Els reptes del turisme davant l'arribada del RGPD

Amb motiu de l'entrada en vigor el proper 25 de maig del nou Reglament General de Protecció de Dades europeu –RGPD, més conegut com GDPR, per les seves sigles en anglès–, la Facultat de Turisme i Adreça Hotelera Sant Ignasi (HTSI), de la Universitat Ramón Llull, va organitzar una jornada professional sota el títol “RGPD i turisme: adaptació al nou horitzó legal” que va concloure que l'aplicació del RGPD enforteix la protecció de dades i dóna poder al titular sobre l'ús que tercers poden fer d'ells.

Tal com va explicar José Luis Piñar, catedràtic de Dret Administratiu en CEU Universitat Sant Pablo i ex-director de l'Agència Espanyola de Protecció de Dades, el nou reglament s'aplica directament en tots els estats membres de la Unió Europea. Això requereix una trasposició, que a Espanya arribarà en forma de Llei Orgànica, “que s'està debatent ara mateix al Congrés dels Diputats i que es preveu que s'aprovarà a final d'any”.



Segons José Luis Piñar, per al sector turístic “és vital manejar dades de caràcter personal i sempre s'ha preocupat del bon ús d'aquestes dades. La protecció de dades no impedeix utilitzar-los, però marca com fer-ho per aconseguir la finalitat que volem”. L'objectiu principal del RGPD és protegir el dret fonamental a la protecció de dades de caràcter personal, així com el dret a l'oblit, el dret a la limitació del tractament i el dret a la portabilitat de les dades.

“El nou reglament ens porta d'un model de gestió de protecció de dades a un model responsable de la informació i això es tradueix en molts elements nous”, va comentar Piñar, destacant el Principi de Responsabilitat Proactiva que requereix que les empreses analitzin quin tipus de dades tracten, amb quina finalitat ho fan i quin tipus d'operacions de tractament duen a terme. A partir d'aquest coneixement han de determinar de forma explícita la forma en què aplicaran les mesures que el RGPD preveu.

Consentiment explícit i interès legítim


Quant al consentiment, desapareix el consentiment tàcit o per omissió: “Amb la nova normativa ha de ser explícit i les caselles premarcades no són vàlides”, va explicar Piñar, que va apuntar que l'interès legítim de les empreses podria emparar el consentiment “que és un títol habilitant que amb prou feines s'ha aplicat a Espanya i que ara cobra rellevància”.

“L'enviament de publicitat al client si s'ha allotjat a l'hotel podria considerar-se en interès legítim de l'hotel i podria no requerir el consentiment explícit del client si es pot justificar que, efectivament, és informació rellevant per al titular de les dades, alguna cosa que no es pot fer amb clients potencials”, va comentar.

Segons José Luis Piñar, la dada és sempre del titular o client, no pertany a les empreses. “Sempre tractem dades que ens són aliens, són de tercers. Si no informem a l'amo de la dada i ell no sap què estem fent amb les seves dades podem sofrir conseqüències gravíssimes” va advertir.

Un dret fonamental


Mª Eugenia Gai, advocada i degana de l'Il·lustre Col·legi de l'Advocacia de Barcelona, Marc Rius, advocat especialitzat en noves tecnologies, i Patrick Torrent, director de la Agència Catalana de Turisme de la Generalitat, van participar en la taula rodona que va moderar Eugeni Gai, advocat i president de la Fundació Privada Xavier – Facultat de Turisme i Adreça Hotelera Sant Ignasi (HTSI). En aquest marc, els ponents van reconèixer que el sector hoteler sempre ha estat preocupat per la protecció de dades.

Segons Mª Eugenia Gai, la protecció de dades de les persones físiques té caràcter de dret fonamental: “L'article 8.1 de la carta dels drets fonamentals de la Unió Europea assenyala que cada persona té dret a la protecció de les dades de caràcter personal que li concerneixin sobre la seva activitat, domicili, llibertat de pensament, llibertat d'expressió i informació”. Gai va subratllar la importància que les empreses turístiques “formen part del cercle de confiança dels vostres consumidors i heu de ser conscients dels principis que han inspirat la llei”.

Tal com va explicar l'advocat Marc Rius, no és necessari elaborar un clausulat llarg i complicat d'entrada: “Podemos anar captant els consentiments a mesura que els clients ens vagin demanant serveis i mentre avança la relació contractual”. Va destacar a més el factor de risc que suposa els drets de limitació, cancel·lació o portabilitat. “Hi ha un termini per contestar a les demandes dels titulars i no respondre a les seves peticions pot ser motiu de sanció greu” va apuntar.

El RGPD contempla el dret a la limitació del tractament de les dades i les empreses hauran de complir-ho posat que l'impacte econòmic de les sancions cobra molta més importància. “Amb el nou reglament europeu, les multes poden arribar fins a 20 milions d'euros o fins al 4% del volum total anual global de la companyia, per infraccions greus com a vulneració dels principis bàsics, tractament il·lícit, consentiment invàlid, finalitat diferent a l'anunciat, tractament inadequat de dades sensibles, i omissió del deure informació, entre unes altres”, va comentar Marc Rius.



Nova figura jurídica


Amb el nou RGPD apareix la nova figura jurídica de delegat de protecció de dades. Les companyies del sector turístic no estan obligades a fer-ho, a diferència de les entitats financeres i col·legis professionals per exemple, per la qual cosa cada hotel ha de decidir si incorpora un delegat o no. Segons José Luis Piñar, aquesta figura ha de tenir tres característiques: experiència en protecció de dades, coneixements en dret i que sigui capaç d'actuar amb absoluta independència dins de l'organització.

El nou reglament preveu que el responsable de l'empresa ha d'aplicar mesures per garantir el nivell de seguretat adequat. Als drets fonamentals dels ciutadans que ja es protegeixen actualment denominats ARC (drets d'Accés, Rectificació, Cancel·lació i Oposició) s'uneix el nou dret a l'oblit, “sense dilacions, sempre que la persona ho exigeixi o ho demani”, en paraules de Mª Eugenia Gai.

Afectarà al màrqueting?


En la seva intervenció, Patrick Torrent, director executiu de la Agència Catalana de Turisme de la Generalitat, va assenyalar que la nova legislació en matèria de protecció de dades “ens afecta de forma molt directa en la manera de fer màrqueting en el sector turístic i hoteler. Per a això, cal gestionar millor el tractament de les dades i treballar l'experiència del consumidor abans, durant i després de l'experiència turística”.

“Assegura't que la teva marca no es vegi afectada, perquè la infracció la penalitza”, va declarar Torrent. En el passat, la comunicació es decantava cap al Outbound Màrqueting, amb emails massius per exemple. “Ara és el Inbound Màrqueting, on el contingut és el rei el que s'imposa. Hem de ser capaços d'atreure al client a les nostres plataformes amb continguts de valor i així ens donarà voluntàriament les seves dades més que sortir a buscar a captar massivament i disparar al mercat”, va assenyalar Patrick Torrent.

La jornada sobre l'aplicació del RGPD en el sector turístic s'emmarca a l'àrea de Executive Educationde HTSI, que engloba formació específica per al sector, com els Programes d'Expert Universitari en Revenue Management i Finances Hoteleres. Al seu torn, organitza jornades i trobades professionals sobre temes d'actualitat i ofereix serveis de consultoria per al sector turístic, hoteler i de l'oci.