RGPD para fabricantes de señalizaciones: Lo que necesitas saber antes de que llegue la carta

El RGPD suena como un problema de grandes empresas. No lo es. El Reglamento General de Protección de Datos se aplica a toda empresa que procese datos personales — y tú los procesas. Nombres de clientes, direcciones, correos electrónicos, números de teléfono, fotos de fachadas (a veces con personas visibles), datos de facturación. Todos son datos personales.

Lo que requiere el RGPD

1. Registro de actividades de procesamiento

Debes documentar qué datos procesas, por qué, por cuánto tiempo y quién tiene acceso. Una tabla simple es suficiente: "Datos del cliente — Cumplimiento de pedidos — 10 años (obligación de retención) — Propietario + Oficina".

2. Acuerdo de procesamiento de datos (DPA)

Con cada proveedor de la nube que procese tus datos, necesitas un DPA. Tu software de contabilidad, herramienta de correo electrónico, alojamiento web y software de la industria. PlotonIQ proporciona un DPA — pregunta a tus otros proveedores.

3. Ubicación del servidor

Aquí es donde se vuelve crítico. Si usas shopVOX (servidores de EE.UU.), Trello (servidores de EE.UU.), o Google Drive (distribuido globalmente), los datos de tus clientes están en EE.UU. Desde la sentencia Schrems II, las transferencias de datos a EE.UU. son legalmente problemáticas.

Solución más segura: servidores europeos. PlotonIQ funciona en Hetzner en Falkenstein, Alemania. Certificado ISO 27001. Sin transferencia de datos a terceros países.

4. Encriptación

Los datos deben estar encriptados en tránsito (TLS) y en reposo (AES-256). Las contraseñas deben estar hasheadas (bcrypt, no MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT con rotación de token de actualización.

5. Períodos de retención

No puedes almacenar datos para siempre. Ley fiscal: 10 años para facturas, 6 años para correspondencia comercial. Después de eso: eliminar. Fotos del sitio: eliminar después de completar el proyecto a menos que el cliente consienta a un almacenamiento más largo.

6. Derechos del interesado

Tu cliente tiene derecho al acceso, rectificación, eliminación y portabilidad de datos. Debes responder dentro de 30 días.

Errores comunes en talleres de señalización

WhatsApp para negocios: WhatsApp comparte metadatos con Meta. Los números de teléfono de los clientes se transfieren a servidores de EE.UU. No cumple con RGPD sin Business API y DPA. Alternativa: portal de clientes PlotonIQ con aprobación digital y marca de tiempo.

Fotos en teléfonos personales: Si tu instalador toma fotos del sitio en su teléfono privado, los datos del cliente están en un dispositivo no gestionado. Solución: tomar fotos directamente en la aplicación PlotonIQ — carga encriptada, nunca almacenada en el dispositivo.

Sin documentación de seguimiento: Google Analytics, Facebook Pixel — cada herramienta de seguimiento necesita consentimiento y documentación. PlotonIQ: sin Google Analytics, sin píxeles de seguimiento, sin cookies no esenciales.

Lista de verificación de 10 puntos

1. Crear registro de actividades de procesamiento. 2. Firmar DPA con todos los proveedores de la nube. 3. Política de privacidad en el sitio web. 4. Servidores de la UE. 5. Definir períodos de retención. 6. Verificar encriptación. 7. Controles de acceso (quién ve qué). 8. Fotos solo en aplicaciones gestionadas. 9. Reemplazar WhatsApp con herramientas profesionales. 10. Evaluación de impacto para seguimiento GPS/geofencing.

Conclusión

El RGPD no es ciencia espacial. Con el software adecuado, la mayoría es automático: encriptación, ubicación del servidor, períodos de retención, controles de acceso. La mayor palanca: alejarse de las herramientas de EE.UU. y WhatsApp, hacia una solución industrial europea donde el RGPD no es una característica — es el estándar.