Jornada HTSI sobre el nuevo Reglamento General de Protección de Datos europeo y el sector del turismo.

Con motivo de la entrada en vigor el próximo 25 de mayo del nuevo Reglamento General de Protección de Datos europeo (RGPD), la Facultad de Turismo y Dirección Hotelera Sant Ignasi (HTSI), de la Universitat Ramón Llull, organizó una jornada profesional bajo el título “RGPD y turismo: adaptación al nuevo horizonte legal” que concluyó que la aplicación del RGPD fortalece la protección de datos y da poder al titular sobre el uso que terceros pueden hacer de ellos.

Tal y como explicó José Luis Piñar, catedrático de Derecho Administrativo en CEU Universidad San Pablo y ex-director de la Agencia Española de Protección de Datos, el nuevo reglamento se aplica directamente en todos los estados miembros de la Unión Europea. Esto requiere una trasposición, que en España llegará en forma de Ley Orgánica, “que se está debatiendo ahora mismo en el Congreso de los Diputados y que se prevé que se aprobará a final de año”. Según José Luis Piñar, para el sector turístico “es vital manejar datos de carácter personal y siempre se ha preocupado del buen uso de estos datos. La protección de datos no impide utilizarlos, pero marca cómo hacerlo para conseguir la finalidad que queremos”. El objetivo principal del RGPD es proteger el derecho fundamental a la protección de datos de carácter personal, así como el derecho al olvido, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos. “El nuevo reglamento nos lleva de un modelo de gestión de protección de datos a un modelo responsable de la información y esto se traduce en muchos elementos novedosos”, comentó Piñar, destacando el Principio de Responsabilidad Proactiva que requiere que las empresas analicen qué tipo de datos tratan, con qué finalidad lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé.

Consentimiento explícito e interés legítimo, pilares del RGDP

En cuanto al consentimiento, desaparece el consentimiento tácito o por omisión: “Con la nueva normativa debe ser explícito y las casillas premarcadas no son válidas”, explicó Piñar, que apuntó que el interés legítimo de las empresas podría amparar el consentimiento “que es un título habilitante que apenas se ha aplicado en España y que ahora cobra relevancia”. “El envío de publicidad al cliente si se ha alojado en el hotel podría considerarse en interés legítimo del hotel y podría no requerir el consentimiento explícito del cliente si se puede justificar que, efectivamente, es información relevante para el titular de los datos, algo que no se puede hacer con clientes potenciales”, comentó. Según José Luis Piñar, el dato es siempre del titular o cliente, no pertenece a las empresas. “Siempre tratamos datos que nos son ajenos, son de terceros. Si no informamos al dueño del dato y él no sabe qué estamos haciendo con sus datos podemos sufrir consecuencias gravísimas” advirtió.

La protección de datos como derecho fundamental

Mª Eugenia Gay, abogada y decana del Ilustre Colegio de la Abogacía de Barcelona, Marc Rius, abogado especializado en nuevas tecnologías, y Patrick Torrent, director de la Agència Catalana de Turisme de la Generalitat, participaron en la mesa redonda que moderó Eugeni Gay, abogado y presidente de la Fundación Privada Xavier – Facultad de Turismo y Dirección Hotelera Sant Ignasi (HTSI). En este marco, los ponentes reconocieron que el sector hotelero siempre ha estado preocupado por la protección de datos.

Según Mª Eugenia Gay, la protección de datos de las personas físicas tiene carácter de derecho fundamental: “El artículo 8.1 de la carta de los derechos fundamentales de la Unión Europea señala que cada persona tiene derecho a la protección de los datos de carácter personal que le conciernan sobre su actividad, domicilio, libertad de pensamiento, libertad de expresión e información”. Gay subrayó la importancia de que las empresas turísticas “forman parte del círculo de confianza de vuestros consumidores y debéis ser conscientes de los principios que han inspirado la ley”.

Tal y como explicó el abogado Marc Rius, no es necesario elaborar un clausulado largo y complicado de entrada: “Podemos ir captando los consentimientos a medida que los clientes nos vayan pidiendo servicios y mientras avanza la relación contractual”. Destacó además el factor de riesgo que supone los derechos de limitación, cancelación o portabilidad. “Hay un plazo para contestar a las demandas de los titulares y no responder a sus peticiones puede ser motivo de sanción grave” apuntó. El RGPD contempla el derecho a la limitación del tratamiento de los datos y las empresas deberán cumplirlo puesto que el impacto económico de las sanciones cobra mucha más importancia. “Con el nuevo reglamento europeo, las multas pueden llegar hasta 20 millones de euros o hasta el 4% del volumen total anual global de la compañía, por infracciones graves como vulneración de los principios básicos, tratamiento ilícito, consentimiento inválido, finalidad distinta a la anunciado, tratamiento inadecuado de datos sensibles, y omisión del deber de información, entre otras”, comentó Marc Rius.

Delegado de Protección de Datos, nueva figura jurídica

Con el nuevo RGPD aparece la nueva figura jurídica de delegado de protección de datos. Las compañías del sector turístico no están obligadas a hacerlo, a diferencia de las entidades financieras y colegios profesionales por ejemplo, por lo que cada hotel debe decidir si incorpora un delegado o no. Según José Luis Piñar, esta figura debe tener tres características: experiencia en protección de datos, conocimientos en derecho y que sea capaz de actuar con absoluta independencia dentro de la organización. El nuevo reglamento prevé que el responsable de la empresa debe aplicar medidas para garantizar el nivel de seguridad adecuado. A los derechos fundamentales de los ciudadanos que ya se protegen actualmente denominados ARCO (derechos de Acceso, Rectificación, Cancelación y Oposición) se une el nuevo derecho al olvido, “sin dilaciones, siempre que la persona lo exija o lo pida”, en palabras de Mª Eugenia Gay.

¿Cómo será el marketing a partir de la RGPD?

En su intervención, Patrick Torrent, director ejecutivo de la Agència Catalana de Turisme de la Generalitat, señaló que la nueva legislación en materia de protección de datos “nos afecta de forma muy directa en el modo de hacer marketing en el sector turístico y hotelero. Para ello, hay que gestionar mejor el tratamiento de los datos y trabajar la experiencia del consumidor antes, durante y después de la experiencia turística”. “Asegúrate de que tu marca no se vea afectada, porque la infracción la penaliza”, declaró Torrent. En el pasado, la comunicación se decantaba hacia el Outbound Marketing, con emails masivos por ejemplo. “Ahora es el Inbound Marketing, donde el contenido es el rey el que se impone. Debemos ser capaces de atraer al cliente a nuestras plataformas con contenidos de valor y así nos dará voluntariamente sus datos más que salir a buscar a captar masivamente y disparar al mercado”, señaló Patrick Torrent.

La jornada sobre la aplicación del RGPD en el sector turístico se enmarca en el área de Executive Education de HTSI, que engloba formación específica para el sector, como los Programas de Experto Universitario en Revenue Management y Finanzas Hoteleras. A su vez, organiza jornadas y encuentros profesionales sobre temas de actualidad y ofrece servicios de consultoría para el sector turístico, hotelero y del ocio.