Conoce Atico34 - Solicita presupuesto
ProfesionalesSectores

Talleres mecánicos: Guía para cumplir el RGPD y la LOPDGDD

La mayoría de talleres mecánicos tratan con los datos personales de sus clientes y, si los tienen, también con los de sus empleados, por lo que están obligados a cumplir con la normativa de protección de datos. En esta guía explicaremos cómo cumplir con la Ley de Protección de Datos en talleres mecánicos, repasando sus claves principales.

¿Deben los talleres mecánicos cumplir con la Ley de Protección de Datos?

Los talleres mecánicos, incluso si los gestiona un trabajador autónomo, están obligados a cumplir con la Ley de Protección de Datos, puesto que en el desempeño de su actividad comercial, tratan con datos de carácter personal, tanto de sus clientes (cuando estos son personas físicas) como de sus empleados (si los tienen).

Normativa de protección de datos para talleres mecánicos 2022

La normativa de protección de datos para talleres mecánicos la encontramos en:

  • RGPD (Reglamento General de Protección de Datos)
  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
  • LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), en caso de que se realicen ventas a través de Internet.

RGPD

El RGPD es el marco normativo común para toda la UE y los países del EEE (Espacio Económico Europeo), afectando también las organizaciones que operen en terceros países y traten datos personales de ciudadanos residentes en la UE.

Fue aprobado en 2016, pero en España entró en vigor en mayo de 2018; el RGPD introdujo una serie de principios relativos a la protección de datos de carácter personal, así como obligaciones para las organizaciones (tanto públicas como privadas) y derechos para los ciudadanos, con el objetivo de que estos tuvieran mayor control sobre sus datos personales y lo que se hace con ellos.

Entre las obligaciones que llegaron con el RGPD destacan el principio de proactividad o protección desde el diseño, lo que obliga a implementar medidas técnicas y organizativas de seguridad que garanticen la privacidad y confidencialidad de los datos tratados, la creación del registro de actividades de tratamiento, la obligación de recabar el consentimiento expreso de los titulares de los datos, las evaluaciones de impacto en protección de datos (EIPD), la figura del Delegado de Protección de Datos (DPD) o un nuevo régimen de sanciones e infracciones, entre otras.

LOPDGDD

La LOPDGDD es la ley española, mediante la cual se adaptó el RGPD al ordenamiento jurídico español, por lo que algunos aspectos de este, que son más generales, se desarrollan más en profundidad. Pero cumplir con esta ley significa que se cumple también con el RGPD y las obligaciones son básicamente las mismas.

tarifas proteccion datos

¿Cómo adaptar tu taller mecánico al RGPD y la LOPDGDD?

En los siguientes puntos explicaremos los aspectos clave que debes tener en cuenta para cumplir con todas las obligaciones y adaptar tu taller mecánico al RGPD y la LOPDGDD.

Crear el registro de actividades de tratamiento

En el registro de actividades de tratamiento se recogen y documentan todos los tratamientos de datos personales que realizas en el taller mecánico (fichas de clientes, fichas de empleados, cámaras de videovigilancia, envío de mensajes comerciales, etc.). En el registro de cada una de estas actividades de tratamiento debe contener, como mínimo, la siguiente información:

  • Datos identificativos del responsable del tratamiento (que es el taller mecánico), y, si procede, los del encargado del tratamiento y del DPD
  • Finalidad del tratamiento
  • Legitimación del tratamiento
  • Descripción de los titulares de los datos afectados
  • Categorías de los datos tratados
  • Categorías de destinatarios a quienes se pueden ceder los datos (existentes o previstos)
  • Si se van a producir, información relativa a las transferencias internacionales de datos
  • Plazo de conservación de los datos
  • Descripción de las medidas de seguridad implementadas

El registro de actividades de tratamiento debe constar por escrito (aunque puede almacenarse en formato digital) y mantenerse siempre actualizado. Es un documento interno, por lo que no es necesario inscribirlo en ningún registro, pero si la AEPD (Agencia Española de Protección de Datos) lo solicita, se le debe entregar.

Realizar el análisis de riesgos

Como paso previo a hacer ninguna actividad de tratamiento de datos personales, es necesario realizar un análisis de riesgos de dicha actividad, para determinar qué riesgos para los titulares de los datos pueden derivarse de dicho tratamiento y qué impacto tendría la materialización de dichos riesgos en los derechos y libertades de los titulares.

Así mismo, el análisis de riesgos también servirá para definir qué medidas de seguridad son necesarias implementar para minimizar los riesgos y, en caso de que ocurran, su impacto negativo.

¿Necesita tu taller mecánico hacer una evaluación de impacto de protección de datos (EIPD)?

Los talleres mecánicos, en principio, no tienen obligación de realizar una EIPD, puesto que estas solo son obligatorias cuando se tratan datos a gran escala de manera sistemática o datos de categorías especiales, o cuando el impacto de la materialización de los riesgos del tratamiento sea especialmente grave para los derechos y libertades de los titulares de los datos.

Recabar el consentimiento expreso

Como hemos dicho más arriba, el RGPD introdujo la obligación de recabar el consentimiento expreso para el tratamiento de datos personales, esto significa que para cada tratamiento que debas hacer en el taller mecánico, debes recabar dicho consentimiento de tus clientes.

Por ejemplo, para abrir incluir su dirección de correo electrónico en una lista de correos para enviarle correos comerciales.

Este consentimiento debe darse mediante una acción expresa y afirmativa del titular de los datos, como puede ser la firma de un formulario de consentimiento o cláusulas de consentimiento en un contrato.

En cualquier caso, debe ser informado (lo explicaremos un poco más abajo) y fácil de revocar. Y en caso de que los datos personales recabados se quieran usar con otra finalidad, será necesario volver a obtener dicho consentimiento para la nueva finalidad.

Contrato de encargo del tratamiento

En el caso de que el taller mecánico realice cesiones de datos a terceros, como ocurre, por ejemplo, si usa los servicios de una gestoría para llevar las nóminas de sus empleados, o los de una agencia de marketing para gestionar los envíos de publicidad digital, será necesario que firme con estos terceros un acuerdo de encargo del tratamiento, estableciendo en ellos la finalidad y condiciones del tratamiento, asegurándose, además, que el encargado de tratamiento cumple con la normativa y cuenta con las medidas de seguridad necesarias.

Acuerdos de confidencialidad

Si tienes empleados y estos tienen acceso a los datos personales que se tratan en el taller mecánico, debes asegurarte de que estos cumplen con el deber de respetar la confidencialidad de la información y, por tanto, cumplir con la normativa de protección de datos. Así mismo, debes asegurarte de que cumplen con las normas de seguridad que hayas implementado en tu negocio respecto al tratamiento de datos personales.

Lo habitual es incluir cláusulas sobre confidencialidad y las consecuencias de no cumplirlas en el contrato de trabajo.

Formación

La normativa de protección de datos no contempla la obligación de los responsables del tratamiento de tener formación en materia de protección de datos, pero es altamente recomendable que estos cuenten con al menos una persona o un servicio externo que sí tenga estos conocimientos sobre la materia y la propia legislación correspondiente, para así mantenerse al día de sus obligaciones al respecto.

Informar a los titulares de los datos

Como decíamos cuando hablamos del consentimiento expreso, es obligación del responsable del tratamiento del taller mecánico informar a los titulares de los datos sobre todo lo relativo al tratamiento de los mismos. Esta información se puede suministrar en un documento individual o como anexo a contratos o registro de clientes y, cómo mínimo, contendrá:

  • Nombre y datos de contacto del responsable del tratamiento
  • Legitimación para realizar el tratamiento de datos personales
  • Finalidad del tratamiento
  • Dónde, cómo y a través de qué vías ejercer sus derechos ARSULIPO (acceso, supresión, rectificación, limitación, portabilidad y oposición al tratamiento)

Si el taller mecánico tiene página web

Es probable que tu taller mecánico tenga su propia página web para darte a conocer y promocionar tus servicios, incluso puedes usarla para hacer algunas ventas de productos online. Si ese es el caso, hay una serie de obligaciones que debes cumplir en cuanto a protección de datos y la LSSI-CE.

Estas obligaciones se resumen en la redacción e inclusión en la página de los llamados textos legales web:

  • Aviso legal:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • N.º de inscripción en el Registro Mercantil
  • Política de privacidad:
    • Datos identificativos del responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Gestión de los datos personales
    • Plazos de conservación de los datos
    • Si se producen cesiones a tercero y la identificación de los mismos
    • Si se usan cookies en la web
    • Vía para ejercer los derechos ARSULIPO
  • Política de cookies y aviso de cookies
  • Condiciones de venta

Notificar las brechas de seguridad

Si en algún momento se produce un incidente de seguridad y los datos de tus clientes y empleados quedan expuestos, deberás informar de esta brecha de seguridad a la AEPD y los propios titulares de los datos que hayan podido verse afectados, para lo que tienes un plazo máximo de 72 horas.

No notificar las brechas de seguridad es motivo de sanción.

¿Debo hacer auditorías periódicas?

Aunque ni el RGPD ni la LOPDGDD recogen la obligación de hacer auditorías periódicas de protección datos, se recomienda hacerlas, puesto que lo sí es obligatorio y exigible por parte de la normativa y de las autoridades de control es demostrar que el taller mecánico, como responsable del tratamiento, cuenta con las medidas técnicas y organizativas de seguridad necesarias para garantizar la protección de los datos personales que maneja. Los informes de las auditorías sirven como prueba en ese sentido.

Además, someterse a auditorías servirá también para saber si hay algún problema de seguridad o de cumplimiento normativo que el taller mecánico deba solucionar o corregir.

Es recomendable que las auditorías las haga una consultora externa especializada en protección de datos y que se hagan, como mínimo, cada dos años.

Sanciones por no cumplir con la normativa de protección de datos en talleres mecánicos

Si tu taller mecánico no cumple con la normativa de protección de datos, podría enfrentarse a las siguientes sanciones:

  • Hasta 40.000 euros para las infracciones leves (artículo 74)
  • De 40.001 a 300.000 euros para las infracciones graves (artículo 73)
  • De 300.001 a 20 millones de euros o el 4% de la facturación anual para las infracciones muy graves (artículo 72)

¿Necesitas cumplir la LOPDGDD y el RGPD? Contacta con un especialista

Si tu taller mecánico todavía no se ha adaptado a la normativa de protección de datos, no esperes más y contacta con un servicio especializado en la materia y en la normativa correspondiente, para que te ayude en todo el proceso y te mantenga al día de posibles novedades o modificaciones en la ley.

tarifas proteccion datos autonomos

Preguntas frecuentes

¿Cuándo sé que trato con datos de carácter personal?

Por ejemplo, siempre que se traten datos que permitan identificar a una tercera persona física, como un cliente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las personas jurídicas.

¿Como autónomo debo cumplir con la LOPDGDD y el RGPD?

Sí, los autónomos también están obligados a cumplir con la normativa de protección de datos, puesto que realizan un tratamiento de datos de carácter personal en el desarrollo de una actividad comercial y profesional.

¿Y si no tengo empleados?

Sigue siendo obligatorio, porque tratarás con los datos de clientes particulares. Solo podrás dejar de observar las obligaciones de la Ley de Protección de Datos cuando tus clientes sean personas jurídicas (como otras empresas).

¿Qué hago con los CV que me dejen en el taller?

Si una persona deja el CV en el taller o te lo envía por correo electrónico, deberás obtener su consentimiento para guardarlo para futuros procesos de selección e informarle de quién es el responsable del tratamiento, la finalidad, el plazo de conservación de los datos y sobres sus derechos ARSULIPO.

En caso de que no guardes el CV, deberás destruirlo o eliminarlo de tu ordenador.

¿Cuánto tiempo puedo conservar los datos?

La normativa no especifica el tiempo qué se deben conservar los datos personales guardados, solo nos dice que debe ser el tiempo mínimo necesario para cumplir con la finalidad del tratamiento para el que fueron recogidos.

Sin embargo, hay que tener en cuenta que hay ciertas leyes que exigen que determinada documentación (que puede contener datos personales) se guarde durante un período de tiempo concreto, por lo que el plazo de conservación de los datos dependerá de dichas leyes. Puedes encontrar más información al respecto en nuestra entrada sobre plazos de conservación de los datos.

¿Qué tengo que hacer si instalo cámaras de videovigilancia en el taller?

Se considera otro tratamiento de datos, por tanto, deberás informar sobre el uso de estos dispositivos de grabación, colocando los correspondientes carteles informativos en los accesos al taller.

Te recomendamos leer esta guía para instalar un sistema de videovigilancia cumpliendo la LOPDGDD.

¿Puedo enviar comunicaciones comerciales a los clientes del taller?

Puedes enviar comunicaciones comerciales a los clientes del taller solo cuando estos te hayan dado el consentimiento para ello. Hacerlo sin este consentimiento es motivo de sanción.

Recomendaciones (mínimas) para verificar que el taller mecánico cumple con la normativa de protección de datos

Asegúrate que tu taller mecánico cumple con la normativa de protección de datos comprobando que sigues estas recomendaciones mínimas:

  • Tienes toda la documentación relativa a protección de datos actualizada y firmada
  • Registro de actividades de tratamiento actualizado
  • Cuentas con el consentimiento expreso para cada tratamiento de datos que realizas y está registrado
  • Has hecho el correspondiente análisis de riesgos antes de hacer ningún tratamiento de datos personales
  • Has implementado las medidas de seguridad necesarias
  • Informar a los titulares de los datos de sus derechos
  • Notifica las brechas de seguridad cuando se produzcan

Esperamos haber ayudado a conocer las obligaciones que tu taller mecánico debe cumplir para adaptarse correctamente a la normativa de protección de datos. Es una labor que pueda resultar compleja, por lo que si necesitas ayuda o asesoramiento personalizado, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de profesionales podrán ayudarte en lo que necesites.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.