Normativa de protección de datos para centros de estética
En relación con la normativa de protección de datos para un centro de estética cabe destacar, que en todos los centros de estética se recaban datos personales de los pacientes. Aquí pueden haber datos relativos a la salud. Aparte, también se manejan datos personales de los trabajadores y de todo aquel personal que pueda ser contratado.
De esta manera, casi cualquier centro de estética está ordenado a cumplir con la sucesiva normativa:
- Reglamento General de Protección de Datos (RGPD)
- Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD)
Obligaciones LOPDGDD y RGPD en los centros de estética
Tanto la ley como el reglamento de protección de datos marcan una serie de deberes en materia de protección de datos que los centros de estética han de cumplir si pretenden impedir ser penados por la AEPD (Agencia Española de Protección de Datos).
Una de las obligaciones está llevar un registro de todas las acciones de tratamiento de datos personales llevadas a cabo por el centro de estética, así como cumplir con el deber de comunicar previamente a sus consumidores sobre los datos a tratar y la finalidad de dicho tratamiento, y así poder recabar el consentimiento expreso para el uso de los datos recabados.
Así mismo, el centro de estética tendrá que nombrar e identificar al responsable del tratamiento (que será el propio centro o su titular).
Crear el registro de actividades de tratamiento
Se debe que crear el registro de actividades de tratamiento; donde se recogerán todos los tratamientos de datos personales llevados a cabo en el centro de estética en distintos ficheros.
Todos los ficheros o registros deben especificar toda la información relativa al tratamiento de datos personales:
- Nombre y datos de contacto del responsable del tratamiento y, si procede, del encargado del tratamiento, el corresponsable, el representante y el delegado de protección de datos.
- Finalidad del tratamiento.
- Descripción de categorías de datos e interesados.
- Categorías de destinatarios existentes o previstos (incluidos los de terceros países y organizaciones internacionales.
- Transferencias internacionales de datos y documentación de garantías para esas transferencias (si procede).
- Plazos de conservación de los datos.
- Descripción de las medidas de seguridad establecidas.
- El registro de actividades de tratamiento es un documento de carácter interno, que responsables y encargados deben mantener actualizado, y, en caso de que la AEPD lo solicite en el proceso de una inspección o investigación, deben facilitárselo.
