Leyendo:
¿Cómo afectará el nuevo RGPD a las viviendas turísticas?

¿Cómo afectará el nuevo RGPD a las viviendas turísticas?

Si yo alquilo mi vivienda turística, a través de internet… ¿también tengo que adaptarme al Reglamento General de Protección de Datos (RGPD)? Esta es la pregunta que todo el mundo se está haciendo últimamente.

Por supuesto que SÍ.

A todos los propietarios o gestores (nacionales o extranjeros) de alquileres vacacionales; si manejáis datos personales de residentes de la Unión Europea, también os afecta la nueva normativa de protección de datos que establece el RGPD.

¿Qué es el RGPD?

El RGPD es más duro y más exigente que la todavía vigente Ley Orgánica de Protección de Datos (LOPD), que caducará el 25 de mayo de 2018 y dejará de aplicarse. A partir de esta fecha, si quieres seguir anunciando en tus canales y gestionando tu vivienda turística dentro y fuera de internet, vas a tener que adaptarte al RGPD.

En consecuencia, deberás revisar los siguientes aspectos:

  • Las medidas de seguridad con las que cuentas para proteger los datos de tus huéspedes.
  • La información que ofreces sobre tu Política de Privacidad o Protección de Datos (esos textos legales escritos por abogados para abogados).
  • La forma de conseguir o captar el consentimiento de tus huéspedes para poder utilizar sus datos para, por ejemplo, facturarles, mandarles información o publicidad de tus ofertas…

A continuación vamos a explicar qué pasos hay que seguir para adaptar tu web y tu negocio al RGPD sin necesidad de contratar los servicios profesionales de un abogado. Si después de leer el artículo sigues teniendo dudas, estaré contento de poder resolverlas en los comentarios.

¿Por qué tienes que adaptarte al RGPD antes del 25 de mayo de 2018?

Porque el 25 de mayo de 2018 empieza a aplicarse la nueva normativa sobre protección de datos a todas las empresas y particulares que utilicen datos personales (datos de personas físicas, no de empresas), con fines comerciales y/o profesionales. Si utilizas los datos de personas físicas en el ámbito familiar, personal o social de alcance privado (ámbito doméstico), y por tanto, sin conexión alguna con tu actividad profesional o comercial, no tienes que cumplir el RGPD. Entre este tipo de actividades domésticas están la correspondencia y la utilización de un repertorio de direcciones, la actividad en las redes sociales y la actividad en línea que puedas realizar en el contexto de las citadas actividades privadas, por ejemplo.

Cuando gestionas o comercializas una vivienda turística, estás realizando una actividad comercial. Por tanto, tendrás que cumplir con el RGPD, independientemente del país dónde te encuentres. Hasta los gigantes tecnológicos como Google, Apple, Facebook, Amazon y Microsoft, que tienen su domicilio social en otros territorios fuera de la UE deberán adaptarse (y ya lo han hecho) a los requisitos de la nueva normativa europea si quieren seguir operando en el territorio de la UE y prestar servicios a los ciudadanos europeos.

Si no lo haces, ¿Qué te puede pasar?

Imagínate por un momento que pierdes o te sustraen los datos personales de tus huéspedes y mañana aparecen en manos de terceros que los utilizan sin el consentimiento de sus dueños. O te sucede el caso, más frecuente, en el que ese huésped que tienes en tu base de datos desde hace tiempo y al que le mandaste información u ofertas para la próxima temporada, en lugar de darte las gracias, te denuncia porque entiende que le has mandado correos sin su autorización, sin él habértelo pedido. Ahora, con el RGPD, denunciar es más fácil. Cualquier persona en cualquier país de la Unión Europea puede presentar una reclamación vía telemática desde su país en tu contra. Es lo que se llama la «ventanilla única».

En estos casos y en otros muchos más, la autoridad de control que vela por la protección de los datos personales (en España, la Agencia Española de Protección de Datos), puede acabar sancionándote con multas que pueden alcanzar hasta los 20 millones de euros. Si eres empresa, hasta el 4% de tu facturación total anual.

Además, dependiendo de la normativa local en materia de protección de datos, también podrías tener que hacer frente a otras penas por fallos de seguridad y/o responsabilidad civil (daños y perjuicios que  puedan reclamarte). En Alemania y Francia, por ejemplo, están previstas incluso penas de prisión en caso de delitos por fallos de seguridad. También, está en juego la reputación y la continuidad de tu marca en internet.

¿Te animas a evaluar el estado de la ciberseguridad en tu negocio?

Para ayudarte a evaluar tu estado de ciberseguridad y a avanzar hacia mayores niveles de protección, el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición de forma gratuita un kit de autodiagnóstico especialmente diseñado para este fin. A través de una serie de preguntas, te guiará para que determines tu estado en términos de seguridad de la información, qué riesgos amenazan el funcionamiento de tu negocio y qué aspectos debes mejorar.

Para evaluar el estado de ciberseguridad de tu negocio, visita esta página: análisis de riesgos en 5 minutos.

¿Si solo pides el nombre, DNI y un email de contacto, tienes que adaptarte al RGPD?

Por supuesto que sí.

Cuando realizas cualquier operación sobre los datos personales o los conjuntos de datos personales de tus huéspedes (por ejemplo, un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales o una dirección IP de un ordenador), ya sea por procedimientos automatizados (por ejemplo, la elaboración de perfiles) o manuales, estás llevando a cabo lo que el RGPD llama el «tratamiento» de sus datos. Esas operaciones de tratamiento pueden ser muy diversas: desde la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión y hasta incluso la destrucción de los datos. Cuando utilizas los datos personales de tus huéspedes, realizas algunas o muchas de las anteriores operaciones de tratamiento, con lo que te conviertes en responsable o encargado del tratamiento de sus datos.

¿Si utilizas las redes sociales como Facebook para anunciar tu vivienda, tienes que cumplir con el RGPD?

Ya hemos visto que cuando utilizas tu perfil para promocionar tu vivienda turística, se te aplicará el RGPD con todas sus consecuencias. Solo si utilizas tu perfil de Facebook para un fin exclusivamente doméstico como reflejo digital de tu vida privada y personal, sin ánimo de lucro ni profesional alguno, estarás excluido de la aplicación del RGPD (es lo que el RGPD llama la «excepción doméstica»).

¿Cómo puedes adaptar la Política de Privacidad en tu perfil de Facebook?

Es muy fácil.

Entre los datos de contacto que Facebook permite añadir a tu perfil en tu Página de Facebook, se ha añadido recientemente el campo relativo a la Política de Privacidad, en el que simplemente deberás redireccionar a la Política de Protección de datos que tengas en tu página web.

¿Cómo puedes adaptar tu web y tu negocio al RGPD sin contratar un abogado?

Lo puedes hacer con la ayuda de la Agencia Española de Protección de Datos (AEPD) y de su programa informático llamado «FACILITA». Es gratis. De forma rápida y sencilla, a través del programa, puedes verificar cuál es tu situación respecto al tratamiento de datos personales. Está orientado a profesionales y empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de huéspedes, posibles huéspedes, proveedores o recursos humanos.

¿Cómo utilizar el programa FACILITA?

El programa te va a preguntar por tu «sector de actividad», por los «datos que manejas»  y, finalmente, por el «tratamiento que realizas». Si respondes de forma negativa a las tres preguntas anteriores, entonces, el propio programa en la primera y sucesivas pantallas te irá pidiendo los datos que servirán para que el mismo genere los documentos personalizados que exige el RGPD.

Lo más seguro es que respondas a todas las preguntas de forma negativa porque:

  • La actividad de comercialización de tu vivienda turística no está relacionada como una actividad de alto riesgo.
  • Los datos que manejas (nombre y apellido, DNI, dirección postal y electrónico, teléfono, etc.) no son considerados datos sensibles.
  • Y los tratamientos que realizas entrañan a priori, un escaso nivel de riesgo para los derechos y libertades de los interesados.

Para comprenderlo mejor, puedes mirar el siguiente vídeo tutorial que ha publicado la Agencia Española de Protección de Datos.

¿Qué documentos te proporciona FACILITA?

Después de introducir todos los datos que te pide el programa, la herramienta generará diversos documentos que necesitas según el RGPD. ¿Lo mejor de todo? Estarán adaptados a tu negocio de alquiler vacacional.

En concreto, estos documentos son los siguientes:

  1. «Cláusulas informativas». Para incluir en tus formularios de recogida de datos personales.
  2. «Cláusulas contractuales». Para anexar a los contratos de encargado de tratamiento (como, por ejemplo, empresas de mantenimiento de la web, empresas de hosting, terceros que gestionen tu alquiler, gestorías, intermediarios, etc.).
  3. «El registro de las actividades de tratamiento».
  4. «Un anexo con medidas de seguridad orientativas consideradas mínimas».

¿Por qué tienes que revisar tu Política de Privacidad si nadie la lee?

El legislador es consciente de que nadie lee las páginas de las Políticas de Privacidad, entre otros motivos porque son larguísimas e incomprensibles. Parece como si no estuvieran escritas para los usuarios finales. Para acabar con esta situación, el RGPD ha establecido un nuevo principio, el principio de «transparencia». En pocas palabras, es una nueva forma de referirnos al antiguo deber de información en la recogida de datos personales, evolucionado y adaptado a la realidad de Internet.

Si hasta ahora se exigía información sobre quién se encuentra detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con el nuevo Reglamento Europeo de Protección de Datos se va a tener que detallar la información de la forma más precisa posible, con un lenguaje claro y comprensible.

¿Cómo tienes que detallar la información de tu Política de Privacidad o Protección de Datos?

En consonancia con el RGPD, las Autoridades de Protección de Datos (la Agencia Española de Protección de Datos en España) recomiendan adoptar un modelo de información que se llama «información por capas», que consistente en:

  1. Presentar una «información básica» en un primer nivel, de forma resumida, en el mismo momento (cuando llega el usuario a tu web) y en el mismo medio (por ejemplo, en la misma web) en que se recojan los datos.
  2. Remitir a ese mismo usuario a la «información adicional y complementaria» que se encontrará en un segundo nivel (por ejemplo, en otra página de la misma web) donde se presentarán detalladamente el resto de las informaciones necesarias, en un medio más adecuado para su presentación, comprensión e incluso custodia y archivo. ¿Cómo? Te preguntarás. Insertando al final o al pie del formulario un enlace a la Página de Política de Privacidad.

¿Cómo tienes que adaptar los formularios de suscripción y/o comentarios al RGPD?

Es muy importante que sepas que cualquier checkbox de suscripción o comentarios en tu blog o web también debe cumplir con el RGPD. Esto es porque en ellos recopilas datos personales, tales como nombre del usuario, el email e incluso la IP del ordenador y, por tanto, es necesario aplicar la información por capas de tu Política de Privacidad.

¿Cómo tienes que hacerlo? Debajo cada checkbox o caja, deberás informar de tu Política de Privacidad en dos capas. En la primera capa explicarás, de modo sencillo, el destino y uso que vas a hacer de los datos de tus clientes. En la segunda, informarás de la política de privacidad de forma más detallada mediante un enlace a la página de Política de Privacidad. Además, es necesario que la checkbox o caja permita marcar de forma inequívoca la casilla para aceptar y dar su consentimiento. Sólo así podrás utilizar los datos de tus clientes sin problemas.

¿Qué pasará con el listado de clientes que tienes en tus bases de datos? ¿Son válidos sus consentimientos?

Seguro que en estos días estarás recibiendo una avalancha de peticiones para que des tu consentimiento en todos los servicios, aplicaciones y web en los que estás dado de alta. Pues tú vas a tener que hacer lo mismo.

Con la todavía vigente LOPD (hasta el 24 mayo 2018), si los datos recabados no eran especialmente sensibles, por ejemplo, nombre y apellidos, DNI, email, teléfono, etc., se admite por la Agencia Española de Protección de Datos que dicho consentimiento pueda ser tácito e, incluso, que puedan existir las casillas premarcadas en las que no se exige una acción del usuario para suscribirse.

Ahor,a la forma de solicitar y obtener el consentimiento cambia con el RGPD. A partir del 25 de mayo de 2018, en caso de que un usuario denuncie que los datos se han recopilado de forma ilícita (por ejemplo, sin su consentimiento), es el denunciado (en este caso, tú), quien debe probar que tenía los datos de forma lícita y conforme a los principios del RGPD. Es decir, el consentimiento de tu cliente debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca de los deseos de la persona.

¿Y cómo puedes conseguir demostrar, como exige el RGPD, que has conseguido su consentimiento inequívoco? Mediante el registro del consentimiento de tus clientes en tu web o programa de email marketing, cuando marcan la casilla de «He leído y acepto la Política de Privacidad». Recuerda que las solicitudes de consentimiento deben ser claras y sencillas, al margen de otros términos y condiciones. Por tanto, hazlo con un lenguaje claro, sencillo y amigable.

¿Qué soluciones hay para regularizar o renovar los consentimientos de tus antiguos huéspedes?

Las soluciones a la problemática creada por el RGPD de tener que demostrar que el consentimiento de tu cliente es inequívoco pasan por solicitar de nuevo o renovar el consentimiento de manera compatible con el nuevo Reglamento, lo que supondrá, por ejemplo, enviar a todos tus clientes una comunicación electrónica antes del 25 de mayo de 2018 incluyendo un enlace a una web o página donde informes y recabes el consentimiento expreso para poder tratar sus datos en un futuro.

Otra buena opción para aquellos que tienen bases de datos con muchos huéspedes es preparar una landing page en sus páginas web con un regalo para que se suscriban de nuevo.

Ahora te toca a ti pasar a la acción antes de que sea demasiado tarde. El plazo vence el próximo 25 de mayo de 2018.


Sobre el autor

Juan Antonio Mateos Mateos es un abogado experto en alquileres turísticos y fundador de la web Alquiler Vivienda Vacacional


¿Preparado para recibir más reservas directas?

Sin gastos de configuración. Sin tarjeta de crédito. Sin obligaciones. Prueba Lodgify gratis 7 días.

Más artículos
Lodgify cierra una ronda de $5M