Tratamiento de datos en tus eventos, ¿conoces tus obligaciones y responsabilidades?
Compartir noticia
Escuchar
Agencia, proveedores, cliente… quién es responsable de qué en el tratamiento de datos
Este es el quid de la cuestión. Un evento, múltiples actores implicados, múltiples datos que se tratan y que deben protegerse y… ¿quién hace qué? ¿quién sería el responsable si hay algún problema? Rebeca Saez de REDTORRES precisaba en un encuentro sectorial organizado por Grupo eventoplus donde se trató la digitalización (¡hemos organizado desde la pandemia más de 40!), precisamente esto: la importancia de que cómo sector entendamos la diferencia entre dos perfiles: “el responsable del tratamiento” y “el encargado del tratamiento”.
Responsables serían, resumiendo, los propietarios. “Las organizaciones que deciden -ya sea por sí mismas o conjuntamente con otros responsables- quién y por qué se tratan los datos personales”. La carga principal de cumplimiento de RGPD recae, por tanto, en el responsable. Es decir, en un evento el cliente sería el principal responsable del tratamiento de datos.
Sin embargo, la RGPD extiende las obligaciones legales de los encargados (aquellos que actúan en nombre del responsable y siguiendo sus instrucciones) como podrían ser agencia o el proveedor del sistema de registro. Si no cumplen esas obligaciones pueden recibir también multas.
¿Cuáles son las principales obligaciones de los encargados?
- Tener un acuerdo legal formalizado, con los propietarios, precisando duración, naturaleza, objeto del tratamiento, tipo y categorías de datos personales, así como las obligaciones y los derechos del responsable del tratamiento. Sobra decir que este acuerdo especifica que los datos solo se utilizan para este evento y se destruyen después.
- Tratar los datos de acuerdo únicamente a las instrucciones del responsable.
- Adoptar las medidas de seguridad adecuadas para proteger los datos e informar a los responsables en el caso de una violación de datos.
- Delegar el tratamiento de los datos en un subencargado solo con previa autorización del responsable. Por ejemplo: si una agencia en un evento gestiona la contratación de proveedores y estos van a tratar datos, debe contar con la autorización del cliente (responsable).
Estas obligaciones las explica en mayor profundidad la IAB Spain (que representa al sector de la publicidad en medios digitales en España) en una guía básica sobre el RGPD.
La Agencia Española de Protección de Datos también pone a disposición unas directrices para la elaboración de contratos entre responsables y encargados del tratamiento, y toda una sección de documentos y orientaciones que también pueden servir de ayuda.
Otros consejos
- Vigila tus partners en el extranjero. La RGPD se aplica a todas las empresas que hacen negocios en la Unión Europea, por lo que hay que asegurarse que todos los actores implicados en tu actividad de eventos cumplen con la normativa. En particular los ubicados en EEUU, un país más laxo en la protección de datos de los ciudadanos. En FITUR, por ejemplo, el evento internacional por excelencia en España (que, por cierto, llega en mayo), ¡cuidado con que todos cumplan!
- Información y concienciación a nivel interno. Asociaciones como la IAB recomiendan encarecidamente que para trabajar bien los datos, sin terminar teniendo problemas, los diferentes departamentos de cada empresa estén concienciados e informados de lo que implica el Reglamento y que se elabore un “plan de cumplimiento” que incluya a todos los miembros de los departamentos pertinentes.
- Inventario de todas las actividades de tratamiento de datos. Qué datos tienes, de dónde vienen, con quién los compartes. Todas las actividades de datos deben ser revisadas y documentadas identificando cuándo, por qué y quién, realizando un análisis de riesgo en cada tratamiento. La IAB recomienda que una forma de abordar esta tarea es tener un grupo de trabajo con representación de los distintos departamentos.
- Solo puedes tratar los datos si tienes una base legal. Según el RGPD: consentimiento, contratos, cumplimiento de obligación legal, proteger los intereses vitales de una persona, interés público o interés legítimo. Esas son las 6 bases jurídicas alternativas con las que debes justificar sí o sí el tratamiento de datos, siendo las más utilizadas en publicidad y comunicación el consentimiento y el interés legítimo.
- Ojo con el consentimiento a través de casillas. Se pueden usar casillas pero el RGPD establece que las casillas premarcadas o la simple inacción de una persona no constituyen una forma válida de dar consentimiento: “si usas el consentimiento como base legal es fundamental poder demostrar que lo has obtenido de forma legal y especialmente si otra organización obtiene el consentimiento en tu nombre”.
- Los titulares de los datos tienen múltiples derechos. Derecho a ser informado, el derecho de acceso de rectificación, de supresión, derecho a la limitación del tratamiento, a la portabilidad de los datos, derecho de oposición y, por último, el derecho a no someterse a la toma de decisiones automatizadas, incluyendo la elaboración de perfiles. Es necesario que revises todos los procesos para asegurarte de que puedas responder a las solicitudes que puedas recibir, como recalca de nuevo la IAB.
Te recordamos: hasta un 4% de la facturación global o 20 millones de euros, así que vale la pena ser cauto. Y te recordamos que en este sector a menudo informal, tienes que poner todo esto por escrito, sea tu empresa de registro (cómo tiene que tratar y destruir los datos), o tu equipo (dejar un archivo en un sitio no seguro es castigable… y ellos pueden no saberlo). Esto es muy serio.