La venta de entradas o e-ticketing es uno de los ámbitos más afectados por el nuevo Reglamento General de Protección de Datos (RGPD), que será de obligado cumplimiento a partir de este 25 de mayo. Al utilizar datos personales en su actividad diaria, los promotores culturales tendrán que ser extremadamente cuidadosos a la hora de tratarlos. En caso contrario, las sanciones pueden llegar hasta el 4% de la facturación anual.
Conforme se acerca la fecha del 25 de mayo, un ambiente de incertidumbre y nerviosismo se va instalando en muchas empresas culturales. ¿Cumple mi empresa con el nuevo reglamento? ¿Qué pasa con mi base de datos actual? ¿Tengo que volver a pedir consentimiento a mis usuarios para tratar sus datos? ¿Puedo enviarles información de espectáculos que puedan ser de su interés? ¿Qué riesgos afectan a los datos que maneja mi compañía?
Estas son algunas de las preguntas que acechan a las empresas que prestan servicios personalizados a sus clientes o que tienen en el marketing cultural una de sus principales bazas.
Por si esto fuera poco, junto al RGPD, también se seguirá aplicando la Ley Orgánica de Protección de Datos (LOPD) en aquellos aspectos que no resulten contradictorios con la nueva normativa. Actualmente la reforma de esta ley se encuentra en trámite parlamentario para adaptarse al nuevo reglamento europeo.
Mientras tanto, la convivencia entre distintas normas hará que aplicar la legislación en materia de tratamiento de datos se convierta en un terreno pantanoso durante los próximos meses.
A lo largo de los últimos dos años, en 4Tickets hemos trabajado para adecuar nuestros procedimientos al RGPD y asesorar a los promotores de eventos y espectáculos en el tratamiento de datos personales de los espectadores.
Mayor compromiso con la protección de los datos
Lo cierto es que, lejos de ser un obstáculo para la realización de campañas promocionales de eventos y espectáculos, la aplicación del nuevo reglamento contribuye a establecer relaciones de mayor confianza y transparencia entre los promotores culturales y los compradores de entradas.
No en vano, el RGPD supone un mayor compromiso de las compañías con la protección de los datos. Al lograr un mayor control sobre la información disponible, las empresas también podrán gestionarla de forma más eficiente para convertirla en un valor añadido.
En este sentido, el Reglamento General de Protección de Datos refuerza los derechos de los clientes a la hora de gestionar sus datos personales, especialmente si estos son de carácter sensible. Por ejemplo, al prestar información privada a una compañía, desde un correo electrónico hasta datos de pago, el cliente debe dar consentimiento explícito sobre el uso de esos datos para una finalidad concreta y sobre el plazo de conservación de la información. Por lo tanto, el consentimiento tácito será insuficiente.
El cliente tendrá derecho a oponerse al tratamiento de sus datos si tiene como finalidad el marketing directo, o alegando motivos personales. También podrá revocar su consentimiento, así como suprimir los datos, cuando se produzca un tratamiento ilícito de los mismos.
Otro avance del RGPD es que puede aplicarse a empresas que no están físicamente en países de la Unión Europea pero que tratan datos de ciudadanos de la UE. Esto constituye una garantía significativa en la era de internet y una buena base para seguir optimizando la seguridad en la venta de entradas online, sea cual sea la ubicación del operador.
Medidas necesarias para cumplir el RGPD
Para hacer efectivos estos derechos, los promotores de eventos, al igual que otras empresas culturales que recaben información personal de clientes, deben asumir una responsabilidad activa en el tratamiento de datos e implementar los mecanismos para garantizar la privacidad desde el diseño de sus servicios. Por lo tanto, es insuficiente actuar cuando ya se ha producido una infracción, y el compromiso tiene que darse con carácter preventivo.
A grandes rasgos, estas son algunas de las medidas que deben tomar las compañías que ofrecen espectáculos y eventos y que 4Tickets ha implantado en sus servicios de venta de entradas:
- Registro de actividades de tratamiento: es un fichero que describe las operaciones de la compañía en el tratamiento de datos, como su recogida, registro, organización, estructuración, consulta y utilización, así como medidas de seguridad o plazos previstos para la supresión de los datos. Este documento debe identificar al responsable de los datos y definir la finalidad del tratamiento, el tipo de información recopilada, las categorías de personas de quienes se recabarán datos, los perfiles que tendrán acceso a esta información, etc.
- Análisis de riesgos: el nuevo reglamento obliga a identificar los riesgos potenciales en el tratamiento de datos y las respectivas medidas de control para garantizar el uso correcto de la información. Un posible riesgo es la alteración no intencionada de los datos personales, por lo que es conveniente controlar posibles amenazas de red. Para prevenir el borrado intencionado de datos personales, la Agencia Española de Protección de Datos recomienda hacer copias de seguridad y almacenar la información en dos lugares distintos. Otras medidas señaladas por la AEPD son el establecimiento de canales para garantizar que los usuarios puedan ejercer sus derechos, la creación de cláusulas informativas detalladas y la monitorización del uso de datos para prevenir prácticas ilícitas.
- Solicitar el consentimiento explícito del usuario: el tratamiento de datos personales de los espectadores deberá contar con su consentimiento expreso y estará ligado a unas finalidades concretas: por ejemplo, la notificación de incidencias que afecten al espectáculo para el que el usuario ha adquirido entradas, o el envío de información sobre eventos que tengan lugar en la ciudad del usuario. El Reglamento también impone el principio de la minimización de los datos, y estos se almacenarán de forma anónima y bajo pseudónimo.
Todo esto comporta la necesidad de adaptar las cláusulas de consentimiento a la nueva normativa para que detallen las condiciones del tratamiento de datos y los derechos del usuario. Las empresas también tendrán que garantizar el derecho de revocación y rectificación, así como el derecho a la portabilidad de los datos y el derecho al olvido.
- Notificación de problemas de seguridad a la Agencia Española de Protección de Datos: el responsable de tratamiento tendrá que comunicar cualquier quiebra en la seguridad de los datos a la autoridad competente y a las personas afectadas, en el caso de que puedan verse afectados sus derechos.
Estas imposiciones exigen un rigor mucho mayor en el tratamiento de los datos para garantizar a los usuarios el ejercicio de sus derechos. En otras palabras, el RGPD obliga a afinar mucho más las bases de datos y el uso que se hace de ellas.
Más allá de las dificultades de adaptación que la nueva normativa pueda provocar en el sector cultural, consideramos que el RGPD constituye una oportunidad de oro para que los datos de los clientes puedan recabarse con plena seguridad jurídica y para que cumplan su función específica. Como resultado, puede salir reforzada la confianza que los espectadores brindan a los promotores de eventos culturales.