Hay que reconocer que ya nadie puede prestar atención al tema de la protección de datos. Es más, es evidente que el mundo seguirá girando aunque lo dejemos todo como está. Porque hasta que las autoridades de protección de datos no inspeccionen el primer estudio de tatuajes/piercing, probablemente seguirá corriendo mucha agua por el Rin.
Eso no es del todo cierto. El mayor riesgo de una inspección repentina por parte de las autoridades (incluida la protección de datos) es un ex-empleado o ex-cliente descontento (al que se le ha retenido la fianza, por ejemplo). Puede bastar con una llamada telefónica y tendrás a un funcionario de protección de datos en el estudio. Esto ya le ha ocurrido a uno o dos colegas. Y las sanciones se han endurecido considerablemente: hasta 20 millones de euros o el 4% del volumen de negocios anual; la cantidad más alta es determinante, es decir, efectivamente indefinida.
Los rumores no son una solución
Por eso volvemos sobre este tedioso tema para abordar algunos rumores persistentes que circulan en la industria:
- Si almacenas menos de tres características de un cliente (por ejemplo, nombre y número de teléfono móvil o dirección de correo electrónico), no tienes que cumplir el nuevo GDPR.
- El GDPR sólo se aplica a los datos almacenados electrónicamente, no al papel.
- Si almacenas los datos en lugares diferentes (en parte electrónicamente, en parte en papel), todo va bien.
Toda la información que permita sacar conclusiones
Pues bien, todos estos puntos son lamentablemente erróneos. Más bien, cualquier información que permita extraer conclusiones sobre una persona, independientemente de la forma (electrónica, en papel, cincelada en piedra, …), está sujeta al GDPR.
- Un número de teléfono móvil, un correo electrónico o una dirección de FB/IG son únicos y siempre permiten sacar conclusiones sobre una persona.
- Una cita con el nombre y los detalles de un tatuaje concreto también permite sacar conclusiones sobre una persona.
- También una foto de un tatuaje.
Datos sensibles
Además, almacenas datos de clientes muy sensibles con los factores de riesgo de la declaración de consentimiento (DDC), independientemente de si utilizas un sistema o papel. Y por último Los clientes que te confían estos datos sensibles confían en que se traten con la sensibilidad adecuada. Se enfadarían con razón si estuvieran por ahí tirados.
2(!) acuerdos de protección de datos
Los datos del cliente y, en particular, su EVE con los factores de riesgo deben estar guardados bajo llave o bajo supervisión en todo momento y no deben dejarse abiertos en ningún sitio. Por tanto: la práctica carpeta de citas de tu tatuador invitado, que a veces se deja abierta en el lugar de trabajo cuando el artista está en el baño o fumando, ¡está totalmente prohibida!
También debes informar detalladamente al cliente sobre qué datos recopilas, con qué finalidad, durante cuánto tiempo y qué ocurre con ellos. Debes mantener siempre actualizados sus datos y eliminarlos a petición suya. El cliente debe consentir todo esto por escrito.
El GDPR estipula lo siguiente en tu caso concreto:
- Un acuerdo de protección de datos para los datos de los clientes de tu estudio (no confundir con el acuerdo de protección de datos de tu sitio web: necesitas uno aparte).
- Un consentimiento firmado por cada cliente a este acuerdo de protección de datos
- Un directorio de tratamiento (DT) para todos los datos personales (¡clientes y también empleados!).
- Además, se requiere una evaluación escrita del impacto del riesgo (EIR) cuando se trabaja con datos especialmente sensibles (esto incluye la información sanitaria de los factores de riesgo).
- También deben incluirse obligaciones de confidencialidad por escrito en los contratos de trabajo y de alquiler de espacios.
- Un acuerdo de procesamiento de datos de pedidos (DPA) con todos los proveedores de servicios que tengan acceso a tus datos de cliente (ver más abajo).
Los calendarios electrónicos gratuitos no suelen estar permitidos.
Si almacenas cualquier información sobre el cliente (basta con su cita) en un sistema (Google, iCal, etc.), necesitas que el proveedor del sistema te proporcione un contrato de procesamiento de pedidos conforme al GDPR. Esto no está disponible para las versiones gratuitas de los conocidos calendarios iCal y Google. Si los utilizas para tus citas, estarás incumpliendo automáticamente el GDPR (sí, ¡incluso si sólo introduces allí el nombre de pila del cliente!).
Así que: ¡antes de meterte en líos con tu ex, ocúpate de ello! En realidad no es tan difícil. La forma más fácil es, por supuesto, con nuestros paquetes de contratos sin preocupaciones y kisscal: tendrás automáticamente todo lo que necesitas para el GDPR.
Atentamente
