65.000 seguidores

en redes sociales

Reparación

Ley de protección de datos en talleres: cómo cumplir con el RGPD y evitar sanciones

Cristina López y Francisco Javier García Garrido, expertos de Audidat y la Agencia Española de Protección de Datos respectivamente, protagonistas del último webinar de Asetra.

Publicado: 22/10/2025 ·15:42
Actualizado: 22/10/2025 · 17:42
  • Los expertos diferenciaron entre tres tipos de datos.

¡Únete a las listas de difusión de Infotaller

UNIRSE

LO MÁS LEÍDO DE LA SEMANA

MÁS DE Ismael del Prado

La empresa Audidat, dedicada durante más de dos décadas al tratamiento de datos tanto a nivel personal como empresarial, fue la invitada al webinar organizado este 21 de octubre por Asetra. En el mismo, de copioso contenido, se explicó cuál es la normativa vigente en España, así como los aspectos que debe regular y cumplir todo taller para evitar sanciones, de acuerdo tanto con el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos garantía derechos digitales (LOPDGDD).

El webinar fue conducido al alimón por Cristina López Vendrell, consultora de Audidat y gerente en la delegación Madrid Centro; y Francisco Javier García Garrido, delegado de protección de datos, certificado por la Agencia Española de Protección de Datos. 

La primera en tomar la palabra fue Cristina López, que comenzó explicando "a qué llamamos datos personales, pues a toda información sobre una persona física identificada o identificable". Además, argumentó qué se considera "tratamiento de dichos datos personales", es decir, "cualquier operación o conjunto de operaciones realizadas sobre datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción". En esta toma de contacto inicial, López también enumeró las categorías especiales de datos existentes como "ideología, opiniones políticas, afiliación sindical, religión, creencias, origen racial o étnico, salud o vida sexual, así como datos biométricos y datos genéticos". 

Igualmente, la experta de Audidat diferenció entre tres tipos de datos de carácter personal: 

  • Datos de carácter identificativo: Se refiere al nombre y apellidos, DNI o NIF, número de seguridad social, teléfono, dirección -tanto postal como electrónica- y la voz e imagen.
  • Datos de características personales: Estado civil, filiación, lugar y fecha de nacimiento y la edad. 
  • Datos de circunstancias sociales: Propiedades y posesiones, aficiones y estilo de vida, pertenencia a asociaciones o clubes deportivos... 

La protección de datos como elemento fidelizador

En este sentido, Cristina López recordó que la protección de todos estos datos es "un derecho fundamental reconocido por la Unión Europea y el Tribunal Constitucional". "Su salvaguarda permite un control de las personas sobre sus propios datos, pues así se garantiza el respeto de sus derechos y libertades en la sociedad digital", por ello, "es un valor diferencial de las empresas y un factor de confianza para sus clientes". "Es objeto de tratamiento y cuidado en las empresas, pues al conseguir una mejora en la seguridad de la información, se garantiza la integridad, confidencialidad y disponibilidad de todos los datos de los clientes", supeditó comlo factor importante para lograr la "fidelización".

En la ponencia, López también enumeró sobre quién se debe ejercer dicha protección de datos, es decir, los denominados "sujetos obligados". 

  • Interesado: En opinión del panelista, "el más importante", es la persona identificada o identificable a la que se refieren los datos personales que son objeto del tratamiento
  • Representante: Obligatorio para aquellos responsables o encargados de tratamiento no establecidos en la UE. Hay una designación formal por escrito.
  • Responsable
  • Encargado.
  • Subencargado.

Asimismo, según pasó a explicar Francisco Javier García Garrido, el artículo 5 del RGPD distingue entre varios principios de tratamiento de datos: 

  • Licitud, lealtad y transparencia: Lícitos, leales y transparentes. 
  • Limitación de la finalidad: Se deben dar para fines determinados y específicos. 
  • Minimización de datos: Sólo se debe facilitar los adecuados, pertinentes y limitados. 
  • Exactitud: Deben estar actualizados. 
  • Limitación del plazo de conservación: Se debe establecer el tiempo necesario, no más, para que pueda utilizarse ese tratamiento de los datos. 
  • Integridad y confidencialidad: Deben otorgarse en un clima adecuado de seguridad. 
  • Responsabilidad proactiva: Una vez empleados, se debe demostrar el cumplimiento de los anteriores y el uso dado para los mismos. 

Cómo elaborar un registro del tratamiento de datos

Por su parte, López volvió a tomar la palabra para advertir que, dentro de las obligaciones que tiene una empresa, por tanto, también el taller mecánico, destaca el registro de actividades del tratamiento de datos, que debe confeccionar cada negocio y que debe hacer constar: 

  • Finalidad del Tratamiento: Se refiere a la gestión, control y préstamo de dichos datos, así como su uso. 
  • Base jurídica del tratamiento. 
  • Descripción de interesados: Elaborar un perfil breve de los destinatarios de los datos. 
  • Descripción de datos personales: Deben figurar tanto los de carácter identificativo (DNI, nombre y apellidos, dirección postal y electrónica), como los académicos y profesionales (formación y titulaciones), además de los de detalle del empleo (trabajos y función a realizar). 
  • Cesiones o comunicaciones de datos. 
  • Transferencias internacionales. 
  • Plazo previsto de conservación de datos: Se conservarán únicamente durante el tiempo necesario para cumplir con la finalidad para la que fueron rccabados y con las obligaciones que se pudieran derivar de su tratamiento. 
  • Medidas de seguridad técnicas y organizativas

La elaboración de este registro de la posesión y cesión de datos, en opinión de la consultora de Audidat, tiene un único y fundamental cometido: "Que los interesados entiendan perfectamente qué va a hacerse con la información personal que se le pide". Ahí es donde entra en juego la capacidad de cada empresario o propietario del taller por "ser lo más transparente posible y darle a los interesados -bien sean clientes, trabajadores, proveedores...- el control de sus datos, con un lenguaje sencillo y opciones claras como los fomularios de datos o las facturas, que les permitan decidir qué se va a hacer con su información personal". 

En lo referente a las páginas web, deben contar con una política de privacidad -eso sí, las excesivamente extensas y complejas, cargadas de tecnicismos jurídicos carecen de sentido- y registro de cookies -que es la información que recoge la red y nos clasifica en cuanto nuestros hábitos y preferencias-.

El delicado hilo del consentimiento

Ambos expertos coincidieron en resaltar la importancia de obtener "el beneplácito del cliente con su consentimiento". Así, con la última normativa, este consentimiento deberá estar basado en una declaración o clara acción afirmativa" por parte del interesado, bien sea una firma manuscrita o electrónica avanzada, marcación de una casilla, un botón de acepto o la grabación de una llamada. Esta nueva normativa de protección de datos hace que "el consentimiento tácito, basado en el silencio del interesado deje de tener validez jurídica", subrayó García Garrido. 

El delegado de la Agencia Española de Protección de Datos se centró, en este caso, en la posventa para dejar claro que "cuando recibimos una factura del taller y la firmamos, estamos otorgando nuestro consentimiento", también advirtió de que "en el ámbito del taller, como en el de los demás negocios, el consentimiento puede ser reversible, es decir, puedo dar marcho atrás en mi postura en cualquier momento, siempre que lo considere oportuno". 

Cómo preservar la seguridad de los datos

Otra de las obligaciones que se tiene en cuanto a la protección de datos es la seguridad de los mismos en cuanto a su manejo y documentación. "La empresa debe ser capaz de probar que efectivamente aplica y cumple la normativa, que es rigurosa en ello", coincidieron ambos expertos.. 

De este modo, "teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, el alcance, el contexto o los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el poseedor de los datos debe garantizar un nivel de seguridad adecuados a esa lista de factores de riesgo. Para ello, Cristina López aconsejó estas cuatro medidas técnicas y organizativas: 

  • Seudonimización y el cifrado de los datos personales. 
  • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento de datos. 
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Proceso de verificación, evaluación y valoración de la eficacia de esta medidas técnicas y de organización para garantizar la seguridad del tratamiento. 

Violaciones de seguridad y ciberataques

En caso de que exista riesgo de una violación de seguridad o un ciberataque, la empresa o cliente deberá comunicarse a la Agencia Española de Protección de Datos, mientras que si existe alto riesgo -por la importancia de los datos o por el número de personas afectadas- y también deberá comunicarse a los propios interesados, especialmente, en aquellos casos en los que pueda afectar a sus derechos y libertades. El plazo máximo es de 72 horas, por ejemplo, cuando se es víctima de un ataque informático o un robo de información. 

Además, entre los ejemplos de violaciones de seguridad, los expertos de Audidat enumeraron: 

  • Datos de los empleados revelados: direcciones personales, composición de la familia, sueldo mensual, gastos médicos de cada empleado.
  • Publicación de datos o informaciones médicos, privados o físicos en internet
  • Robos físicos de documentos o dispositivos que contengan datos sensibles. 
  • Errores humanos. 
  • Robo de información por parte de un hacker
  • Filtración de datos en pasarelas de pago. 

Videovigilancia, matrículas y trato con peritos/seguradoras

Por último, Cristina López se detuvo en tres cuestiones específicas que atañen especialmente al día a día en el taller: 

  • Videovigilancia: En todos los lugares del taller, fuera y dentro del mismo, donde existen cámaras de seguridad grabando, se han de instalar los distintivos informativos y carteles amarillos de alerta, bien visibles para que el cliente tenga constancia de que esté siendo grabado. 

En este sentido, sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el negocio. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 

Las imágenes serán suprimidas en el plazo máximo de un mes desde su captación, salvo hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. Además, existe para ambas partes sendos derechos de acceso y supresión. 

  • Matrículas: La AEPD se ha pronunciado a este respecto a través del procedimiento sancionador PS/00382/2018, que afirma que "la recogida y almacenamiento de las imágenes obtenidas por las cámaras de videovigilancia instaladas con fines de control de tráfico en las que se hayan captado las matrículas de los vehículos que circulan por las zonas videovigiladas constituye un tratamiento de datos de carácter personal.

"Toda vez que dichas matrículas proporcionan al responsable del tratamiento una información que permite identificar, directa o indirectamente, a las personas físicas titulares de los vehículos que circulan por la zona videovigilada o, en su caso, a los conductores de los mismos", justificó García Garrido.

  • Peritos/Aseguradoras: En este caso hay dos posibilidades: 

1º) Si el cliente contrata directamente la reparación y la aseguradora sólo envía un perito para valorar los daños. En este caso, no hay que firmar contrato de encargado de tratamiento entre el taller y la aseguradora, pero sí conviene firmar un contrato de cesión de datos o un compromiso de confidencialidad. 

Cada parte es responsable del tratamiento independiente: 

-El taller trata los datos del cliente necesarios para la reparación y la facturación (por tanto, es responsable del tratamiento). 
-La aseguradora trata los datos del mismo cliente para gestionar el siniestro (también como responsable del tratamiento). 
-El perito lo envía a la aseguradora. 

2º) El taller presta servicios directamente para la aseguradora: Por ejemplo, tienen un acuerdo de colaboración, convenio de reparación o facturación directa con la aseguradora. En este caso, el taller sería encargado de tratamiento de la aseguradora, toda vez que: 

-La aseguradora facilita al taller los datos del asegurado y del siniestro. 
-El taller ejecuta la reparación y reporta el resultado. 

Por este motivo, "deben formar un contrato de encargado de tratamiento conforme al artículo 28 RGPD, donde la aseguradora es responsable de tratamiento y el taller, encargado", concluyó Cristina López
 

noticias relacionadas

Listas de difusión de Infotaller

Inspírate y contribuye cada mañana a tu éxito profesional con nuestra información de alto valor UNIRME

novedades destacadas

también te puede interesar

Champion Lubricantes lleva a clientes andaluces a disfrutar del Campeonato de España de Rallyes de Tierra
Defectos en alumbrado y señalización, causa de rechazo en la ITV de uno de cada cuatro vehículos inspeccionados en 2024
INFOCAP RUTA DEL RECAMBIO
INFOCAP RUTA DEL NEUMÁTICO
INFOCAP RUTA DEL TALLER
INFOCAP TALLER CHAPA Y PINTURA
INFOCAP TALLER VEHÍCULO INDUSTRIAL
close

Datos de usuario

Dirección de envío

Dirección de facturación

PRECIO

* España (salvo Canarias): IVA incluido

ELIGE MÉTODO DE PAGO
ELIGE MÉTODO DE PAGO

En un plazo de dos días, se procederá a la domiciliación del importe indicado.

Instrucciones:

- Ahorro frente a la compra del ejemplar suelto

- Envío gratuito por mensajería en un plazo de 3 a 5 días hábiles.

- Renovación automática, que puedes cancelar en cualquier momento con un aviso mínimo de un mes antes del vencimiento.

Política de privacidad:

Tus datos se almacenarán en un fichero de Infocap Communication & Publishing, S.L.. De acuerdo con la Ley Orgánica 15/1999, de 13 de diciembre,puedes acceder, modificar o cancelar tus datos notificándolo por escrito.

Cuenta Bancaria: ES36 - 0049 - 4468 - 26 - 2310005044

Recuerda indicar en el asunto de la transferencia tu nombre y apellidos.

En un plazo de dos días, se procederá a la domiciliación del importe indicado.

Cuenta Bancaria: ES36 - 0049 - 4468 - 26 - 2310005044

Recuerda indicar en el asunto de la transferencia tu nombre y apellidos.

¡SOLICITUD ENVIADA CON ÉXITO!

Ahora recuerda hacer la transferencia a la cuenta arriba señalada. No te olvides de indicar en el asunto de la transferencia tu nombre y apellidos