RGPD para profesionales con reserva de citas online: la guía práctica
¿Qué datos de cliente puedes guardar, qué base jurídica rige y cuándo necesitas un contrato de encargo? El RGPD para la reserva de citas explicado de forma clara.
RGPD para profesionales con reserva de citas online: la guía práctica
Aviso importante: Este artículo es una orientación general y cuidadosamente investigada — no es asesoramiento legal. La situación legal y la jurisprudencia cambian, y cada caso es distinto. En caso de duda, consulta a un abogado o abogada para tu negocio concreto. El marco de referencia es el del derecho alemán/DACH (DSGVO/RGPD).
En cuanto aceptas citas online, tratas datos personales — nombre, número de teléfono, email, a veces datos de salud. Con ello caes bajo el Reglamento General de Protección de Datos (RGPD). Eso suena a burocracia y a miedo a sanciones, pero en la práctica es abarcable si conoces unas pocas reglas básicas.
Esta guía explica sin jerga jurídica qué datos puedes recoger, sobre qué base jurídica, cuándo necesitas un contrato con tu herramienta de reservas y cómo gestionar la conservación, el borrado y las solicitudes de acceso. Objetivo: una operativa de reservas limpia y a prueba de sanciones, sin pánico.
Qué datos de cliente tratas
En una reserva de citas online suelen surgir estos datos:
| Categoría de datos | Ejemplos | Sensibilidad |
|---|---|---|
| Datos básicos | Nombre, email, número de teléfono | normal |
| Datos de la cita | Servicio reservado, fecha, hora | normal |
| Datos de pago | Anticipo, estado de pago | elevada |
| Datos de salud | Patologías previas, alergias (profesiones sanitarias, estética) | especialmente sensibles (Art. 9 RGPD) |
El principio más importante se llama minimización de datos: recoge solo lo que realmente necesitas para la cita. Una peluquera no necesita datos de nacimiento, una consulta de fisioterapia sí eventualmente datos de salud. Para datos especialmente sensibles (Art. 9) rigen requisitos mayores — aquí necesitas por lo general un consentimiento explícito o una base jurídica específica.
Un buen test para cada campo de tu formulario de reserva: pregúntate «¿necesito realmente este dato para realizar la cita o contactar con el cliente?» Si la respuesta es no, deja el campo fuera o hazlo opcional. Fecha de nacimiento obligatoria, dirección obligatoria o campos de texto libre extensos sin un fin claro son los pecados de protección de datos más frecuentes en el formulario de reserva — y a la vez un asesino de la conversión, porque cada campo obligatorio adicional produce abandonos. Protección de datos y buena conversión tiran aquí del mismo lado.
La base jurídica: artículo 6 del RGPD
Cada tratamiento de datos necesita un fundamento jurídico. Para los profesionales son relevantes tres:
- Art. 6 apdo. 1 lit. b — ejecución del contrato. Es tu fundamento principal. Para realizar una cita, debes tratar nombre y datos de contacto. Para eso no necesitas un consentimiento separado — el tratamiento es necesario para el cumplimiento del contrato de reserva.
- Art. 6 apdo. 1 lit. c — obligación legal. Los datos de facturación debes conservarlos p. ej. por derecho fiscal, con total independencia del deseo del cliente.
- Art. 6 apdo. 1 lit. a — consentimiento. Necesario para todo lo que vaya más allá de la gestión de la cita: newsletter, emails de marketing, publicidad. Este consentimiento debe ser libre, informado y revocable.
Regla general: Lo que se necesita para la cita va por la ejecución del contrato (lit. b) — para ello basta una información en la política de privacidad. Todo lo de publicidad necesita un consentimiento separado y activo (lit. a).
El contrato de encargo: contrato con tu herramienta de reservas
Si usas una herramienta de reservas online, ese proveedor guarda datos de cliente por encargo tuyo. Con ello es un encargado del tratamiento en el sentido del Art. 28 RGPD — y necesitas con él un contrato de encargo de tratamiento (CET/AVV).
El contrato de encargo regula, entre otras cosas:
- que el proveedor trate los datos solo según tus instrucciones,
- qué medidas técnicas y organizativas de protección rigen,
- si se emplean subencargados y cuáles,
- qué pasa en caso de una violación de datos,
- que los datos se borren o devuelvan al final.
Los proveedores serios ponen a disposición un contrato de encargo listo que firmas con pocos clics. Importante: Sin contrato de encargo, el uso de la herramienta es contrario a la protección de datos — es uno de los errores más frecuentes en los profesionales. Comprueba antes de elegir la herramienta si se ofrece un contrato de encargo y si está bien configurado.
No pienses solo en tu herramienta de reservas: un contrato de encargo es necesario con cualquier proveedor que trate datos personales por encargo tuyo. Eso afecta típicamente también a tu servicio de envío de emails (para confirmaciones y recordatorios), a un eventual proveedor de newsletter y, en su caso, a tu proveedor de pagos. Hazte una vez una lista breve de todas las herramientas por las que pasan datos de cliente — y marca en cada una si existe contrato de encargo. Este pequeño inventario te ahorra muchos disgustos en caso serio.
Servidores en la UE: por qué cuenta la ubicación
Cuando los datos se tratan fuera de la UE — por ejemplo en servidores de EE. UU. — se complica. Para tales transferencias a terceros países necesitas garantías adicionales (p. ej. cláusulas contractuales tipo), y la situación legal ha quedado incierta tras diversas sentencias.
La forma más sencilla de eludir esta complejidad: un proveedor que aloje exclusivamente en servidores de la UE. Entonces todo el tratamiento tiene lugar en el espacio del RGPD, no necesitas garantías de terceros países y reduces tu riesgo considerablemente. EazyBooking guarda los datos de cliente en servidores de la UE — eso es, al elegir herramienta, un criterio que deberías comprobar activamente.
Conservación y borrado
Los datos no pueden guardarse eternamente. Rige el principio de limitación del plazo de conservación: en cuanto el fin desaparece, los datos deben borrarse — salvo que apliquen obligaciones legales de conservación.
| Tipo de dato | Valor orientativo de conservación |
|---|---|
| Datos de cita/básicos sin más vínculo | borrar pronto tras la finalización |
| Justificantes de factura y contabilidad | plazos legales (varios años, derecho fiscal) |
| Pruebas de consentimiento (marketing) | hasta la revocación + plazo de prueba razonable |
| Datos de salud (profesiones sanitarias) | según el deber de documentación profesional |
En la práctica eso significa: define un concepto de borrado sencillo — ¿qué datos borras y cuándo? Muchas herramientas de reservas pueden anonimizar o borrar automáticamente datos de clientes inactivos tras un plazo definido. Eso te quita el trabajo manual.
Ten en cuenta un punto importante: el deber de conservación y el derecho de conservación no son lo mismo. Los justificantes de factura debes conservarlos, aunque el cliente exija un borrado — aquí prima la obligación legal. Los meros datos de cita y contacto, en cambio, no puedes guardarlos «por si acaso» ilimitadamente. Un concepto de borrado limpio separa con claridad estos dos mundos y te protege de ambos errores: el borrado demasiado temprano de justificantes fiscalmente relevantes y el acaparamiento demasiado largo de datos ya innecesarios.
El derecho de acceso (y los demás derechos de los interesados)
Los clientes tienen según el RGPD varios derechos que debes cumplir:
- Acceso (Art. 15): ¿Qué datos has guardado sobre mí?
- Rectificación (Art. 16): Corregir datos incorrectos.
- Supresión (Art. 17): «Derecho al olvido» — siempre que no se oponga una obligación de conservación.
- Portabilidad (Art. 20): Entregar los datos en un formato habitual.
En la práctica eso significa: si un cliente pregunta «¿qué datos tenéis sobre mí?», debes responder en el plazo de un mes. Un buen sistema de reservas ayuda, porque todos los datos de cliente están en un solo sitio y puedes exportarlos o borrarlos con un clic — en vez de tener que reunirlos de emails, papeles y calendarios.
Importante es también la información de protección de datos (Art. 13 RGPD): ya en la recogida — es decir, directamente en el formulario de reserva — debes informar de forma transparente sobre quién eres, con qué fin tratas los datos, sobre qué base jurídica, cuánto los guardas y qué derechos tiene el cliente. En la práctica lo cumples con una política de privacidad enlazada que sea bien visible en el flujo de reserva. Esta información no es un consentimiento — para ella no necesitas casilla — pero es obligatoria, y su ausencia es un motivo frecuente de sanción.
Violaciones de datos: el plan de emergencia
Si llega a producirse una violación de datos — por ejemplo una cuenta hackeada o una lista de clientes enviada por error a destinatario equivocado — rige un deber de notificación en un plazo de 72 horas a la autoridad de control competente (Art. 33 RGPD), siempre que exista un riesgo para los interesados. Con alto riesgo debes además informar a los clientes afectados. No necesitas para ello un plan de crisis elaborado, pero deberías saber quién es tu autoridad de control y que el reloj corre rápido en caso serio. Un proveedor con estándares de seguridad claros y una cadena de notificación en el contrato de encargo te quita aquí mucha carga.
Consentimiento para emails de marketing
Un punto especialmente sensible: no puedes sin más enviar a los clientes newsletters o emails publicitarios solo porque reservaron una cita una vez. Para ello necesitas un consentimiento separado y activo (Art. 6 apdo. 1 lit. a RGPD, complementado por la normativa de competencia desleal para la publicidad).
Concretamente:
- El consentimiento debe ser libre — no puede ser condición para la reserva.
- Debe otorgarse de forma activa — una casilla premarcada es inadmisible.
- Debe estar separado de las CGC de la reserva.
- Debe ser revocable en cualquier momento (enlace de baja en cada email).
Una excepción importante regula el § 7 UWG (ley alemana de competencia desleal): a los clientes existentes puedes, bajo condiciones estrictas, enviarles publicidad de prestaciones propias similares — pero también aquí con un aviso claro de oposición. En caso de duda, el consentimiento limpio es el camino seguro.
Una aclaración práctica que a menudo genera confusión: los recordatorios y confirmaciones de cita no son publicidad. Un email o SMS que recuerda una cita inminente sirve a la ejecución del contrato y no necesita consentimiento de marketing. Solo cuando enriqueces ese mensaje con ofertas, promociones o publicidad de «reserva ya tu próxima cita» se convierte en publicidad — y entonces rigen las reglas de consentimiento. Mantén, por tanto, la comunicación contractual y el marketing limpiamente separados y estarás del lado seguro.
Regla general: Las confirmaciones y recordatorios de cita son comunicación contractual y no necesitan consentimiento. La publicidad, las ofertas y los newsletters necesitan siempre un consentimiento separado y activo.
Tu checklist de RGPD
- Política de privacidad en la web y en el flujo de reserva.
- Solo los datos necesarios (minimización de datos).
- Contrato de encargo con el proveedor de reservas.
- Servidores en la UE del proveedor, comprobados.
- Concepto de borrado definido y, en lo posible, automatizado.
- Consentimiento de marketing recabado de forma separada y activa.
- Solicitudes de acceso y borrado que puedas responder en menos de un mes.
Preguntas frecuentes (FAQ)
¿Necesito un consentimiento para guardar una cita?
No. El tratamiento de los datos de cita y contacto va por la ejecución del contrato (Art. 6 apdo. 1 lit. b RGPD). Solo debes informar de forma transparente — un consentimiento separado solo es necesario para el marketing.
¿Qué es un contrato de encargo y lo necesito de verdad?
Un contrato de encargo de tratamiento (Art. 28 RGPD) regula cómo trata tu herramienta de reservas los datos por encargo tuyo. En cuanto un proveedor externo guarda datos de cliente para ti, lo necesitas — de lo contrario el uso es contrario a la protección de datos. Los proveedores serios lo ponen a disposición.
¿Importa dónde están los servidores?
Sí. Con servidores fuera de la UE necesitas garantías adicionales para la transferencia de datos, y la situación legal es incierta. Un proveedor con servidores en la UE evita esta complejidad por completo.
¿Cuánto tiempo puedo conservar los datos de cliente?
Mientras exista el fin. Los datos de cita sin más vínculo deberías borrarlos pronto tras la finalización; los justificantes de factura están sujetos a plazos legales de conservación de varios años. Un concepto de borrado ayuda a mantener la visión general.
¿Puedo enviar sin más publicidad a los clientes existentes?
Solo de forma limitada. El § 7 UWG permite, bajo condiciones estrictas, publicidad de prestaciones propias similares a clientes existentes — con un aviso claro de oposición. Para newsletters en general necesitas un consentimiento separado y activo. El camino seguro es siempre el opt-in activo.
¿Qué hago ante una solicitud de acceso?
Debes dar información en el plazo de un mes sobre qué datos has guardado. Un sistema de reservas central lo facilita enormemente, porque puedes exportar los datos en vez de reunirlos de distintas fuentes.
Próximos pasos
- → Redactar condiciones de cancelación seguras
- → Tarifas de no-show: lo que está legalmente permitido
- → La guía completa de la reserva de citas online
El cumplimiento del RGPD es factible para los profesionales: recoger solo los datos necesarios, firmar un contrato de encargo con el proveedor, cuidar los servidores en la UE, mantener un concepto de borrado y separar limpiamente el marketing por opt-in. Una buena herramienta de reservas resuelve muchos de estos puntos de forma automática — y te quita la mayor parte de la preocupación.
Autor
EazyBooking Team
Wir bauen EazyBooking — eine Online-Terminbuchung für Service-Businesses in der DACH-Region. Hosted in Frankfurt, DSGVO-konform, ohne Provision.
Temas Relacionados
