A partir del 25 de mayo de 2018 todas las compañías de todos los sectores deberán aplicar y cumplir la nueva normativa europea que regula la protección de los datos de carácter personal. Se trata del Reglamento General de Protección de Datos de la UE, que constituye el mayor hito regulatorio en esta materia en los últimos 20 años.
El sector hotelero y turístico se verá impactado de forma muy relevante por esta normativa, dado el volumen de datos personales que tiene que tratar para prestar sus servicios.
El tiempo que resta para ponerse al día se agota velozmente.
El Reglamento General de Protección de Datos de la UE (RGPD) supone un cambio de paradigma en lo que respecta a la forma de ver cómo debemos afrontar los derechos y obligaciones relacionados con los datos personales gestionados por el negocio.
Desaparecen las obligaciones formales que venían impuestas por la LOPD (inscripción de ficheros, redacción de documento de seguridad) y se sustituyen por obligaciones de cumplimiento real y efectivo que, además, tiene que ser demostrable.
Algunos ejemplos sobre las consecuencias principales de la nueva normativa:
- Sobre la información que es preciso dar a los clientes (así como a los trabajadores, o a cualquier interesado cuyos datos se vayan a recabar) en el momento de pedirle sus datos personales, el RGPD impone la obligación de informar al usuario de cuestiones como para qué voy a utilizar sus datos.
- Será preciso informar, igualmente, de cuál es la forma de formular reclamaciones frente la compañía en materia de protección de datos, incluyendo la identificación del departamento interno de la compañía.
- También es preciso informar del plazo durante el cual se van a conservar los datos recabados, de si los datos van a estar alojados fuera de la Unión Europea o de si vamos enviar comunicaciones comerciales con la nueva normativa. Es necesario informar de manera clara, sencilla, pero completa, de todas y cada una de esas cuestiones y debemos obtener el consentimiento expreso para todo ello, y en los casos de tratamientos no relacionados directamente con el servicio prestado, los consentimientos tendrán que ser específicos.
- Establece la obligación para las compañías de redactar y preparar un “registro de tratamientos”, que básicamente es un catálogo de todos los tratamientos de datos personales realizados por la compañía, con un análisis de riesgos en cada uno de esos tratamientos.
- Para cada tratamiento de datos en la compañía habrá que aplicar dos principios que son el de “privacidad desde el diseño” y el de “privacidad por defecto”.
- Además, se deberá designar un Delegado de Protección de Datos.
Las sanciones previstas en el RGPD van hasta los 20.000.000 euros o el 4% de la facturación global anual del ejercicio anterior (la que resulte más alta).
Los cambios afectan a procedimientos internos, a la definición de los servicios y productos de la compañía e incluso a la estructura orgánica interna.
Fuente noticia: Segurdades