El abogado Juan Antonio Mateos nos explica la nueva ley de protección de datos ( RGPD) y cómo afecta a las casas y profesionales de alquiler vacacional.
Por Juan Antonio Mateos
¿Cómo afecta la nueva ley de protección de datos ( RGPD ) a mi negocio de alquiler vacacional ? Esta es la pregunta que más me estáis haciendo últimamente sobre el RGPD.
Si yo alquilo mi vivienda turística, a través de internet… ¿también tengo que adaptarme al Reglamento General de Protección de Datos (RGPD)?
Por supuesto que Sí.
A los propietarios o gestores (nacionales o extranjeros) que comercializáis viviendas con fines turísticos y manejáis datos personales de residentes de la Unión Europea, también os afecta la nueva normativa de protección de datos que establece el RGPD.
El RGPD es más duro y más exigente que la todavía vigente Ley Orgánica de Protección de Datos (LOPD) que caducará el 25 de mayo de 2018 y dejará de aplicarse.
A partir del 25 de mayo de 2018, si quieres seguir anunciando en tus canales de oferta turística y gestionando tu vivienda turística dentro y fuera de internet vas a tener que adaptarte al RGPD.
En consecuencia, deberás revisar, entre otros, los siguientes aspectos:
- Las medidas de seguridad con que cuentas para proteger los datos de tus clientes.
- La información que ofreces de tu Política de Privacidad o Protección de Datos (esos pesados textos legales escritos por abogados para abogados).
- Y, sobre todo, la forma de conseguir o captar el consentimiento de tus clientes para poder utilizar sus datos, por ejemplo, para facturarles, mandarles información o publicidad de tus ofertas…
Si no lo haces te expones a posibles multas, ahora más elevadas, como te voy a contar.
A continuación te explico qué pasos tienes que seguir para adaptar tu web y tu negocio al RGPD sin necesidad de contratar los servicios profesionales de un abogado.
Así que te aconsejo que sigas leyendo, para saber lo que tienes que hacer. Y si después de leer lo que te cuento sigues teniendo dudas, puedes planteármelas en los comentarios.
¿Por qué tienes que adaptarte al RGPD antes del 25 de mayo de 2018?
Porque el 25 de mayo de 2018 empieza a aplicarse la nueva normativa sobre protección de datos a todas las empresas y particulares que utilicen datos personales (datos de personas físicas, no de las empresas), con fines comerciales y/o profesionales.
Si utilizas los datos de personas físicas en el ámbito familiar, personal o social de alcance privado (ámbito doméstico), y por tanto, sin conexión alguna con tu actividad profesional o comercial, no tienes que cumplir el RGPD.
Entre este tipo de actividades domésticas te cito algunos ejemplos como la correspondencia y la utilización de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea que puedas realizar en el contexto de las citadas actividades privadas.
Es obvio que cuando gestionas o comercializas una vivienda turística estás realizando una actividad comercial. Por tanto, tendrás que cumplir con el RGPD, independientemente del país dónde te encuentres.
Hasta los gigantes tecnológicos, conocidos por el ya extendido acrónimo GAFAM (Google, Apple, Facebook, Amazon y Microsoft), que tienen su domicilio social en otros territorios fuera de la UE deberán adaptarse (de hecho ya lo han hecho) a los requisitos de la nueva normativa europea si quieren seguir operando en el territorio de la UE y prestar servicios a los ciudadanos europeos.
Si quieres saber como declarar los ingresos del alquiler vacacional en la Renta pulsa aquí
Si no lo haces, ¿Qué te puede pasar?
Imagínate por un momento que pierdes o te sustraen los datos personales de tus clientes y mañana aparecen en manos de terceros que los utilizan sin el consentimiento de sus dueños.
O el caso, más frecuente, de ese cliente que tienes en tu base de datos desde hace tiempo y al que le mandaste información u ofertas para la próxima temporada y, en lugar de darte las gracias, te denuncia porque entiende que le has mandado correos sin su autorización, sin habértelo pedido.
Ahora con el RGPD denunciar es más fácil. Cualquier persona en cualquier país de la Unión Europea puede presentar una reclamación vía telemática desde su país contra ti. Es lo que se llama la «ventanilla única».
En estos casos y en otros muchos más la autoridad de control que vela por la protección de los datos personales (en España, la Agencia Española de Protección de Datos), puede acabar sancionándote con multas que pueden alcanzar hasta los 20 millones de euros y, si eres empresa, hasta el 4% de tu facturación total anual.
Y eso no es todo. Dependiendo de la normativa local en materia de protección de datos, también podrías tener que hacer frente a otras penas por fallos de seguridad y/o responsabilidad civil (daños y perjuicios que puedan reclamarte).
En Alemania y Francia, por ejemplo, están previstas incluso penas de prisión en caso de delitos por fallos de seguridad.
Además de todo lo anterior, está en juego la reputación y la continuidad de tu marca en internet.
Con lo que te he contado, ¿Te animas a evaluar el estado de ciberseguridad de tu negocio?
Para ayudarte a evaluar tu estado de ciberseguridad y a avanzar hacia mayores niveles de protección, el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición de forma gratuita un kit de autodiagnóstico especialmente diseñado para este fin.
A través de una serie de preguntas te guiará para que determines tu estado en seguridad de la información, qué riesgos amenazan el funcionamiento de tu negocio y qué aspectos debes mejorar.
Anímate a evaluar el estado de ciberseguridad de tu negocio. Te costará 5 minutos
ANÁLISIS DE RIESGOS EN 5 MINUTOS
¿Si en tu caso sólo pides a tus inquilinos, por ejemplo, el nombre y apellidos, el DNI, la dirección de correo electrónico y un teléfono de contacto, tienes que adaptarte al RGPD?
Por supuesto que sí. Te explico.
Cuando realizas cualquier operación o conjunto de operaciones sobre los datos personales o los conjuntos de datos personales de tus clientes (por ejemplo, un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales o una dirección IP de un ordenador), ya sea por procedimientos automatizados (por ejemplo, la elaboración de perfiles) o manuales, estás llevando a cabo lo que el RGPD llama el «tratamiento» de sus datos.
Esas operaciones de tratamiento a las que me refiero pueden ser muy diversas: desde la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión hasta, incluso, la destrucción de los datos.
Seguro que cuando utilizas los datos personales de tus clientes realizas algunas o muchas de las anteriores operaciones de tratamiento. Con lo que te conviertes en responsable o encargado del tratamiento de sus datos.
¿Si utilizas las redes sociales, por ejemplo, Facebook, para publicitar o anunciar tu vivienda tienes que cumplir con el RGPD?
Ya te he contado que cuando utilizas tu perfil para promocionar —o incluso explotar— tu vivienda turística al tratarse como ya hemos dicho de actividades comerciales o profesionales se te aplicará el RGPD con todas sus consecuencias.
Sólo si utilizas tu perfil de Facebook para un fin exclusivamente doméstico como reflejo digital de tu vida privada y personal, sin ánimo de lucro ni profesional alguno, estarás excluido de la aplicación del RGPD (es lo que el RGPD llama la «excepción doméstica»).
¿Quieres saber cómo puedes adaptar la Política de Privacidad en tu perfil de Facebook?
Es muy fácil.
Entre los datos de contacto que Facebook permite añadir a tu perfil en tu Page de Facebook, se ha añadido recientemente el campo relativo a la Política de Privacidad, en el que simplemente deberás redireccionar a la Política de Protección de datos que tengas en tu página web.
Te indico como lo he hecho yo con mi Page
¿Cómo puedes adaptar tu web y tu negocio al RGPD sin necesidad de contratar los servicios profesionales de un abogado?
Lo puedes hacer con la ayuda de la Agencia Española de Protección de Datos (AEPD) y de su programa informático llamado «FACILITA». Es gratis.
De forma rápida y sencilla, a través de dicho programa vas a poder verificar cuál es tu situación respecto del tratamiento de datos personales.
Está orientado a profesionales y empresas que como tú tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, potenciales clientes, proveedores o recursos humanos. Si tratas datos de salud, ideológicos, religiosos, etc. no podrás utilizar el programa.
¿Cómo utilizar el programa FACILITA?
El programa te va a preguntar por tu «sector de actividad», por los «datos que manejas» y, finalmente, por el «tratamiento que realizas».
Si respondes de forma negativa a las tres preguntas anteriores, entonces, el propio programa en la primera y sucesivas pantallas te irá pidiendo los datos que servirán para que el mismo genere los documentos personalizados que exige el RGPD.
Lo más seguro es que respondas a todas las preguntas de forma negativa porque:
- La actividad de comercialización de tu vivienda turística no está relacionada como una actividad de alto riesgo.
- Los datos que manejas (nombre y apellido, DNI, dirección postal y de email, teléfono, etc.) no son considerados datos sensibles.
- Y los tratamientos que realizas entrañan a priori, un escaso nivel de riesgo para los derechos y libertades de los interesados.
Para lo comprendas mejor puedes mirar el siguiente vídeo Tutorial sobre «FACILITA que ha publicado la Agencia Española de Protección de Datos.
¿Qué documentos te proporciona FACILITA?
Después de introducir todos los datos que te pide el programa, la misma herramienta va a generar diversos documentos que necesitas, según el RGPD, y, lo mejor de todo, adaptados a tu empresa o negocio.
En concreto, estos documentos son los siguientes:
- «Cláusulas informativas». Para incluir en tus formularios de recogida de datos personales.
- «Cláusulas contractuales». Para anexar a los contratos de encargado de tratamiento (como, por ejemplo, empresas de mantenimiento de la web, empresas de hosting, terceros que gestionen tu alquiler, gestorías, intermediarios, etc.).
- «El registro de las actividades de tratamiento».
- «Un anexo con medidas de seguridad orientativas consideradas mínimas».
Te dejo como ejemplo una de las Cláusulas informativas que generó «FACILITA» en mi caso. La tuya será similar.
¿Por qué tienes que revisar tu página de la Política de Privacidad si nadie las lee?
El legislador es consciente de que nadie lee las páginas de las Políticas de Privacidad, entre otros motivos porque son larguísimas e incomprensibles. Parece como si no estuvieran escritas para los usuarios finales
Para acabar con esta situación, el RGPD ha establecido un nuevo principio, el principio de «transparencia». En pocas palabras, es una nueva forma de referirnos al antiguo deber de información en la recogida de datos personales, evolucionado y adaptado a la realidad de Internet.
Si hasta ahora se exigía información sobre quién se encuentra detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con el nuevo Reglamento Europeo de Protección de Datos se va a tener que detallar la información de la forma más precisa y detallada posible. Y también con un lenguaje claro y comprensible.
¿Cómo tienes que detallar la información de tu Política de Privacidad o Protección de Datos?
En consonancia con el RGPD, las Autoridades de Protección de Datos (la Agencia Española de Protección de Datos en España) recomiendan adoptar un modelo de información que se llama «información por capas» consistente en:
(1) Presentar una «información básica» en un primer nivel, de forma resumida, en el mismo momento (cuando llega el usuario a tu web) y en el mismo medio (por ejemplo, en la misma web) en que se recojan los datos.
(2) Y posteriormente, remitir a ese mismo usuario a la «información adicional y complementaria» que se encontrará en un segundo nivel (por ejemplo, en otra página de la misma web) donde se presentarán detalladamente el resto de las informaciones necesarias, en un medio más adecuado para su presentación, comprensión e incluso custodia y archivo. ¿Cómo, te preguntarás? Insertando al final o al pie del formulario un link a la Página de Política de Privacidad.
Te pongo como ejemplo como lo he hecho en mi propia web www.alquilerviviendavacacional.com
¿Cómo tienes que adaptar los formularios de suscripción y/o comentarios al RGPD?
Es muy importante que sepas que los checkbox de suscripción y los comentarios de tu blog o web también deben cumplir el RGPD ya que en ellos recopilas datos personales, tales como nombre del usuario, su email e incluso la IP del ordenador y, por tanto, es necesario aplicar la información por capas de tu Política de Privacidad.
¿Cómo tienes que hacerlo?
Aplicando lo que te he dicho anteriormente. Debajo cada checkbox o caja, deberás informar de tu Política de Privacidad en dos capas, en la primera capa explicarás, de modo sencillo, el destino y uso que vas a hacer de los datos de tus clientes; y en la segunda, informarás de la política de privacidad de forma más detallada mediante un link a la página de Política de Privacidad.
Además, es necesario que la checkbox o caja permita marcar de forma inequívoca la casilla para aceptar y dar su consentimiento. Sólo así, como te explicaré seguidamente, podrás utilizar los datos de tus clientes sin problemas.
Te muestro otros ejemplos de formularios de suscripción más resumidos, pero igualmente válidos y adaptados al nuevo RGPD para que elijas el que más te guste.
Recuerda siempre que debes incluir en todos los formularios de suscripción y/o comentarios la información relativa a la Política de Privacidad (por capas) y, sobre todo, que deberá ser obligatorio para el usuario marcar para suscribirse y/o comentar.
¿Qué sucederá con los consentimientos obtenidos con anterioridad al 25 mayo de 2018? ¿Qué pasará con el listado de clientes que tienes en tus bases de datos? ¿Son válidos sus consentimientos?
Seguro que en estos días estarás recibiendo una avalancha de peticiones para que des tu consentimiento en todos los servicios, aplicaciones y web en los que estás dado de alta.
Pues tú vas a tener que hacer lo mismo.
¿Por qué te preguntarás?
Con la todavía vigente LOPD (hasta el 24 mayo 2018), si los datos recabados no eran especialmente sensibles, por ejemplo, nombre y apellidos, DNI, email, teléfono, etc., se admite por la Agencia Española de Protección de Datos que dicho consentimiento pueda ser tácito e, incluso, que puedan existir las casillas premarcadas, en donde no se exige una acción del usuario para suscribirse.
Ahora la forma de solicitar y obtener el consentimiento cambia con el RGPD.
A partir del 25 de mayo de 2018, cuando se aplique el RGPD, en caso de que un usuario denuncie que los datos se han recopilados de forma ilícita (por ejemplo, sin su consentimiento), es el denunciado (en nuestro caso, tú), quien debe probar que tenía los datos de forma lícita y conforme a los principios del RGPD.
Es decir, el consentimiento de tu cliente debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca de los deseos de la persona.
¿Y cómo puedes conseguir demostrar, como exige el RGPD, que has conseguido su consentimiento inequívoco?
Mediante el registro del consentimiento de tus clientes en tu Web o programa de Email Marketing, cuando marcan la casilla de « He leído y acepto la Política de Privacidad ».
Tampoco te olvides de poner también la información de tu Política de Privacidad (por capas) en las coletillas legales al pie de tus email o al pie de tus boletines digitales (newsletters), que envías a tus clientes.
Recuerda que las solicitudes de consentimiento deben ser claras y sencillas, al margen de otros términos y condiciones. Por tanto, hazlo con un lenguaje claro, sencillo y amigable.
¿Qué soluciones te propongo para regularizar o renovar los consentimientos de tus antiguos clientes otorgados con anterioridad al 25 mayo de 2018?
Las soluciones a la problemática creada por el RGPD de tener que demostrar que el consentimiento de tu cliente es inequívoco pasan por solicitar de nuevo o renovar el consentimiento de manera compatible con el nuevo Reglamento, lo que supondrá, por ejemplo, enviar a todos tus clientes una comunicación electrónica antes del 25 de mayo de 2018 incluyendo un link a una web o página en donde informes y recabes el consentimiento expreso para poder tratar sus datos en un futuro.
Otra buena opción para los que tengáis bases de datos con muchos clientes, es preparar una landing page en vuestra web con un regalo para que se suscriban de nuevo.
Con todo lo que te he contado, ahora te toca a ti pasar a la acción antes de que sea demasiado tarde. El plazo vence el próximo 25 de mayo de 2018.
Juan Antonio Mateos Mateos
Abogado experto en alquileres turísticos
www.alquilerviviendavacacional.com
One thought on “RGPD : La nueva ley de protección de datos para alquiler vacacional”
Muy buen artículo sobre dos temas de máxima actualidad y repercusión y de la mano de uno de los mejores expertos sobre estos temas en nuestro país.