de los datos,
- identificación del responsable del tratamiento,
- destinatarios de esos datos y
- derechos que asisten a esa persona.
En caso de que no te interese guardar el currículum, debes destruirlo de forma segura (ejemplo mediante una destructora de papel), o directamente no recogerlo
¿Puedo ceder datos de los clientes a empresas de mensajería?
Sí, puedes cederlos. Pero debes informar a los clientes sobre esa cesión y solicitar su consentimiento expreso.
Si se realiza venta online es frecuente contratar los envío de las mercancías con estas empresas de mensajería. De esta forma se convierten en Encargados de tratamiento al ser terceros que nos prestan un servicio y, como tales, deben firmar el correspondiente contrato de acceso a datos por cuenta de terceros al que hemos hecho referencia anteriormente.
¿Qué tipo de datos personales tratan los comercios?
Si tienes un comercio, necesariamente recoges algún tipo de información personal como:
- Datos de una tarjeta de crédito.
- Datos para una tarjeta de fidelización.
- Correos para envío de promociones, sorteos y ofertas.
- Datos de contacto para reservas o pedidos.
- Imágenes obtenidas de cámaras de videovigilancia.
¿Cómo debo tratar los datos de clientes morosos?
La inclusión de los datos de carácter personal en ficheros de morosos sólo podrá efectuarse cuando se cumplan los siguientes requisitos:
- exista una deuda cierta, vencida y exigible,
- haya resultado impagada, y
- se haya requerido al ciudadano afectado el pago de la deuda por el acreedor.
Esto significa que no puedes incluir en un fichero de morosos a alguien sin haber requerido antes el pago de la deuda por medios que puedes acreditar.
Cuando un cliente cancele su deuda, deberás proceder a la cancelación inmediata del dato referido a su deuda.
¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del Reglamento Europeo de Protección de Datos?
Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del Reglamento Europeo de Protección de Datos, si no tenemos su consentimiento expreso, debemos solicitarlo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.
Tengo instalada una cámara que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?
Si las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también es necesario cumplir lo dispuesto en el Re, debido a que existe un tratamiento de datos personales.
Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.
¿Puedo exponer información o fotografías o video en el escaparate del comercio?
En caso de terceras personas (Clientes, trabajadores, proveedores,..etc) necesitarás el consentimiento expreso de éste para poder hacerlo. Recuerda que desde la entrada en vigor de la nueva Ley de Protección de Datos la autorización expresa para el uso de información personal o que identifique a las personas es obligatoria.
¿Necesitas ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/