Si eres autónomo o dueño de un negocio minorista (o de cualquier otro tipo de negocio), es muy probable que trates con datos personales de particulares de forma regular.
Por ejemplo, cuando tus clientes pagan a través de tu TPV, o cuando almacenas información sobre sus pedidos e históricos de compras en tu software de gestión.
Desde 2018 (más concretamente, desde el 25 de mayo de 2018), tanto en España como en Europa empezó a aplicarse el Reglamento General de Protección de Datos, de la Ley de Protección de Datos Europea.
Según este reglamento, cualquier negocio o profesional autónomo que trate con datos de particulares debe adherirse a una serie de normativas y cumplir con ciertas obligaciones.
De lo contrario, las sanciones podrían ser severas, de hasta más de 20 millones de euros.
Además, como dueño de un negocio y/o como usuario de sistemas de cobro (por ejemplo, cajas registradoras, TPV) y software de gestión y facturación, existen otras normativas importantes a las que tienes que asegurarte que el software / sistema TPV que utilices se adhieren, de lo contrario, tal y como se ha estipulado en estas leyes, las sanciones recaerán sobre ti:
- La Ley Antifraude 11/2011, que introduce cambios en los importes máximos que se podrán pagar en efectivo (1000 euros), el tipo de software de facturación y contabilidad que se debe usar, entre otros.
- Reglamento VeriFactu: Aprobado en el Real Decreto 1007/2023. En este Real Decreto, se introducen los estándares técnicos obligatorios que el software de facturación que los comercios y empresas utilizan debe cumplir.
- La Ley Crea y Crece: En ella, se introduce la obligatoriedad de la factura electrónica en operaciones B2B (es decir, entre empresas y/o profesionales), entre otras obligaciones de facturación.
- Las normativas del ticket de compra o factura simplificada.
En el siguiente artículo, veremos en qué consisten las leyes de protección de datos, qué obligaciones deberás cumplir exactamente, qué se considera dato personal, qué tipos de sanciones se imponen y a cuánto ascienden, en qué casos puedes ser sancionado y, además, te daremos consejos y mejores prácticas para asegurar que tu sistema TPV (tu TPV y tu software de gestión comercial) cumplen con todas las normativas de protección de datos.
A este respecto, nuestra recomendación es que utilices un sistema TPV basado en la nube (de esta forma, es el proveedor de software el que, a grosso modo, se hace responsable del almacenamiento y seguridad de los datos, y no tú).
Una de las mejores opciones es, sin duda, helloCash.
helloCash cuenta con una de las estructuras de precios más competitivas del mercado, dispone de un plan gratuito que podrás utilizar de forma indefinida, cuenta con múltiples y potentes funcionalidades y, además, garantiza el cumplimiento normativo.
Puedes usar helloCash GRATIS – Además, crearte una cuenta te llevará menos de 2 minutos.
Normativa europea de protección de datos TPV – Todo lo que necesitas saber
- Ley de Protección de Datos Europea (RGPD / GDPR).
- Ley de Protección de Datos española.
- Normativa de protección de datos europea: Cómo te afecta.
- Qué es un dato personal.
- Tus obligaciones.
- Sanciones.
- Casos y motivos de sanción.
- Cómo asegurarte de que tu sistema TPV cumple con la normativa europea de protección de datos.
Ley de Protección de Datos Europea (RGPD / GDPR)
El Reglamento General de Protección de Datos (RGPD), conocido en inglés como GDPR, es la normativa de la Unión Europea que regula la recogida, almacenamiento y gestión de datos personales por parte tanto de particulares como de profesionales, empresas y organizaciones de cualquier tipo
El reglamento entró en vigor el 24 de mayo de 2016, y empezó a aplicarse el 25 de mayo de 2018.
Este reglamento es de obligado cumplimiento para todas las empresas (tanto de la UE como de fuera de la UE) que traten con datos de ciudadanos europeos.
El RGPD establece estrictos requisitos sobre cómo las organizaciones deben manejar los datos personales, siendo los criterios principales los siguientes:
- Las entidades o personas que traten con datos personales deben obtener el consentimiento explícito de los individuos para procesar sus datos.
- Deben proporcionar información clara sobre cómo se utilizarán estos datos.
- Deben proteger los datos mediante medidas de seguridad adecuadas y a notificar cualquier violación de datos en un plazo de 72 horas.
- Las categorías especiales de datos, como información sobre origen racial, orientación sexual, y datos de salud, requieren protección adicional y solo pueden ser tratados bajo condiciones específicas.
- En adición, las empresas también deben nombrar un Delegado de Protección de Datos (DPO) si supervisan regularmente a los ciudadanos o manejan datos sensibles a gran escala.
El RGPD impone sanciones significativas por incumplimiento, que pueden llegar hasta 20 millones de euros o el 4% del volumen de negocios global de la empresa. Esta normativa asegura una protección robusta y uniforme de los datos personales en toda la UE.
Ley de Protección de Datos española
La Ley Orgánica de Protección de Datos Personales (LOPD) y garantía de los derechos digitales o Ley Orgánica 2/2018, de 5 de diciembre, marca un hito significativo en la adaptación de la normativa española al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Esta legislación se introdujo tras un periodo de transición iniciado el 25 de mayo de 2018, cuando el RGPD (Reglamento General de Protección de Datos) se convirtió en aplicable en todos los estados miembros de la Unión Europea.
Durante este tiempo, España estuvo a la espera de un texto definitivo que actualizara la anterior Ley Orgánica de Protección de Datos de Carácter Personal de 1999.
La nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales no solo complementa y precisa los artículos del RGPD, sino que también integra las cincuenta y seis remisiones a los ordenamientos nacionales que el reglamento europeo contiene. Aunque el RGPD es directamente aplicable en todos los Estados miembros, esta ley proporciona el marco necesario para su correcta implementación en el contexto español.
Normativa de protección de datos europea: Cómo te afecta
Si eres dueño de un comercio minorista, eres un profesional autónomo o dueño de un pequeño negocio, es muy probable que en las operaciones comerciales del día a día trates con datos de clientes de diversas maneras:
- A través de tu TPV: La Agencia Española de Protección de Datos considera los datos de las tarjetas como datos personales y están protegidos y regulados por la ley de protección de datos.
- Mediante tu software de gestión o software TPV: Es posible que almacenes datos de clientes, de sus pedidos e historial de compras, así como otros datos personales, como nombre y apellidos, correo electrónico, entre otros.
- En tu web y redes sociales: Los datos personales que recojas o utilices en tu página web (incluyendo el uso de cookies).
- Ofertas de trabajo: El trato de los datos personales de los candidatos, incluyendo sus currículums, información personal, entre otros.
- Empleados: Todos los negocios gestionan ciertos datos identificativos básicos de sus empleados, como su información de contacto, datos de salud, entre otros.
- Cámaras de vigilancia: La captación de imágenes con fines de vigilancia tiene su propia regulación específica. En general, debes contar con carteles informativos suficientemente visibles que informen de su uso y, además, las cámaras no pueden enfocar a la vía pública.
En realidad, prácticamente casi todos los comercios minoristas y autónomos tienen que tratar con datos de particulares en algún momento.
Es fundamental que cumplas con todas las obligaciones dispuestas en las leyes de protección de datos en las diversas vías y formas en las que trates con datos de particulares, de lo contrario, te expones a severas sanciones que podrían llegar hasta los 20 millones de euros.
A continuación, veremos cuáles son exactamente las obligaciones que debes cumplir, a qué se considera dato personal en el Reglamento General de Protección de Datos, qué tipo de sanciones hay, a cuánto ascienden y los distintos motivos por los que podrías ser sancionado.
Qué es un dato personal
Según el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, un dato personal se define como cualquier información de una persona física que pudiese determinar su identidad censal, física, fisiológica, psíquica, cultural económica o social.
Esta definición abarca una amplia gama de información que puede ser utilizada para identificar directa o indirectamente a una persona. Los ejemplos de datos personales incluyen:
- Nombre y apellidos: Información básica de identificación.
- Dirección: Incluye domicilios físicos y direcciones de correo electrónico.
- Número de documento de identidad/pasaporte: Identificadores oficiales.
- Ingresos: Información financiera personal.
- Perfil cultural: Detalles relacionados con hábitos y preferencias culturales.
- Dirección de protocolo internet (IP): Identificadores en línea.
- Datos médicos: Información sanitaria que puede identificar a una persona con fines médicos.
- Otros.
Esta definición es intencionalmente amplia para abarcar todos los tipos de información que pueden ser utilizados para identificar a una persona, asegurando así una protección exhaustiva bajo las normativas del RGPD.
Tus obligaciones
Como dueño de un comercio minorista o empresa, en el día a día de tus operaciones comerciales vas a tratar con una gran cantidad de datos personales, como hemos visto antes.
Así pues, tus obligaciones según el Reglamento General de Protección de Datos (RGPD) son las siguientes:
- Obtener consentimiento explícito e informado de los individuos para el tratamiento de sus datos personales.
- Para el envío de publicidad: Solicitar consentimiento para envío de publicidad.
- Proporcionar información clara sobre quién trata los datos, por qué, la base legal, y los destinatarios.
- Derecho de acceso y rectificación: Permitir a los clientes acceder y corregir sus datos personales.
- Informar sobre los derechos de acceso, rectificación, y supresión.
- Derecho al olvido: Eliminar datos personales cuando ya no sean necesarios para el propósito original del tratamiento.
- Seguridad de los datos: Implementar medidas técnicas y organizativas para proteger los datos contra accesos no autorizados, pérdidas o daños.
- Notificación de violaciones de datos: Notificar a la autoridad de protección de datos y, en algunos casos, a los afectados dentro de 72 horas en caso de una violación de datos.
- Mantener un registro detallado de las actividades de tratamiento de datos personales, incluyendo la finalidad, categorías de datos y destinatarios (esto es obligatorio solo para empresas de más de 250 empleados o si se lleva a cabo tratamiento de datos de salud. Podría ser el caso, por ejemplo, de un restaurante que trata información sobre las alergias y medicamentos de sus clientes).
- Nombrar un DPO si se realiza seguimiento sistemático a gran escala, se tratan datos sensibles o datos sobre condenas e infracciones penales.
Sanciones
Las sanciones por incumplir el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales (LOPD) son de entre 40.000 y hasta 20 millones de euros. Estas pueden ser severas y varían según la gravedad de la infracción.
Sanciones según el RGPD:
- Infracciones graves: Multas de hasta 10 millones de euros o el 2% de la facturación anual global de la empresa, aplicando la cuantía más alta.
- Infracciones muy graves: Multas de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, aplicando la cuantía más alta.
Sanciones según la LOPD:
- Infracciones leves: Multas de hasta 40,000 euros.
- Infracciones graves: Multas entre 40,001 y 300,000 euros.
- Infracciones muy graves: Multas entre 300,001 euros y 20 millones de euros o el 4% de la facturación anual global, aplicando la cuantía más alta.
Estas sanciones buscan asegurar que las empresas cumplan con sus obligaciones en la gestión y protección de los datos personales. El incumplimiento puede resultar en penalizaciones económicas significativas y en la obligación de implementar medidas correctivas inmediatas para proteger los derechos de los afectados y prevenir futuras infracciones.
Casos y motivos de sanción
Las sanciones más comunes suelen darse por los siguientes motivos:
- La entidad no puede justificar la legalidad del tratamiento de los datos.
- No se obtiene el consentimiento adecuado de los interesados (como hemos dicho antes, se precisa un consentimiento explícito).
- No se han aplicado medidas de seguridad adecuadas para almacenar y proteger los datos.
- Los datos personales son expuestos a terceros no autorizados debido a una mala gestión de la seguridad.
- No se informa a los interesados adecuadamente sobre el procesamiento de sus datos.
- Se manipulan datos de manera desleal o no transparente.
- No se respeta la confidencialidad de los datos personales.
- No se atienden las solicitudes de los interesados para ejercer sus derechos en relación al tratamiento de sus datos personales (solicitud de eliminación o modificación de estos, entre otros).
- Se obstaculiza o impide el ejercicio de estos derechos.
- Se tratan datos de menores sin obtener el consentimiento necesario de los padres o tutores legales.
- No se informa a la Agencia Española de Protección de Datos (AEPD) sobre una violación de seguridad.
- No se notifica a los afectados sobre una violación que represente un alto riesgo para sus derechos y libertades.
Cómo asegurarte de que tu sistema TPV cumple con la normativa europea de protección de datos
Si quieres asegurarte de que el software TPV / de gestión de tu negocio cumple con la normativa europea de protección de datos (así como con otras normativas, como las leyes antifraude), te aconsejamos tener en cuenta los siguientes factores:
- Uso de tecnología cloud: Esto básicamente significa que la ejecución del software, así como también la información/datos, se ejecuta en la nube, es decir, en los servidores del proveedor de software, y no en tu ordenador o dispositivos locales. De esta forma, no tendrás que encargarte tú del almacenamiento de los datos ni de su seguridad, entre otros.
- Garantía de cumplimiento normativo: Elige un proveedor de software que esté homologado y que garantice el cumplimiento normativo, como, por ejemplo, helloCash.
- El software debe permitir asignar permisos y roles para limitar el acceso a determinados datos y funcionalidades a tus empleados.
- Actualizaciones y mantenimiento: A ser posible, escoge un proveedor que mantenga su software constantemente actualizado para cumplir con las cambiantes regulaciones.
- Actualizaciones automáticas: Por ejemplo, con helloCash, todas las actualizaciones se ejecutan de forma automática y en segundo plano, sin que tú tengas que hacer absolutamente nada y sin interrumpir tu actividad. Con otros software TPV, eres tú quien tiene que encargarse de actualizar todos tus dispositivos o de contratar a técnicos especializados.
- Ubicación del desarrollador: A ser posible, el proveedor de software debe tener sede en Europa. De lo contrario, corres el riesgo de que no desarrolle su software teniendo en cuenta las regulaciones europeas y españolas.
helloCash emplea tecnología cloud, garantiza el cumplimiento normativo (es más, nuestro software está homologado), permite asignar permisos y roles, está siendo constantemente actualizado (además, todas las actualizaciones se ejecutan de forma automática) y es un proveedor europeo.
Contamos con una de las estructuras de precios más competitivas del mercado y con un plan completamente gratuito que podrás utilizar de forma indefinida. Además, nuestro software TPV y de gestión comercial cuenta con múltiples y potentes funcionalidades, que te permitirán gestionar y optimizar la mayoría de los aspectos de tu negocio.
Por todo esto, no es de extrañar que helloCash ya sea la opción favorita de más de 40.000 negocios en toda Europa.
Empieza a usar helloCash – GRATIS y SIN COMPROMISO
Descargo de responsabilidad: Señalamos expresamente que este artículo no reemplaza el asesoramiento legal y/o fiscal.