Los concesionarios de coches y vehículos en general, como parte de su actividad principal, tratan datos personales de clientes, empleados y proveedores. En consecuencia, los concesionarios están obligados a confeccionar e implantar un plan de cumplimiento en materia de protección de datos de acuerdo con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Como parte del cumplimiento de la protección de datos de los concesionarios, los Responsables deberán diseñar e implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre del establecimiento. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los clientes que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.
A continuación, explicamos las obligaciones de protección de datos que deben cumplir los concesionarios, que son fundamentalmente:
1. Realizar el análisis de riesgos.
Los concesionarios deben realizar un análisis de riesgos de las actividades de tratamiento. Se trata de un informe que identifica las amenazas, así como la probabilidad y el impacto que podría suponer que estas amenazas se materialicen. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas para mitigarlo. Como norma general en los concesionarios no se tratan datos sensibles. Los tratamientos incluyen datos identificativos, contractuales y financieros para gestión de la compraventa, y de operaciones de financiación, asi como para realizar presupuestos. Las actividades de publicidad pueden suponer un riesgo alto si se realizan con frecuencia y a un gran numero de usuarios.
2. Informar a los interesados.
El concesionario debe cumplir con el principio de transparencia de acuerdo con lo establecido en el RGPD. Debe informar a los interesados sobre el tratamiento de sus datos, a través de medios acreditables y en el momento de recogida de datos, no de forma posterior. Para informar a los clientes, por ejemplo, se pueden colocar carteles informativos en la entrada del establecimiento, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos, así como en los modelos de presupuestos, contratos de compraventa de vehículos.
De igual forma, se debe incluir una referencia a la protección de datos en los modelos de consentimiento e información para acciones comerciales, acuerdos de financiación, oferta de garantías, servicios postventa o pre-ITV, etc. Lo que permite garantizar que el cliente conozca el destino de su información. La información y el consentimiento pueden ser verbales, pero debe recabarse por escrito para que sea acreditable.
En el caso de contar con una página web, debe incluir los textos legales requeridos: política de privacidad, política de cookies y el aviso legal general, así como cláusulas informativas y de consentimiento según proceda.
3. Recabar el consentimiento para el tratamiento de datos.
Como norma general los concesionarios tratan datos de clientes basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. No obstante, existen determinados tratamientos de datos que requieren el consentimiento, como pueden ser la captación de videos o fotos de clientes para promocionar los servicios en la red, el envío de ofertas y promociones personalizadas o la suscripción a la newsletter del concesionario. Resulta imprescindible en los concesionarios evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que nos permitan cumplir con esta obligación.
4. Permitir el ejercicio de derechos de los interesados.
Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los clientes tengan en todo momento el control sobre su información. Para ello los concesionarios deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.
Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción del RGPD. Las solicitudes de bajas de publicidad suelen ser las que mayor número de conflictos generan.
5. Firmar los compromisos de confidencialidad con los empleados.
Los empleados van a tener acceso a la información de clientes, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en el concesionario y se comprometan a cumplirlas.
Resulta clave que todos los empleados del concesionario reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas de protección de datos a la empresa.
6. Firmar los contratos con los encargados de tratamiento.
Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, entre otras. Los concesionarios deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.
7. Realizar las auditorías periódicas.
Algunos concesionarios van a manejar grandes cantidades de datos debido al alto número de clientes, de tal modo, y tal como establece la normativa, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.
En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica.
Somos Delegados de Protección de Datos Certificados.
Solicítanos un presupuesto ajustado en email info@umbraconsulting.es
Lilliam Valenzuela