El RGPD para estudios de yoga fuera de la UE: qué cambió en 2026
5 min de lectura

El RGPD para estudios de yoga fuera de la UE: qué cambió en 2026

El RGPD se aplica a cualquier estudio que trate datos de residentes de la UE, sin importar dónde esté ubicado el estudio. Esto es lo que los estudios del Reino Unido, Estados Unidos, Canadá y Australia deben tener implementado en 2026.

Basta con que haya un residente de la UE en tu lista de clientes. En el momento en que una turista alemana reserva una clase en tu estudio de Austin, o una estudiante neerlandesa se apunta a un curso en Londres, el RGPD se aplica a los datos que conservas sobre ella. El estudio no está en la UE. La obligación sí.

Esto pilló desprevenidos a muchos estudios de fuera de la UE en 2018. En 2026 es más difícil de ignorar. Schrems II se aplica plenamente, el Reglamento de IA de la UE está en vigor para los sistemas de alto riesgo, y las autoridades de control han publicado directrices claras sobre lo que esperan de las pequeñas empresas. Multas muy por debajo del llamativo tope del 4% de la facturación están cayendo sobre estudios con 200 socios y una cuenta de Mailchimp.

Esta es una guía práctica para estudios fuera de la UE que tienen aunque solo sea un puñado de clientes de la UE. No sustituye el asesoramiento legal, pero cubre los errores que vemos cometer a los estudios.

Cuándo se te aplica el RGPD

El artículo 3 del RGPD tiene dos criterios de aplicación extraterritorial. Estás dentro del ámbito de aplicación si ofreces bienes o servicios a personas en la UE, o si controlas su comportamiento mientras están en la UE. Un estudio de Toronto que ofrece un curso en directo por streaming y acepta pagos en euros de un cliente de Lyon está ofreciendo servicios. Un estudio de Brooklyn con una web de reservas traducida al alemán y un dominio que termina en .de está ofreciendo servicios. Las cookies que rastrean a visitantes recurrentes desde direcciones IP de la UE cuentan como control del comportamiento.

Una turista que entra sin cita, paga en efectivo y nunca se registra no está dentro del ámbito de aplicación. Una turista que entra sin cita y te da su correo electrónico para la confirmación de una futura clase sí lo está.

El criterio es la intención y la conexión, no la geografía. Si estarías encantado de aceptar una reserva de alguien que está en Berlín, estás tratando datos de la UE y el RGPD se aplica.

Qué cambió en 2025-2026

Schrems II se aplica plenamente

Enviar datos personales a Estados Unidos solía ser sencillo bajo el Privacy Shield. Ese marco fue anulado en 2020. Su sustituto, el Marco de Privacidad de Datos UE-EE. UU., solo cubre a las empresas que se han autocertificado. Si tu sistema de reservas, proveedor de correo electrónico o procesador de pagos tiene sede en EE. UU. y no está en esa lista, necesitas Cláusulas Contractuales Tipo además de una evaluación de impacto de la transferencia. Las autoridades de control ahora piden esa evaluación por su nombre durante los controles rutinarios.

El Reglamento de IA de la UE puede aplicarse

Si usas IA para optimizar horarios, predecir ausencias o sugerir clases automáticamente en función del comportamiento de los socios, el Reglamento de IA lo clasifica como elaboración de perfiles de riesgo limitado. Tienes que informar de ello. La programación inteligente de Mindbody, la predicción de bajas de Glofox y varias herramientas más recientes entran en esta categoría.

Los DPA ya no son opcionales

Todo proveedor que trate datos de socios necesita un Acuerdo de Tratamiento de Datos (DPA) firmado. Procesadores de pagos, proveedores de correo electrónico, pasarelas de SMS, integraciones de calendario. Stripe y Resend publican DPA estándar. Algunos sistemas de reservas más pequeños todavía no lo hacen. Si no puedes conseguir un DPA de un proveedor, no puedes usarlo legalmente para datos de la UE.


Las obligaciones que pillan a los estudios desprevenidos

Base legal para el tratamiento

Necesitas una base legal específica para cada finalidad. Reservar la clase es contrato. Enviar el recibo es contrato. Enviar el boletín es consentimiento. Guardar los datos de pago para la próxima vez es consentimiento. Una única casilla de "Acepto los términos" no cubre las cuatro.

Derecho a la portabilidad en 30 días

Si una socia te escribe y pide todo lo que tienes sobre ella, tienes 30 días para entregárselo en un formato legible por máquina. JSON o CSV está bien. PDF no. La exportación debe incluir el historial de reservas, los metadatos de pago, el registro de consentimiento de marketing y cualquier nota de texto libre que haya añadido el instructor.

Notificación de brechas en 72 horas

Si tu base de datos de reservas se ve comprometida o te roban el portátil con la lista de socios, tienes 72 horas para notificarlo a la autoridad de control competente. Para un estudio fuera de la UE, esa es la autoridad de cualquier país de la UE donde vivan los socios afectados. También necesitas un registro documentado de brechas, incluso para los incidentes que decidas no notificar.

Una checklist práctica

  • Mapea cada lugar donde residen los datos de los socios: sistema de reservas, herramienta de correo electrónico, procesador de pagos, software de contabilidad, calendarios de los instructores, la hoja de cálculo en el portátil de recepción.
  • Consigue un DPA firmado de cada uno de esos proveedores. Archívalos.
  • Comprueba dónde almacena los datos cada proveedor. Si alguno tiene sede en EE. UU. y no está en la lista del Marco de Privacidad de Datos, redacta Cláusulas Contractuales Tipo.
  • Reescribe tu aviso de privacidad en un lenguaje claro. Indica la base legal de cada finalidad.
  • Establece un proceso para gestionar las solicitudes de exportación, eliminación y acceso en un plazo de 30 días.
  • Escribe un plan de respuesta ante brechas de una página y ponlo en un sitio donde recepción pueda encontrarlo.
  • Si usas alguna función de IA para la programación o la predicción de comportamiento, añade un aviso.

Cómo lo gestiona Class Booking

Class Booking funciona sobre infraestructura de la UE por defecto. Los datos de los socios residen en Fráncfort, los pagos los procesa Stripe a través de su entidad de la UE, y firmamos un DPA en todos los planes, incluida la prueba gratuita. La evaluación de impacto de la transferencia de Schrems II está publicada y se actualiza trimestralmente. Las funciones de exportación y eliminación están integradas en el panel de administración: una solicitud de un socio se convierte en una operación de dos clics, no en un proyecto de 30 días.

Si diriges un estudio en el Reino Unido, Estados Unidos, Canadá o Australia y tienes socios de la UE en tu lista, no necesitas reconstruir tu infraestructura. Necesitas saber dónde están los datos y quién ha firmado qué.