Una nota antes de empezar. Esto es orientación práctica, no asesoramiento legal. Si una cuestión es importante para tu negocio, consulta con un abogado especializado en protección de datos. Escribimos esto para que sepas qué preguntas merece la pena hacer.
El RGPD es ley desde mayo de 2018, y la mayoría de los propietarios de estudios con los que hablamos tienen una idea vaga de lo que les exige, pero muy pocos tienen una imagen clara. Es comprensible: el reglamento es extenso, la orientación de las autoridades de control a veces es poco coherente, y la mayor parte de lo que se escribe sobre el tema en internet es, o bien excesivamente cauteloso desde el punto de vista legal, o bien alarmista con fines comerciales.
Este artículo busca el término medio, con calma. Es una explicación práctica para quien dirige un estudio de yoga, un box de CrossFit, un espacio de Pilates con reformer o un gimnasio pequeño, y quiere saber: qué significa realmente el RGPD para mí, de qué se encarga mi software de reservas, y de qué tengo que encargarme yo.
Dos aclaraciones antes de empezar. Primero, las normas son en líneas generales las mismas en toda la UE y en el Reino Unido: el RGPD del Reino Unido es una copia casi literal del RGPD de la UE con los nombres de país cambiados, y las obligaciones prácticas para un estudio pequeño son esencialmente idénticas. Segundo, y lo repetiremos más de una vez, esto no es asesoramiento legal. Es un intento de desmitificar las distintas piezas para que sepas qué preguntas merece la pena hacer cuando algo importa de verdad.
El RGPD en un párrafo
El RGPD es un reglamento que dice lo siguiente: si recoges datos personales de personas en la UE o el Reino Unido, tienes que tener un buen motivo para recogerlos, tienes que ser honesto con esas personas sobre lo que haces con ellos, tienes que mantenerlos seguros, tienes que eliminarlos cuando ya no los necesites, y tienes que permitir que la gente vea, corrija o elimine sus propios datos si lo solicita. Esa es la columna vertebral. Casi todo lo demás son detalles que se derivan de una de esas cinco ideas.
Qué se considera un dato personal en un estudio
Un dato personal es cualquier información que pueda identificar a una persona viva, de forma directa o indirecta. En un estudio típico, eso incluye:
- Nombres, direcciones de correo electrónico, números de teléfono, direcciones postales
- Fecha de nacimiento, fotos de perfil, datos de contacto de emergencia
- Historial de reservas y registros de asistencia a clases
- Estado de la membresía, saldos de créditos, historial de compras
- Metadatos de pago (los últimos 4 dígitos de la tarjeta, la dirección de facturación; los números completos de tarjeta nunca deberían estar en tus servidores, eso es responsabilidad del proveedor de pagos)
- Declaraciones de salud de los formularios de admisión, notas sobre lesiones, estado de embarazo
- Fotos y vídeos tomados en clases en los que aparecen personas identificables
- Direcciones IP y marcas de tiempo de inicio de sesión en tu software
Dos de estos elementos (la información de salud y, según el contexto, las fotos) entran en una categoría más estricta llamada datos de categorías especiales. Volveremos sobre esto más adelante.
La división: el software frente a ti
El RGPD introduce dos figuras: el responsable del tratamiento y el encargado del tratamiento. El responsable decide qué datos se recogen y por qué. El encargado trata los datos siguiendo las instrucciones del responsable. En el caso de un estudio que usa software de reservas, el estudio es el responsable y el software es el encargado. Esta distinción importa porque las responsabilidades se reparten según ella.
A grandes rasgos, tu plataforma de reservas debería encargarse del aspecto técnico: cifrado en reposo y en tránsito, controles de acceso, copias de seguridad protegidas, registros de auditoría, y la obligación de notificarte con prontitud si se produce una brecha de seguridad en su lado. En Class Booking, esto se recoge en un acuerdo de tratamiento de datos (un DPA) que firmamos con cada estudio.
Tú te encargas del aspecto editorial: decidir qué datos recoges en primer lugar, tener una base jurídica para recogerlos, pedir el consentimiento de marketing de la forma correcta, decidir cuánto tiempo conservar la información, y ser la persona que responde a cualquier solicitud de acceso que te envíe un socio. El software puede facilitar todo esto (exportaciones, controles de conservación, registros de auditoría), pero no puede tomar las decisiones en tu lugar.
Qué es lo que realmente necesitas dejar por escrito
Para un estudio pequeño, la carga de documentación es menor de lo que la gente teme. Hay, a grandes rasgos, cuatro cosas que merece la pena tener por escrito:
- Una política de privacidad sencilla en tu web. En lenguaje claro, de una página, que cubra qué recoges, por qué, con quién lo compartes (tu software de reservas, tu proveedor de pagos, tu herramienta de email), cuánto tiempo lo conservas, y cómo puede un socio ejercer sus derechos.
- Un registro de actividades de tratamiento. Un documento interno breve que enumere las categorías de datos que conservas, por qué los conservas y dónde se almacenan. Para un estudio, esto suele caber en una página. Hay plantillas ampliamente disponibles de las autoridades de control de la UE y del Reino Unido.
- Un plan sencillo de respuesta ante brechas de seguridad. Con media página basta. A quién se notifica, en qué orden, quién decide si informar a la autoridad de control, quién redacta el mensaje a los socios afectados. La idea es haber decidido esto con calma de antemano, no en el momento.
- Documentación del consentimiento de marketing. Cuándo marcó un socio la casilla de “avísame de ofertas por email”, cuándo se dio de baja, el texto exacto al que dio su consentimiento. La mayoría de las herramientas de email y plataformas de reservas modernas guardan esto automáticamente; si la tuya no lo hace, es una señal de alarma.
“El objetivo de un plan de respuesta ante brechas de seguridad es haber decidido las cosas con calma de antemano, no en el momento.”
Datos de categorías especiales: formularios de salud
La información de salud recogida a través de formularios de admisión (lesiones, estado de embarazo, condiciones médicas, medicación) se trata con más rigor que los datos personales ordinarios. El artículo 9 del RGPD llama a esto datos de categorías especiales, y tratarlos normalmente requiere un consentimiento explícito y específico, además de la base jurídica habitual.
En la práctica, esto implica varias cosas. Recoge solo lo que realmente necesitas para impartir la clase con seguridad. Un estudio de Pilates con reformer probablemente necesite saber sobre cirugías recientes; una clase de vinyasa de acceso libre probablemente no necesite un historial médico completo. Restringe el acceso a los instructores que realmente lo necesiten para la clase que imparten, no a todo el equipo. Y revisa y elimina la información cuando ya no sea relevante: una lesión de espalda que alguien declaró hace tres años y que ya se ha curado no debería seguir en su ficha.
Las solicitudes de acceso en la práctica
Todo socio tiene derecho a solicitar una copia de los datos personales que conservas sobre él, en un formato portable. También tiene derecho a que se corrijan y, en muchos casos, derecho a que se eliminen. Estos son los derechos con los que la mayoría de los estudios se topará de vez en cuando, normalmente después de que un socio se dé de baja, después de que una relación se haya deteriorado, o simplemente porque alguien tiene curiosidad.
El plazo de respuesta es, por lo general, de un mes desde la fecha de la solicitud. La respuesta debe incluir todos los datos personales vinculados a esa persona: datos de perfil, historial de reservas, metadatos de pago, mensajes, cualquier cosa que te haya proporcionado o que hayas generado sobre ella. En Class Booking ofrecemos una exportación RGPD con un solo clic que genera un paquete estructurado listo para enviar.
Algo que conviene tener en cuenta: el derecho de supresión no es absoluto. Por lo general puedes conservar los registros que estás legalmente obligado a guardar (las facturas por motivos fiscales, por ejemplo) aunque el socio te pida que elimines todo. Lo que no puedes hacer es conservar sus datos por conveniencia de marketing u operativa después de que te haya pedido que dejes de hacerlo.
Emails de marketing
Tres reglas cubren la mayor parte de lo que un estudio pequeño necesita saber sobre el email de marketing. Consentimiento expreso (opt-in), nunca por defecto (opt-out): nada de casillas premarcadas en el registro. Todo mensaje de marketing debe tener un enlace de baja funcional y de un solo clic. Los mensajes transaccionales vinculados a una reserva o compra existente (confirmaciones de reserva, recibos, cambios de horario) pertenecen a una categoría distinta y no necesitan un consentimiento de marketing aparte.
La línea entre lo transaccional y el marketing puede difuminarse: un email del tipo “hace tiempo que no reservas, aquí tienes un 20% de descuento” es marketing, aunque se envíe a través de tu plataforma de reservas. En caso de duda, trátalo como marketing y comprueba que el destinatario ha dado su consentimiento.
Errores habituales
Cuatro patrones que vemos repetirse cuando hablamos con estudios que migran desde sistemas más antiguos:
- Reenviar datos de socios por email o WhatsApp. Un nuevo instructor necesita saber quién viene a la clase de mañana, así que el propietario exporta una lista a una hoja de cálculo y la envía por email. Esa hoja de cálculo ahora vive en dos bandejas de entrada, posiblemente para siempre, sin registro de auditoría y sin forma de recuperarla. La solución es dar al instructor una cuenta en el sistema de reservas con acceso a nivel de clase, y dejar que vea la lista ahí.
- Conservar a los antiguos socios para siempre. “Puede que vuelvan” no es una base jurídica para la conservación. Establece un plazo de inactividad razonable (doce meses, veinticuatro meses, lo que encaje con tu negocio y tus obligaciones fiscales) y haz que tu sistema de reservas anonimice o elimine las cuentas que lo superen.
- Fotos de clases sin consentimiento. Una publicación en el Instagram del estudio con la clase de hoy y las caras de todos visibles es una publicación de datos personales. O bien obtienes consentimiento (una casilla en el registro, renovada periódicamente), o bien fotografías de una forma que no identifique a las personas.
- Compartir datos con instructores que no deberían tenerlos. Un profesor autónomo que cubre una sola clase no necesita acceso a toda tu lista de socios, al historial de facturación, ni a las declaraciones de salud de personas a las que nunca verá. Usa un control de acceso basado en roles. La mayoría de las plataformas de reservas modernas lo incluyen de serie.
En qué ayuda Class Booking
Somos un encargado del tratamiento, no un responsable, así que la mayoría de las decisiones editoriales siguen siendo tuyas. Pero el andamiaje técnico ya está integrado:
- Residencia de datos en la UE. Servidores en la UE, sin transferencias a terceros países por defecto.
- Un registro de auditoría de quién accedió a qué, cuándo y desde dónde.
- Exportación RGPD con un solo clic de todo lo vinculado a un socio.
- Eliminación de datos bajo petición, con excepciones de conservación para los registros legalmente obligatorios.
- Control de acceso basado en roles, para que los instructores solo vean las clases y los socios que necesitan.
- Un acuerdo de tratamiento de datos firmado, además de una lista pública de subencargados para que sepas quién más trata tus datos.
- Protocolos de notificación de brechas de seguridad documentados en el DPA.
Nada de esto es heroico. Es lo que se espera que ofrezca un encargado del tratamiento moderno. Pero lo enumeramos explícitamente porque algunas plataformas más antiguas todavía no lo ofrecen, y dejar claro dónde están los límites forma parte de lo que hace manejable el trabajo del responsable del tratamiento.
Una breve nota final
El RGPD es menos misterioso de lo que a menudo se hace parecer. Ten un buen motivo para los datos que recoges. Cuenta a la gente qué haces con ellos. Mantenlos seguros. Elimínalos cuando ya no los necesites. Deja que la gente vea y elimine sus propios datos cuando lo pida. La documentación consiste en una política de privacidad de una página, un registro de tratamiento de una página, un plan de brechas de seguridad de una página y un registro de consentimiento de marketing. Eso es, en esencia, casi todo.
Y, por tercera vez, porque merece la pena repetirlo: si una pregunta concreta es importante para tu negocio, consulta con un abogado especializado en protección de datos. Nosotros podemos hacer que el andamiaje funcione; las decisiones editoriales siguen siendo tuyas.