Las empresas organizadoras de eventos, ya sean de despedidas de soltero/a, bodas, conferencias, festivales, conciertos…, manejan una gran cantidad de datos personales, ya que ellas mismas se encargan del envío de las invitaciones a los asistentes. Por lo que mínimo van a disponer de nombre y apellidos, dirección y algún medio de contacto, bien el teléfono móvil o bien el correo electrónico. Además de los datos de identificación y necesarios para realizar la facturación de la persona que te contrate, nombre y apellidos, teléfono, correo electrónico, fecha del evento, número de personas que van a acudir…
¿Cómo debo de recoger estos datos? ¿Necesito un consentimiento para recogerlos? ¿En qué momento debo de recabarlo? ¿Cuál es la base legal de ese tratamiento? ¿Cuánto tiempo voy a tratar esos datos? Con este artículo vamos a intentar dar respuesta a estas preguntas de la forma más breve posible.
En este artículo hablamos de:
- Normativa protección de datos
- Obligaciones del RGPD para empresas organizadoras de eventos
- Preguntas frecuentes de nuestros clientes
- ¿Necesito nombrar un Delegado de Protección Datos (DPO)?
- ¿Cómo debo de recoger estos datos?
- ¿Necesito un consentimiento para recogerlos?
- ¿En qué momento debo de recabarlo?
- ¿Qué pasa si no obtengo el consentimiento del interesado?
- ¿Cuál es la base legal de ese tratamiento?
- ¿Cuánto tiempo voy a tratar esos datos?
- ¿Puedo colgar las fotos en redes sociales o plataformas para publicitar mi empresa? ¿Y en el escaparate de mi tienda?
- ¿Podemos comunicarnos con los asistentes para futuros eventos?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
Normativa protección de datos
En España, en estos momentos disponemos de la siguiente normativa sobre protección de datos:
- A nivel europeo, el Reglamento General de Protección de Datos 679/2016
- A nivel nacional,
- Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de derechos digitales
Obligaciones del RGPD para empresas organizadoras de eventos
Con la entrada en vigor del nuevo reglamento, se quiere dar un refuerzo a la protección de los datos personales que se facilitan por las personas físicas. Las principales actuaciones para adaptarse a esta normativa de Protección de Datos son:
- Cumplir el deber de información
- Obtener el consentimiento expreso de los clientes
- Firmar los contratos con los Encargados de tratamiento
- Facilitar el ejercicio de los derechos
- Notificar los incidentes de seguridad
- Realizar un Registro de actividades de tratamiento y un análisis de riesgos
- Insertar los textos legales en la página web.
1. Deber de informar
El responsable del tratamiento (persona que recabe los datos personales) está obligado a comunicar a los interesados que le vayan a ceder datos:
- Los datos propios del responsable de tratamiento
- Por cuánto tiempo se van a guardar esos datos
- Finalidad con que se recaban esos datos
- Posibilidad de ejercer los derechos ARCO
- Proporcionar una información clara de que se está cumpliendo con la nueva normativa de protección de datos
- Si se van a ceder los datos a terceros
- Si se van a sacar los datos fuera de la Unión Europea
2. Consentimiento de clientes
La segunda novedad que nos encontramos es que el consentimiento tácito o por omisión desaparece y ya no se considera válido. A partir del 25 de mayo de 2018, el consentimiento que obtengamos de los interesados que nos cedan sus datos debe de ser un consentimiento expreso. Para que el consentimiento se considere expreso debe de cumplir con una serie de requisitos:
- ser libre,
- específico e
- informado (datos del responsable del tratamiento, que tratamientos se van a realizar, si se van a ceder…).
Se entiende que el consentimiento es libre cuando es el interesado el que tiene el control sobre si lo concede o no. En caso de que se recojan los datos por la página web de la empresa, se entiende consentimiento libre cuando es el interesado el que marca la casilla aceptando el tratamiento de sus datos o aceptando la política de privacidad.
Es importante destacar que ya no servirían aquellas casillas que estén marcadas de forma predeterminada
Para el caso de aquellos consentimientos que hayamos recogido a lo largo de la vida de la empresa y de forma previa a la entrada en vigor del nuevo reglamento, siempre que lo hayamos hecho cumplimiento con la LOPD y tengamos el consentimiento recogido de forma expresa, serán plenamente válidos.
Además no sólo vale con recabar el consentimiento de forma expresa, sino que también se debe de poder acreditar que se ha obtenido de esa forma. Y la forma de acreditarlo es identificando al titular de los datos, demostrar si se ha revocado o no el consentimiento, y que conste la fecha en que se obtuvo dicho consentimiento.
3. Contratos con terceros
En el caso de que trabajemos con terceros que tengan acceso a los datos que hemos recabado para organizar el evento, debemos tener firmado con ellos un contrato de encargado de tratamiento.
Un claro ejemplo es si para el relevado de las fotos contamos con un laboratorio externo a nuestra empresa, en ese caso, el laboratorio es un encargado de tratamiento ya que le estamos dando acceso a datos personales como lo son las fotografías de los asistentes.
4. Nuevos derechos
Otro punto importante es que los derechos ARCO se ven ampliados con el derecho al olvido y el derecho a la portabilidad.
5. Notificar brechas de seguridad
Para aquellos casos en los que de manera accidental, a través de un ataque o siendo víctimas de un robo de la base de datos, debemos de comunicar esta brecha de seguridad a la autoridad nacional competente (la Agencia Española de Protección de Datos) en un plazo de 72 horas desde que se haya producido el incidente, siempre que se hayan vulnerado los derechos de los interesados y se puedan tomar las medidas necesarias.
6. Registro de actividades de tratamiento y análisis de riesgos
Otra novedad que nos encontramos es que se suprime la obligación de inscribir los ficheros en la AEPD. Esta obligación se sustituye por el registro a nivel interno de las actividades de tratamiento. Tras la realización del registro de actividad se realiza un análisis de riesgo en el que se va a valorar que medidas de protección se deben de adoptar para garantizar el tratamiento correcto de los datos personales que tenemos recabados. Por la actividad que desarrollamos la nota de este análisis va a ser una nota baja, por lo que no tendríamos que dar ningún paso más.
7. Página web
En el caso de que ofertemos nuestros servicios en una página web debemos asegurarnos que tanto el aviso legal, la política de privacidad, la política de cookies y las condiciones generales de contratación están actualizadas y cumplen con los requisitos de la nueva normativa.
Y en el caso de que recojamos cualquier tipo de datos personales a través de la misma (Nombre, correo electrónico…) debemos facilitar una casilla para que el interesado pueda marcarla y consentir que acepta el tratamiento de sus datos.
Preguntas frecuentes de nuestros clientes
En base al texto anteriormente expuesto vamos a contestar a las preguntas que recibimos de los clientes que se manejan en este sector.
¿Necesito nombrar un Delegado de Protección Datos (DPO)?
Solo deberás nombrar un DPO si en tu empresa de organización de eventos tratas datos personales de manera sistemática y a gran escala o datos de categorías especiales (art. 9 del RGPD).
¿Cómo debo de recoger estos datos?
Los datos que vayamos a recoger de nuestros clientes podemos hacerlo en formato papel o electrónico, o los dos indistintamente. En el soporte que nos sea más sencillo, tanto para manejarnos como para conservarlos.
¿Necesito un consentimiento para recogerlos?
Sí. Queda claro que para recoger datos de carácter personal (es decir, cualquier dato que pueda servir para identificar a una persona) se requiere de la existencia de un consentimiento expreso.
¿En qué momento debo de recabarlo?
El momento para recoger el consentimiento es en el momento previo a la recogida de datos. Lo recomendable es incorporar el consentimiento en el contrato que vayamos a firmar con nuestros clientes. Es importante que la información que ofrecemos al cliente sobre el tratamiento de datos y el consentimiento se distinga perfectamente del contrato. Y quede claro que son dos consentimientos diferentes los que debe de otorgar el interesado.
¿Qué pasa si no obtengo el consentimiento del interesado?
En ese caso infringes la normativa de Protección de Datos y puedes ser sancionado. Si vas a realizar tratamiento de datos sin haber recabado previamente el consentimiento del interesado piénsatelo al menos dos veces, ya que las sanciones en la materia de protección de datos se han endurecido notablemente con la entrada de la normativa europea. Las sanciones más graves conllevan multas de hasta 20 millones de euros o el 4% del volumen anual de tu negocio.
¿Cuál es la base legal de ese tratamiento?
La base legal para el tratamiento de los datos de los clientes es la obtenemos a través del contrato que firmemos con ellos. También a través del consentimiento, para aquellos casos en los que el interesado introduzca sus datos en nuestra página web o se ponga en contacto con nosotros para solicitar información.
¿Cuánto tiempo voy a tratar esos datos?
El tratamiento de datos se realiza por el tiempo indispensable para cumplir con la finalidad y una vez acabada esta por el tiempo necesario para cumplir con las obligaciones fiscales.
Para publicar en la página web de la empresa y así promocionarse, las imágenes que se capten por el fotógrafo en el evento requieren el consentimiento de aquellas personas que puedan ser identificadas en la imagen. En el caso de que sean menores de 14 años, se requiere el consentimiento de aquellos que ostenten su patria potestad o su tutela. Además se debe de informar sobre la finalidad de dichas imágenes.
Lo mismo ocurre para el caso de que queramos colgar en nuestras redes sociales las imágenes. Debemos informar de:
- datos que se van a publicar,
- plataforma (Facebook, Instagram…) donde se van a utilizar,
- finalidad,
- quien va a tener acceso a esas imágenes, y
- plazo de conservación.
El último caso es exactamente igual, si tenemos una tienda física y queremos presentar las imágenes captadas en los eventos en el escaparate, se debe tener el consentimiento de la persona que aparezca en las imágenes.
¿Podemos comunicarnos con los asistentes para futuros eventos?
Esta pregunta se la hacen muchas empresas del sector. La respuesta es simple y está íntimamente relacionada con el consentimiento. Si firmado el contrato o comprada la entrada para asistir al evento, destinas una casilla para que el interesado pueda marcarla y dar su consentimiento a recibir newsletter o para informar sobre la celebración de futuros eventos que vamos a celebrar, no tendrías ningún problema para poder realizar estas comunicaciones.
Espero haberte facilitado la implementación de esta normativa en tu empresa de organización de eventos.