Agencias y TTOO

“El reglamento de protección de datos conlleva sanciones de hasta el 4% de la facturación”

Sergio Japaz habla de las consecuencias para las agencias de viajes de la nueva normativa sobre protección de datos, que entra en vigor el 25 de mayo

Publicada 16/05/2018

8:49 horas

 - Actualizada 18/05/2018

10:37 horas

Sergio Japaz asegura que lo primero que deben hacer las agencias para adaptarse al nuevo RGPD es una auditoría interna.

Sergio Japaz asegura que lo primero que deben hacer las agencias para adaptarse al nuevo RGPD es una auditoría interna.

El abogado de UNAV Legal Deiurem, Sergio Japaz, explica a la revista AGENTTRAVEL el nuevo Reglamento General de Protección de Datos (RGPD), que entra en vigor el 25 de mayo, y sus consecuencias para las agencias.

¿Cuál es la principal novedad del nuevo RGPD?
El cambio de enfoque de la protección. Se desplaza del interés de la empresa a garantizar los derechos y libertades de los titulares de los datos, obliga en consecuencia a los responsables a diseñar adecuadamente un mecanismo de protección de seguridad de esos datos durante todo el tratamiento y, a partir de ahí, requiere una revisión previa y un seguimiento continuo acerca del tratamiento de los datos.

¿Cómo deben actuar a partir de ahora las agencias?
Partimos de la base de que todos cumplen la normativa actual, cuentan con ficheros en la Agencia de Protección de Datos y tienen establecidos mecanismos internos para garantizar los derechos de los afectados. Por lo tanto, lo primero que tienen que hacer es una auditoría. De hecho, en algunas cosas se simplifica y en algunas se complica todo. Por ejemplo, el hecho de no tener que declarar ficheros, simplifica administrativamente. El hecho de no tener que dar medidas de seguridad a datos sensibles que no vayan a ser objeto de tratamiento, simplifica y economiza la gestión de los datos.

¿Qué prioridades deben marcarse las agencias de viajes?
Ahora hay que justificarlo todo documentalmente. Te dan las instrucciones y lo único que te va a pedir es que tengas la prueba de que tienes un contrato adecuado firmado para el tratamiento de los datos. Se eleva la exigencia de la prueba. La gente cree que la puesta a punto va a costarle mucho dinero, pero yo diría que la puesta a punto le va a costar más el esfuerzo de pensarlo y llevarlo a la práctica que en el coste económico.

¿Qué herramientas pueden utilizar las agencias para que les resulte más sencillo adaptarse a la norma?
La página web de la Agencia de Protección de Datos ha habilitado una herramienta que se llama ‘Facilita’ y está pensada para que las pequeñas empresas tengan una herramienta de autodiagnóstico. Eso podría ser un primer paso. Esa herramienta está ahí y es de uso público. El problema específico de las agencias de viajes es que, como operan con aerolíneas o cadenas hoteleras a nivel global, se tienen que poner al día porque el proveedor les va a pedir que estén adecuados a la normativa.

¿En qué consiste el “consentimiento claro e inequívoco”?
Hay que utilizar el criterio de menor riesgo. Es decir, en caso de duda, opto por la protección mayor para no tener problemas ni con la autoridad de aplicación ni con los beneficiarios de la norma. Cuando habla de un consentimiento expreso, inequívoco, de una acción afirmativa, lo que quiere decir es que no vale condicionar la respuesta del usuario con casillas premarcadas o manifestando que si el cliente continúa navegando acepta el tratamiento de los datos. Sí, salvo que me digas que no, ya no tiene validez y, además, la mayor parte de las sanciones que se anuncian tienen que ver con esto.

“La mayor parte de las sanciones tienen que ver con la falta de un consentimiento claro e inequívoco para el tratamiento de los datos”

El lenguaje que hay que utilizar tiene que ser claro y sencillo que lo entienda el usuario medio. Te llevo a un ejemplo. En los casos de la Ley de Autonomía del Paciente, existe la figura del consentimiento informado. Es decir, te sometes a una operación y te dicen en qué consiste, los pasos que se van a seguir y las posibles consecuencias negativas. Esta es exactamente la lógica que se aplica en el consentimiento para el tratamiento de datos.

¿Qué sanciones conlleva incumplir el RGPD?
Las infracciones van desde el 2% de la facturación global hasta 10 millones de euros o el 4% de la facturación hasta 20 millones. La vulneración de la normativa implicará sanciones si la Agencia de Protección de Datos considera que se ha sido absolutamente negligente en el tratamiento de datos y en otros casos enviará advertencias para que se puedan corregir. El 25 de mayo entra en vigor una normativa muy estricta, pero la norma nacional no está aprobada.

Todo el mundo sospecha que la autoridad va a ir el día 26 a supervisar y aplicar esas multas cuantiosas, lo cual iría en contra de la letra y el espíritu del proyecto que ellos mismos han propuesto en las Cortes para que se apruebe. Tenemos un problema de fase de tiempo. Hay una norma incompleta que va a ser mejorada por otra norma nacional que todavía no está aprobada. Va a haber sanciones y la Agencia de Protección de Datos es conocida a nivel europeo por ser la que más sanciones ha impuesto en todo este periodo de tiempo. Ese empeño que tienen en sancionar no va a cesar

@ NOTICIAS RELACIONADAS
# TAGS

Queremos tu opinión

Quiero recibir avisos de comentarios de esta noticia
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y obtener datos estadísticos de la navegación de nuestros usuarios. Si aceptas o continúas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información aquí   Aceptar