RGPD en gestión de eventos e información personal
Las empresas organizadoras de eventos manejan una gran cantidad de datos personales para distintas finalidades que deben ser gestionados y administrados con plena responsabilidad.
Con este artículo vamos a intentar dar respuesta a varias incógnitas de la forma más breve posible.
¿Qué requisitos debe cumplir el tratamiento de la información?
El Reglamento General de Protección de Datos (en adelante, “RGPD”) amplía la obligación respecto al deber de informar a los usuarios y exige que las empresas proporcionen información concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Además, el RGPD amplía el contenido de la información que las empresas deben facilitar a los usuarios. Por ejemplo, se deberá explicar la base legal para el tratamiento de los datos, indicar el período de conservación de los mismos, facilitar los datos de contacto del DPO (en caso de que la empresa haya designado a uno), e informar sobre el derecho que asiste a los usuarios para dirigir sus reclamaciones a las autoridades de protección de datos.
Estos requisitos suponen determinados compromisos y responsabilidades adquiridos frente a los que aportan esos datos personales por el motivo que sea, y otros corresponden a las medidas de seguridad, protocolos, registros y garantías que han de implementarse en el proceso de tratamiento para garantizar que no haya incidencias, uso inadecuado, rupturas de la cadena de custodia o filtraciones.
Lo primero que las empresas deben tener en cuenta es disponer del consentimiento expreso de los interesados. Los asistentes deberán prestar su consentimiento para permitir que se almacenen sus datos.
Para que el consentimiento se considere expreso debe de cumplir con una serie de requisitos:
- ser libre,
- específicoe
- informado(datos del responsable del tratamiento, que tratamientos se van a realizar, si se van a ceder…).
Además, la empresa debe contar con un protocolo de seguridad que debe contar con una política de actuación en caso de riesgo de ruptura de la seguridad de los datos e informar de inmediato a la Agencia Española de Proteccion de Datos de cualquier filtración en el procedimiento que afecte a la seguridad.
Se exige que las empresas notifiquen a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los usuarios.
¿Y si subcontrato el tratamiento de datos con un tercero?
En el caso de que se trabaje con terceros que tengan acceso a los datos que hemos recabado para organizar el evento, debemos tener firmado con ellos un contrato de encargado de tratamiento.
A través de este contrato, el encargado de tratamiento se comprometerá a utilizar los datos personales de los usuarios conforme las finalidades que el e-commerce indique y a no aplicarlos o utilizarlos con un fin distinto al que figure en dicho contrato.
En cuanto respecta al contenido mínimo de los contratos de encargo de tratamiento, el nuevo RGPD destaca que se deben tener en cuenta las siguientes cuestiones:
- Instrucciones del responsable del tratamiento: Se debe determinar de forma precisa las instrucciones respecto del encargo realizado, así como las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
- Deber de confidencialidad: Hay que establecer la manera en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad. Esta obligación debe quedar documentada y a disposición del responsable.
- Las medidas de seguridad: Establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias. Asimismo, el responsable y el encargado determinarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
¿Cómo puede una empresa de organización de eventos garantizar la protección de datos?
Es de suma importancia que todos los miembros de la compañía estén al tanto de la nueva regulación.
Está claro que todos los organizadores de eventos, y cualquier persona que haga uso de los datos personales de otros, deben estar al tanto de todos y cada uno de los cambios, así como de poner en marcha medidas para protegerse de una posible infracción de la regulación.
Letslaw
El cumplimiento del RGPD no es discutible. En Letslaw ayudamos a empresas de todo tipo a cumplir con la normativa en materia de protección de datos personales y todo lo relacionado con el sector digital.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
Artículos Relacionados
Abogados para emprendedores y startups
¿Se puede sancionar a una influencer por retocar sus fotos? En Noruega lo tienen claro
Tenemos solución: el tribunal supremo cierra el debate e indica que nunca hubo una verdadera prohibición de despedir
¿Qué es el Cybersquatting? ¿Qué medidas legales hay para afrontarlo?
Normativas ISO: ¿Tienen que cumplirlas todas las empresas?
Influencer advertising and its impact on consumers