Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPDSectores

Protección de datos en centros comerciales. Cumple RGPD y LOPDGDD en 2023

El RGPD y la LOPDGDD imponen obligaciones en materia de protección de datos que han de ser cumplidas por todas las empresas o negocios que traten con datos personales de usuarios, clientes, empleados, proveedores, etc. Esto también afecta a otros establecimientos más complejos como los centros comerciales, que albergan diferentes negocios dentro de sus instalaciones. En esta guía te contamos cómo cumplir con la protección de datos en centros comerciales para evitar sanciones.

¿Es obligatorio cumplir la ley de Protección de datos en los centros comerciales?

Sí. El RGPD y la LOPDGDD obligan a cumplir sus exigencias a todas aquellas personas físicas o jurídicas que, en el ejercicio de sus actividades, realicen un tratamiento de datos personales de usuarios, clientes, proveedores, empleados, etc.

Se consideran datos personales a toda aquella información que permita identificar a un individuo. Por ejemplo, el nombre, apellidos, DNI, domicilio, dirección de correo electrónico, número de teléfono, identificador de cookies, datos biométricos, etc. Pero también otro tipo de datos que no permiten una identificación directa, pero sí de forma indirecta cuando se emplean junto con otra información.

Por tanto, el cumplimiento del RGPD y LOPDGDD en un centro comercial es obligatorio.

Consulta nuestros servicios para cumplimiento de la protección de datos en centros comerciales.

tarifas proteccion datos

LOPDGDD y RGPD para centros comerciales

El RGPD o Reglamento General de Protección de Datos es la normativa europea que marca las exigencias para cumplir con la protección de datos en centros comerciales y todo tipo de empresas y establecimientos.

El objetivo de esta ley es establecer un marco común para toda la Unión Europea en materia de protección de datos, pero sin oponerse a que cada país desarrolle su propia normativa, siempre y cuando no contravenga lo dispuesto en la ley europea.

En el caso de España, la normativa que adapta el RGPD a nuestro ordenamiento jurídico es la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ambas normativas establecen una serie de obligaciones que se han de cumplir para adaptarse a la protección de datos en un centro comercial. Entre ellas están:

  • Llevar un registro de las actividades del tratamiento.
  • Obligación de informar a los usuarios sobre la identidad del responsable del tratamiento, base legal y finalidad del tratamiento, cesión de datos a terceros, plazo de conservación de los datos y medios para que los usuarios ejerzan sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Obtener consentimiento expreso para realizar el tratamiento de datos personales.
  • Cumplir con el principio de confidencialidad.
  • Adaptar los textos legales de la página web para incluir el aviso legal, la política de privacidad y la política de cookies.
  • Actuar según el principio de responsabilidad proactiva, poniendo en marcha todas las medidas necesarias para garantizar la seguridad e integridad de los datos.

Puedes consultar más INFO en nuestro artículo sobre empresas y protección de datos.

¿Cómo implantar la normativa de protección de datos en un centro comercial?

En los siguientes puntos profundizaremos en las principales obligaciones que debe contemplar un centro comercial para adaptarse a la normativa de protección de datos.

cumplir rgpd lopd centros comerciales

¿Cómo implantar la normativa de protección de datos en un centro comercial?

Registro de actividades de tratamiento

Como responsable del tratamiento de datos personales, el centro comercial deberá elaborar un registro de actividades de tratamiento, puesto que trata de manera sistemática grandes cantidades de datos personales, tanto de sus clientes como de sus empleados.

Se debe crear un registro de actividades de tratamiento por cada tratamiento de datos personales que se realice (entendiendo por tratamiento desde la recogida de datos personales, su almacenamiento hasta su uso para enviar publicidad o gestionar las nóminas de los empleados).

En este documento, que siempre debe mantenerse actualizado, se debe detallar de forma concisa toda la información relativa al tratamiento de datos que se está realizando:

  • Datos identificativos y de contacto del responsable del tratamiento y, cuando proceda, del corresponsable, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
  • La base legitimadora del tratamiento
  • La finalidad del tratamiento
  • Descripción de categorías de interesados y de categorías de datos
  • Descripción de categorías de destinatarios (a quién se ceden los datos o se planea cederlos)
  • Si se producen o van a producir, toda la información relativa a las transferencias internacionales de datos y sus garantías
  • Descripción de las medidas de seguridad implantadas
  • Los plazos de conservación de los datos previstos

Aunque el registro de actividades de tratamiento es un documento de carácter interno, debe facilitársele a la AEPD (Agencia Española de Protección de Datos) cuando esta lo solicite en el proceso de una inspección o una investigación, puesto que es la autoridad de control competente en materia de protección de datos personales en España.

Cabe señalar aquí que el centro comercial es responsable del tratamiento de datos que maneja de sus empleados y de sus clientes directamente, en el caso de otros pequeños comercios ubicados dentro del centro comercial, el responsable del tratamiento será la empresa o particular dueño del comercio.

Contratos con Encargados de tratamiento

Es muy probable que el centro comercial tenga contratado algún servicio externo para llevar a cabo determinados servicios o gestiones y que para el desempeño de estos sea necesario acceder a datos personales.

Por ejemplo, la seguridad y videovigilancia puede tenerla contratada con una empresa de seguridad, que tendrá acceso a datos personales de los clientes del centro (las imágenes que permitan la identificación de una persona se consideran datos personales).

En estos casos y para asegurar que estas empresas o profesionales con los que se contrata un servicio y a los que se tiene que ceder datos personales, cumplen con normativa de protección de datos, es necesario firmar un contrato de encargo de tratamiento, en el que el responsable del tratamiento establece una serie de instrucciones y límites para el tratamiento de esos datos cedidos.

Como encargado del tratamiento, estas empresas o profesionales deben limitarse a llevar a cabo el tratamiento de datos que se les han encargado, respetando su finalidad y devolviendo o destruyendo los datos personales una vez se ha cumplido esta.

tarifas proteccion datos

Acuerdo de confidencialidad con empleados

Cualquier empleado debe respetar la confidencialidad respecto a la información a la que tiene acceso en el centro comercial en el desempeño de sus tareas, más aún cuando esa información es de carácter personal.

Para asegurar que los empleados del centro comercial cumplen con la normativa de protección de datos, aparte de recurrir a la concienciación y la formación, se puede firmar con ellos un acuerdo de confidencialidad en el que se especifiquen sus obligaciones y las consecuencias de no cumplirlas o no respetar las medidas de seguridad implantadas por la empresa para la salvaguarda de los datos personales.

O también se pueden incluir cláusulas de confidencialidad en el propio contrato de trabajo.

Página web

Si el centro comercial dispone de página web, tanto la normativa de protección de datos como la LSSI-CE obligan a incluir en ella, de forma fácilmente accesible y redactados de forma clara y comprensible, los textos legales para páginas web.

Estos textos legales tienen varias funciones, por un lado, informar sobre la identidad del titular de la página web (es decir, el propio centro comercial), de cómo se gestionan y para qué se usan los datos personales que se recaban en ella, del uso de cookies y, si se lleva a cabo la venta de productos en la web, de los términos y condiciones de venta.

Así, en la web deben incluirse como textos independientes, pero con enlaces que lleven a ellos:

  • El aviso legal
    • Razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil
  • Política de privacidad
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Gestión de los datos personales
    • Plazo de conservación
    • Cesiones a terceros
    • Vía para ejercer los derechos ARCO
  • Términos y condiciones de venta
  • Política de cookies

Análisis de riesgos

Cualquier tratamiento de datos personales puede exponer estos a diferentes riesgos; los riesgos son las posibilidades de que una amenaza determinada se materialice y las consecuencias que esto tendría sobre los derechos y libertades de los interesados (es decir, de las personas cuyos datos personales puedan verse afectados).

Por ejemplo, si el centro comercial tiene una base de datos en la que almacena diversa información personal de sus clientes (nombre y apellidos, dirección postal, número de teléfono, etc.), y esta es hackeada, ¿qué consecuencias tendría este hackeo para esos clientes? Sus datos podrían filtrarse en la dark web, donde podrían adquirirse para diferentes fines.

Por esta razón, antes de llevar a cabo un tratamiento de datos personales, es necesario realizar un análisis de riesgos, que sirva para determinar los riesgos que se pueden derivar de dicho tratamiento.

De las conclusiones de este análisis, que responde al principio de privacidad desde el diseño (privacy by design) del RGPD, el responsable del tratamiento podrá diseñar e implantar las medidas de seguridad que minimicen o eliminen esas posibilidades de que las amenazas se materialicen o, en caso de hacerlo, reduzcan el impacto negativo sobre los interesados.

Evaluación de impacto

Cuando del análisis de riesgos se concluye que el tratamiento de datos puede suponer un riesgo elevado para los derechos y libertades de los interesados (por ejemplo, cuando se tratan datos a gran escala o datos de categorías especiales), es necesario llevar a cabo una evaluación de impacto.

Es muy posible que el centro comercial deba llevar a cabo evaluaciones de impacto de algunos de los tratamientos de datos personales que realiza, por ejemplo, por tener instaladas cámaras de videovigilancia.

Como el análisis de riesgos, la evaluación de impacto de protección de datos (EIPD) debe servirnos para determinar las posibilidades de que una amenaza se materialice y el tipo de consecuencias que tendría sobre los interesados cuyos datos hayan podido verse afectados, para poder implantar las medidas de seguridad que reduzcan en nivel de riesgo a uno tolerable.

Notificar brechas de seguridad

Cuando se producen brechas de seguridad que puedan afectar a los datos personales de los clientes o empleados del centro comercial, es decir, cuando esas amenazas que mencionábamos más arriba, se materializan finalmente, se debe notificar de ello a la AEPD y los propios interesados cuyos datos hayan podido verse afectados.

Esta notificación de las brechas de seguridad debe hacerse en un plazo máximo de 72 horas.

Auditorías periódicas

Si bien, ya no es obligatorio llevar a cabo auditorías periódicas, el RGPD y la LOPDGDD sí exigen demostrar que las medidas técnicas y organizativas implementadas para garantizar la protección de datos personales y el cumplimiento de la normativa son efectivas y adecuadas. La mejor forma de poder demostrar esto es recurrir, precisamente, a la auditoría de protección de datos.

Las auditorías, especialmente si las lleva a cabo un agente externo, servirán al centro comercial para comprobar la efectividad de sus medidas de seguridad, mejorar allí donde tenga carencias o existan problemas y para determinar el nivel de cumplimiento en materia de protección de datos.

La antigua LOPD establecía un período de dos años para realizar estas auditorías o cuando se llevase a cabo cambios significativos de los sistemas de información de la organización.

DPO

El RGPD señala que deberán contar con un Delegado de Protección de Datos obligatorio aquellas empresas o entidades que realicen un tratamiento de datos a gran escala, o que manejen datos especialmente sensibles.

La LOPDGDD establece cuáles son los tipos de entidades que deben contar obligatoriamente con un DPO en España, y los centros comerciales no están nombrados explícitamente.

Sin embargo, esta ley sí se refiere a «las entidades que desarrollen actividades de publicidad y prospección comercial, tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos».

Teniendo en cuenta esto y que debido a su envergadura, los centros comerciales pueden tratar datos de un elevado número de clientes, se podría decir que SÍ es necesario que cuenten con un Delegado de Protección de Datos.

Sanciones en las que se puede incurrir si no se cumple correctamente con la Ley vigente

En caso de no cumplir con el RGPD o LOPDGDD en un centro comercial, te puedes enfrentar a duras sanciones.

La cuantía dependerá de factores como la gravedad de la infracción, el beneficio obtenido, el perjuicio causado a terceros, la extensión de la duración en el tiempo o la buena voluntad del negocio para subsanar los errores cometidos.

Así, se puede distinguir entre diferentes grados de infracción:

  • Infracciones leves (art. 74 de la LOPDGDD): multa de hasta 40.000 €
  • Infracciones graves (art. 73 de la LOPDGDD): multa de 40.001 € a 300.000 €
  • Infracciones muy graves (art. 72 de la LOPDGDD): multa entre 300.001 € a 20.000.000 € o hasta el 4% de la facturación anual

¿Te preocupan las sanciones? Atico34 es garantía de cumplimiento normativo

La mejor manera de evitar sanciones por incumplimiento del RGPD/LOPDGDD es contar con el respaldo de una consultoría experta en protección de datos.

En Grupo Atico34 llevamos más de 12 años ofreciendo nuestros servicios a empresas de todos los tamaños y sectores. A lo largo de todo este tiempo nos hemos labrado una reputación basada en el trabajo duro con nuestros clientes.

Como consultora líder en protección de datos, en Atico34 contamos con profesionales expertos en la materia que te brindarán un servicio totalmente personalizado y un asesoramiento continuo.

Así que si quieres cumplir la normativa de protección de datos en centros comerciales, no esperes más y ponte en contacto con nosotros cuanto antes. Consulta presupuestos sin compromiso.

Recomendaciones (mínimas) para verificar que el complejo comercial cumple correctamente con la normativa de protección de datos en comercios

¿Quieres comprobar si el centro comercial cumple con la normativa de protección de datos? Al menos deberías:

  • Tener actualizada y firmada toda la documentación
  • Tener actualizado el registro de actividades de tratamiento
  • Haber llevado a cabo análisis de riesgos previos a realizar cualquier actividad de tratamiento de datos personales
  • Informar a los interesados tanto del tratamiento de sus datos como de los derechos ARCO
  • Tener implantadas las medidas de seguridad necesarias para garantizar la protección de datos

Preguntas frecuentes

Para el cobro de mis productos uso una TPV. ¿Los datos de las tarjetas de nuestros clientes se consideran datos personales?

Sí, los datos de las tarjetas de crédito de nuestros clientes se consideran datos personales. Así lo ha determinado ya en varias ocasiones la propia AEPD.

Si bien es cierto que cuando se usa un TPV para cobrar con tarjeta, no se envían realmente el nombre y apellidos del cliente, la AEPD considera que los números de la tarjeta son datos personales, puesto que a partir de ellos es posible identificar a la persona titular de la tarjeta.

Por lo tanto, el pago con tarjeta bancaria debe considerarse un tratamiento de datos y contar con su correspondiente registro de actividad de tratamiento.

¿Y qué medidas de seguridad tengo que aplicar en estos casos?

No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tú o tus asesores expertos en protección de datos

Tú solo tendrás que encargarte de guardar los tickets en un lugar seguro, al que solo tú o tus empleados tengáis acceso.

tarifas proteccion datos autonomos

¿Es obligatorio realizar un curso de protección de datos?

No, la ley no contempla la obligatoriedad de realizar ningún tipo de formación en esta materia. Sin embargo, sí es totalmente recomendable, para que todos los miembros del staff conozcan las medidas a adoptar para cumplir con la protección de datos en centros comerciales.

¿Cuánto tiempo puedo conservar los datos?

Depende del tipo de documentación y los datos de carácter personal que se encuentren almacenados en ellos. En general, solo se podrán conservar durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados.

También debes tener en cuenta las otras normativas que sean de aplicación en materia de conservación de documentación.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Para instalar cámaras de videovigilancia en el centro comercial es necesario tener un fichero en el que se almacenen por separado los tratamientos registrados por este medio.

La normativa de protección de datos sostiene que el empresario puede adoptar las medidas necesarias para garantizar la seguridad dentro de su establecimiento, siempre que estas sean proporcionadas. Lo cual incluye la instalación de cámaras de vigilancia.

No es necesario que el empresario obtenga consentimiento explícito de los empleados o los clientes, pero sí tiene la obligación de informar sobre la colocación de las cámaras, mediante circulares informativas y la colocación de carteles de videovigilancia.

Ten en cuenta que las cámaras de videovigilancia no pueden grabar la calle, ni las zonas comunes para los empleados (como la zona de descanso o vestuarios o aseos).

Puedes consultar más información en nuestro artículo acerca de la normativa de cámaras de vigilancia.

¿Te ha quedado alguna duda?

Si necesitas asesoramiento personalizado, puedes solicitar un presupuesto.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.