¿Deben los pequeños comercios o comercios de barrio cumplir con la normativa de protección de datos? ¿Cómo deben adaptarse a la LOPD y el RGPD? ¿Qué obligaciones deben cumplir? En las siguientes líneas encontrarás una guía para aplicar la protección de datos en el pequeño comercio.
En este artículo hablamos de:
- ¿Es necesario que el pequeño comercio cumpla la LOPD y el RGPD?
- Obligaciones de la ley de protección de datos para el pequeño comercio
- ¿Me pueden sancionar si no cumplo la ley de protección de datos en mi comercio de barrio?
- Cómo adaptar a la protección de datos el pequeño comercio
- ¿Necesitas cumplir con la LOPD y el RGPD? Contacta con un experto
¿Es necesario que el pequeño comercio cumpla la LOPD y el RGPD?
La LOPD y el RGPD son de aplicación para cualquier empresa o negocio en el que se realicen tratamiento de datos personales. Puesto que los pequeños comercios o comercios de barrio tratan en mayor o menor medida con datos personales (de sus clientes, de sus empleados, si los tienen, o de algunos de sus proveedores), ellos también deben cumplir con la normativa de protección de datos.
Ahora bien, cuando a la hora de cumplir con la ley de protección de datos en el pequeño comercio, es cierto que no será necesario cumplir con todas las obligaciones que establece esta, ya que el volumen de datos personales que se manejan en este tipo de negocios (por norma general) no es muy elevado y tampoco suele afectar a datos de categorías especiales.
Sin embargo, es fundamental que cualquier tipo de pequeño comercio cumpla con aquellas obligaciones de la normativa que sí le son de aplicación, no solo porque así lo dice la ley, sino porque además le ayudará a mantener la confianza entre sus clientes y a evitar posibles denuncias y sanciones.
Obligaciones de la ley de protección de datos para el pequeño comercio
Como decíamos, un pequeño comercio no tiene que cumplir todas las obligaciones recogidas en la ley de protección de datos o hacerlo al mismo nivel que otras grandes empresas o negocios en los que se tratan datos personales a gran escala.
A continuación repasamos las obligaciones de protección de datos que debes tener en cuenta y cumplir, si tienes un pequeño comercio.
– Realizar análisis de riesgos y medidas de seguridad
Todo tratamiento de datos personales puede implicar riesgos para los derechos y libertades de los interesados (los titulares de los datos), por ello, la normativa establece que antes de llevarlos a cabo, es necesario realizar el correspondiente análisis de riesgos, que servirá para determinar tanto la probabilidad de que una amenaza se produzca como el impacto que esta tendría sobre dichos derechos y libertades y, en base a ello, adoptar las medidas de seguridad técnicas y organizativas necesarias para reducir las probabilidades de materialización y el impacto y garantizar la confidencialidad, integridad y disponibilidad de los datos.
El análisis de riesgos debe realizarse respecto de cada tratamiento de datos personales que se tenga previsto hacer en el comercio, y dejarlo documentado.
Cabe señalar que para poder hacer los correspondientes análisis de riesgos, deberás identificar y determinar qué datos personales vas a tratar y qué tratamientos tienes previstos realizar. Puesto que hablamos de comercios pequeños, lo normal (y salvo excepciones determinadas) será que trates con datos básicos (nombres y apellidos, direcciones postales, direcciones de correo electrónico, número de teléfono, algún dato bancario, etc.) y que los tratamientos se limiten a la creación de fichas de clientes, archivos de facturas, pedidos, albaranes, fichas y nóminas de empleados (si los tienes), imágenes de videovigilancia (si has instalado cámaras de seguridad), etc.
– Realizar el registro de actividades de tratamiento
Deberás realizar el registro de actividades de tratamiento si tienes cámaras de videovigilancia en el comercio y/o tratas datos personales de forma sistemática y en gran volumen (también si tratas datos de categorías especiales, art. 9 del RGPD, aunque es poco probable que lo hagas).
El registro de actividades de tratamiento es un documento interno (aunque puede ser solicitado por la AEPD en el transcurso de una investigación), que debe mantenerse por escrito (incluido medios electrónicos) y actualizado, en el que se recogen los diferentes tratamientos de datos personales que se realizan en el pequeño comercio (fichas de clientes, nóminas de empleados, imágenes de videovigilancia, etc.). El registro debe incluir la siguiente información:
- Identidad del responsable del tratamiento y, si procede, del encargado del tratamiento
- Finalidad del tratamiento
- Base jurídica que legitima del tratamiento (art. 6 del RGPD)
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de los datos (existentes o previstos)
- Transferencias internacionales de datos (si procede)
- Plazo de conservación de los datos
- Descripción de las medidas de seguridad implementadas
– Cumplir con el deber de informar
Siempre que realices un tratamiento de datos personales, debes informar a los interesados sobre:
- Nombre del responsable del tratamiento (titular del pequeño comercio)
- Legitimación para el tratamiento
- Finalidad del tratamiento
- Información relativa a los derechos de los interesados, los llamados derechos ARSULIPO o ARCO+ (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento)
- La opción de interponer una reclamación ante la AEPD
Esta información, especialmente importante cuando la legitimación para el tratamiento no se basa en el consentimiento de los interesados, debe suministrarse con carácter previo al tratamiento y puede hacerse de diferentes formas (folleto informativo, cláusula de protección de datos en facturas o en los contratos de los empleados, cartel de zonas videovigilada, etc.).
Cabe señalar que para el cliente que te compra varias veces al mes u ocasional, que te paga en efectivo, no vas a necesitar informarle sobre la protección de datos, esto y el resto de obligaciones que estamos viendo en este artículo solo se aplican cuando llevas a cabo un tratamiento de datos personales (algo que no ocurre en ese tipo de transacciones, con la salvedad de las cámaras de seguridad, pero de ellas hablaremos más adelante).
– Recabar el consentimiento expreso de los interesados
En el caso de que la base legitimadora para el tratamiento de datos sea el consentimiento (es decir, no se den ninguna de las otras bases jurídicas recogidas en el artículo 6 del RGPD), deberás recabar el consentimiento expreso de los interesados antes de realizar el tratamiento.
Que sea expreso implica que debe haber una acción afirmativa por parte del interesado (firma de cláusulas, marcación de una casilla de aceptación, etc.).
– Cesión de datos a terceros
Si el desempeño de tu actividad comercial vas a ceder datos a terceros por la prestación de algún servicio contratado con ellos (por ejemplo, si tienes empleados y una gestoría se encarga de sus nóminas o empleas una plataforma de email marketing para enviar información comercial a tus clientes o te comunicas con ellos mediante apps de mensajería), deberás firmar con estos terceros un contrato de encargo del tratamiento.
En este contrato se establecerán los datos que se van a ceder, la finalidad para la que son cedidos, por cuanto tiempo, y otra serie de condiciones que puedan afectar a los datos personales, como quien responderá ante las reclamaciones de derechos de los interesados.
Antes de realizar estos contratos, debes asegurarte de que el tercero con quien vas a firmarlo cumple de manera adecuada con la normativa de protección de datos.
– Acuerdos de confidencialidad
Si en tu pequeño comercio tienes empleados que puedan tener acceso a los datos personales de tus clientes u otros empleados, estos deben o bien firmar un acuerdo de confidencialidad, o bien cláusulas de protección de datos en su contrato, puesto que también están obligados a cumplir con la normativa y seguir las políticas de protección de datos que hayas implementado en tu negocio.
– Si se tiene página web
Si tienes una página web para promocionar tu pequeño comercio, además de las obligaciones que hemos visto hasta ahora, también deberás cumplir con las siguientes:
- Insertar el aviso legal en la página web, en el que figurará la siguiente información:
- Nombre o razón social
- NIF
- Dirección
- N.º de inscripción en el Registro Mercantil
- Política de privacidad, en la que se recoge toda la información relativa al tratamiento de datos personales realizado a través de la web:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Cómo se gestionan los datos personales
- Tiempo de conservación de los datos
- Cesiones a terceros
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- Política de cookies para informar de su uso y permitir al usuario, a través del aviso de cookies, aceptarlas, rechazarlas o aceptar solo algunas.
Si además haces ventas online a través de la página web de tu pequeño comercio, también deberás incluir una sección o apartado sobre los términos y condiciones de venta.
– Notificación de brechas de seguridad
En el caso de que comercio sufra una brecha de seguridad que pueda exponer los datos personales que tratas y esto suponga un riesgo para los derechos y libertades de los interesados, deberás notificar la brecha tanto a ellos como a la AEPD en un plazo no superior a 72 horas desde que detectases la brecha.
– Si se tienen cámaras de videovigilancia
Si has instalado cámaras de videovigilancia en tu pequeño comercio, debes de informar de ello a las personas que entren en él o trabajen contigo. Para ello, deberás colocar el correspondiente cartel de zona videovigilada en la entrada al comercio y, preferiblemente, también en el interior, en una zona visible.
El cartel debe incluir la información básica sobre el responsable del tratamiento (que será el titular del comercio), mención a los derechos de los interesados y dónde pueden encontrar estos toda la información sobre las cámaras de seguridad y el tratamiento de sus datos (puede ser un folleto que tengas impreso y facilites o una dirección web, por ejemplo).
El plazo de conservación de las imágenes es de 30 días, pasados los cuales, deberás proceder a suprimirlas, salvo que las autoridades policiales o judiciales te hayan indicado lo contrario, por formar parte de una investigación.
Si has contratado el control de las cámaras de videovigilancia con una empresa de seguridad, con esta deberás firmar un contrato de encargo del tratamiento.
– Auditorías de protección de datos
Finalmente, dado que el RGPD establece que los responsables del tratamiento deben ser proactivos, es decir, deben poder demostrar que cumplen con las obligaciones de la normativa, una forma de hacerlo (aparte de llevar un registro de la documentación pertinente) es someter el pequeño comercio a una auditoría periódica de protección de datos, realizada por una consultora especializada externa.
La auditoría te dirá si cumples debidamente con la ley en tu pequeño comercio o necesitas aplicar nuevas medidas.
En función del tipo de tratamientos que realices y el volumen de datos que trates, estas auditorías pueden tener un carácter bienal.
(*También te puede interesar protección de datos para comercio electrónico).
¿Me pueden sancionar si no cumplo la ley de protección de datos en mi comercio de barrio?
Quizás pienses que tu pequeño comercio o comercio de barrio está a salvo de posibles inspecciones o sanciones de la AEPD y que cumplir con la normativa de protección de datos es un gasto extra. Sin embargo, basta la denuncia de una persona ante la AEPD, para que esta inicie un proceso de inspección, que puede acabar derivando en alguna de las sanciones que contempla la normativa:
- Infracciones leves (artículo 74): sanción de hasta 40.000 euros
- Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros
- Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual
Cómo adaptar a la protección de datos el pequeño comercio
Llegados a este punto, puede que pienses que dato que tienes un pequeño comercio de barrio, puedes llevar a cabo la adaptación a la protección de datos gratis y hacerla tu mismo y, si bien es cierto que no es obligatorio contratar una empresa para la protección de datos, también lo es que una adaptación inadecuada o insuficiente puede acabar en las sanciones mencionadas en el punto anterior.
Por ello, a la hora de adaptar cualquier tipo de negocio a la LOPD y el RGPD, incluidos estos pequeños comercios de barrio, es altamente recomendable contratar la protección de datos con una consultoría especializada en la materia. De esa manera, podrás estar seguro que de comercio cumple con la normativa al cien por cien. Además, contarás con ayuda ante cualquier duda y te mantendrán siempre actualizado ante cualquier modificación o novedad normativa que pueda afectarte.
Ten en cuenta que cumplir con la ley de protección de datos requiere conocer la ley y las obligaciones que entraña y dedicarle el tiempo necesario para llevarlo al día, lo que incluye la elaboración de documentación exigida por la ley cuando proceda y la respuesta a las reclamaciones de derechos que puedas recibir.
Si en tu comercio, además, tratas a diario con grandes volúmenes de datos, la complejidad puede aumentar.
¿Necesitas cumplir con la LOPD y el RGPD? Contacta con un experto
Si necesitas poner al día tu pequeño comercio y cumplir con la LOPD y el RGPD, no dudes en ponerte en contacto con Grupo Atico34; tenemos más de 12 años de experiencia adaptando a todo tipo de empresas y negocios a la normativa de protección de datos y contamos con un equipo de profesionales con experiencia demostrada en la materia.
Encontrarás un servicio completamente personalizado y adaptado a las necesidades reales de tu negocio y los datos que trates, con asesoramiento en todo momento, para resolver cualquier duda o consulta que tengas.