Masajistas: cómo cumplir la ley de protección de datos

Trabajes por tu cuenta o en centro de masajes, toda la información y datos relativos a los clientes deben ser tratados bajo el Reglamento General de Protección de Datos (RGPD), que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea, y cumplir la Ley Orgánica de Protección de datos y garantía de derechos digitales.

Has de tener en cuenta que cada vez que atiendes a un cliente o que un usuario solicita información, contratas servicios de otros profesionales o generas nóminas, manejas datos de carácter personal de terceros. Y estos datos han de ser utilizados en cumplimiento de la normativa.

Índice

Actuaciones para cumplir con el RGDP

1- Registro de actividades de tratamiento

El registro de actividades de tratamiento incluirá la siguiente información:

- Datos que se recogen.
- Fin de la recogida de esos datos.
- Medidas de seguridad.
- Nivel de seguridad.
- Si el fichero es manual, mixto o automatizado.
- Si estos datos van a ser cedidos o transferidos fuera del Espacio Económico Europeo

2- Analizar los riesgos y establecer las medidas de seguridad

Para saber si es necesario realizar un análisis de riesgos, podemos plantear cuestiones como ¿vamos a recabar datos de carácter personal?, ¿se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información? o ¿vamos a contactar con los titulares de alguna forma que podría ser considerada invasiva?

Una vez respondidos estos interrogantes, debemos identificar los riesgos que afectan a la privacidad de los datos de los afectados y la propia empresa, para establecer las soluciones y mitigarlos. Por ejemplo, podemos decidir no recabar algunos datos, establecer un período máximo de almacenamiento, realizar formación para los empleados o adoptar protocolos para la cesión a terceros.

Los centros de masaje recaban información sensible sobre la salud de los clientes. Esta debe someterse a una especial protección para evitar pérdidas o accesos no autorizados. Por ello han de protegerse los archivos, utilizar solo software original, contraseñas seguras y realizar copias de seguridad.

3- Consentimiento de los clientes

El consentimiento de los usuarios para el uso de sus datos debe ser inequívoco y expreso. El propio reglamento, establece que las empresas gestionen esos datos con un fin legítimo, de forma responsable y transparente.

- Este consentimiento debe solicitarse en el sitio web, en caso de tenerlo. Ha de existir una casilla que el usuario pueda marcar para aceptar la política de privacidad.
  Asímismo, en la página web deben incluirse los apartados de Aviso Legal, Política de Privacidad y Política de cookies exigidos por la ley de Protección de Datos y la LSSI.
- Y en persona, el usuario debe firmar un documento en el que se le informa de quién manejará sus datos, con qué finalidad, si se van a ceder a terceros cómo puede ejercer sus derechos.

4- Contratos con empleados y terceros

Confidencialidad

Para cumplir las medidas de protección de los datos de carácter personal, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a no autorizados.

Cesión a terceros

Cualquier empresa o proveedor externo contratado que tenga acceso a los equipos o a la gestión que conlleva información personal, se convierte en un tercero al que se ceden datos.

Debemos asegurarnos de que estos terceros cumplen, como nosotros, la normativa. Por ello hay que firmar un contrato de encargo de tratamiento con los terceros

Un software de gestión, comúnmente llamado CMS, también debe cumplir la normativa.

5- Notificar las brechas de seguridad

El Reglamento establece la obligatoriedad de notificar a la Agencia Española de Protección de Datos (AEPD) cualquier brecha o violación de seguridad que afecte a datos personales y esta constituya un riesgo para los derechos y las libertades de las personas físicas.

Esta notificación debe realizarse en un plazo máximo de 72 horas.

Auditoría

Es de carácter obligatorio la realización de auditorías, también en caso de cambios en los sistemas de información que afecten a las medidas implantadas.

La auditoría se podrá realizar de forma interna o externa y finalizará con un informe que establecerá si se está cumpliendo la normativa o que deficiencias existen, y será enviado a la AEPD.

Sanciones

Las sanciones por el incumplimiento o mal tratamiento de datos de carácter personal según establece el RGPD, pueden llegar a suponer entre el 2% y el 4% de la facturación de la empresa. Además, el Reglamento permite incluir faltas o delitos penales.

Modelos para cumplir con el RGPD

Para cumplir con el Reglamento General de Protección de Datos, debes solicitar ciertos datos a tus clientes e incluir avisos en la web y en los correos electrónicos. Puedes utilizar estos modelos (son archivos editables) y adaptarlos a tus necesidades:

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría de Publicidad.
cookielawinfo-checkbox-analytics	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría de Análisis.
cookielawinfo-checkbox-necessary	11 months	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría de Necesarias.
cookielawinfo-checkbox-necessary	1 year	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Necesario'.
cookielawinfo-checkbox-non-necessary	11 months	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría de No necesarias.
cookielawinfo-checkbox-non-necessary	1 year	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'No necesarias'.
cookielawinfo-checkbox-others	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría de Otros.
cookielawinfo-checkbox-performance	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría de Rendimiento.
PHPSESSID	1 year	Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar la identificación de sesión única de un usuario con el fin de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 months	Instalada por el plugin GDPR Cookie Consent plugin y utilizada para almacenar lo que cada usuario consiente. No almacena datos personales.
viewed_cookie_policy	1 hour	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
wordpress_test_cookie	session	Se usar para comprobar si las cookies están habilitadas en el navegador del usuario.
_GRECAPTCHA	5 months 27 days	Instalada por el servicio recaptcha de Google para identificar robots y proteger de esta manera el sitio web ante posibles ataques maliciosos.

Cookie	Duración	Descripción
cookielawinfo-checkbox-functional	1 year	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría Funcional.
prism_252579489	1 month	Sin descripción

Cookie	Duración	Descripción
GPS	30 minutes	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gat_gtag_UA-143286154-1	1 minute	Google utiliza esta cookie para distinguir a los usuarios.
_gid	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.

Cookie	Duración	Descripción
fr	3 months	Facebook instala esta cookie para mostrar anuncios publicitarios relevantes a los usuarios mediante el seguimiento de su comportamiento a través de la web, en sitios con el pixel de Facebook o el plugin social de Facebook.
IDE	2 years	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
VISITOR_INFO1_LIVE	5 months	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.
_fbp	3 months	Facebook configura esta cookie para mostrar anuncios cuando se encuentra en Facebook o en una plataforma digital impulsada por publicidad de Facebook, después de visitar el sitio web.

Cookie	Duración	Descripción
YSC	1 year	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	1 minute	Esta cookie la instala Google Analytics para restringir la tasa de solicitudes y, por lo tanto, limitar la recopilación de datos en sitios de alto tráfico.