¡Pide presupuesto en 2 min! ✓
Sectores

Protección de datos en centros comerciales. Cumple RGPD y LOPDGDD 2021

8 Mins read

El RGPD y la LOPDGDD han traído nuevas exigencias en materia de protección de datos. Estas obligaciones han de ser cumplidas por todas las empresas o negocios que traten con datos personales de usuarios, clientes, empleados, proveedores, etc. Esto también afecta a otros establecimientos más complejos como los centros comerciales, que albergan diferentes negocios dentro de sus instalaciones. En esta guía te contamos cómo cumplir con la protección de datos en centros comerciales para evitar sanciones.

¿Es obligatorio cumplir la ley de Protección de datos para los centros comerciales?

Sí. El RGPD y la LOPDGDD obligan a cumplir sus exigencias a todas aquellas personas físicas o jurídicas que, en el ejercicio de sus actividades, realicen un tratamiento de datos personales de usuarios, clientes, proveedores, empleados, etc.

Se consideran datos personales a toda aquella información que permita identificar a un individuo. Por ejemplo, el nombre, apellidos, DNI, domicilio, dirección de correo electrónico, número de teléfono, identificador de cookies, datos biométricos, etc. Pero también otro tipo de datos que no permiten una identificación directa, pero sí de forma indirecta cuando se emplean junto con otra información.

Por tanto, el cumplimiento del RGPD y LOPDGDD en un centro comercial es obligatorio.

LOPD y RGPD para centros comerciales

El RGPD o Reglamento General de Protección de Datos es la normativa europea que marca las exigencias para cumplir con la protección de datos en centros comerciales y todo tipo de empresas y establecimientos.

El objetivo de esta ley es establecer un marco común para toda la Unión Europea en materia de protección de datos, pero sin oponerse a que cada país desarrolle su propia normativa, siempre y cuando no contravenga lo dispuesto en la ley europea.

En el caso de España, la normativa que adapta el RGPD a nuestro ordenamiento jurídico es la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ambas normativas establecen una serie de obligaciones que se han de cumplir para adaptarse a la protección de datos en un centro comercial. Entre ellas están:

  • Llevar un registro de las actividades del tratamiento.
  • Obligación de informar a los usuarios sobre identidad del responsable del tratamiento, base legal y finalidad del tratamiento, cesión de datos a terceros, plazo de conservación de los datos y medios para que los usuarios ejerzan sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Obtener consentimiento expreso para realizar el tratamiento de datos personales.
  • Cumplir con el principio de confidencialidad.
  • Adaptar los textos legales de la página web para incluir el aviso legal, la política de privacidad y la política de cookies.
  • Actuar según el principio de responsabilidad proactiva, poniendo en marcha todas las medidas necesarias para garantizar la seguridad e integridad de los datos.

Puedes consultar más INFO en nuestro artículo obre empresas y protección de datos.

¿Cómo implantar la normativa de protección de datos en un centro comercial?

Entendemos que emprender y montar tu propio negocio es muy duro y, que a veces, las normas pueden ser difíciles de entender o nos quitan tiempo para atender correctamente a los clientes.

tarifas proteccion datos

Sin embargo queremos ayudarte todo lo posible, por lo que aquí podrás encontrar unos sencillos pasos para que cumplas el RGPD y LOPDGDD en centros comerciales.

proteccion de datos comercio

Ficheros

Una de las exigencias del RGPD en centros comerciales es identificar los tratamientos que contengan datos de carácter personal. Cada tratamiento se consideraría un fichero.

Con total seguridad, serán datos o ficheros de:

  • Empleados
  • Clientes
  • Proveedores
  • Videovigilancia
  • Usuarios web

A continuación, se debe especificar la finalidad para la que se usan esos datos.

Reconocimiento del nivel de seguridad que se les aplica

Una vez identificados los tipos de datos que tratamos deberemos analizar si ello implica un riesgo para esas personas, ya que no es lo mismo tratar solo un correo electrónico que una historia clínica.

Por tanto, tenemos que establecer las medidas de seguridad que aplicaremos a los datos personales.

Evaluación de Impacto

Como ya mencionamos con anterioridad, en ciertos casos, este análisis previo deberá tomar forma de EIPD, debido al tipo de datos tratados o el riesgo que puede suponer su tratamiento para los afectados. En general, la evaluación de impacto RGPD será necesaria siempre que se traten datos sensibles o a gran escala.

Elaboración del Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como por ejemplo:

  • Ficheros inscritos
  • Contratos de encargo de tratamiento
  • Empleados que acceden a los datos
  • Sistemas de seguridad instalados
  • Inventario de sistemas que tratan los datos, como ordenadores
  • Registro de incidencias

Información a los propietarios de los datos

Para cumplir el RGPD en un centro comercial es necesario informar a los afectados por el tratamiento de, al menos:

  • Nombre del responsable
  • Legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
  • Para que se usan
  • Cómo ejercer los derechos ARCO (ARSULIPO).

Plazo de conservación de los datos

Una de las novedades que nos presenta el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.

Por desgracia no existe un plazo mínimo de conservación único, sino que dependiendo de la documentación que se trate será un periodo determinado u otro.

Como norma general, el RGPD establece que los datos no podrán conservarse durante más tiempo del que sea necesario para el cumplimiento de la finalidad para la que fueron recabados, excepto que los datos se mantengan debidamente protegidos para la defensa en procesos judiciales o ante requerimientos de organismos y autoridades por motivos de seguridad.

Registro de las Actividades de Tratamiento

Para realizar el tratamiento de datos personales deberás llevar a cabo un registro interno de estos tipos de datos.

Este registro interno será conocido como Registro de las Actividades de Tratamiento. Ya no es necesaria la inscripción de ficheros en la AEPD.

En este registro debes almacenar por separado ficheros relativos a clientes, proveedores, empleados, videovigilancia, etc.

Auditorías periódicas

¡Hay que estar siempre al día! Para ello, habrá que establecer unos procedimientos por los que, ya sea nosotros o un experto externo, analice periódicamente que cumplimos con la ley y si no es así ponerle remedio lo antes posible.

Estos informes serán revisados por el Responsable de Seguridad, que elevará las conclusiones al Responsable de Fichero para que elija las medidas correctoras necesarias.

¡Cuidado! Estos informe son muy importantes, ya que las autoridades nos los podrán pedir y nos servirán como demostración de cumplimiento de la ley.

DPO

El RGPD señala que deberán contar con un Delegado de Protección de Datos obligatorio aquellas empresas o entidades que realicen un tratamiento de datos a gran escala, o que manejen datos especialmente sensibles.

La LOPDGDD establece cuáles son los tipos de entidades que deben contar obligatoriamente con un DPO en España, y los centros comerciales no están nombrados explícitamente.

Sin embargo, esta ley sí se refiere a “las entidades que desarrollen actividades de publicidad y prospección comercial, tratamientos basados en las preferencias de los afectados o realicen actividades que
impliquen la elaboración de perfiles de los mismos“.

Teniendo en cuenta esto y que debido a su envergadura, los centros comerciales pueden tratar datos de un elevado número de clientes, se podría decir que SÍ es necesario que cuenten con un Delegado de Protección de Datos.

Recomendaciones (mínimas) para verificar que el complejo comercial cumple correctamente con la normativa de protección de datos en comercios

  1. Tener actualizada y firmada toda la documentación
  2. Analizar previamente al tratamiento de los riesgos que puede conllevar el mismo
  3. Redactar el Registro de las Actividades de Tratamiento
  4. Informar a los interesados del tratamiento de sus datos y derechos
  5. Elaborar el Documento de Seguridad

Sanciones en las que se puede incurrir si no se cumple correctamente con la Ley vigente

En caso de no cumplir con el RGPD o LOPD en un centro comercial, te puedes enfrentar a duras sanciones.

La cuantían dependerá de factores como la gravedad de la infracción, el beneficio obtenido, el perjuicio causado a terceros, la extensión de la duración en el tiempo o la buena voluntad del negocio para subsanar los errores cometidos.

Así, se puede distinguir entre diferentes grados de infracción:

  • Infracciones Leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 € o hasta el 4% de la facturación anual.

¿Te preocupan las sanciones? Atico34 es garantía de cumplimento normativo

La mejor manera de evitar sanciones por incumplimiento del RGPD es contar con el respaldo de una consultoría experta en protección de datos.

En Grupo Atico34 llevamos más de 12 años ofreciendo nuestros servicios a empresas de todos los tamaños y sectores. A lo largo de todo este tiempo nos hemos labrado una reputación basada en el trabajo duro con nuestros clientes.

Como consultora líder en protección de datos, en Atico34 contamos con profesionales expertos en la materia que te brindarán un servicio totalmente personalizado y un asesoramiento continuo.

Así que si quieres cumplir la normativa de protección de datos en centros comerciales, no esperes más y ponte en contacto con nosotros cuanto antes. Consulta presupuestos sin compromiso.

Preguntas frecuentes

Para el cobro de mis productos uso una TPV. ¿Los datos de las tarjetas de nuestros clientes se consideran datos personales?

La AEPD ha determinado en numerosas ocasiones que .

El cliente para abonar las compras que realice en mi comercio puede aportar su tarjeta, procediéndose a la lectura de la banda magnética a través de los TPV y capturándose la información necesaria para proceder a la autorización de la operación y para la impresión del ticket de compra.

El TPV determina el tipo de Tarjeta y establece comunicación con su correspondiente centro autorizador. Entre los datos que se envían a dicho centro para la aprobación de la operación, siguiendo protocolos estándar, se encuentran: número de tarjeta, comercial donde se efectúa la compra, su importe y fecha y hora de realización, no enviándose otros datos de carácter personal como el nombre y apellidos del cliente.

No obstante la AEPD considera dato personal a los datos de las tarjetas por lo que lo deberemos considerar un tratamiento más con su correspondiente fichero.

¿Y que medidas de seguridad tengo que aplicar en estos casos?

No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tu o tus asesores expertos en protección de datos

Tu solo tendrás que encargarte de guardar los tickets en un lugar seguro y que solo o tus empleados tengáis acceso.

E-book

Guía LOPDGDD

ebook guia lopdgdd

¿Es obligatorio realizar un curso de protección de datos?

No, la ley no contempla la obligatoriedad de realizar ningún tipo de formación en esta materia. Sin embargo, sí es totalmente recomendable, para que todos los miembros del staff del conozcan las medidas a adoptar para cumplir con la protección de datos en centros comerciales.

¿Cuánto tiempo puedo conservar los datos?

Depende del tipo de documentación y los datos de carácter personal que se encuentren almacenado en ellos. En general, solo se podrán conservar durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Para instalar cámaras de videovigilancia en el centro comercial es necesario tener un fichero en el que se almacenen por separado los tratamientos registrados por este medio.

La normativa de protección de datos sostiene que el empresario puede adoptar las medidas necesarias para garantizar la seguridad dentro de su establecimiento, siempre que éstas sean proporcionadas. Lo cual incluye la instalación de cámaras de vigilancia.

No es necesario que el empresario obtenga consentimiento explícito de los empleados, pero sí tiene la obligación de informar sobre la colocación de las cámaras, mediante circulares informativas y la colocación de carteles de videovigilancia.

La orientación de las cámaras ha de estar dispuesta de tal manera que no enfoquen el espacio público y que tampoco graben a los empleados en zona comunes, de descanso o lugares privados como baños o aseos.

Puedes consultar más información en nuestro artículo acerca de la normativa sobre cámaras de vigilancia.

¿Te ha quedado alguna duda?

Si necesitas asesoramiento personalizado, puedes solicitar un presupuesto:

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
ProfesionalesSectores

Protección de datos y administración de fincas 2021

10 Mins read
Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y…
AsociacionesSectores

Protección de datos en hermandades: Aplicación y cumplimiento

9 Mins read
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales…
SanidadSectores

Protección de datos en Farmacias. Cumple la normativa en 2021

10 Mins read
La Ley de Protección de Datos lleva ya varios años en vigor, pero todavía siguen surgiendo dudas respecto a su aplicación y…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.