Diez novedades de la nueva normativa sobre protección de datos para hoteles

Un post de Esther Botella, en Hoteles y alojamientos

04 de Diciembre del 2017

0

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018, esto trae como consecuencias novedades muy importantes, de entre las que me gustaría resaltar las siguientes:

  1. Principio de proactividad o ccountability
  2. Enfoque del riesgo
  3. DPO: Oficial de protección de datos.
  4. Aplicación territorial: Se amplía a tratamientos de datos de ciudadanos residentes de la UE con independencia de que el tratamiento se realice en Europa o no.
  5. Principio de “Privacy by desing y privacy by default”: La privacidad se debe tener en cuenta en todos los procesos y aplicaciones desde el diseño y por defecto
  6. Principio de transportabilidad de datos: Derecho a recibir copia estructurada de los datos o a derivarla a terceros (en su caso).
  7. Nuevas responsabilidades en los Encargados del tratamiento
  8. Desaparición del consentimiento tácito y transparencia al otorgarlo.
  9. Evaluación de Impacto o PIAS para algunos tratamientos.
  10. Comunicación de brechas de seguridad en un máximo de 72 horas a la AEPD

Las novedades son muchas, y éstas suponen un cambio significativo en la aplicación de la protección de datos.

Es habitual en los últimos años responder a la pregunta ¿hemos adaptado nuestro establecimiento a la Ley de Protección de Datos? La respuesta podría ser un sí rotundo ya que, o tenemos contratado un asesor o proveedor especializado o bien hemos adoptado medidas de seguridad.

Pero, por experiencia y con el aval de las estadísticas, la mayoría de los establecimientos turísticos no cumplen de forma correcta la normativa de protección de datos debido, principalmente, a dos factores clave para ello: la concienciación y la implicación proactiva de los responsables del tratamiento en los establecimientos

Así que, aunque tengamos un profesional que “nos hace esto”, los registros en la AEPD o un documento de seguridad, en la gran mayoría de las organizaciones sigue habiendo un aire de “inopia” de las obligaciones reales.

Dentro de las novedades que he resaltado al inicio me gustaría resaltar las siguientes, frente al régimen actual:

  • El Principio de Responsabilidad Proactiva implica que el establecimiento hotelero, como responsable del tratamiento, en función del conocimiento que tiene de su negocio aplique las medidas técnicas y organizativas que considere apropiadas. Además, deberá poder demostrar esta aplicación en caso de que exista alguna denuncia o alguna incidencia ante la AEPD o frente a terceros.
  • El Principio de Enfoque de Riesgo supone valorar y cuantificar el riesgo en el tratamiento de los datos.
  • Otra de las novedades más relevantes es la aparición del DPO o DPD (Delegado de Protección de Datos), una figura independiente cuya función será preventiva, proactiva, supervisora y establecerá y coordinará el protocolo de protección de datos en la organización.

Como consecuencia, a las empresas no les queda otra que “remangarse” e implicarse a fin de tener una disposición responsable, diligente y ser, sobre todo, consciente de los tratamientos de datos personales que realicen tanto de sus clientes como de sus trabajadores en su entidad.

Con el nuevo reglamento es el propio establecimiento hotelero el responsable de cuantificar los riesgos según los datos que trate, sus sistemas y su estructura. Y en función de los resultados, establecer los procedimientos apropiados para mitigarlos.

El DPO debe tener (y demostrar) experiencia en protección de datos, y supondrá un nexo entre el responsable del tratamiento (la organización), el afectado y la/s autoridad/es de control (AEPD).

Es evidente que el paradigma de la protección de datos ha cambiado, y más aún en el entorno turístico, donde el tratamiento de los datos de personas físicas viene implícito y donde la publicidad, el marketing e incluso el control policial requiere de un gran uso de estos datos.

Es a partir del próximo 25 de mayo cuando será obligatorio estar cumpliendo de “facto” el Reglamento después de que Europa nos diera dos años extra para hacerlo (su aprobación fue en mayo de 2016).

Con esta fecha marcada, es necesario que las empresas que todavía no han empezado a cumplir sus dictados se pongan las pilas, ya que las obligaciones que el nuevo Reglamento establece suponen un proceso largo, que debe de asumirse para evitar, en la mayor medida, las sanciones que pueden ser del 4% de la facturación mundial, hasta 20 millones.

Ya sabéis: Nuevo Reglamento. Nueva Responsabilidad.

Comentarios 0

Escribe un nuevo comentario

Escribe un nuevo comentario

Para comentar, así como para acceder a ciertos contenidos de Hosteltur, Accede o Crea tu cuenta.