Sin duda, uno de los problemas que han llegado al sector y que generan multitud de dudas es la adecuación a la normativa GDPR. Muchos de nuestros clientes han necesitado dar ese salto y hacerlo de forma rápida y eficaz y otros muchos continúan en el sector sin saber si esta guerra va con ellos. Pero vaya que si va.
Desde Bedsrevenue hemos tratado de buscar a expertos para ir de la mano con ellos y sumar el know how de ambos en pro de hacer fácil y sencillo este proceso de adaptación. La suma con Elecelegal ha sido clave para que nuestros clientes duerman más tranquilos. Por ello me gustaría compartir algunas claves que a nuestros clientes le han servido y que seguramente a ti también te servirán.
¡SOS! El nuevo Reglamento Europeo de Protección de Datos (comúnmente conocido por sus siglas anglosajonas GDPR) que despegaba en abril de 2016, ha aterrizado y tomado tierra firme desde el pasado 25 de mayo, fecha en la que ha comenzado a ser de aplicación obligatoria.
Pongámonos todos a cubierto. Esta nueva normativa obliga a todas aquellas organizaciones y a autónomos que traten datos de carácter personal desde un establecimiento sito en la Unión Europea, y/o que traten datos de ciudadanos residentes en la Unión, a adaptar su actividad a las nuevas obligaciones. El sector turístico y hotelero es uno de los principales afectados, por ser especialmente vulnerable, dado el elevado número de tratamiento de datos efectuado sobre sus clientes: turistas y viajeros venidos de todos los destinos del Espacio Económico Europeo. A su vez, por estar especialmente expuesto a ataques cibernéticos y a estafas, al llevarse en muchos casos la gestión de las reservas y contratación del resto de servicios vía online, constituyendo por tanto un factor de riesgo para los derechos de los ciudadanos.
Este cambio normativo afecta por tanto a todos los establecimientos turísticos, independientemente su tamaño y modelo de negocio (hostales, casas rurales, hoteles familiares PYMES y grandes cadenas hoteleras), quedando todos ellos igualmente obligados a cumplir con la nueva normativa. Sin embargo, las encuestas reflejan que más de un 85% de empresas están encontrando dificultades para completar este proceso de adaptación y se encuentran en la actualidad en estado de incumplimiento.
Cómo evitar posibles sanciones millonarias
«La principal novedad que presenta GDPR es que pone como piedra angular del nuevo marco legal los nuevos principios de accountability o responsabilidad proactiva y de protección de datos desde el diseño o por defecto. De esta forma, las distintas organizaciones y empresarios deberán documentar meticulosamente cada uno de los pasos que den en el proceso de adaptación legal a GDPR para poder probar que están en condiciones de cumplirlo. Igualmente, deberán realizar un análisis de detección de riesgos y amenazas a la seguridad de la información con carácter previo al diseño y realización de los diferentes tratamientos, si quieren evitar posibles sanciones millonarias que, en situaciones extremas, puedan acabar implicando el cierre del negocio», sostiene la socia directora del Área de Protección de Datos y Corporate Compliance de Elece Legal, firma especializada en proyectos de adaptación al nuevo Reglamento Europeo.
En este sentido, la Agencia Española de Protección de Datos (AEPD) y resto de autoridades de control tendrán en cuenta el nivel de prudencia y de estricto cumplimiento empleados para modular las sanciones que pudieran imponer, que podrán alcanzar la cifra máxima de 20 millones de euros o 4% del volumen de facturación total anual global del ejercicio financiero anterior, optándose siempre por la de mayor cuantía, ante posibles incumplimientos.
Cabe recordar que, con la anterior normativa, las multas podían alcanzar la cifra máxima de 600.000 euros: el incremento es más que notorio.
Pese a todo, no hay que crear alarma, porque adaptarse es más sencillo de lo que parece. ¡Te contamos ahora las principales claves para ello, indicando los 8 pasos a seguir por los distintos establecimientos hoteleros para completar exitosamente su proceso de adaptación a GDPR! Así, los mismos deberán:
1. Registro Interno de Actividades de Tratamiento
En este registro, el establecimiento debe indicar todos los tratamientos de datos personales que efectúa (gestión de reservas de habitaciones, de restaurantes, de servicios de -spa, de contratación y reserva de excursiones, facturación a clientes y proveedores, gestión del pago de nóminas a empleados, toma de imágenes por videovigilancia, etc.), sus finalidades, afectados, medidas de seguridad aplicables y resto de condiciones.
Este primer paso sustituye a la anterior obligación de declarar ficheros a la AEPD y servirá de base para redactar todas las cláusulas informativas y avisos legales necesarios.
2. Identificar base jurídica de cada uno de los tratamientos
Cada establecimiento hotelero deberá estudiar en cada caso qué tipo de base jurídica le legitimaría para cada tipo de tratamiento, lo que le llevará a saber en qué situaciones debe recabar el consentimiento del interesado y en cuales no será necesario.
Así por ejemplo, en el caso de clientes o huéspedes, el establecimiento podrá tratar sus datos para llevar a cabo la formalización de la reserva de la habitación y la facturación, por existir una relación contractual entre ambos, no siendo necesario el consentimiento del cliente. En el caso de los reportes diarios de huéspedes a la policía, el tratamiento estaría amparado en una obligación legal. Sí deberá recabarse sin embargo el consentimiento para el envío de comunicaciones comerciales a potenciales clientes sobre sus productos o servicios.
3. Revisar el cumplimiento de los deberes de información y de solicitud de consentimiento
En todos los casos, siempre será necesario cumplir con el deber de información: el establecimiento deberá informar a los distintos interesados (clientes, proveedores, potenciales clientes, interesados en contactar…) de todos los tratamientos de datos que haga y de todas las condiciones referidas a los mismos (finalidad, identidad del responsable del tratamiento, derechos que les asisten, plazos de supresión). Asimismo, el consentimiento pasa a ser granular, de forma que en los casos en los que se deba solicitar el mismo a los interesados, se deberá pedir por separado para cada una de las finalidades.
Esta tarea de revisión implicará adaptar los sitios web, aplicaciones móviles y redes sociales, actualizando las políticas de privacidad y de cookies y las cláusulas a incluir al pie de los formularios sitos en los mismos en los que se recaben datos personales (formulario de reservas, de contacto, de datos de facturación, etc.).
4. Realizar un análisis de riesgos
Analizar los riesgos que conllevan los distintos tratamientos de datos y/o, en los casos en que sea procedente, realizar una evaluación de impacto relativa a la protección de datos, e implantar las medidas técnicas y organizativas apropiadas necesarias para garantizar un nivel de seguridad adecuado a los riesgos identificados (lo que afectará por ejemplo a los programas de software y de gestión empleados por el hotel para el registro y gestión de reservas y de facturación).
5. Notificar a la AEPD las brechas de seguridad
Hay que notificar las brechas que impliquen vulneración de derechos de interesados, en menos de 72 horas desde que se haya tenido constancia de dicha circunstancia o “sin dilación indebida” al afectado (p.ej. si se han comprometido datos de pago de nuestros clientes por haber sufrido un “ransomware”, una caída del sistema o un supuesto de suplantación de identidad) estableciendo un procedimiento interno adecuado para detectar y comunicar estas brechas.
6. Delegado de protección de datos
Analizar la procedencia o no de la designación de un delegado de Protección de Datos que asista al establecimiento hotelero en el cumplimiento de sus obligaciones en virtud del nuevo Reglamento. Ello será necesario, por ejemplo, para aquellos establecimientos que realicen operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala (si se hicieran análisis de perfiles por hábitos de consumo y/o hobbies, para el envío de publicidad personalizada) y documentar por escrito dicho análisis, que deberá estar disponible para la autoridad de control.
7. Firmar nuevos contratos de encargado de tratamiento
Estos contratos se han de firmar con los prestadores de servicio y/o proveedores que tengan acceso a datos de responsabilidad del hotel (ej. todos los prestadores de servicios de hosting, de mantenimiento de software, de los programas de gestión, etc.), asegurándose de que los mismos guardarán estricta confidencialidad sobre todos los datos a los que accedan y los tratarán exclusivamente bajo las instrucciones del responsable, debiendo destruirlos o devolverlos a la finalización del servicio, en función de lo que el establecimiento determine.
8. Comunicaciones de datos
Identificación de las comunicaciones de datos y posibles trasferencias internacionales de datos fuera del Espacio Económico Europeo, en cuyo caso, el establecimiento hotelero deberá informar al afectado de las mismas y aportar las garantías adecuadas a fin de garantizar que el nivel de protección no se vea menoscabado.
Será recomendable firmar cláusulas de indemnidad con aquellas empresas que nos cedan datos personales de potenciales clientes (p. ej. en caso de contratación de campañas de captación de leads, de reservas gestionadas por agencias de viajes y/o portales web especializados), de forma que aseguren al establecimiento hotelero que dichos datos han sido recabados de forma legítima, exonerándole de responsabilidad, por este concepto.
Adaptarse está al alcance de todos
En definitiva, es necesario cumplir y adaptarse cuanto antes (si es que no se ha llegado a la fecha límite) al nuevo régimen de obligaciones y derechos impuesto por GDPR, para evitar importantísimas sanciones y el durísimo daño reputacional que pudiera derivarse en caso de producirse incumplimientos que se hicieran públicos.
En este sentido, es recomendable buscar asesoramiento adecuado. La AEPD en su 10ª Sesión Anual mantenida el pasado 4 de junio, reconocía la importantísima labor que se está llevando a cabo por despachos y asesores profesionales para guiar a las distintas organizaciones en este proceso de adaptación, de manera personalizada.
Por último, no hay que llevarse las manos a la cabeza al pensar en la cifra que podría suponer el asesoramiento legal para llevar a cabo la adaptación. Firmas punteras que se están erigiendo como especialistas en esta materia señalan que la propuesta de servicios se adaptará en cada caso al tamaño de la organización, tipología de tratamientos efectuados y a las necesidades concretas de adaptación que se requieran en cada caso (no es lo mismo pensar en un hotel mediano con 50 habitaciones y que cuente con varios empleados que una casa rural que alquile cuatro habitaciones a través de su web y que lo gestionen por ejemplo directamente sus dueños). En cualquier caso, la inversión bien valdrá la pena si evita que la organización sea sancionada.
Imágenes cedidas: Shutterstock.com
