Como ya es bien sabido, hoy, día 25 de mayo, comienza a aplicarse el
nuevo Reglamento General de Protección de Datos (RGPD), que está trayendo de cabeza a la gran mayoría de empresas turísticas.
La gerente de CEAV, Mercedes Tejero, que ha participado recientemente en una
reunión con la Agencia Española de Protección de Datos (AEPD), explica en declaraciones a NEXOTUR algunos de los cambios a tener en cuenta por las agencias de viajes.
‘Hay que cumplir la norma y demostrar que se ha cumplido’
Una de las principales características de la normativa es el nuevo modelo de cumplimiento, con una responsabilidad proactiva, es decir, "hay que cumplir la norma y demostrar que se ha cumplido, ya que la carga de la prueba será siempre para el sujeto obligado", apunta Tejero. Asimismo, como ya avanzó este periódico, el consentimiento tácito o por omisión ya no será válido, siendo necesario el consentimiento expreso. De este modo, si con anterioridad habían sido aceptadas las primeras, las agencias de viajes se verán obligadas a volver a pedirlo de forma expresa e indicando la finalidad del mismo.
Al respecto, la AEPD pone como ejemplo la entrega de tarjetas de visitas (por ejemplo, en ferias comerciales), en las que se deberá comunicar la finalidad para la que se va a utilizar esa información. Asimismo, en los pies de los correos electrónicos pasará a ser obligatorio informar de la primera capa de la política de protección de datos, es decir el responsable, la finalidad y donde puede ejercer los derechos de rectificación, junto a un link de acceso al resto de la política de protección de datos personales.
Cesión de datos a los proveedores turísticos
Por otro lado, Tejero indica que otro tema de especial interés para los profesionales del Sector es que en la contratación de alojamiento (puede ser otro tipo de proveedor) a través de agencias de viajes, éstas
deben informar al cliente de que sus datos personales van a ser cedidos al proveedor en cuestión, aunque sea el propio cliente el que haya solicitado dicho servicio.
En cuanto al
tiempo que se deben mantener los datos de un cliente, la AEPD confirma que, si se le informa adecuadamente y si éste está de acuerdo,
no habrá problemas al respecto. Si bien en cada comunicación se le tendrá que informar, dándole la opción de darse de baja. Por otro lado, el periodo de prescripción para reclamaciones pasa a ser de tres años desde que finalice el uso de los datos personales, si bien interesa mantener la documentación acreditativa del consentimiento y demás durante más tiempo por otras posibles responsabilidades.
Finalmente, en relación a la edad a partir de la cual es válido el consentimiento de menores, aunque en el reglamento se establece 16 años, en el Proyecto de Ley, que está en fase de tramitación y previsiblemente será aprobado antes del verano, se bajaría, salvo cambio de última hora, a 13 años.
