Trabajes por tu cuenta o en centro de masajes, toda la información y datos relativos a los clientes deben ser tratados bajo el Reglamento General de Protección de Datos (RGPD), que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea, y cumplir la Ley Orgánica de Protección de datos y garantía de derechos digitales.
Has de tener en cuenta que cada vez que atiendes a un cliente o que un usuario solicita información, contratas servicios de otros profesionales o generas nóminas, manejas datos de carácter personal de terceros. Y estos datos han de ser utilizados en cumplimiento de la normativa.
Actuaciones para cumplir con el RGDP
1- Registro de actividades de tratamiento
El registro de actividades de tratamiento incluirá la siguiente información:
- Datos que se recogen.
- Fin de la recogida de esos datos.
- Medidas de seguridad.
- Nivel de seguridad.
- Si el fichero es manual, mixto o automatizado.
- Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo
2- Analizar los riesgos y establecer las medidas de seguridad
Para saber si es necesario realizar un análisis de riesgos, podemos plantear cuestiones como ¿vamos a recabar datos de carácter personal?, ¿se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información? o ¿vamos a contactar con los titulares de alguna forma que podría ser considerada invasiva?
Una vez respondidos estos interrogantes, debemos identificar los riesgos que afectan a la privacidad de los datos de los afectados y la propia empresa, para establecer las soluciones y mitigarlos. Por ejemplo, podemos decidir no recabar algunos datos, establecer un período máximo de almacenamiento, realizar formación para los empleados o adoptar protocolos para la cesión a terceros.
Los centros de masaje recaban información sensible sobre la salud de los clientes. Esta debe someterse a una especial protección para evitar pérdidas o accesos no autorizados. Por ello han de protegerse los archivos, utilizar solo software original, contraseñas seguras y realizar copias de seguridad.
3- Consentimiento de los clientes
El consentimiento de los usuarios para el uso de sus datos debe ser inequívoco y expreso. El propio reglamento, establece que las empresas gestionen esos datos con un fin legítimo, de forma responsable y transparente.
- Este consentimiento debe solicitarse en el sitio web, en caso de tenerlo. Ha de existir una casilla que el usuario pueda marcar para aceptar la política de privacidad.
Asímismo, en la página web deben incluirse los apartados de Aviso Legal, Política de Privacidad y Política de cookies exigidos por la ley de Protección de Datos y la LSSI. - Y en persona, el usuario debe firmar un documento en el que se le informa de quién manejará sus datos, con qué finalidad, si se van a ceder a terceros cómo puede ejercer sus derechos.
- Este consentimiento debe solicitarse en el sitio web, en caso de tenerlo. Ha de existir una casilla que el usuario pueda marcar para aceptar la política de privacidad.
4- Contratos con empleados y terceros
Confidencialidad
Para cumplir las medidas de protección de los datos de carácter personal, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a no autorizados.
Cesión a terceros
Cualquier empresa o proveedor externo contratado que tenga acceso a los equipos o a la gestión que conlleva información personal, se convierte en un tercero al que se ceden datos.
Debemos asegurarnos de que estos terceros cumplen, como nosotros, la normativa. Por ello hay que firmar un contrato de encargo de tratamiento con los terceros
Un software de gestión, comúnmente llamado CMS, también debe cumplir la normativa.
5- Notificar las brechas de seguridad
El Reglamento establece la obligatoriedad de notificar a la Agencia Española de Protección de Datos (AEPD) cualquier brecha o violación de seguridad que afecte a datos personales y esta constituya un riesgo para los derechos y las libertades de las personas físicas.
Esta notificación debe realizarse en un plazo máximo de 72 horas.
Auditoría
Es de carácter obligatorio la realización de auditorías, también en caso de cambios en los sistemas de información que afecten a las medidas implantadas.
La auditoría se podrá realizar de forma interna o externa y finalizará con un informe que establecerá si se está cumpliendo la normativa o que deficiencias existen, y será enviado a la AEPD.
Sanciones
Las sanciones por el incumplimiento o mal tratamiento de datos de carácter personal según establece el RGPD, pueden llegar a suponer entre el 2% y el 4% de la facturación de la empresa. Además, el Reglamento permite incluir faltas o delitos penales.
Modelos para cumplir con el RGPD
Para cumplir con el Reglamento General de Protección de Datos, debes solicitar ciertos datos a tus clientes e incluir avisos en la web y en los correos electrónicos. Puedes utilizar estos modelos (son archivos editables) y adaptarlos a tus necesidades: