Skip to content

Seis preguntas y respuestas sobre el RGPD

Seis preguntas y respuestas sobre el RGPD

Compartir noticia

3 min. de lectura

Escuchar

eventoplus
Repensando el futuro  Cronología de una trayectoria empresarial: Medems Catering, anécdotas y vivencias del final del siglo XX  Foro MICE demanda un plan estratégico para el sector que solucione, entre otros, los problemas de oferta de espacios en Madrid
Por Elena Monsalve A un día de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) las empresas apuran las horas para ponerse al día. Como profesionales de eventos, necesitamos comprender e implementar los cambios que esta normativa europea conlleva en nuestra forma de trabajar. Los datos son fundamentales en los eventos: nombres, cargos, correos electrónicos, aficiones e incluso intolerancias alimentarias de los asistentes; un sinfín de datos que hemos recopilado durante años y que, a partir del próximo viernes, tendrán que cumplir con lo establecido en el RGPD. Repasamos aquí seis aspectos que debes conocer para gestionar los datos de tus asistentes.

1.- ¿Cuáles son los nuevos derechos individuales del RGPD?

  • Derecho a estar informado y derecho al acceso: A saber cómo serán recolectados, procesados y almacenados, y con qué función; tanto antes de que sean recolectados (información) como después de la recolección (acceso).
  • Derecho a la corrección o a completar sus datos cuando lo deseen.
  • Derecho al olvido o a la eliminación de datos personales de forma permanente.
  • Derecho a restringir el procesamiento, a bloquear o suprimir sus datos personales tanto si están en procesamiento como en uso.
  • Derecho a la portabilidad de datos: A mover, copiar o transferir sus datos de un controlador a otro, de forma segura y en un formato legible.
  • Derecho a objetar el procesamiento de datos para autoridades públicas o empresas que los procesen sin su consentimiento explícito. Esto incluye el derecho a detener la inclusión de sus datos en bases de datos de marketing directo.
  • Derecho a no ser sujeto de toma de decisiones automatizadas y solicitar intervención humana en la toma de decisiones respecto a sus datos (evitar ser sujeto de decisiones tomadas por algoritmos).

2.- ¿Cómo afecta el RGPD a tus bases de datos?

¿Cuál es el origen de tus bases de datos? La mayoría de agencias de eventos contestarán que consiguen sus datos a través de varios métodos de recopilación (registro, app, wifi…) y que sus bases han crecido a lo largo de los años. Pero estos datos tienen todas las papeletas para incumplir el nuevo RGPD. Una de las acciones más importantes a realizar es validar toda la información existente. Una tarea complicada pero que es la base para el cumplimiento del nuevo reglamento, y si dedicas los recursos necesarios, puede convertirse en la oportunidad para realizar esa “limpieza” de datos que has estado posponiendo durante los últimos años…

3.- ¿Cómo se debe obtener el consentimiento?

Para continuar recopilando datos y utilizándolos en tu estrategia, debes revisar los métodos de obtención de consentimiento (fácil lectura y aceptados de forma tangible). Si necesitas crear nuevas solicitudes debes realizar dos acciones:

  • Revisa los métodos de recopilación de datos utilizados hasta ahora, identifícalos y clasifícalos: los que vienen de un evento, de la web, de registro o de nuevas tecnologías.
  • Pregúntate ¿Cómo vas a utilizar toda esa información?, ¿Con quién la compartirás? ¿Para qué los has recogido? ¿Qué conseguirás de ellos? El RGPD obliga a informar del propósito de cada acción y permitir aceptar o rechazar las condiciones.

4.- ¿Cuál es el papel de la agencia y el de los proveedores de tecnología para eventos?

Las agencias organizadoras de eventos tienen el papel de controlador, por lo que son responsables de decidir y comunicar cuál es su objetivo a la hora de recopilar los datos de participantes. El papel de los proveedores de tecnología para eventos es realizar el procesamiento de los datos, un papel importante, pero no son los responsables de la selección y la toma de decisiones respecto al uso de los datos. Por lo tanto, las agencias son las responsables del cumplimiento del GDPR, mientras que los proveedores de tecnología ayudan a garantizarlo.

La acción más aconsejada para los controladores de datos (¡nosotros!) es nombrar a un delegado de protección de datos o un Data Protection Officer , responsable de asegurar que los proveedores de tecnología contratados ofrecen una formación a sus trabajadores sobre protección de datos. Además, los proveedores deben emplear las tecnologías que reduzcan el riesgo de incumplimiento, filtraciones de datos o fallos de seguridad. Si se produce una infracción de datos, es responsabilidad de la agencia notificarlo a la autoridad de control y a los usuarios afectados en 72 horas.

5.- ¿Cómo afecta el RGPD a tu política y aviso de privacidad?

La distinción entre política y aviso de privacidad ha pasado desapercibida hasta ahora, pero necesitamos diferenciarlos y comprenderlos individualmente. En eventos, la política de privacidad es el conjunto de procedimientos y medidas que debes comunicar a tu equipo para que sepan cómo manejar los datos recopilados. El aviso de privacidad es el documento que debemos compartir con los asistentes sobre qué datos estamos recopilando, cómo serán procesados y con qué fin. Además, deben requerir que los usuarios manifiesten el consentimiento explícito para el tratamiento de sus datos, y la edad mínima será los 16 años.

6.- ¿Qué puede pasar si no cumplimos con el reglamento?

Fernando Fernández-Miranda (participó en el  MIS 2018 como experto en gestión de la información y protección de datos) nos dice que habrá dos consecuencias, muy dolorosas. La primera sería una sanción económica que puede llegar hasta los 20 millones de euros o el 4% de facturación anual. La segunda sería el impacto reputacional que tendría para la empresa sancionada, que en mucho casos es la mayor sanción posible. El consejo más importante que Fernando nos da es establecer internamente una hoja de ruta para cumplir con la normativa, ya sea a través de un asesor externo especializado o creando una estructura interna que facilite esta tarea. El deadline está a la vuelta de la esquina y después será muy complicado cumplir con todas las obligaciones. Todo será obligatorio a partir del 25 de mayo, pero lo expuesto al público tiene una mayor prioridad y riesgo de sanción.

 

Noticias relacionadas

Ver todas las noticias
Eventoplus