Entrar

RGPD para salones de belleza: qué datos de clientes puedes conservar y durante cuánto tiempo

Un salón medio trata más datos personales de los que su propietario imagina: nombre, dirección, teléfono, correo electrónico, historial de tratamientos, datos de pago, a veces fotos de antes y después, y en tratamientos de la piel o inyectables también datos de salud como alergias, medicación y embarazo. El RGPD se aplica a cualquier salón, incluso al autónomo con un cuaderno lleno de números de cliente. Las sanciones a pequeños negocios son raras, pero una reclamación ante la autoridad de protección de datos (en España, la AEPD), un exantiguo cliente enfadado que pide sus datos, o una brecha de seguridad (un portátil robado, un envío de correo mal hecho) son más realistas de lo que parece, y entonces te cuesta mucho más tiempo que haberlo organizado bien de antemano. Esta guía traduce el RGPD a lo que un salón debe hacer en concreto: qué datos puedes conservar, cuánto tiempo, cuándo necesitas consentimiento y cuándo no, y cómo guardar las notas de salud de forma segura. Sin jerga jurídica: práctica, plazos de conservación y textos de ejemplo. (Esto no es asesoramiento legal; ante una duda específica consulta a un abogado especializado en privacidad o la información de la autoridad de protección de datos.)

¿Qué datos de clientes puede conservar un salón?

El RGPD gira en torno a dos principios: necesitas una base jurídica válida para tratar datos, y no tratas más de lo necesario (minimización de datos). Para un salón, la base de la mayoría de los datos es sencilla: la "ejecución del contrato". No puedes planificar una cita, realizar un tratamiento ni enviar una factura sin nombre, datos de contacto e historial de tratamientos. Eso está permitido sin un consentimiento aparte. En concreto, puedes conservar por defecto: nombre, dirección, número de teléfono, correo electrónico, fecha de nacimiento (para acciones de cumpleaños o control de edad en ciertos tratamientos), historial de tratamientos, citas realizadas, historial de no-shows, datos de pago y facturación, y notas internas relevantes para el tratamiento ("la clienta quiere siempre la misma estilista", "la última vez el color salió demasiado oscuro"). Lo que no puedes guardar sin más: una copia del documento de identidad, el DNI completo, o datos que no tienen nada que ver con el tratamiento. Regla práctica: si no puedes explicar un dato desde "esto lo necesito para tratar bien a esta clienta o facturar correctamente", elimínalo o pide consentimiento expreso para él. En Salonnare solo figura lo que un salón realmente necesita en el perfil de cliente estándar; todo lo demás es una decisión consciente.

Categorías especiales de datos: alergias, medicación, afecciones cutáneas, embarazo

Aquí la cosa se pone seria. Los datos sobre la salud de una persona son "categorías especiales de datos personales" (artículo 9 del RGPD) y, en principio, no puedes tratarlos, salvo que tengas el consentimiento explícito del cliente. Para centros de belleza, especialistas en piel y cualquiera que trabaje con productos químicos, agujas, láseres o inyectables, esto no es un caso límite: una alergia a un ingrediente, el uso de anticoagulantes, una afección de la piel o un embarazo son relevantes para el tratamiento y, a la vez, datos de salud. Lo que debes organizar: (1) pide consentimiento explícito antes de anotar estos datos, preferiblemente mediante una casilla o firma en un formulario de admisión donde se indique para qué los usas; (2) guárdalos separados de los datos de cliente habituales, no como un comentario suelto en un campo de notas genérico; (3) limita quién puede verlos a los profesionales que realizan el tratamiento; (4) consérvalos el menor tiempo posible y elimínalos si el cliente ya no vuelve; (5) asegúrate de que el cliente pueda retirar el consentimiento. Salonnare dispone para esto de una "bóveda de salud" cifrada aparte: las notas de salud se almacenan cifradas con AES-256, separadas de las notas normales del cliente, con un registro de accesos, un registro de consentimiento por cliente y un plazo de eliminación automática. Una simple "nota sobre el cliente" no es el lugar adecuado para esto.

¿Cuánto tiempo puedes conservar los datos de clientes?

El RGPD no fija plazos concretos: la regla es "no más tiempo del necesario". En la práctica aplicas plazos distintos según el tipo de dato. Para un cliente activo: mientras dure la relación. Para un cliente que ya no vuelve: un plazo razonable; las autoridades de protección de datos suelen citar 2 años desde el último contacto como orientación para la administración de clientes; muchos salones eligen entre 1 y 2 años y antes de eliminar envían un correo de "te echamos de menos". Para facturas y datos de pago hay una obligación legal de conservación: en España, generalmente entre 4 y 6 años para la documentación contable y fiscal, así que esos datos puedes y debes conservarlos más tiempo que el resto, pero úsalos en ese periodo solo para la contabilidad, no para marketing. Para las notas de salud: el menor tiempo posible, y en todo caso elimínalas en cuanto el cliente deje de venir. Para el consentimiento de marketing (lista de correo): hasta que el cliente se dé de baja. Para fotos de antes y después: hasta que el cliente retire el consentimiento, y no más tiempo del necesario para el fin con el que las hiciste. En la práctica: pon una vez al año un recordatorio para depurar tu base de clientes, anonimizar o eliminar clientes inactivos y borrar notas de salud antiguas. Salonnare hace esto en parte de forma automática: la bóveda de salud tiene una tarea de retención que elimina las notas de salud caducadas tras un plazo configurado.

Consentimiento: cuándo lo necesitas y cómo lo documentas

Un error frecuente es pensar que necesitas consentimiento para todo, y un segundo error es pensar que nunca lo necesitas. La verdad está en el medio. No necesitas un consentimiento aparte para: planificar citas, enviar confirmaciones y recordatorios de citas, mantener el historial de tratamientos y enviar una factura. Todo eso entra dentro de la "ejecución del contrato". Sí necesitas consentimiento explícito para: anotar datos de salud, hacer y conservar fotos de antes y después, usar fotos en tu web o redes sociales (con cliente reconocible) y enviar campañas de marketing o un boletín. El consentimiento debe ser libre, específico, informado e inequívoco, así que nada de casillas premarcadas, nada de "al reservar aceptas todas nuestras campañas", y el cliente debe poder retirarlo con la misma facilidad con la que lo dio. Cómo documentarlo: un formulario de admisión (en papel o digital) con casillas separadas por finalidad, o un doble opt-in para tu boletín. Guarda lo que el cliente marcó, cuándo, y la versión del texto. Salonnare registra el consentimiento para las notas de salud con marca de tiempo y conserva los eventos de consentimiento, de modo que ante una pregunta o reclamación puedas demostrar qué autorizó exactamente el cliente.

Contrato de encargado de tratamiento, subencargados y brechas de seguridad

En cuanto usas software en el que figuran datos de clientes (un sistema de reservas, una herramienta de correo para tu boletín, un proveedor de pagos, un programa de contabilidad), cedes datos a un "encargado de tratamiento", y entonces necesitas un contrato de encargado de tratamiento (DPA) en el que se indique qué puede y qué no puede hacer esa empresa con los datos. Un proveedor decente lo tiene preparado de serie; pídelo si no lo encuentras. Lo mismo vale para las empresas que tu proveedor subcontrata a su vez (subencargados: alojamiento, entrega de correo, SMS): deben figurar en una lista que puedas consultar. Y luego están las brechas de seguridad: si datos personales acaban (o pueden acabar) en manos equivocadas - un portátil o móvil robado o perdido sin cifrado, una campaña enviada por error con todas las direcciones en el campo CC, una cuenta hackeada, una carpeta con formularios de admisión que desaparece de tu coche - eso es una brecha de seguridad. Si hay riesgo para las personas afectadas, debes notificarlo en un plazo de 72 horas a la autoridad de protección de datos, y si el riesgo es alto, también informar a los propios clientes. Por eso conviene llevar un breve "registro de brechas" (qué, cuándo, qué se hizo), usar bloqueo de pantalla y cifrado en los dispositivos, y enviar campañas con copia oculta (CCO) o con una herramienta de correo de verdad. Salonnare cifra los datos sensibles, registra los accesos a la bóveda de salud y entrega de serie un contrato de encargado de tratamiento más una lista de subencargados actualizada, lo que te ahorra el papeleo más importante.

Derechos de tus clientes: acceso, rectificación y supresión

Tus clientes tienen derechos a los que debes poder responder, normalmente en el plazo de un mes. Los tres que más te encontrarás en un salón: (1) Acceso: el cliente puede preguntar qué datos tienes sobre él y para qué los usas. Entonces le facilitas un resumen: datos de perfil, citas, historial de tratamientos, eventuales notas de salud, facturas y qué consentimientos se han dado. (2) Rectificación: si los datos no son correctos, los corriges. (3) Supresión ("derecho al olvido"): el cliente puede pedir la eliminación, y en principio debes atenderla, salvo para los datos que estás obligado legalmente a conservar (facturas: 4 a 6 años en España); para esos explicas que no puedes borrar ese registro pero sí dejas de usarlo para otros fines y eliminas el resto. Además existe el derecho a la portabilidad de los datos (recibirlos en un formato legible) y el derecho a oponerse al marketing, que se resuelve simplemente con un enlace de baja que funcione. En la práctica: acuerda quién en tu salón gestiona este tipo de solicitudes, y cómo. Salonnare tiene una exportación RGPD integrada que, a petición, reúne todos los datos de un cliente en un único archivo (perfil, citas, tratamientos, facturas, notas de salud, historial de consentimiento), de modo que una solicitud de acceso no se convierte en medio día de búsqueda.

Checklist práctica de RGPD para tu salón

Diez cosas que puedes marcar esta semana: (1) Inventaría qué datos de clientes recopilas y por qué; elimina lo que no necesitas. (2) Separa las notas de salud (alergia, medicación, piel, embarazo) de las notas normales, con consentimiento explícito y acceso restringido. (3) Crea un formulario de admisión con casillas separadas por finalidad (tratamiento, datos de salud, fotos, boletín). (4) Establece plazos de conservación: cliente activo = mientras dure la relación, inactivo = 1-2 años, facturas = 4 a 6 años en España, notas de salud = el menor tiempo posible. (5) Pon una vez al año un recordatorio para depurar tu base de clientes. (6) Pide contratos de encargado de tratamiento a tu sistema de reservas, tu herramienta de correo, tu proveedor de pagos y tu asesor contable. (7) Asegúrate de que todos tus dispositivos tengan bloqueo de pantalla y cifrado de disco. (8) Envía campañas con copia oculta (CCO) o con una herramienta de correo de verdad con enlace de baja, nunca con las direcciones en CC. (9) Haz un plan breve para brechas de seguridad: quién notifica, en 72 horas, a la autoridad. (10) Acuerda quién gestiona las solicitudes de acceso y supresión. Un buen sistema de reservas hace la mitad de esta lista por ti: cifrado, almacenamiento separado de los datos de salud, registro de consentimiento, exportación RGPD, un contrato de encargado de tratamiento. La otra mitad es simplemente una tarde de trabajo y después una revisión una vez al año.

Salonnare se encarga de la parte técnica del RGPD

Bóveda de salud cifrada para las notas de salud, registro de consentimiento, exportación RGPD por cliente, plazos de conservación integrados, y un contrato de encargado de tratamiento más una lista de subencargados incluidos de serie. Tú te ocupas de los formularios de admisión y de la ronda anual de depuración; Salonnare hace el resto.

Prueba Salonnare gratis

Preguntas frecuentes sobre el RGPD para salones

¿Se aplica el RGPD también a un pequeño salón de autónomo?

Sí. El RGPD no tiene un umbral mínimo por tamaño: tanto si tienes un sillón como diez locales, tratas datos personales y, por tanto, te aplica la norma. Lo que sí escala es la severidad de la supervisión y cuánto debes documentar: un salón pequeño no necesita nombrar un delegado de protección de datos ni llevar un registro de actividades de tratamiento exhaustivo, pero la base (base jurídica válida, minimización de datos, seguridad, derechos de los clientes, datos de salud aparte y con consentimiento) vale para todos.

¿Tengo que nombrar un delegado de protección de datos (DPD)?

Casi con seguridad no. Un DPD es obligatorio para administraciones públicas y para organizaciones que tratan categorías especiales de datos a gran escala o que monitorizan a personas de forma sistemática. Un salón normal no entra en eso, ni siquiera si lleva notas de salud: "gran escala" significa algo como un hospital o una aseguradora, no un salón con unos cientos de clientes. Lo que sí conviene: designar internamente a una persona que vigile los asuntos de RGPD.

¿Puedo poner fotos de antes y después de mis clientas en Instagram?

Solo con el consentimiento de la clienta, y ese consentimiento debe ser específico para ese fin. "¿Puedo hacerte una foto para tu ficha?" es algo distinto de "¿puedo publicar esta foto en Instagram y en mi web?". Pídelo por separado, registra lo que la clienta ha autorizado, y respétalo si más tarde retira el consentimiento (retirar la foto). Con menores reconocibles necesitas el consentimiento de los padres. Los primeros planos anónimos sin rostro son una opción más segura para tu feed.

¿Cuánto tiempo debo conservar las facturas de los clientes?

En España, generalmente entre 4 y 6 años: es la obligación de conservación fiscal y contable de tu administración, y prevalece sobre el principio del RGPD de "el menor tiempo posible". Durante esos años usas esos datos solo para la contabilidad y la administración tributaria, ya no para marketing ni contacto con el cliente. Pasado ese plazo los eliminas o anonimizas. Otros datos de clientes (perfil, historial de tratamientos) no necesitas conservarlos tanto tiempo: ahí vale un plazo "razonable" mucho más corto, habitualmente de 1 a 2 años desde la última visita.

¿Qué debo hacer si hay una brecha de seguridad?

Evalúa primero el riesgo para los clientes. Si hay posibilidad de daño (fraude de identidad, exposición de datos sensibles, daño reputacional), lo notificas en un plazo de 72 horas desde su descubrimiento a la autoridad de protección de datos a través de su formulario online. Si el riesgo es alto, también informas a los propios clientes afectados, en lenguaje comprensible. Documenta siempre qué ha pasado, cuándo, qué datos afectó y qué medidas has tomado, incluso si decides que no hace falta notificar. El cifrado ayuda enormemente: los datos en un dispositivo robado que está bien cifrado normalmente no constituyen una brecha de notificación obligatoria.