Skip to content

Tratamiento de datos en tus eventos, ¿conoces tus obligaciones y responsabilidades?

Tratamiento de datos en tus eventos, ¿conoces tus obligaciones y responsabilidades?

Compartir noticia

3 min. de lectura

Escuchar

Paula Rey
El Open de Golf o el Mutua Madrid Open incrementan el gasto y la descentralización turística en Madrid Consejos para aplicar el diseño circular en tus eventos El 1 de enero de 2025 entra en vigor el primer convenio colectivo estatal de empresas organizadoras de eventos
Hasta un 4% de la facturación global o 20 millones de euros…A este nivel llegan las multas por incumplimiento del Reglamento General de Protección de Datos, más conocido como RGPD. Pasados tres años desde su entrada en vigor, sorprenden las recientes multas a gigantes como BBVA o Caixabank por una mala gestión de datos. Ahora, con el boom de la digitalización, ciertos datos pueden conseguirse más fácilmente a través de webs, webapps, redes sociales, etc., pero cabe recordar que existe una norma que hay que cumplir y concretamente en el sector de eventos, en el cual interactúan múltiples actores diferentes (agencia, proveedores, cliente…), puede resultar confuso quién es responsable de qué. No dudamos que te has leído ya las 88 páginas del RGPD… pero por si acaso, he aquí unas claves. Por Paula Rey

Agencia, proveedores, cliente… quién es responsable de qué en el tratamiento de datos

Este es el quid de la cuestión. Un evento, múltiples actores implicados, múltiples datos que se tratan y que deben protegerse y… ¿quién hace qué? ¿quién sería el responsable si hay algún problema? Rebeca Saez de REDTORRES precisaba en un encuentro sectorial organizado por Grupo eventoplus donde se trató la digitalización (¡hemos organizado desde la pandemia más de 40!), precisamente esto: la importancia de que cómo sector entendamos la diferencia entre dos perfiles: “el responsable del tratamiento” y “el encargado del tratamiento”.

Responsables serían, resumiendo, los propietarios. “Las organizaciones que deciden -ya sea por sí mismas o conjuntamente con otros responsables- quién y por qué se tratan los datos personales”. La carga principal de cumplimiento de RGPD recae, por tanto, en el responsable. Es decir, en un evento el cliente sería el principal responsable del tratamiento de datos.

Sin embargo, la RGPD extiende las obligaciones legales de los encargados (aquellos que actúan en nombre del responsable y siguiendo sus instrucciones) como podrían ser agencia o el proveedor del sistema de registro. Si no cumplen esas obligaciones pueden recibir también multas.

¿Cuáles son las principales obligaciones de los encargados?

  • Tener un acuerdo legal formalizado, con los propietarios, precisando duración, naturaleza, objeto del tratamiento, tipo y categorías de datos personales, así como las obligaciones y los derechos del responsable del tratamiento. Sobra decir que este acuerdo especifica que los datos solo se utilizan para este evento y se destruyen después.
  • Tratar los datos de acuerdo únicamente a las instrucciones del responsable.
  • Adoptar las medidas de seguridad adecuadas para proteger los datos e informar a los responsables en el caso de una violación de datos.
  • Delegar el tratamiento de los datos en un subencargado solo con previa autorización del responsable. Por ejemplo: si una agencia en un evento gestiona la contratación de proveedores y estos van a tratar datos, debe contar con la autorización del cliente (responsable).

Estas obligaciones las explica en mayor profundidad la IAB Spain (que representa al sector de la publicidad en medios digitales en España) en una guía básica sobre el RGPD

La Agencia Española de Protección de Datos también pone a disposición unas directrices para la elaboración de contratos entre responsables y encargados del tratamiento, y toda una sección de documentos y orientaciones que también pueden servir de ayuda.

Otros consejos

  • Vigila tus partners en el extranjero. La RGPD se aplica a todas las empresas que hacen negocios en la Unión Europea, por lo que hay que asegurarse que todos los actores implicados en tu actividad de eventos cumplen con la normativa. En particular los ubicados en EEUU, un país más laxo en la protección de datos de los ciudadanos. En FITUR, por ejemplo, el evento internacional por excelencia en España (que, por cierto, llega en mayo), ¡cuidado con que todos cumplan!
  • Información y concienciación a nivel interno. Asociaciones como la IAB recomiendan encarecidamente que para trabajar bien los datos, sin terminar teniendo problemas, los diferentes departamentos de cada empresa estén concienciados e informados de lo que implica el Reglamento y que se elabore un “plan de cumplimiento” que incluya a todos los miembros de los departamentos pertinentes.
  • Inventario de todas las actividades de tratamiento de datos. Qué datos tienes, de dónde vienen, con quién los compartes. Todas las actividades de datos deben ser revisadas y documentadas identificando cuándo, por qué y quién, realizando un análisis de riesgo en cada tratamiento. La IAB recomienda que una forma de abordar esta tarea es tener un grupo de trabajo con representación de los distintos departamentos.
  • Solo puedes tratar los datos si tienes una base legal. Según el RGPD: consentimiento, contratos, cumplimiento de obligación legal, proteger los intereses vitales de una persona, interés público o interés legítimo. Esas son las 6 bases jurídicas alternativas con las que debes justificar sí o sí el tratamiento de datos, siendo las más utilizadas en publicidad y comunicación el consentimiento y el interés legítimo.
  • Ojo con el consentimiento a través de casillas. Se pueden usar casillas pero el RGPD establece que las casillas premarcadas o la simple inacción de una persona no constituyen una forma válida de dar consentimiento: “si usas el consentimiento como base legal es fundamental poder demostrar que lo has obtenido de forma legal y especialmente si otra organización obtiene el consentimiento en tu nombre”.
  • Los titulares de los datos tienen múltiples derechos. Derecho a ser informado, el derecho de acceso de rectificación, de supresión, derecho a la limitación del tratamiento, a la portabilidad de los datos, derecho de oposición y, por último, el derecho a no someterse a la toma de decisiones automatizadas, incluyendo la elaboración de perfiles. Es necesario que revises todos los procesos para asegurarte de que puedas responder a las solicitudes que puedas recibir, como recalca de nuevo la IAB.

Te recordamos: hasta un 4% de la facturación global o 20 millones de euros, así que vale la pena ser cauto. Y te recordamos que en este sector a menudo informal, tienes que poner todo esto por escrito, sea tu empresa de registro (cómo tiene que tratar y destruir los datos), o tu equipo (dejar un archivo en un sitio no seguro es castigable… y ellos pueden no saberlo). Esto es muy serio.  

Noticias relacionadas

Ver todas las noticias
Eventoplus