Los talleres, como parte de su actividad principal, tratan datos personales de clientes, empleados y proveedores. En consecuencia, los talleres están obligados a confeccionar e implantar un plan de cumplimiento en materia de protección de datos de acuerdo con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Como parte del cumplimiento de la protección de datos de los talleres, los Responsables deberán implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre de la sociedad. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los clientes que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.
A continuación, explicamos las obligaciones de protección de datos que deben cumplir los talleres:
1. Realizar el análisis de riesgos.
Los talleres deben realizar un evaluar los riesgos de las actividades de tratamiento que realizan. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas para mitigarlo. No obstante, lo cierto es que en los talleres como norma general no suele existir un alto riesgo en el tratamiento de datos, puesto que no se gestiona información sensible. Algunos talleres son activos en el envío de publicidad a sus clientes o potenciales clientes, en cuyo caso el riesgo en el tratamiento de datos podría elevarse un poco más.
2.Informar a los interesados.
El taller debe cumplir con el principio de transparencia de acuerdo con lo establecido en el RGPD. Debe informar a los interesados sobre el tratamiento de sus datos, a través de medios acreditables y en el momento de recogida de datos, no de forma posterior. Para informar a los clientes, por ejemplo, se pueden colocar carteles informativos en la entrada del local, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos, o incluso en los modelos de presupuesto si se registran datos de los interesados.
En el caso de contar con una página web, debe incluir los textos legales requeridos: política de privacidad, política de cookies y el aviso legal general, así como cláusulas informativas y de consentimiento según proceda. Si además en la página web se realiza venta online, deben incluirse las condiciones generales de contratación.
3. Recabar el consentimiento para el tratamiento de datos.
Como norma general los talleres tratan datos de clientes basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. No obstante, existen determinados tratamientos de datos que requieren el consentimiento, como pueden ser la captación de videos o fotos de clientes o empleados para promocionar los servicios en la red, el envío de ofertas y promociones personalizadas o la suscripción a la newsletter del taller.
Es importante recordar un cliente que solicita un presupuesto debe autorizar el registro de sus datos con fines de publicidad, es decir, no es lícito enviar publicidad sin previa autorización a aquellas personas que solicitan una oferta, puesto que aun no se han convertido en clientes. A los clientes que hayan contratado servicios sí podremos enviarles publicidad (descuentos, promociones, etc.) relacionada con los servicios del taller sin necesidad de consentimiento, pero en el momento de la contratación debemos informarles de ello, ya sea en el contrato que nos firman o por otro medio acreditable.
Resulta imprescindible en los talleres evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que nos permitan cumplir con esta obligación.
4. Permitir el ejercicio de derechos de los interesados.
Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los clientes tengan en todo momento el control sobre su información. Para ello los talleres deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.
Los talleres que envían publicidad o crean sistemas de fidelización deben prestar especial atención la gestión de las baja de publicidad que reciban de los clientes, tramitándolas a la mayor brevedad posible (siempre antes de 1 mes) y confirmando al cliente que la baja se ha tramitado correctamente.
Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción del RGPD.
5. Firmar los compromisos de confidencialidad con los empleados.
Los empleados van a tener acceso a la información de clientes, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en el taller y se comprometan a cumplirlas.
Resulta clave que todos los empleados del taller reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas de protección de datos a la empresa.
6. Firmar los contratos con los encargados de tratamiento.
Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, entre otras. Los talleres deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.
7. Realizar las auditorías periódicas.
Algunos talleres van a manejar grandes cantidades de datos debido al alto número de clientes, de tal modo, y tal como establece la normativa, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.
En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica.
Somos Delegados de Protección de Datos Certificados.
Solicítanos un presupuesto ajustado en email info@umbraconsulting.es
Alicia Garrido
Asesora legal
