GDPR y las viviendas turísticas

Tras años de debate, la Unión Europea aprobó el Reglamento General de Protección de Datos (General Data Protection Regulation - GDPR) en abril de 2016. Sin embargo, a pesar de estar ya en vigor, si bien no será de aplicación hasta el 25 de mayo de 2018. Fecha límite para la cual todas las empresas deben haber adaptado sus sistemas y políticas de almacenamiento de datos.

Tal y como expone la UE, el GDPR está diseñado para establecer un marco común en el que los ciudadanos europeos tengan mayor control sobre sus datos. Esto implica que, no importa dónde se encuentre la empresa o la persona de la que se toman los datos, todas las empresas que emplean datos de ciudadanos europeos están obligadas a cumplir con esta norma.

GDPR data storage

¿Qué es el GDPR?¿Cómo me afecta?

Tanto si eres propietario de una sola vivienda vacacional como un gestor con varias propiedades el nuevo reglamento europeo te afecta. El almacenamiento de datos que un propietario particular recopila sobre sus huéspedes es objeto del alcance del GDPR, ya que al igual que un gestor o empresa, recopila datos personales capaces de identificar a sus clientes.

Pero, ¿qué son los datos personales

El artículo 4 del Reglamento establece que los datos personales de una persona es toda información capaz de identificar a un individuo. ¿Esto quiere decir que si dispongo de sólo una dirección de correo no estoy sujeto a la normativa? No, ya que una dirección de correo, por ejemplo, junto a otro conjunto de datos puede vincularse a la identidad de un sujeto.

Para que un conjunto de datos no sea considerado como “datos personales”, el GDPR establece que estos deben estar encriptados o seudonimizados. La seudonimización es definida como un proceso que transforma de forma irreversible los datos personales de tal forma que los datos resultantes no pueden atribuirse a un sujeto de datos específico sin el uso de información adicional.

Data encryption for GDPR

Algunos ejemplos de “datos personales” son: nombre y apellidos, dirección postal, dirección electrónica, IP, teléfono, etc.

En caso de no saber si el tipo de datos almacenados se corresponden o no con lo establecido en el Reglamento, la mejor opción es tratar dicha información con precaución. Almacenar los datos de forma segura, así como reducir su volumen en caso de no se imprescindibles son los primeros pasos para adaptar nuestra política interna.

¿Cuáles son los principales cambios que plantea el GDPR en España?

En España, la actual legislación de protección de datos ha sido el referente legal en esta materia para el conjunto de empresas que manejan dicha información. A partir de Mayo, el nuevo Reglamento introduce novedades al respecto:

  1. Se reduce la edad mínima para el consentimiento del tratamiento de datos personales a 13 años. Medida que nos equipara con otros países miembros de la UE.

  2. Mediante petición de los herederos, se podrá modificar el tratamiento de los datos correspondientes a personas fallecidas.

  3. El usuario podrá disfrutar del principio de transparencia. Si lo desea, podrá solicitar información sobre el tratamiento de sus datos.

  4. Aparece una nueva designación dentro de las empresas e instituciones: el delegado de protección de datos. Esta persona física o jurídica será quien mantenga relación con la Agencia Española de Protección de Datos (AEPD).

  5. Se promueven mecanismos de autorregulación (el usuario es quien controla cómo se tratan sus datos personales), así como la posibilidad de que los sujetos ejerzan su derecho a bloquear dicha información en caso de denuncia ante las autoridades competentes.

Yo ya cumplo con la Ley de Protección de Datos en España

El GDPR es un Reglamento europeo que, a diferencia de las Directivas, no requiere adaptación legislativa por parte de cada país. Tras su aprobación en 2016, se ha establecido un periodo de adaptación que finaliza el próximo Mayo.

Personal data treatment - GDPR

¿Qué ocurre si incumplo el reglamento europeo?

Las sanciones establecidas por el Consejo Europeo son cuantiosas. Dichas sanciones pueden alcanzar los 10 millones de euros, o un 2% de la facturación global anual del ejercicio financiero anterior para:

  • infracciones en relacionadas con las medidas técnicas para la protección de datos
  • mantenimiento de registros
  • notificación de violaciónes de seguridad de los datos personales
  • obligaciones de evaluación de impacto relativa a la protección de los mismos.

Estas sanciones pueden incluso duplicarse hasta 20 millones de euros o un 4% de la facturación si las infracciones están relacionadas con:

  • la falta de consentimiento
  • violación de los derechos de los interesados
  • transferencia de datos personales a un tercer país fuera de la UE.

¿Por dónde empiezo

Cumpliendo con los requisitos establecidos por la Ley de Protección de Datos, usted, propietario o agente satisface la mayor parte de las condiciones impuestas por el GDPR.

Todas las empresas deben comenzar con la implantación de medidas organizativas y técnicas capaces de cubrir el alcance, contexto y riesgo del almacenamiento y tratamiento de datos personales. Entre otras medidas, se pueden incluir:

  • Seudonimización y cifrado de datos personales

  • Asegurar la confidencialidad de los sistemas de almacenamiento de datos

  • Garantizar un método de comprobación periódica sobre la efectividad de estos sistemas.

Con menos de tres meses por delante, estas son las principales claves a tener en cuenta para adaptar tu negocio al Reglamento:

 

Comprende con qué tipo de datos trabajas

Clasifica y categoriza el tipo de datos que almacenas. En la mayoría de los casos se tratarán de emails, direcciones postales, nombres o incluso número de pasaportes. Reflexiona sobre el uso que actualmente le das a estos datos y revisa tu política de almacenamiento y seguridad. Asegúrate de conocer el procedimiento de seguridad y quiénes tienen acceso a estos datos.

¿Estás autorizado para tratar esos datos?

Según establece el GDPR, los datos personales con lo que se trabaje deben estar legitimados por los sujetos. Los datos de los usuarios únicamente se van a poder tratar cuando:

  • Exista un consentimiento expreso de la cesión y empleo de estos datos

  • Sean datos necesarios para la prestación del servicio. Por ejemplo, se necesita documentos identificativos de los huéspedes para facilitar dicha información a la policía para el registro de inquilinos.

  • Si son necesarios para la protección del interés de un usuario

  • Si son necesarios para el cumplimiento de una obligación legal

Si nuestras necesidades no se corresponden con alguna de los puntos anteriores, se requiere un consentimiento explícito para el empleo y tratamiento de los datos personales requeridos.

to process data

- Comunicación al usuario

A pesar de ser un requisito de la actual Ley de Protección de Datos, el GDPR introduce matices como:

  • El empleo de un lenguaje claro, sencillo e inteligible que transmita la información de manera concisa y transparente al usuario.

  • Expresar la base jurídica sobre la que se apoya el empleo de estos datos

  • La existencia y contacto del delegado de protección de datos

  • La posibilidad de reclamar ante la Agencia Española de Protección de Datos

  • Plazo durante el cual se tratarán y almacenarán los datos

Respuesta ante los derechos del usuarios

El derecho al olvido, a la limitación del tratamiento de datos personales y el derecho a la portabilidad de estos son algunos de los recogidos por el Reglamento europeo.

Atender las solicitudes de los usuarios es de obligado cumplimiento en un plazo no superior a un mes. Un servicio gratuito y que, de forma justificada y excepcional, puede prorrogarse hasta 2 meses.

Relación empresa-usuario

El Reglamento introduce algunos matices sobre la actual relación entre la empresa y sus proveedores:

  • Mantener un registro de las actividades realizadas con los datos

  • Medidas de seguridad aplicadas a los procedimientos

  • Empleo de la figura de Delegado de Protección de Datos si es necesario

  • Colaboración con la Autoridad de control

Es importante clarificar que cualquier relación establecida entre ambas figuras debe quedar formalizada por escrito. Es necesario por tanto la revisión de los acuerdos existentes y adaptarlos en caso de ser necesario a la nueva normativa.

Medidas de Responsabilidads

Desde Mayo, las empresas deberán demostrar las medidas de seguridad adoptadas para la clasificación de los datos tratados. 

Para ello, tendrán que elaborar un análisis de riesgo mediante el cual quede documentado el impacto del tratamiento a desarrollar sobre la protección de los datos. Tras esto, es obligación de la empresa adoptar medidas con objeto de minimizar o eliminar los riesgos detectados durante la primera fase.

- Transferencias de datos internacionales

En caso de que los datos tratados se transfieran a otros países, debe considerarse que:

  • Exista un contrato que recoja los requisitos del Reglamento.

  • Se realice a través de un acuerdo de Privacy Shield

  • Corroborar que la transferencia de los datos se realiza hacia un país con un nivel de protección reconocido por las autoridades de la UE.