El 25 de mayo de 2018 ha entrado en vigor el Reglamento UE 2016/679, en materia de “protección” de datos personales (de ahora en adelante el “Reglamento” o “RGPD”), instrumento normativo comunitario destinado a reforzar el derecho de las personas físicas a que sean protegidos sus datos personales, al que se le ha dado la categoría de “derecho fundamental” en la Carta de derechos fundamentales de la Unión Europea (Artículo 8 apartado 1) y en el Tratado sobre el funcionamiento de la Unión Europea (Artículo 16 apartado 1).
El Reglamento se aplica inmediatamente y no necesita transposición por parte del legislador nacional. Sus disposiciones prevalecen sobre las leyes internas. Desde un punto de vista práctico ello significa que, en caso de contraste entre una disposición contenida en el Reglamento y una prevista en el “viejo” Decreto Legislativo 196/2003, prevalecerá el Reglamento.
El RGPD se compone de 99 artículos de los cuales, solo algunos, constituyen novedades y tienen relevancia para los titulares/gestores de estructuras receptoras turísticas.
Seguramente la primera novedad es la relativa al “consentimiento explícito” para el tratamiento de datos “sensibles” y las decisiones basadas sobre tratamientos automatizados (incluida la elaboración de perfiles – art. 22). De hecho es necesario que el cliente manifieste un consentimiento distinto del relativo a los otros datos. El consentimiento anterior al 25 de mayo 2018 es válido solo si tiene estas características.
Esto impone, por ejemplo, al titular de los datos poner al día su página web o las newsletter promocionales enviadas a los clientes. Estos deben ser informados de las finalidades para las cuales se recogen los datos y los derechos que les corresponden. Para la inscripción en la newsletter debería ser necesario únicamente el correo y cuando fuesen solicitados otros datos, se especificarán las finalidades para las que fueron solicitados. Antes de la solicitud de inscripción el cliente deberá emitir el consentimiento y la aceptación de la normativa sobre la protección de datos. El documento de seguridad deberá poder ser visualizado claramente desde la página web principal. Por lo que respecta específicamente a la newsletter, el documento de seguridad debe ser indicado y enlazado en el relativo recuadro de inscripción.
Se han introducido importantes modificaciones a los deberes del Responsable del tratamiento de datos y del Encargado del tratamiento de datos, ambas figuras de gran importancia en las estructuras hoteleras.
El Responsable del tratamiento de datos debe ahora: (i) poder demostrar que el interesado haya prestado el consentimiento a un tratamiento específico, (ii) suministrar los datos de contacto del Responsable de protección de datos, (iii) declarar si transmitir los datos personales a Terceros Países y, en caso afirmativo, a través de qué instrumentos, (iv) especificar el período de conservación de los datos y o criterios seguidos para establecer el período de conservación de los mismos y el derecho de presentar un recurso a la autoridad de control, (v) especificar si el tratamiento comporta procesos decisionales automatizados (incluso la definición del perfil), y las consecuencias previstas por el interesado.
El Encargado del tratamiento de datos (denominado Data protection Officer – DPO), es en cambio el profesional (que puede ser interno o externo a la estructura) que garantiza las observaciones de las normas del RGPD y la gestión y tratamiento de datos.
Según la nueva normativa los deberes de dicho sujeto consisten ahora en: i) llevanza del registro de tratamientos efectuados (en base al art. 30, párrafo 2) y ii) en la adopción de idóneas medidas técnicas y organizativas para garantizar la seguridad de los tratamientos (en base al art. 32 del reglamento).
Su nombre debe aparecer en el documento de seguridad que debe entregarse al Cliente. La relación con el titular del tratamiento está regulada obligatoriamente por un contrato que debe disciplinar taxativamente al menos seis materias de las previstas en el párrafo 3 del art. 28 con el fin de demostrar que el responsable da “garantías suficientes” para una correcta gestión y tratamiento de datos. El Responsable puede nombrar a su vez un “sub-responsable” pero solo para limitar la actividad de tratamiento, llevado a cabo de acuerdo con cuanto previsto en el contrato, y responderá del incumplimiento del mismo.
En base a dichas disposiciones, las estructuras hoteleras deberán proceder a una atenta valoración del riesgo resultante del tratamiento de datos, establecer un detallado procedimiento en grado de verificar constantemente la idoneidad del tratamiento, proceder en tiempo oportuno a notificar una violación del procedimiento de seguridad que implique la divulgación incluso accidental de datos, poner al día los documentos de seguridad que hay que entregar al cliente.
Hay que señalar que las sanciones por las violaciones del RGPD pueden alcanzar el 4% de la facturación de la empresa, siendo más severas respecto a lo previsto en precedencia. Es necesario prestar mucha atención a que se respete el mencionado Reglamento, ya que su errónea o carente aplicación puede determinar graves perjuicios a la empresa.
El autor de este artículo es Giovanni Izzo.