Riesgos reales

Publicaste en Instagram una foto del tatuaje que le hiciste. La foto quedó genial, dio likes, consiguió seguidores… y una semana después recibiste un burofax. El cliente no había firmado ninguna autorización de uso de imagen y presenta una reclamación ante la AEPD. Resultado: expediente sancionador, posible multa y reputación dañada.

Lo que lo hubiera evitado: una simple autorización de uso de imágenes firmada antes o después de la sesió

Tu mejor tatuador decide montar su propio estudio. Se va… y se lleva los contactos, los historiales y las fotos de todos sus clientes. Clientes que empiezan a recibir mensajes suyos ofreciéndoles sus servicios. Sin contrato de confidencialidad firmado, no tienes ningún recurso legal claro.

Lo que lo hubiera evitado: un contrato de confidencialidad con cada empleado desde el primer día.

Sacas una colección de camisetas, pósters o stickers con el estilo o la imagen de uno de tus artistas. Queda genial, se vende bien… hasta que el tatuador se enfada o se va del estudio y reclama. Su imagen, su estilo y su trabajo son suyos. Sin una autorización firmada que cubra el uso comercial de su imagen, estás expuesto a una reclamación civil por derechos de imagen y otra ante la AEPD por uso no autorizado de datos personales.

Lo que lo hubiera evitado: una autorización de uso de imagen del trabajador que incluya expresamente el uso comercial y el merchandising.

Un empleado despedido denuncia que fue grabado sin ser informado. La ley obliga a colocar un cartel visible informando de la videovigilancia. No lo tenías. La AEPD abre expediente. La multa mínima en estos casos supera los 3.000 euros.

Lo que lo hubiera evitado: un cartel informativo y la cláusula de videovigilancia correctamente redactada.

Un cliente rellena el formulario de contacto de tu web. Sus datos quedan almacenados sin que haya sido informado de nada: quién los trata, para qué, cuánto tiempo se guardan… Cualquier usuario puede denunciarte ante la AEPD por este motivo. Y lo hacen más de lo que crees.

Lo que lo hubiera evitado: política de privacidad, aviso legal y política de cookies en tu web. Tres documentos. Ninguna excusa.

En el proceso de tatuaje recogiste información sobre sus alergias y medicación. Datos de salud: categoría especial bajo el RGPD, máxima protección. Si no tienes documentado su consentimiento expreso para tratar esos datos, estás expuesto a una sanción grave. Y «me lo dijo de palabra» no vale.

Lo que lo hubiera evitado: un consentimiento informado correcto firmado antes de cada sesión.

Tienes una lista de clientes y de vez en cuando les mandas ofertas o novedades. Ninguno te dio permiso explícito para ello. Uno se molesta y lo reporta. La AEPD es especialmente activa en sancionar el spam y las comunicaciones comerciales sin base legal.

Lo que lo hubiera evitado: un registro de consentimiento para comunicaciones comerciales, recogido en el momento de la primera interacción.

Te roban el portátil del estudio. En él había contratos, fotos de clientes, datos de nóminas… Sin cifrado, sin contraseña robusta, cualquiera puede acceder a toda esa información. Estás obligado a notificar la brecha a la AEPD en 72 horas y posiblemente también a los afectados. Si no lo haces, la sanción se multiplica.

Lo que lo hubiera evitado: una política de seguridad básica documentada: contraseñas, cifrado y copias de seguridad.

Tu agenda de papel o digital tiene nombres, teléfonos, fechas de cita y a veces anotaciones sobre el tipo de tatuaje o las preferencias del cliente. Es un fichero de datos personales en toda regla. Si la pierdes o te la roban, estás ante una brecha de seguridad que debes notificar a la AEPD en 72 horas. Si no lo haces, la sanción por no notificar se suma a la sanción por la brecha en sí.

Lo que lo hubiera evitado: una política de gestión de datos documentada y saber exactamente qué hacer cuando ocurre una incidencia. El tiempo corre desde el momento en que la detectas.

Nos encargamos de toda la documentación, te asesoramos ante cualquier incidencia y te acompañamos si alguna vez recibes una reclamación. Porque cuando llega el problema, el tiempo que tienes para reaccionar es muy corto.

¿Estás pensando en hacerlo tú solo?

Normal. Después de leer esto, muchos estudios piensan: «tampoco es tan difícil, busco los contratos por internet y me los hago yo.» Y técnicamente, sí puedes. Pero hay algunas cosas que deberías saber antes:

Un contrato de confidencialidad descargado de internet puede estar desactualizado, no adaptado a la normativa española vigente, o simplemente mal redactado. En una reclamación real, un documento mal hecho es casi peor que no tener ninguno: da sensación de negligencia.

El RGPD no es estático. La AEPD publica guías, criterios y resoluciones constantemente. Lo que era válido hace dos años puede no serlo hoy. ¿Tienes tiempo de seguir todos esos cambios además de gestionar tu estudio?

Y lo más importante: cuando llegue el problema, no tendrás a nadie al teléfono. Una reclamación de un cliente, una inspección, un empleado que se va con malas formas… en esos momentos no hay tutorial de YouTube que valga. Necesitas a alguien que ya haya estado ahí.

Llevar un estudio de tatuajes ya es suficientemente exigente. El RGPD es nuestro trabajo, no el tuyo.

No esperes a que te pase a ti.