Sector · Belleza

RGPD para peluquerías y centros de belleza

Peluquerías, centros de estética y clínicas estéticas pequeñas gestionan datos personales en fidelización (cumpleaños, preferencias, historial de servicios), fotos antes/después que se publican en Instagram, sistemas de cita online y a veces datos de salud (alergias a tintes, condiciones de piel). La adecuación RGPD es obligatoria desde el primer empleado y se inspecciona tras denuncias de clientes.

Calcular mi tarifa para peluqueríaLeer la guía completa

RGPD en peluquería y centro de estética: panorama 2026

El RGPD peluquería es el conjunto de obligaciones derivadas del Reglamento (UE) 2016/679, la LOPDGDD (Ley Orgánica 3/2018) y la LSSI-CE (Ley 34/2002) que aplica a cualquier salón de peluquería, barbería, centro de estética, spa urbano o pequeña clínica estética que trate datos de clientes, empleados o proveedores en España. Una peluquería no es un negocio "ligero" desde la óptica de protección de datos: gestiona ficheros de clientes con preferencias, historial de servicios y, en muchos casos, alergias a tintes o decoloraciones que activan el Art. 9 RGPD sobre categorías especiales. Publica fotos antes-después en Instagram y TikTok, opera con aplicaciones de reserva como Booksy, Treatwell o Fresha que son encargados del tratamiento del Art. 28 RGPD, manda recordatorios de cita por WhatsApp sujetos al Art. 21 LSSI-CE, instala cámaras de videovigilancia en la zona común del salón cubiertas por el Art. 22 LOPDGDD y la Guía AEPD de Videovigilancia 2024, lleva nóminas y registro de jornada del personal según el Art. 34.9 ET (RD 8/2019) y, en muchos casos, atiende a clientes menores acompañados por sus progenitores con el régimen del Art. 7 LOPDGDD y el Art. 156 del Código Civil.

La Agencia Española de Protección de Datos (AEPD) ha publicado en los últimos años resoluciones sancionadoras contra salones de peluquería y centros de estética por publicar fotos antes-después sin consentimiento expreso del cliente, por enviar campañas de marketing por WhatsApp y SMS sin base jurídica del Art. 21 LSSI-CE, por orientar cámaras hacia cabinas de tratamiento privadas y por no firmar contratos de encargo del Art. 28 RGPD con sus pasarelas TPV, su software de gestión y sus plataformas de reserva online. La microempresa media del sector belleza está sin adecuar y, cuando llega la denuncia, no tiene RAT (Registro de Actividades de Tratamiento del Art. 30 RGPD), no tiene política de privacidad propia ni cláusulas firmadas por sus clientes ni contratos del Art. 28 con sus proveedores tecnológicos. La adecuación 2026 que aplica Cardeseo cierra esos huecos en pack documental, publicación web y soporte continuo.

Fotos antes-después en redes sociales

La fotografía clínica o estética de un cliente identificable es a la vez dato personal del Art. 4.1 RGPD y dato de imagen tutelado por la Ley Orgánica 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. La publicación en Instagram, TikTok, Facebook o cualquier red social del antes y el después de un corte de pelo, una coloración, una manicura, un tratamiento de cejas, un microblading, una depilación láser, un peeling químico o un alisado requiere doble consentimiento documentado: consentimiento RGPD del Art. 6.1.a (tratamiento de datos personales con finalidad de marketing y publicación en redes) y consentimiento de imagen del Art. 2 LO 1/1982 para difusión pública. Sin una de las dos firmas, la publicación es ilícita y la AEPD puede sancionar al salón aunque el cliente verbal mente "se había prestado" durante el servicio.

El consentimiento debe ser libre, específico, informado, inequívoco y revocable conforme al Art. 4.11 y Art. 7 RGPD. No vale una casilla pre-marcada en el formulario de alta (STJUE Planet49, C-673/17, sentencia de 1 de octubre de 2019), no vale un consentimiento "para uso interno" que luego se interpreta extensivamente para redes y no vale el silencio o la pasividad. La cláusula correcta separa finalidades: ficha técnica del servicio, recordatorios operativos, marketing por canales electrónicos, publicación de antes-después en redes sociales identificando red por red. El cliente firma solo las casillas que decide.

La revocación debe ser tan fácil como el consentimiento (Art. 7.3 RGPD). Si el cliente pide retirar la foto del feed de Instagram dos meses después, el salón está obligado a retirar la publicación en plazo razonable (la práctica recomendada es 72 horas) y a documentar la retirada en el registro de derechos del titular. Si la imagen ha sido reutilizada por terceros (clientes que han hecho captura, agregadores de inspiración), la obligación es de medio: notificar a quien sea posible y dejar constancia del intento.

Cuando la foto incluye al estilista o esteticista junto al cliente, hay una segunda capa de consentimiento del trabajador (Art. 88 LOPDGDD sobre derechos digitales en el ámbito laboral combinado con la LO 1/1982). El consentimiento laboral debe ser igualmente expreso y revocable y no puede ser condición del puesto de trabajo. Si el empleado se va y pide retirar las fotos publicadas con su imagen, el salón debe atender la petición salvo que la finalidad de la publicación siga siendo legítima y proporcional (por ejemplo, portfolio histórico con anonimización).

Ficha del cliente: alergias y datos de salud

La ficha del cliente en una peluquería o centro de estética suele recoger nombre, teléfono, email, preferencias de servicio, historial de tratamientos, observaciones del profesional y, con frecuencia, alergias a tintes, decoloraciones, parafenilendiamina (PPD), amoniaco, productos cosméticos o alergias respiratorias. En el momento en que la ficha incorpora información sobre alergias, condiciones de piel (rosácea, dermatitis, psoriasis), tratamientos médicos en curso (anticoagulantes en depilación, isotretinoína en peeling), embarazo o lactancia, ese dato es dato de salud del Art. 9.1 RGPD y eleva el régimen de protección a categoría especial.

La consecuencia jurídica es directa: el tratamiento de datos de salud solo es lícito si concurre una excepción del Art. 9.2 RGPD. En peluquería y estética no aplica la excepción del Art. 9.2.h (asistencia sanitaria por profesional sujeto a secreto profesional) porque el estilista o esteticista no es profesional sanitario colegiado salvo casos muy concretos (medicina estética con titulación médica). La excepción aplicable por defecto es el Art. 9.2.a (consentimiento explícito del interesado), reforzado con cláusula específica y documentado por escrito. La técnica recomendada es ficha de cliente con apartado "información de salud relevante para el servicio" precedida de cláusula que explica finalidad (seguridad del servicio, prevención de reacciones adversas), base jurídica (consentimiento explícito Art. 9.2.a) y derechos del titular.

Si el cliente declara una alergia grave (anafilaxia previa a tintes capilares, por ejemplo), el centro debe documentar la prueba de tolerancia (patch test) y registrar el resultado. Esa información se conserva mientras el cliente sea activo y, una vez finalizada la relación, durante el plazo de prescripción de responsabilidades civiles (5 años Art. 1964 Código Civil tras Ley 42/2015) para poder defenderse de una reclamación por daños. Transcurrido ese plazo, debe destruirse o anonimizarse conforme al Art. 5.1.e RGPD (principio de limitación del plazo de conservación).

El acceso a la ficha debe estar restringido al personal que presta el servicio. Un manicurista no necesita acceso a la ficha capilar de la clienta, y viceversa. El control de accesos por rol en el software de gestión (Flowww, Bookitit, Mangoo, Trainin) es exigible como medida técnica del Art. 32 RGPD. La AEPD ha sancionado a centros estéticos por acceso indebido del personal a fichas de clientes con los que no había relación profesional concreta.

Programas de fidelización y tarjetas de puntos

El programa de fidelización es tratamiento autónomo con finalidad propia: registrar visitas, acumular puntos, generar descuentos personalizados, recordar cumpleaños, segmentar a clientes habituales. La base jurídica admite dos vías. La vía del Art. 6.1.a RGPD (consentimiento) es la más limpia: el cliente firma una casilla específica que dice "quiero unirme al programa de fidelización XYZ" y comprende qué datos se tratan y para qué. La vía del Art. 6.1.f RGPD (interés legítimo) es defendible para los aspectos puramente operativos del programa (registrar visitas, acumular puntos, aplicar descuento en la siguiente cita) siempre que se documente test de ponderación (Legitimate Interests Assessment) conforme a las Directrices WP217 del Grupo del Art. 29 y se ofrezca derecho de oposición visible.

La línea roja la cruza el componente de marketing. Si el programa incluye envío de comunicaciones comerciales por canales electrónicos (email, SMS, WhatsApp) — felicitación de cumpleaños con descuento, promoción de servicios premium, campañas estacionales — la base jurídica aplicable es el consentimiento expreso del Art. 21 LSSI-CE, no el interés legítimo. Esa zona del programa debe configurarse con casilla independiente, descripción clara de los canales y posibilidad de revocación sencilla. Mezclar fidelización operativa y marketing en una misma casilla es de los errores más sancionados por la AEPD en el sector.

La tarjeta física de cliente con puntos suele incluir nombre, teléfono y código de cliente. Si el cliente la pierde o la deja en un lugar visible, ese dato queda expuesto. La recomendación operativa es minimizar la información impresa (solo código numérico y QR), mantener la asociación entre código y datos personales solo en el software interno y no imprimir teléfonos ni emails. Esa decisión cumple el principio de minimización del Art. 5.1.c RGPD.

Cuando el programa de fidelización genera perfiles automatizados de cliente (categorización en VIP, frecuente, ocasional, perdido) con consecuencias automatizadas (descuento mayor, comunicación distinta), entra en el ámbito del Art. 22 RGPD sobre decisiones automatizadas. Si el efecto es solo informativo y revisado por humano, no aplica el Art. 22 pleno. Si el sistema toma decisiones que afectan jurídicamente o significativamente al cliente sin intervención humana, hay que documentar lógica, consecuencias y mecanismo de revisión humana.

Apps de reservas (Booksy, Treatwell, Fresha)

Booksy, Treatwell, Fresha, Phorest, Timify, Reservio y similares son plataformas de marketplace y software de reserva online que reciben datos personales de los clientes del salón por cuenta del salón: nombre, teléfono, email, historial de citas, preferencias y, según configuración, ficha técnica. Esa relación encaja en el Art. 28 RGPD como encargo del tratamiento. El responsable del tratamiento es el salón (decide finalidades y medios), la plataforma es encargado.

El Art. 28.3 RGPD exige contrato escrito con cláusulas mínimas: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados, obligaciones y derechos del responsable, obligaciones del encargado, medidas técnicas y organizativas del Art. 32, gestión de subencargados, asistencia al responsable en el ejercicio de derechos y notificación de brechas, devolución o supresión al finalizar el servicio y disponibilidad de información para auditorías. Todas las grandes plataformas publican un Data Processing Addendum (DPA) que el salón debe firmar o aceptar electrónicamente. Si el salón no lo ha firmado, está incumpliendo el Art. 28 RGPD, infracción sancionable conforme al Art. 83.4.a hasta 10 millones de euros o 2% del volumen de negocio anual mundial.

La mayoría de estas plataformas tienen sede o servidores fuera del Espacio Económico Europeo (Booksy en Estados Unidos, Fresha en Reino Unido tras Brexit, Treatwell con infraestructura distribuida). Eso activa los Arts. 44-50 RGPD sobre transferencias internacionales. Tras la sentencia Schrems II (TJUE, C-311/18) y la entrada en vigor del EU-US Data Privacy Framework en julio de 2023, la base de la transferencia debe estar documentada: decisión de adecuación (EE.UU., Reino Unido) o Cláusulas Contractuales Tipo de 2021 con evaluación de impacto de transferencia. El salón debe registrar esta información en su RAT como obliga el Art. 30.1.e RGPD.

Cuando la plataforma actúa como marketplace (Booksy, Treatwell muestran el salón a clientes potenciales que reservan a través de la plataforma), surge una segunda relación: la plataforma trata datos de clientes que aún no son del salón con finalidades propias de marketplace (descubrimiento, recomendaciones, marketing cruzado). En esa parte la plataforma es responsable o corresponsable, no encargado. El reparto exacto debe leerse en los Términos de Servicio y, en algunos casos, requiere acuerdo de corresponsabilidad del Art. 26 RGPD.

WhatsApp recordatorios y campañas

WhatsApp es el canal estrella de recordatorios y campañas en peluquería y estética. El régimen jurídico se bifurca según finalidad. Los recordatorios operativos (confirmación de cita, aviso de retraso, cambio de profesional, cancelación) están amparados por la ejecución del contrato del Art. 6.1.b RGPD: el cliente facilitó su teléfono para gestionar la reserva y el envío de un recordatorio es prestación accesoria al servicio contratado. No requiere consentimiento adicional ni casilla específica siempre que el contenido sea estrictamente operativo.

Las comunicaciones comerciales (promoción de un nuevo servicio, descuento del Black Friday, lanzamiento de tarjeta regalo, oferta de cumpleaños) sí están sometidas al Art. 21 LSSI-CE: requieren consentimiento previo, expreso y específico del destinatario, salvo en el supuesto restringido del Art. 21.2 (productos o servicios similares dentro de una relación contractual previa con opción simple y gratuita de oposición ofrecida en cada comunicación). La AEPD interpreta ese supuesto de forma estricta: la cita de corte de pelo no habilita por sí sola a enviar campañas de manicura o de tratamiento facial, porque son servicios "similares" solo en sentido amplio.

La técnica recomendada para evitar sanciones es doble opt-in con casilla independiente en el formulario de alta o en la primera reserva online: una casilla para recordatorios operativos (informativa, no marca consentimiento porque la base es ejecución del contrato) y una casilla activa, no pre-marcada, para "Quiero recibir promociones y novedades por WhatsApp, SMS y email", revocable en cualquier momento con un STOP. El consentimiento debe ser independiente de la prestación del servicio (Art. 7.4 RGPD): el cliente que no marca esa casilla debe poder reservar y recibir el servicio en igualdad de condiciones.

Si el salón utiliza la API oficial de WhatsApp Business y Meta como proveedor, debe firmar el correspondiente acuerdo de encargo (Meta Business Tools Terms y Data Processing Terms) y registrar la transferencia internacional a Meta, dado que la matriz está en Estados Unidos. Las plantillas de mensaje (HSM templates) deben estar aprobadas por Meta, incluir identificación clara del responsable y ofrecer instrucción de baja conforme al Art. 22 LSSI-CE.

Videovigilancia: sí en zonas comunes, NO en cabinas privadas

La cámara en recepción, zona de espera, pasillo y zona de venta de productos es habitual y, bien configurada, perfectamente lícita. La base jurídica es el interés legítimo del Art. 6.1.f RGPD (seguridad del centro, prevención de hurtos, control de accesos en horario sin recepcionista), modulado por el Art. 22 LOPDGDD y la Guía AEPD de Videovigilancia en su edición 2024.

Requisitos exigibles antes de encender la cámara:

  • Cartel informativo homologado a la entrada con identidad del responsable, finalidad, base jurídica, ejercicio de derechos y referencia a información ampliada disponible en el centro.
  • Plazo máximo de conservación de las grabaciones de 30 días salvo vinculación a incidente con denuncia presentada (Art. 22.3 LOPDGDD).
  • Inscripción del tratamiento en el RAT del Art. 30 RGPD con descripción del sistema, ubicación exacta de cada cámara, plazos, medidas técnicas y personal autorizado al visionado.
  • Acceso restringido a las grabaciones: solo el responsable o personal designado por escrito, con registro de cada acceso.
  • Cámaras orientadas exclusivamente a zonas del propio establecimiento, sin captar vía pública más allá de lo imprescindible y sin captar locales contiguos.

La línea roja está en las cabinas de tratamiento privadas. Cabina de depilación, cabina de masaje, cabina de tratamiento facial, sala de lavado de cabezas, vestuarios de cliente, vestuarios de personal y baños son zonas donde la expectativa razonable de intimidad del Art. 18 de la Constitución impide la instalación de cámaras incluso con consentimiento, salvo supuestos absolutamente excepcionales y proporcionales (formación supervisada con consentimiento expreso, reforzado e informado de todas las personas presentes, y limitado en el tiempo). La instalación de cámara en cabina de tratamiento privado es, en la práctica, sancionable de forma directa con multa elevada por la AEPD y, en su caso, por vía penal (Art. 197 Código Penal sobre descubrimiento y revelación de secretos).

Si el salón usa control biométrico para el fichaje del personal (huella, reconocimiento facial), aplica la Guía AEPD sobre tratamientos de control de presencia de 2023 y la nota técnica de 2024 que asimila el dato biométrico tratado para identificación unívoca a categoría especial del Art. 9. Eso obliga a justificar proporcionalidad frente a alternativas no biométricas (PIN, tarjeta, app móvil) y a documentar el análisis. Para una peluquería pequeña, la alternativa no biométrica es preferible.

Cobro TPV y pasarelas de pago

Cada vez que un cliente paga con tarjeta, Bizum, Apple Pay o Google Pay, el salón canaliza datos personales y financieros a través de su pasarela bancaria (Redsys, Stripe, Adyen, SumUp, Square) y su entidad adquirente (BBVA, Santander, Caixabank, Sabadell). Esa relación encaja en el Art. 28 RGPD como encargo del tratamiento: la pasarela trata datos por cuenta del salón con la finalidad de procesar el pago. El contrato de encargo se materializa habitualmente en las condiciones de servicio y el Data Processing Addendum (DPA) que el banco o la pasarela publican.

A esa capa RGPD se suma el estándar PCI-DSS (Payment Card Industry Data Security Standard) que regula la seguridad técnica del entorno de datos de tarjeta. La peluquería que no almacena PAN (Primary Account Number) sino que tokeniza vía pasarela queda en el nivel más bajo de exigencia (SAQ-A o SAQ-A-EP), pero sigue obligada a controles básicos: actualización del TPV, configuración por defecto cambiada, segregación de redes, formación al personal en gestión de tarjeta.

Cuando el salón ofrece financiación al cliente (Aplazame, Sequra, Pagantis para tratamientos estéticos de mayor importe), el financiador entra como responsable o corresponsable del tratamiento, no como encargado: tiene finalidad propia (analizar solvencia, conceder crédito, gestionar cobro). Esa relación se regula por contrato de corresponsabilidad o por cesión de datos con base de consentimiento del cliente Art. 6.1.a y, en su caso, consulta a ficheros de solvencia patrimonial del Art. 20 LOPDGDD.

Empleados de peluquería y registro de jornada

El estilista, esteticista, manicurista, recepcionista o aprendiz contratado por la peluquería es trabajador por cuenta ajena en el régimen general de la Seguridad Social. La base jurídica del tratamiento de sus datos es el Art. 6.1.b RGPD (ejecución del contrato de trabajo) reforzado por el Art. 6.1.c (cumplimiento de obligaciones legales: alta SS, IRPF, Estatuto de los Trabajadores, registro horario). El consentimiento del trabajador NO es base válida para tratar sus datos en el ámbito laboral porque el desequilibrio de poder impide considerarlo libre conforme al Considerando 43 RGPD y la jurisprudencia consolidada del TJUE.

El registro de jornada diario y obligatorio del Art. 34.9 del Estatuto de los Trabajadores, introducido por el RD-ley 8/2019, exige a la peluquería llevar un registro fiable de la hora de entrada y salida de cada trabajador, conservarlo durante 4 años y mantenerlo a disposición de los trabajadores, sus representantes y la Inspección de Trabajo. La sanción por incumplimiento es por infracción detectada en la empresa, no por trabajador ni por centro (CT 101/2019 de la Dirección General de Trabajo), tipificada como infracción grave del Art. 7.5 LISOS con rango sancionador 751 a 7.500 €. El sistema elegido (Excel firmado, app específica, sistema biométrico) debe respetar el principio de minimización: huella o cara solo si no hay alternativa proporcional menos invasiva.

El manual de personal del Art. 88 LOPDGDD debe entregarse al inicio de la relación e incluir política de uso del software de gestión, de redes sociales corporativas, del WhatsApp profesional, de la cámara de videovigilancia, de las fotografías en redes sociales del centro y de la desconexión digital. Cardeseo incluye el manual unificado en el pack documental.

La gestión de nóminas a través de una asesoría laboral externa convierte a la asesoría en encargado del tratamiento del Art. 28 RGPD. El contrato de encargo debe estar firmado entre peluquería y asesoría, con descripción de los datos tratados (nombre, NIF, IBAN, retribución, retenciones, partes de IT) y medidas de seguridad. La asesoría suele ofrecer su modelo, y la peluquería debe revisarlo y firmarlo.

Sanciones AEPD orientativas para peluquerías

El régimen sancionador del RGPD se articula en dos niveles. El Art. 83.4 fija multas administrativas de hasta 10 millones de euros o 2% del volumen de negocio anual mundial (lo que sea mayor) para infracciones como falta de contrato de encargo del Art. 28, falta de RAT del Art. 30 o falta de notificación de brecha del Art. 33. El Art. 83.5 eleva el tope a 20 millones o 4% del volumen para infracciones más graves: vulneración de principios del Art. 5, falta de base jurídica del Art. 6, vulneración del Art. 9 sobre categorías especiales, vulneración de derechos del titular (Arts. 12-22) y transferencias internacionales sin base.

Para microempresa y pyme del sector belleza, la AEPD aplica el Art. 83.2 RGPD y los criterios de modulación: naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia, medidas adoptadas para mitigar el daño, grado de cooperación, categorías de datos afectadas y antecedentes. La prescripción es de 2 años para infracciones graves y 3 años para muy graves, conforme al Art. 78 LOPDGDD.

El rango orientativo observable en resoluciones públicas de los últimos años para peluquerías y centros de estética pymes oscila en la franja 5.000-100.000 €, sin perjuicio de topes legales superiores (20M€/4%) cuando la infracción sea muy grave o el volumen del grupo lo justifique. Casos representativos en el buscador de resoluciones AEPD: publicación de fotos antes-después sin consentimiento en Instagram (rango 3.000-15.000 €), envío masivo de WhatsApp comercial sin base jurídica del Art. 21 LSSI-CE (3.000-20.000 €), cámaras orientadas a cabinas privadas o vestuarios (10.000-40.000 €), falta de contrato de encargo del Art. 28 con la pasarela o el software (multa formal típica 2.000-10.000 €), acceso indebido del personal a ficha de cliente con datos de salud (5.000-30.000 €).

Importa subrayar que la advertencia previa AEPD del Art. 58.2.b RGPD, combinada con el Art. 83.2 RGPD y el Art. 76 LOPDGDD, no es un trámite obligatorio antes de la sanción: la AEPD puede ir directamente al expediente sancionador si los hechos son graves. La doctrina de la Audiencia Nacional y del Tribunal Supremo "valora positivamente" las medidas de adecuación previas y la cooperación durante la inspección, pero NO exige advertencia previa como condición de validez de la sanción.

Cómo adecua Cardeseo una peluquería

Cardeseo presta el servicio de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE con tarifa anual de 349€/año para peluquerías y centros de estética con hasta 5 trabajadores, escalable por número de empleados, sociedades vinculadas, número de centros y nivel de tratamiento (fidelización avanzada, financiación al cliente, cámaras biométricas). El servicio cubre los tres planos: documental, técnico y de soporte continuo durante 12 meses.

Hitos del onboarding entre 7 y 14 días:

  • Día 1-3: análisis previo por llamada o formulario detallado (sector exacto, número de trabajadores, software de gestión y reserva, plataformas marketplace, pasarela TPV, asesoría laboral, cámaras, programa de fidelización, presencia en redes sociales, atención a menores).
  • Día 4-7: generación del pack documental personalizado (política de privacidad, política de cookies, aviso legal, RAT, contratos de encargo con pasarela TPV, software de gestión y plataformas de reserva, manual de personal unificado, cláusulas de consentimiento de imagen y de marketing, política de videovigilancia, plantillas de respuesta a derechos del titular, plan de respuesta a brechas).
  • Día 8-10: publicación en la web del salón de los tres textos legales con enlaces correctos en el pie de página y, si aplica, integración del banner de cookies conforme a la Guía AEPD de cookies 2023 (banner sin muro de pago, opciones equivalentes, sin cookies no esenciales antes de la decisión).
  • Día 11-14: formación del personal (sesión de 60 minutos sobre obligaciones, secreto laboral, acceso al software, fotografías, redes sociales, gestión de WhatsApp) y entrega del certificado de adecuación firmado.

La disclosure es transparente: el pack es plantilla auditada por jurista colaborador externo, personalizada con los datos reales de tu peluquería. No prometemos "cumplimiento total" porque ningún consultor lo puede garantizar — comprometemos pack documental válido, soporte continuo durante 12 meses con SLA 24h en consultas y representación documental en caso de inspección o denuncia. Si quieres profundizar en qué incluye y qué no, revisa la página ¿Qué es el RGPD? y la página del DPO Delegado de Protección de Datos.

Preguntas frecuentes

¿Puedo publicar fotos antes-después de mis clientes en Instagram?

Solo con doble consentimiento documentado por escrito: consentimiento RGPD del Art. 6.1.a (tratamiento de datos personales para marketing) y consentimiento de imagen de la LO 1/1982 (difusión pública). La cláusula debe ser específica por red social, libre, informada e inequívoca, sin casillas pre-marcadas (STJUE Planet49 C-673/17). El cliente puede revocar en cualquier momento y la retirada debe ser tan fácil como el consentimiento (Art. 7.3 RGPD). Cardeseo entrega la cláusula y el flujo correctos en el pack documental.

¿Las alergias a tintes son datos de salud Art. 9 RGPD?

Sí. Cualquier información sobre alergias (PPD, amoniaco), condiciones de piel (rosácea, dermatitis), embarazo, lactancia o tratamientos médicos en curso es dato de salud del Art. 9.1 RGPD y requiere consentimiento explícito del Art. 9.2.a y medidas de seguridad reforzadas del Art. 32. La base del Art. 9.2.h (asistencia sanitaria por profesional) NO aplica salvo medicina estética con titulación médica. Cardeseo configura la ficha técnica con cláusula y control de accesos por rol.

¿Tengo que firmar contrato RGPD con Booksy, Treatwell o Fresha?

Sí, sin excepción. Son encargados del tratamiento del Art. 28 RGPD y exigen Data Processing Addendum firmado por el salón. Sin contrato, el centro incurre en infracción del Art. 28 sancionable conforme al Art. 83.4.a hasta 10M€ o 2% del volumen de negocio anual mundial. Además, al estar varios de esos proveedores fuera del EEE, debes documentar la base de la transferencia internacional (Arts. 44-50 RGPD) en tu RAT.

¿Puedo mandar promociones por WhatsApp a mis clientes?

Solo con consentimiento previo, expreso y específico del Art. 21 LSSI-CE, recogido en casilla independiente, no pre-marcada y revocable en cualquier momento. El teléfono recogido para confirmar la cita NO es consentimiento de marketing porque la base de los recordatorios operativos es la ejecución del contrato (Art. 6.1.b RGPD), no el Art. 21 LSSI. La técnica correcta es doble opt-in con instrucciones de baja en cada mensaje (Art. 22 LSSI).

¿Puedo poner cámara en la cabina de depilación o masaje?

No. La expectativa razonable de intimidad del Art. 18 de la Constitución prohíbe instalar cámaras en cabinas de tratamiento, vestuarios y baños incluso con consentimiento del cliente, salvo supuestos excepcionalísimos de formación supervisada con consentimiento reforzado de todos los presentes. La sanción AEPD por instalar cámara en cabina suele moverse en la franja 10.000-40.000 € y puede haber responsabilidad penal por el Art. 197 del Código Penal. Las cámaras en zona común sí son lícitas con cartel informativo, máximo 30 días de conservación y RAT.

¿Cómo trato los datos de menores en peluquería infantil?

Por debajo de 14 años, el consentimiento de datos lo otorga quien ostente la patria potestad o tutela conforme al Art. 7 LOPDGDD. Entre 14 y 18 años, el menor presta su propio consentimiento RGPD pero los progenitores deben firmar el consentimiento del servicio. En padres separados o divorciados, ambos deben firmar tratamientos no urgentes según el Art. 156 del Código Civil. Cardeseo incluye cláusula específica de menores y matriz de firmas en el pack documental.

¿Cuánto cuesta la adecuación RGPD para mi peluquería?

Desde 349€/año para peluquerías y centros de estética con hasta 5 trabajadores. La tarifa escala por número de empleados, sociedades vinculadas y nivel de tratamiento. Incluye pack documental personalizado, publicación de los tres textos legales en la web, formación del personal y soporte continuo durante 12 meses con SLA 24h en consultas. Calculadora pública sin formulario en cardeseo.com/cumplimiento-legal.

Próximos pasos

Si tu peluquería o centro de estética aún no tiene la documentación RGPD al día, el siguiente paso lógico es revisar el alcance del servicio de Cumplimiento Legal, iniciar el onboarding RGPD y descargar las plantillas base de modelo de consentimiento RGPD y cláusula de formulario RGPD. Para entender en profundidad el marco general antes de contratar, revisa la guía ¿Qué es el RGPD? y la página dedicada al DPO Delegado de Protección de Datos. Si prefieres hablarlo directamente, llama al +34 604 56 05 48 o escribe a departamentojuridico@cardeseo.com y te respondemos en menos de 24 horas.

← Volver a cumplimiento legalEmpezar adecuación RGPD →