La nueva regulación de la privacidad y su impacto en el negocio
A partir del 25 de mayo de 2018 todas las compañías de todos los sectores deberán aplicar y cumplir la nueva normativa europea que regula la protección de los datos de carácter personal. Se trata del Reglamento General de Protección de Datos de la UE, que constituye el mayor hito regulatorio en esta materia en los últimos 20 años. El sector hotelero y turístico se verá impactado de forma muy relevante por esta normativa, dado el volumen de datos personales que tiene que tratar para prestar sus servicios. El tiempo que resta para ponerse al día se agota velozmente. A continuación damos algunas claves importantes.
Actualmente, en Europa tenemos una regulación de la protección de datos de carácter personal que es más o menos exigente según el país de que se trate y que es resultado del desarrollo más o menos homogéneo de una Directiva de la Unión Europea del año 1995. En España es ya muy conocida la LOPD (Ley Orgánica de Protección de Datos) del año 1999 que, como es sabido, establece sanciones muy severas (de hasta 600.000 euros) para posibles infracciones de las obligaciones que cor responden a las empresas en esta materia.
Pues bien, el Reglamento General de Protección de Datos de la UE (RGPD) supone un cambio de paradigma en lo que respecta a la forma de ver cómo debemos afrontar los derechos y obligaciones relacionados con los datos personales gestionados por el negocio. A partir de este momento, desaparecen las obligaciones formales que venían impuestas por la LOPD (inscripción de ficheros, redacción de documento de seguridad) y se sustituyen por obligaciones de cumplimiento real y efectivo que, además, tiene que ser demostrable.
Por poner algunos ejemplos sobre las consecuencias principales de la nueva normativa, que afectan de forma especialmente importante a este sector, podemos empezar por la modificación de la información que es preciso dar a los clientes (así como a los trabajadores, o a cualquier interesado cuyos datos se vayan a recabar) en el momento de pedirle sus datos personales. El RGPD impone la obligación de informar al usuario de cuestiones como para qué voy a utilizar sus datos. Será preciso informar, igualmente, de cuál es la forma de formular reclamaciones frente la compañía en materia de protección de datos, incluyendo la identificación del departamento interno de la compañía, el regulador (en España, la Agencia Española de Protección de Datos) o los tribunales. También es preciso informar del plazo durante el cual se van a conservar los datos recabados, de si los datos van a estar alojados fuera de la Unión Europea o de si vamos enviar comunicaciones comerciales. Y no se trata de una mera explicación genérica, como era bastante frecuente hasta ahora, sino que con la nueva normativa es necesario informar de manera clara, sencilla, pero completa, de todas y cada una de esas cuestiones. Y, además de esa información exhaustiva, debemos obtener el consentimiento expreso para todo ello, y en los casos de tratamientos no relacionados directamente con el servicio prestado, los consentimientos tendrán que ser específicos.
Otra de las novedades de la normativa europea establece la obligación para las compañías de redactar y preparar un “registro de tratamientos”, que básicamente es un catálogo de todos los tratamientos de datos personales realizados por la compañía, con un análisis de riesgos en cada uno de esos tratamientos. La forma de realizar ese listado debe seguir un procedimiento denominado “evaluación de impacto de privacidad”. Igualmente, para cada tratamiento de datos en la compañía habrá que aplicar dos principios que son el de “privacidad desde el diseño” (debe incluirse un análisis de riesgos de privacidad desde el momento de diseñar y definir nuevos productos y servicios) y el de “privacidad por defecto” (también conocido como principio de minimización de datos).
Muchas compañías, y especialmente la que traten datos a gran escala (de forma masiva o recur rente) o datos sensibles, deberán designar un Delegado de Protección de Datos, que será el encargado de velar internamente por el cumpl imient o de la normativa y de responder a todas las cuestiones planteadas desde el exterior tanto por el regulador como por los interesados. Se trata de un profesional que debe reportar al máximo nivel ejecutivo de la compañía y tiene la obligación de notificar cualquier incumplimiento que pueda tener consecuencias para las personas cuyos datos se tratan.
Existen otras obligaciones que sería prolijo desgranar aquí de forma exhaustiva, pero sí es importante tener en cuenta que la guinda de todo el nuevo sistema la pone un régimen sancionador agravado con respecto al sistema actual de la LOPD. Las sanciones previstas en el RGPD van hasta los 20.000.000 euros (sí, veinte millones de euros) o el 4% de la facturación global anual del ejercicio anterior (la que resulte más alta). A nivel sectorial basta tomar como base la facturación anual del turismo en España durante el ejercicio 2016 (alrededor de 74.000 millones de euros) para ver cuál es la exposición al riesgo regulatorio de este sector si no se adapta a la nueva normativa de protección de datos antes de mayo de 2018 (2.960 millones de euros).
Como se puede comprobar, se trata de un cambio normativo especialmente importante que afecta de forma directa al negocio hotelero y al sector turístico en general, sobre el que conviene tomar decisiones de forma inmediata. Los cambios afectan a procedimientos internos, a la definición de los servicios y productos de la compañía e incluso a la estructura orgánica interna.