Como ya debes saber, en mayo de 2018 entró en vigor la «GDPR» (General Data Protection Regulation), un Reglamento de la Unión Europea que establecía ciertas novedades en materia de protección de datos, y cuyo objetivo principal es otorgar a los interesados un mayor control sobre el tratamiento de sus datos. Posteriormente, el gobierno español aprobó la nueva ley Protección de Datos Personales y garantía de los derechos digitales con la finalidad de adaptar la norma europea al sistema jurídico español.
Hoy en día, el tratamiento de datos está presente en la práctica totalidad de los negocios, por lo que es difícil que la organización de cualquier evento se escape del ámbito de actuación de esta nueva ley de Protección de Datos. Si organizas eventos en tu empresa o eres una agencia, tienes una gran cantidad de datos recopilados: nombres, títulos de trabajo, correos electrónicos, teléfonos e incluso el DNI. Y dependiendo del tipo de evento, incluso cierta información médica relacionada con alergias puede ser susceptible de ser recopilada.
Por este motivo, no puedes descuidar su cumplimiento, ya que la propia normativa prevé una serie de importantes sanciones para los incumplimientos en esta materia, las cuales, además, se han endurecido con las últimas reformas.
Consideraciones previas: ¿Quién es el responsable del tratamiento de los datos?
Como organizador de eventos es importante que sepas eres totalmente responsable de los datos recopilados, con independencia de que utilices aplicaciones o proveedores de tecnología externos. Hay quien piensa que al utilizar un proveedor externo para el tratamiento de la información está eximido del cumplimiento de la nueva LOPD en lo relativo a eventos, pero esto no es cierto.
Es decir, las normas y políticas de actuación debes marcarlas tú mismo como organizador del evento, y deben ser aplicadas por tus proveedores. Asegúrate que ellos, como encargados del Tratamiento y aplicación de esas políticas, pueden cumplir con todas las adaptaciones necesarias que te explicamos a continuación. Utiliza sólo proveedores que puedan asegurarte que pueden cumplir con esos estándares marcados por la nueva LOPD.
Qué dice la Nueva Ley de Protección de datos
[ Si ya conoces todos los detalles de la nueva ley, puedes ir directamente en el apartado más práctico sobre como aplicarla en tu evento. Ir al apartado sobre relación con proveedores]
Consentimiento explícito
Si vas a recabar datos de alguna persona o entidad, antes, durante o después del evento asegúrate de que presta su consentimiento de manera clara e inequívoca, y que, además, lo hace por escrito, puesto que el consentimiento tiene que ser verificable y esta es la única manera de demostrar que has cumplido con tu deber. No son válidas las casillas premarcadas o el consentimiento tácito.
En cuanto a las acciones en materia de protección de datos anteriores a la entrada en vigor de la ley, que no te quiten el sueño, si éstas cumplían la ley vigente en el momento en el que recabaste el consentimiento (la LOPD 15/1999), el consentimiento sigue siendo válido.En cuanto a las acciones en materia de protección de datos anteriores a la entrada en vigor de la ley, que no te quiten el sueño, si éstas cumplían la ley vigente en el momento en el que recabaste el consentimiento (la LOPD 15/1999), el consentimiento sigue siendo válido.
Transparencia y lenguaje claro
Hace especial hincapié en la manera en la que se informa al titular de los datos que vas a recoger, estableciendo de manera taxativa el uso de un lenguaje claro y sencillo e informando de forma concisa y transparente, de manera que se prohíben prácticas que no sean realmente explícitas, de fácil comprensión. Olvídate de letras pequeñas y de complicadas fórmulas para jugar al despiste. Aprovecha este cambio legislativo para acercar tus textos de protección de datos al estilo de tu imagen corporativa.
Información
Se ha ampliado la información que los interesados tienen derecho a recibir. Se trata de la concreción del derecho de acceso, que te obliga a, basándote en estas premisas y plazos, informar al interesado sobre: el lugar de almacenamiento de los datos, la finalidad con la que van a ser tratados, las categorías de datos personales que se traten, los destinatarios a los que se comunicarán los mismos, el plazo previsto de conservación de los datos, o el criterio en base al cual se va a determinar ese plazo, el derecho del interesado a reclamar ante una autoridad de control, proporcionar información sobre el origen de los datos, si es que no se han recabado directamente del interesado y a informarle de cómo puede ejercer los derechos que le reconoce la ley, que ya no se limitan a los derechos de acceso, rectificación, cancelación y oposición, ya que se han añadido los de limitación y portabilidad.
Textos legales y envío de emails
Si has creado una página web del evento o utilizas una app, comprueba que, tanto la política de privacidad y de cookies, como el aviso legal cumplen con la nueva normativa y se ajustan a los deberes de transparencia, consentimiento explícito e accceso de los apartados anteriores. Si en estas recabas datos, debes habilitar una casilla para que el interesado acepte el tratamiento de sus datos. En este punto es muy importante, como ya comentamos, que la casilla sea marcada por el interesado y que, en ningún caso, venga marcada previamente.
Por último, no olvides que los correos electrónicos también deben cumplir con la normativa, así que, si no has incorporado un texto en tus comunicaciones electrónicas, ponte manos a la obra y, si ya contabas con este preceptivo texto informativo, comprueba que se ajuste a la nueva ley de protección de datos.
Derecho al olvido y a la portabilidad
Cuando los datos que hayas recogido dejen de ser necesarios para el fin para el que fueron recabados, se revoque el consentimiento o los datos se hayan obtenido de manera ilegal, el titular de los datos tiene derecho a solicitar la supresión de los mismos de tus bases de datos, por lo que debes acceder a esta petición, si llegas a recibirla.
En cuanto a la portabilidad, se trata del derecho de los interesados a recobrar los datos que se estén tratando digitalmente, en un formato que les permita trasladarlos a otro responsable de tratamiento de datos.
También es importante que sepas que un interesado puede solicitar cualquier registro de datos que almacenes, supuesto en el que tendrás que presentárselo en un plazo de 30 días.s.
Seguridad
Se endurecen las medidas de seguridad necesarias para el tratamiento de datos, que los sistemas y procesos de tu organización deben cumplir. Además, para los casos de vulneración de las medidas de seguridad, como recibir un ataque informático que exponga los datos que tienes almacenados, por ejemplo, se establece la obligación de informar a las autoridades de protección de datos en un plazo de 72 horas. Ojo, porque para el incumplimiento de este deber también hay sanciones. Éstas se fijarán en función de las circunstancias del caso concreto, pero pueden llegar a ser muy elevadas.
La nueva normativa aporta una nueva visión en este aspecto, de manera que ya no se considera suficiente actuar después de cometer una infracción, sino que se impone una obligación de prevención, esperando que los responsables de los datos garanticen que pueden cumplir con la ley. Para ello, se exige un análisis de riesgo preceptivo, cuya finalidad es la de establecer las medidas necesarias al respecto. Como lo más probable es que realices un tratamiento de datos elemental, que no implique datos especialmente protegidos, este análisis debería ser sencillo.
¿Qué deberías exigirle a tus proveedores, en especial, tecnológicos?
Después de haber repasado los puntos más importantes del RGPD, seguro que te preguntas como afecta esto directamente en la relación con los proveedores de tu evento. Como explicamos en el primer punto del post es importante diferenciar la figura de responsable de los datos y encargado del tratamiento. Como responsable deberás asegurarte que tus proveedores te permiten cumplir con el GDPR. En concreto te facilitamos un seguido de requisitos técnicos que estos deben cumplir:
- Tener la posibilidad de incorporar tus textos legales y recopilar el consentimiento explícito correctamente.
- Documentar este consentimiento para que sea verificale según la normativa.
- Permitir la gestión de los consentimientos por parte de los usuarios y actuar ante las solicitudes de acceso, baja o eliminación de los datos.
- Demostrar que cumple las medidas de seguridad estándar según el nivel de riesgo y dispone de los protocolos establecidos por ley para los casos de ataques informáticos.
Meetmaps y el GDPR
Como proveedores de tecnología para eventos todos nuestros productos están adaptados para ayudarte a cumplir con el nuevo reglamento y hemos formado a todo el equipo para que pueden dar respuesta a todos tus dudas y preguntar en relación a este aspecto.
Por ejemplo, tenemos a disposición de todos nuestros clientes un modelo de contrato de encargados del tratamiento para establecer una relación contractual para el procesamiento de datos. En caso de crear un formulario de registro la plataforma te permite incorporar un link para que puedas enlazar a vuestra política de privacidad:
Con la confianza de cientos de empresas y agencias, Meetmaps te asegura que utilizas una solución preparada para cumplir con el GDPR y sus exigencias al recoger y procesar datos personales. Si quieres saber más información sobre nuestros productos y como cumplir con el GDPR , no dudes en contactarnos.
Ponte en marcha
Si después de leer este artículo te has dado cuenta de que hay algún punto de la normativa que estás incumpliendo, ponte en marcha para actualizarlo cuanto antes y, cuando te surjan dudas, consulta con un experto en la materia que pueda asesorarte. Trata de ser minucioso, pero recuerda que, siempre que cumplas con la ley, puedes seguir en contacto con tus clientes como lo has hecho hasta ahora.