Por Carmen Aguado, Araytor
El próximo 25 de mayo entrará en efecto la ley de privacidad europea, el Reglamento General de Protección de Datos (RGPD). De la necesidad de unificar la legislación en todo el territorio europeo, nació en 2016 el RGPD, cuya aplicación nos obligará a adaptarnos a las nuevas obligaciones, por lo que conocer el impacto que puede tener sobre nuestra actividad es indispensable antes de esa fecha.
Principales novedades del RGPD:
- Ampliar los derechos de los interesados (introducción del derecho al olvido, posibilidad de portabilidad de datos, oponerse a elaboración de perfiles…).
- Cambios en política de cesión de datos de terceros.
- Sanciones por incumplimiento mucho más elevadas.
- Obligación de documentar todas las violaciones a la seguridad (aunque no tengan consecuencias).
- Obligación de notificar vulneraciones, en un plazo máximo de 72 horas.
La no aplicación o la aplicación incorrecta de las medidas contempladas en cualquier ley o reglamento de protección de datos conlleva sanciones. Y las sanciones previstas por la nueva legislación europea son bastante duras: se prevén sanciones económicas que pueden alcanzar los 10 millones de euros o hasta el 2% del volumen de negocio del ejercicio anterior de la organización, o incluso de hasta 20 millones de euros o el 4% del volumen de negocio. Eso sí, serán proporcionadas y disuasorias, y además están previstas acciones correctivas previas como advertencias o apercibimientos, órdenes de adaptación de procedimientos, etc.
Consecuencias para el sector
El 90% de las empresas reconoce que recoge datos de terceros. Podríamos decir que los promotores musicales recaban datos de cada una de las personas que compran una entrada. Estos datos, que quedan almacenados aunque no les demos uso, incluso se añaden a newsletters que informan al comprador sobre nuevos espectáculos afines a una compra anterior. ¿Cómo podemos adaptar esos consentimientos tácitos? Una buena idea es crear una newsletter específica para invitar a los usuarios a ir al nuevo formulario, incluir sus datos y dar su consentimiento explícito.
La necesidad de obtener el consentimiento explícito va a obligarnos a modificar el aviso de privacidad (y la política de cookies) de nuestros servicios, redactándolo en un lenguaje claro y conciso. Estos avisos incluirán la nueva base legal, los periodos de retención de datos y dónde dirigir las reclamaciones si las hubiera. Además tendremos que incorporar mecanismos para notificar al usuario y a la Administración, en caso de que suframos algún tipo de incidente de seguridad que implique violación de datos.
¿Cómo se puede ver comprometida la información que almacenamos de nuestros clientes? Además de errores en la gestión de los mismo, podemos sufrir un ataque cibernético. Dicho ataque puede poner en riesgo esa información de terceros y nos puede llevar a acumular pérdidas de miles de euros, no solo en sanciones del organismo regulador, sino en pérdidas como consecuencia de la paralización de nuestro negocio hasta resolver la vulnerabilidad.
Ante un ataque, además de paliar las consecuencias directas (daños en equipos, pérdida de información, paralización del negocio, etc) debemos comunicar en un plazo no superior a 72 horas que hemos sufrido un ataque y el alcance del mismo. ¿Disponemos de estos medios?
Soluciones para el sector
Desde Araytor, como correduría de referencia de la Asociación de Promotores Musicales (APM), os recomendamos, como ya os introdujimos en la XVIII Asamblea de APM en Benidorm, contratar un seguro CYBER RISK que, además de cubrir vuestras pérdidas económicas, dispone de profesionales especializados que se ocuparán de minimizar el impacto y comunicar el daño sufrido a los interesados; coordinando y gestionando la incidencia para que vosotros podáis seguir con vuestra actividad.
¿Qué pasaría si un ataque a la plataforma de venta de entradas la dejara bloqueada? El seguro incluye coberturas en cuanto a pérdida de beneficios.
Asimismo, quedarán cubiertos también los gastos por errores tecnológicos y omisiones. Por ejemplo, las pérdidas sufridas como consecuencia de una actividad maliciosa que modifique el precio de las entradas en el momento de la compra.
¿Y si se ve comprometido algún contenido confidencial que almacenamos en nuestra empresa? No tendremos suficiente con la póliza de responsabilidad civil de la actividad de promotor, mánager, empresa de booking… por eso ampliamos con coberturas de Responsabilidad Civil a terceros. Especial mención a la indemnización derivada de una vulneración de derechos de propiedad intelectual.
Sin olvidarnos del impacto económico que podría llegar a tener una sanción impuesta por la aplicación del RGPD.
Más información
Si queréis verificar cómo de vulnerable es vuestra empresa en la red, podéis revisarlo con la herramienta que el Instituto Nacional de Ciberseguridad pone a disposición en su web.
La Agencia Española de Protección de Datos dispone de una completa hoja de ruta para adecuarnos al RGPD, podéis probar incluso su herramienta ‘facilita‘.