Aspectes més destacats per al sector de l’allotjament turístic de la jornada informativa de l’Agència Espanyola de Protecció de Dades sobre el nou Reglament Europeu

El proper 25 de maig entrarà en vigor el Reglament General de Protecció de Dades. Aquest Reglament, d’àmbit comunitari, es va publicar en el Diari Oficial de la Unió Europea i conté la reglamentació relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades. Després d’un període de dos anys des de que es publiqués al maig de 2016, és ara quan entra en vigor.

La novetat més important d’aquest nou Reglament és l’exigència de consentiment explícit per al tractament de les dades personals. Això afecta de manera molt concreta a l’ús de les bases de dades que es disposen i a l’enviament de comunicacions comercials que es realitzin.

Pel que fa a les bases de dades anteriors a l’entrada en vigor del Reglament, serà necessari obtenir el consentiment explícit per poder seguir utilitzant-les. Aquest punt pot donar lloc a confusió, ja que, atenent al cas concret, s’haurà d’obtenir el consentiment sempre que no hagi estat obtingut de la forma correcta conforme a l’establert a l’actual RGPD (Reglament General de Protecció de Dades), i sí es podrà seguir utilitzant en cas d’emparar-ho la LSSI (Llei de Serveis de la Societat de la Informació).

S’haurà de desagregar en diferents textos i amb diferents caselles de marcació els diferents consentiments, com per exemple, la cessió de dades a tercers.

El passat dia 19 d’abril, la Confederació Espanyola d’Hotels i Allotjaments Turístics (CEHAT), a la qual es troba afiliada Hostaleria de Lleida, va ser un dels participants en la trobada informativa de l’Agència Espanyola de Protecció de Dades (AEPD) per facilitar la disseminació de la nova reglamentació en el nostre sector.

Entre els aspectes més rellevants abordats en aquesta jornada informativa, podem destacar els següents aspectes:

  • En cas que l’hotel vulgui conservar les dades del client facilitats durant el “check in” per a posteriors estades, haurà d’informar-ho en la clàusula de protecció de dades que figuri en el formulari d’entrada. Tenint en compte que la Llei de Serveis de la Societat de la Informació (LSSI) habilita per a l’enviament de publicitat mitjançant mitjans electrònics de productes similars a tots els clients, l’Agència de Protecció de Dades aclareix que, en el cas del sector de l’allotjament, s’entén que els clients han prestat el seu consentiment mentre no ho revoquin. En totes les comunicacions electròniques, s’haurà d’oferir l’opció de donar-se de baixa (revocació del consentiment). L’Agència matisa que, per al màrqueting directe, serà necessari obtenir el consentiment, ja que en aquest cas, no resulta d’aplicació la LSSI (per exemple, enviament de publicitat postal).
  • La càrrega de la prova del compliment en matèria de protecció de dades recau sobre el responsable del tractament de les dades. Serà qui haurà de provar-ho enfront de l’AEPD. El termini durant el qual s’ha de conservar la documentació que acrediti el compliment de les obligacions en matèria de protecció de dades és de 3 anys des que finalitzi el període del tractament de les dades.
  • Sobre l’obligació de regular les relacions entre responsable i encarregat del tractament, que es refereix a l’actualització dels annexos dels contractes de proveïdors, l’Agència entén que es podran mantenir els contractes actuals fins la data de venciment; una vegada arribada la data de venciment serà necessària la seva actualització i incloure l’annex d’encarregat de tractament segons l’article 28 del RGPD. En cas de contractes indefinits, haurà d’actualitzar-se, computant un període de 4 anys des de la data d’entrada en vigor del Reglament (25 de maig de 2018). En el cas de contractes prorrogables automàticament, hauran d’actualitzar-se abans de l’entrada en vigor de la pròrroga.
  • La creació de perfils (entenent per perfil el tractament de dades que suposa una avaluació d’aspectes de la personalitat, per exemple anàlisi de comportament de compra del client i sempre que la publicitat enviada al client estigui basada en el perfil i no afecti significativament al client) haurà de comptar amb el consentiment de l’afectat pel tractament de les dades, donant l’opció d’oposar-se a la realització d’aquest tractament.
  • S’unifica el termini d’exercici de drets: termini de resposta d’un mes des de la data de recepció de la sol·licitud.
  • En cas de disposar de càmeres de videovigilància, serà suficient amb mantenir els cartells informatius d’aquest fet sempre que en la informació de la clàusula ampliada figurin els requisits que recull l’article 13 del RGPD.
  • El reglament europeu no exclou del seu àmbit d’aplicació a les persones físiques representants de persones jurídiques; no obstant això, l’avantprojecte de llei espanyola sí recull aquesta excepció del tractament de les dades personals de persones físiques representants de persones jurídiques, sempre que es realitzi en l’àmbit de les relacions comercials jurídiques.
  • En el cas que un afectat pel tractament de les dades exerciti el seu dret d’accés sobre l’enregistrament d’una trucada telefònica, haurà de ser lliurada l’enregistrament (per ser la veu una dada personal).

HOSTALERIA DE LLEIDA us pot oferir un servei a un cost assumible per complir amb els requeriments que marca el nou Reglament Europeu de Protecció de Dades. Si voleu més informació, truqueu al Departament Jurídic d’HOSTALERIA DE LLEIDA (Sr. Javier Portolés García. Tel. 973.24.88.58. E-mail: jportoles@hostaler.org).

Font: CEHAT