FAQs y Casos Reales

Es un buen punto de partida, pero rara vez es suficiente, y mezclar cosas puede volverse en tu contra. El RGPD exige que los distintos consentimientos sean específicos, informados y separados. No es lo mismo el consentimiento sanitario para realizar el tatuaje, que la autorización para usar la foto en redes, que el permiso para enviarte publicidad. Si lo metes todo en el mismo documento y en el mismo «Acepto», ese consentimiento puede considerarse inválido, porque el cliente no puede aceptar una cosa y rechazar otra.

Además, un consentimiento informado pensado para cubrir riesgos sanitarios no suele cumplir los requisitos que el RGPD exige para el tratamiento de datos: identificación del responsable, finalidades concretas, base legitimadora, plazo de conservación, forma de ejercer los derechos, posibilidad de revocar… Tener «algo» puesto te da una falsa sensación de seguridad. Ante una reclamación, un documento mal planteado puede ser tan problemático como no tener ninguno.

Es la respuesta más habitual, y casi siempre es falsa o incompleta. La mayoría de gestorías se ocupan de tu contabilidad, tus impuestos y tus nóminas, pero no de tu adecuación al RGPD, que es una materia completamente distinta. Y cuando sí ofrecen «algo» de protección de datos, suele ser un paquete genérico que sirve igual para una peluquería, un taller mecánico o una asesoría, sin tener en cuenta nada de lo que hace especial a un estudio de tatuajes: las fotos de los trabajos, los datos de salud de los clientes, los consentimientos, los derechos de imagen de los tatuadores…

Nuestra recomendación es sencilla: pregúntale a tu gestoría, por escrito, si gestiona tu RGPD y qué documentación concreta te ha entregado. Si la respuesta es vaga o no tienes ningún documento firmado, no está cubierto. Y recuerda: aunque la gestoría tenga acceso a tus datos de clientes y empleados, sin un contrato de encargado del tratamiento firmado con ella, el responsable ante la ley sigues siendo tú.

A ambos, sin excepción. El RGPD no distingue entre el tamaño o la forma jurídica del negocio: se aplica a cualquier persona física o jurídica que trate datos personales. Da igual que seas una SL con diez empleados o un tatuador autónomo que trabaja solo. Si tienes clientes, recoges sus datos, les haces fotos o guardas sus teléfonos, estás obligado a cumplir. De hecho, muchos autónomos creen erróneamente que «como soy pequeño, esto no va conmigo», y son precisamente los que más expuestos están porque no tienen ninguna documentación.

Esta es una de las situaciones más malinterpretadas del sector. Si alquilas una cabina y atiendes a tus propios clientes, recoges tú sus datos y gestionas tú tu actividad, entonces tú eres responsable del tratamiento de los datos de tus clientes, independientemente de quién sea el dueño del local. El propietario del estudio responde de sus datos (sus empleados, sus cámaras, su web) y tú respondes de los tuyos. El contrato de alquiler de la cabina no te exime de tus obligaciones de protección de datos. Es más: lo recomendable es que exista un documento que delimite claramente quién trata qué datos, para que ante una reclamación quede claro de quién es la responsabilidad.

Depende de cómo trabajes, y es importante tenerlo claro. Si el estudio gestiona tus citas, recoge los datos de tus clientes en su sistema y tú trabajas bajo su nombre, lo más probable es que sea el estudio quien actúe como responsable del tratamiento. Pero si tú captas a tus propios clientes, gestionas tus propias redes y guardas tú su información, entonces tienes obligaciones propias. La frontera no siempre es evidente, y aquí es donde más errores se cometen: ante una inspección, «yo pensaba que de eso se encargaba el estudio» no es una defensa válida. Por eso conviene tener documentado por escrito quién asume cada responsabilidad.

Legalmente, sí. La ley no te obliga a contratar a nadie para cumplir el RGPD, igual que no te obliga a contratar un gestor para hacer tus impuestos. Ahora bien, el RGPD exige documentación específica, correctamente redactada y adaptada a la normativa española vigente, además de mantenerla actualizada cuando cambian las circunstancias de tu negocio o la propia normativa. Un documento descargado de internet, mal redactado o desfasado, puede ser peor que no tener nada: ante la AEPD demuestra negligencia. Hacerlo tú es posible, pero asume que el error te lo comes tú, y las sanciones por protección de datos están entre las más altas de nuestro ordenamiento.

No es obligatorio contratar nuestro servicio ni el de ninguna otra empresa. Lo que es obligatorio, por ley y sin excepciones, es cumplir el RGPD. Esa obligación recae sobre ti como responsable del tratamiento, la delegues en quien la delegues. La pregunta real no es «¿tengo que contratar esto?», sino «¿quiero asumir yo solo el riesgo de hacerlo mal?». En Cool Tattoo SL llevamos más de 20 años en el sector del tatuaje y conocemos exactamente las particularidades de vuestro negocio, algo que ni un software genérico ni una plantilla descargada pueden ofrecerte.

Más de los que crees, y algunos especialmente delicados. Datos identificativos (nombre, DNI, teléfono), datos de contacto, imágenes (fotos de los tatuajes, que pueden identificar a la persona), datos de empleados, y muy importante: datos de salud. Cuando preguntas a un cliente por alergias, medicación o enfermedades antes de tatuar, estás tratando datos de categoría especial, los más protegidos por el RGPD. Esto eleva mucho el nivel de exigencia legal y es algo que la mayoría de estudios pasa por alto.

Las sanciones del RGPD se dividen en dos tramos. Las infracciones se pueden sancionar con multas de hasta 20 millones de euros o el 4% de la facturación anual, según el caso. Para un estudio de tatuajes, las sanciones reales que impone la AEPD suelen ir desde unos cientos hasta varios miles de euros por infracciones habituales como no tener cláusulas informativas, cámaras sin cartel o webs sin política de privacidad. El problema rara vez es una sola infracción: cuando llega una inspección o una denuncia, suelen aflorar varias a la vez.

Ya. El RGPD está en vigor desde 2018 y no contempla períodos de gracia: la obligación de cumplir existe desde el primer día en que tratas datos personales. No hay que esperar a recibir una notificación ni a que te avisen. La inmensa mayoría de sanciones llegan por denuncias de clientes, exempleados o competidores, no por inspecciones aleatorias. Es decir, el riesgo no es abstracto: suele tener nombre y apellidos de alguien que se ha enfadado contigo.

Cuanto antes regularices tu situación, mejor. Tener la documentación en regla, aunque sea después de un incidente, demuestra voluntad de cumplimiento y puede ser un atenuante. Contacta con nosotros y analizamos tu caso concreto: lo peor que puedes hacer es no hacer nada y esperar a que el problema se resuelva solo, porque en protección de datos eso no ocurre.