Seleccionar página
Cd rom atravesado con un candado simbolizando la seguridad de los datos depositados.

Si creías que la LOPD era tediosa a la hora de tratar los datos en tu negocio hotelero… agárrense que vienen curvas. La nueva normativa europea (Ya vigente) es mucho más incisiva y supondrá reestructurar algunos de nuestros procesos y seguramente involucrar a toda la organización en su conocimiento.

Algunos de los que hayáis pasado por el trámite del registro de los ficheros de la empresa ante la Agencia de Protección de Datos -bastante tedioso, lo sé por experiencia- se habrán echado a temblar con el subtítulo. Cuando ya estábamos familiarizados con la LOPD vigente, llega una normativa europea a poner patas arriba el asunto.

¿Qué cambia? Bastante.

Antes el responsable de los datos declaraba una serie de ficheros (BBDD) y éstos se clasificaban según su nivel de sensibilidad en función de la naturaleza del dato. Según esto se aplicaban unas u otras medidas de seguridad predefinidas de manera estandarizada lo que suponía una necesidad reactiva de actuación de la empresa o sujeto en función de los datos que pretendiese recabar con indiferencia del uso de los mismos. (Siempre dentro de la legitimidad, claro está)

Ahora con la nueva norma, no se declaran ficheros sino conjuntos de datos SEGÚN SU USO y las medidas no son estandarizadas. A las pequeñas y medianas empresas se las obligará a hacer una declaración de los datos procesados y a cumplir, aparte de las medidas estándar básicas con un diseño y planificación del almacenamiento de los datos, incluyendo los posibles puntos frágiles, las medidas de seguridad correctoras a aplicar, el mantenimiento de un registro de tratamientos, nombrar un delegado de protección de datos y promover los códigos de conducta precisos para su correcta gestión en la organización.

Para las grandes empresas además se exigirán posiblemente esquemas de certificación homologados (tipo ISO) que velen por el correcto diseño de todo ese plan de actuación.

A mi, leyendo todo esto me vienen, a pesar de que la Agencia defienda en su web que “no implica necesariamente ni en todos los casos una mayor carga” de obligaciones para la empresa, una serie de ideas: Inversión en Formación, Inversión en el diseño de un plan y por supuesto el pago de una serie de certificaciones para las empresas que sin duda se dedicarán a gestionar estos cambios.

Aunque esto es de aplicación a todas las empresas y sectores, centrándonos en el sector hotelero, no cabe duda de que esto va suponer implementar una serie de cambios y realizar alguna inversiones, ya que desde el hotel independiente más pequeño hasta las grandes cadenas, tratamos una cantidad nada desdeñable de datos de nuestros clientes y con un grado de sensibilidad importante al incluir datos financieros para procesar los pagos.

COSAS A TENER EN CUENTA :

  • Los textos de consentimiento informado van a cambiar y habrá de darse mucha más información al usuario a la hora de recabar los datos.
  • El consentimiento tácito… mejor nos olvidamos de él. Ahora el consentimiento ha de ser inequívoco. Siempre.
  • Las sanciones a grandes empresas en caso de infracciones/fugas de datos pueden llegar a ser ahora tan cuantiosas como 20 millones de euros o el 4% de la facturación. Asusta.

Pero no todo es malo. Como usuarios, los residentes en la UE tendremos garantizada la seguridad de nuestros datos no sólo en la UE sino en cualquier empresa de cualquier país del mundo que trate con datos de residentes de la UE. (Cosa que hasta ahora no sucedía). También tendremos cosas como la “portabilidad de datos” o derecho a pedir que una empresa con la que tenemos relación con tratamiento de datos pase a otra empresa con la que vayamos a tenerla los datos necesarios inherentes al contrato. Otra cosa que me encanta es la figura del “interés legítimo“. Aunque en la anterior ley estaba sucinto en las definiciones, la normativa en vigor ahora dicta que no se podrá negar el acceso a los datos a aquellos que con interés legítimo demostrable lo reclamen. A mi personalmente me ha pasado negarme el acceso a información que me atañía directamente bajo el paraguas de la LOPD… cosa que era absurda pero que causaba muchos dolores de cabeza discutir. También entra en vigor el “derecho al olvido”  que supone que el interesado puede solicitar que se bloqueen de las listas de resultados de  buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos. Todo el que haya pasado por una oposición o nombramiento hace unos años sabe que esto vale oro. La de “la he liado parda” ni con esto se libra.

Por último recordad: La ley está ya en vigor pero su plazo de aplicación es de dos años por lo que todos sus preceptos serán de obligado cumplimiento desde el 25 de Mayo de 2018 en adelante.

Yo por si las moscas… me iba poniendo al día!

Quiero dedicar este post a Carlos Felipe de Casual Hoteles con quien tuve el placer de coincidir en una charla al respecto del tema en la planta 50 de la torre de PwC.

Espero que os haya gustado y que os animéis a suscribiros (es gratis).