«El nuevo Reglamento supone alinear la realidad digital del e-commerce con el tratamiento de datos»

ABOGADOS_4Esther Montalvá, experta en Derecho Turístico, nos cuenta hoy como afectará el nuevo Reglamento General de Protección de Datos a tu establecimiento hotelero. Con esta entrevista Paraty Tech pretende ofrecerte toda la información necesaria para que los cambios que afectan al tratamiento de datos no supongan un problema para tu establecimiento. 

De nuevo conocimiento y experiencia protagonistas en nuestro blog.

  1. ¿Qué representa el nuevo Reglamento en el tratamiento de datos?

A mi parecer, uniformidad, consolidación y actualización. El Reglamento pasará a aplicarse en todos los estados miembros de la UE de forma directa, el próximo mayo de 2018, sin necesidad alguna de trasposición, y también a los responsables y encargados que traten datos relativos a ofertas de bienes o servicios para el mercado europeo. Nuestra actual LOPD y Reglamento de desarrollo quedarán derogadas en todos los puntos que regule el nuevo Reglamento General europeo, quedando sólo en vigor aquellos puntos que éste no aborde.  

Por otro lado, no sólo se refuerzan los derechos y obligaciones de los titulares de los datos y las empresas como responsables de los ficheros y del tratamiento, sino que además se amplía el catálogo incluyéndose el derecho al olvido, a la limitación del tratamiento o el derecho a la portabilidad de los datos. Este nuevo Reglamento está mucho más alineado con la realidad digital del comercio y en gran medida da respuesta a las “grietas” que se han venido observando en los últimos años fruto de la transformación digital.

  1. ¿Crees que era necesario el cambio?

No percibo la nueva normativa como un cambio, sino como una evolución. Como decía, se han reforzado y actualizado derechos y obligaciones que ya estaban en vigor, y se han ampliado o modificado en consideración de los avances digitales, pero esa ampliación es una mutación cuasi natural atendiendo a las nuevas tendencias, que SÍ entiendo necesaria.

Si os parece, os ilustro esta opinión con un ejemplo muy concreto:

En el año 1995 el sitio web de una cadena hotelera era estanco, un escaparate de establecimientos con modificaciones de tarifas casi trimestrales (a kilómetros de los actuales softwares de yield management), con escasa implantación de ecommerce y reservas on line. Los datos recabados en una solicitud de presupuesto tenían dos usos básicos: la venta de la reserva interesada y el envío de parcas ofertas de temporada. Fin. El cliente podía ser informado de esas dos finalidades de forma escueta, y casi con toda seguridad, sus datos eran tratados exactamente para esas dos finalidades. Sin más. Como mucho desde un CRM y un par de documentos Excel interconectados con un Mailchimp de cromañón.

Ahora las propias cookies del sitio web extraen y almacenan datos introducidos y no introducidos por el usuario tales como IP, conductas de compra, periodicidad, interacciones con el sitio, navegabilidad, datos bancarios,… y todo ello se analiza en decenas de aplicaciones de marketing a través de nuevas herramientas, propias y de terceros, proveedores, analistas, intermediarios, asesores en revenue mangament… El nuevo Delegado de Protección de Datos que habrá en el seno de las empresas (responsables o encargadas del tratamiento) tendrá, entre sus funciones, mantener actualizado un Registro de Actividades de Tratamiento, una herramienta mucho más detallada y fiel a la realidad.

Como vemos, si bien los derechos y las obligaciones sobre la información relativa al tratamiento ya estaban regulados, se ha evolucionado tanto en el entorno digital que el usuario necesita un mayor detalle, registro y control sobre los tratamientos que se les da a sus datos para alcanzar con plenitud el mismo derecho al conocimiento que se le reconocía en la LOPD hace 19 años: qué se hace con su información personal.

  1. ¿Cuál piensas qué es el punto fuerte o beneficio en este cambio para los hoteles?

El nuevo Reglamento se inspira en la “responsabilidad proactiva” del empresario, esto es, cada entidad tiene que adoptar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento que realiza es conforme al Reglamento.  Así, mientras que antes era el Reglamento de desarrollo de la LOPD el que determinaba (aún determina) con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de los datos objeto de tratamiento, ahora cada uno tendrá el deber de diligencia y la libertad de aplicar las medidas que entienda apropiadas en función de los riesgos que detecte en el análisis previo, atendiendo no sólo al tipo de datos, sino también al coste de la técnica, al coste de aplicación de las medidas, a la naturaleza, alcance, contexto y fines del tratamiento y a los riesgos para los derechos y libertades.

Para mí, todo lo que otorgue flexibilidad al empresario, es positivo para éste, pues la realidad digital actual es que casi toda la hotelería utiliza combinaciones distintas de softwares de gestión de reservas, contabilidad, revenue, … esto es, cada uno de ellos realiza un tratamiento que conoce más que nadie, a través de procesos y puentes informáticos generalmente ad hoc y con unos criterios y objetivos propios, que vienen condicionados por la estacionalidad de la plaza en la que se ubica, por el target concreto al que se dirige, o por su propia estructura empresarial. El nuevo Reglamento le permite diseñar sus protocolos y softwares para generar los informes de tratamiento de una forma ágil, para gestionar el ejercicio de los derechos, etc. pero sin encorsetarlos a través de disposiciones coercitivas.  

  1. ¿Hay algún apartado al que debamos prestar mayor atención al suponer un cambio más drástico que el resto?

De forma inmediata, hay que ponerse a trabajar en dos cuestiones:

  • el análisis de los riesgos y los procesos para poder adoptar las medidas necesarias para el cumplimiento del Reglamento,
  •  y la elaboración de la nueva redacción del apartado de protección de datos de las webs del hotel, publicidad impresa, contratos, documentación física… Nuestra LOPD fija como información obligatoria la existencia de un fichero, su titular, la finalidad y destinatarios, la respuesta obligatoria y los derechos ARCO, mientras que ahora se exigirá que se consigne, además de lo anterior:
  1. Los datos de contacto del Delegado de Protección de Datos, en su caso,
  2. La base jurídica o legitimación para el tratamiento,
  3. El plazo o los criterios de conservación de la información,
  4. La existencia de decisiones automatizadas o elaboración de perfiles,
  5. La previsión de si se realizarán transferencias a Terceros Países
  6. El derecho a presentar una reclamación ante las Autoridades de Control,
  7. Y además, en el caso de que los datos no se obtengan del propio interesado, el origen y las categorías de los datos

Aunque no sea obligatorio para los hoteles, será conveniente que cuenten con un Delegado de Protección de Datos o con una empresa especializada que les auxilie en la adaptación. El asesoramiento especializado es clave.