La venda d’entrades o e-ticketing és un dels àmbits més afectats pel nou Reglament General de Protecció de Dades (RGPD), que serà d’obligat compliment a partir d’aquest 25 de maig. En utilitzar dades personals en la seva activitat diària, els promotors culturals hauran de ser extremadament curosos a l’hora de tractar-les. En cas contrari, les sancions poden arribar fins al 4% de la facturació anual.
Conforme s’apropa la data del 25 de maig, un ambient d’incertesa i nerviosisme s’està instal·lant a moltes empreses culturals. La meva empresa compleix amb el nou reglament? Què passa amb la meva base de dades actual? He de tornar a demanar consentiment als meus usuaris per tractar les seves dades? Puc enviar-los informació d’espectacles que puguin ser del seu interès? Quins riscos afecten les dades que fa servir la meva companyia?
Aquestes són algunes de les preguntes que ronden les empreses que presten serveis personalitzats als seus clients o que tenen en el màrqueting cultural un dels seus actius principals.
Per si això fos poc, a més del RGPD, també es seguirà aplicant la Llei Orgànica de Protecció de Dades (LOPD) en aquells aspectes que no resultin contradictoris amb la nova normativa. Actualment la reforma d’aquesta llei es troba en tràmit parlamentari per adaptar-se al nou reglament europeu.
Mentrestant, la convivència entre normes diverses farà que aplicar la legislació en matèria de tractament de dades es converteixi en un terreny pantanós.
Al llarg dels darrers dos anys, a 4Tickets hem treballat per adequar els nostres procediments al RGPD i assessorar els promotors d’esdeveniments i espectacles en el tractament de dades personals dels espectadors.
Major compromís amb la protecció de dades
La veritat és que, lluny de ser un obstacle per a la realització de campanyes promocionals d’esdeveniments i espectacles, l’aplicació del nou reglament contribueix a establir relacions de més confiança i transparència entre els promotors culturals i els compradors d’entrades.
Cal recordar que el RGPD suposa un major compromís de les companyies amb la protecció de les dades. En assolir més control sobre la informació disponible, les empreses també podran gestionar-la de forma més eficient per convertir-la en un valor afegit.
En aquest sentit, el Reglament General de Protecció de Dades reforça els drets dels clients a l’hora de gestionar les seves dades personals, especialment si aquestes són de caràcter sensible. Per exemple, quan un client presta informació privada a una companyia, des d’un correu electrònic fins a dades de pagament, ha de donar consentiment explícit sobre l’ús d’aquestes dades per a una finalitat concreta i sobre el termini de conservació de la informació. Per tant, el consentiment tàcit serà insuficient.
El client tindrà dret a oposar-se al tractament de les seves dades si la finalitat és el màrqueting directe, o al·legant motius personals. També podrà revocar el seu consentiment, així com suprimir dades, quan se’n produeixi un tractament il·lícit.
Un altre avenç del RGPD és que pot aplicar-se a empreses que no es troben físicament a països de la Unió Europea però que tracten dades de ciutadans de la UE. Això constitueix una garantia significativa en l’era d’internet i una bona base per seguir optimitzant la seguretat en la venda d’entrades online, sigui quina sigui la ubicació de l’operador.
Mesures necessàries per complir el RGPD
Per fer efectius aquests drets, els promotors d’esdeveniments, igual que altres empreses culturals que recullin informació personal de clients, han d’assumir una responsabilitat activa en el tractament de dades i implementar els mecanismes per garantir la privacitat des del disseny dels seus serveis. Per tant, és insuficient actuar quan ja s’ha produït una infracció; el compromís ha de tenir caràcter preventiu.
A grans trets, aquestes són algunes de les mesures que han d’impulsar les companyies que ofereixen espectacles i esdeveniments i que 4Tickets ha implantat en els seus serveis de venda d’entrades:
- Registre d’activitats de tractament: és un fitxer que descriu les operacions de la companyia en el tractament de dades, incloent-hi la recollida, registre, organització, estructuració, consulta i utilització, així com mesures de seguretat i terminis previstos per suprimir les dades. Aquest document ha d’identificar el responsable de les dades i definir la finalitat del tractament, el tipus d’informació recopilada, les categories de persones de les quals es recolliran dades, els perfils que tindran accés a aquesta informació, etc.
- Anàlisis de riscos: el nou reglament obliga a identificar els riscos potencials en el tractament de dades i les respectives mesures de control per garantir l’ús correcte de la informació. Un possible risc és l’alteració no intencionada de dades personals. Per això és convenient controlar les possibles amenaces de la xarxa. Per tal de prevenir l’esborrament intencionat de dades personals, l’Agència Espanyola de Protecció de Dades recomana fer còpies de seguretat i emmagatzemar la informació a dos llocs diferents. Altres mesures que assenyala l’AEPD són l’establiment de canals per garantir que els usuaris puguin exercir els seus drets, la creació de clàusules informatives detallades i la monitorització de l’ús de dades per prevenir pràctiques il·lícites.
- Sol·licitar el consentiment explícit de l’usuari: el tractament de dades personals dels espectadors haurà de comptar amb el seu consentiment exprés i estarà lligat a unes finalitats concretes: per exemple, la notificació d’incidències que afectin l’espectacle per al qual l’usuari ha adquirit entrades, o l’enviament d’informació sobre esdeveniments que tinguin lloc a la ciutat de l’usuari. El Reglament també imposa el principi de la minimització de les dades, i aquestes s’emmagatzemaran de forma anònima i amb pseudònim.
Tot això comporta la necessitat d’adaptar les clàusules de consentiment a la nova normativa perquè detallin les condicions del tractament de dades i els drets de l’usuari. Les empreses també hauran de garantir el dret a la revocació i rectificació, així com el dret a la portabilitat de les dades i el dret a l’oblit.
- Notificació de problemes de seguretat a l’Agència Espanyola de Protecció de Dades: el responsable de tractament haurà de comunicar qualsevol fallida en la seguretat de les dades a l’autoritat competent i a les persones afectades, en cas que els seus drets puguin veure’s afectats.
Aquestes imposicions exigeixen un rigor molt més gran en el tractament de les dades per garantir als usuaris l’exercici dels seus drets. Dit d’una altra manera, el RGPD obliga a afinar molt més les bases de dades i l’ús que se’n fa.
Més enllà de les dificultats d’adaptació que la nova normativa pugui provocar en el sector cultural, considerem que el RGPD constitueix una oportunitat d’or perquè les dades dels clients puguin aconseguir-se amb plena seguretat jurídica i perquè compleixin una funció específica. Com a resultat, pot sortir reforçada la confiança que els espectadors brinden als promotors d’esdeveniments culturals.
