La nueva GDPR y cómo afecta al programa de viajes

8 mayo, 2018 5 min

La nueva ley de protección de datos (GDPR, General Data Protection Regulation) aprobada por la Unión Europea, que da al usuario el derecho a saber, entender y consentir a las empresas el uso de sus datos entrará en vigor el proximo 25 de mayo.

Como consecuencia de la nueva regulacion, las entidades ubicadas en algún país miembro de la UE o aquellas que se encuentran fuera de la UE y que ofrecen bienes o servicios a usuarios que viven en alguno de estos países deben acogerse a esta nueva ley o se expondrán a ser castigadas con multas de hasta 20 millones de euros o un 4% de su volumen global de ventas anual.

Bajo la GDPR, las empresas han de proporcionar al usuario información sobre la razón por la cual están registrando sus datos personales y otros detalles de sus operaciones para asegurar el principio de transparencia. En este sentido, el usuario también tiene el derecho a elegir cómo van a ser usados sus datos.

Qué implicaciones tiene en nuestro sector

La nueva ley afecta de forma directa a los servicios de viajes, que, para dar servicio, han de manejar continuamente datos personales de los viajeros. Cada día, datos personales como el nombre o el número de pasaporte han de ser transferidos a una serie de proveedores o partners -tales como GDS, agencias de viajes, hoteles, aerolíneas, herramientas de reservas online, etc-. Cada uno de ellos, con su complejo ecosistema, tiene la obligación de cumplir la GDPR y, por tanto, tomar decisiones para hacer que los datos de los viajeros se transfieran de forma segura y evitar una violación de sus derechos.

Pero se trata de un asunto más complejo, ya que la GDPR hace una distinción entre 2 tipos de proveedores que recopilan datos personales: están los denominados “data controllers”, que son los responsables directos de cómo y porqué se usan los datos del usuario; y, por otra parte, se encuentran los denominados “data processors”, que llevan a cabo las instrucciones facilitadas por los “data controllers” respecto al uso de datos.

Debido a la compleja cadena de suministro en la industria de viajes, las organizaciones pueden no estar de acuerdo con su rol como “data controllers”, pero lo cierto es que, por lo general, los GDS y los proveedores de viajes son vistos por la nueva ley como “controllers”, mientras que las herramientas de reserva online son consideradas “processors”.

Entonces, ¿cuál es el rol de la agencia de viajes? No parece que la ley lo establezca de forma clara, pero American Express Global Business Travel está adoptando las medidas oportunas para adoptar el rol de “data controller”.

“Dado el servicio que prestamos, es crucial el papel de la agencia de viajes para el cumplimiento de la nueva ley”, comenta Kasey Chappelle, previamente Chief Privacy Officer de American Express Global Business Travel. “Hemos construido un programa de privacidad específicamente diseñado para la gestión de datos relacionados con el sector de los viajes, y tenemos responsabilidad legal directa en cuanto a su cumplimiento”, añade.

Asimismo, Chappelle subraya que “podemos establecer garantías de que los datos serán protegidos cuando seamos los únicos que controlemos el proceso”, pero es complicado tener control sobre otros procesos. “Podemos supervisar una transferencia segura de los datos a un hotel”, añade. “Pero el hotel es el que decide cómo guarda y usa los datos de sus huéspedes. En este sentido, no podemos controlar que el hotel haga uso de los datos de una determinada manera, ya que no podemos negociar un contrato para garantizar este tema con cada hotel del mundo”.

Aquellas empresas, que son consideradas “data controllers” y, por tanto, responsables de los datos de sus viajeros, deben contar con su propia diligencia debida para asegurar que su programa de viajes se ajusta totalmente a los nuevos requerimientos de la GDPR. Y, como “data controllers”, han de estar en contacto directo con su agencia de viajes y otros proveedores para ver la mejor forma de manejar los datos de sus viajeros y verificar que todos y cada uno de ellos están respetando la nueva normativa.

Para ello, el Travel Manager puede buscar el asesoramiento del responsable de Protección de Datos en su compañía, un rol que muchas empresas han incorporado para adaptarse correctamente a la nueva ley y cuya función principal es asegurar el cumplimiento de todos los requerimientos de la GDPR.

Asimismo, puedes estar seguro de que American Express Global Business Travel ha dado todos los pasos necesarios para garantizar el cumplimiento de la nueva ley.

Privacy by Design o Privacidad desde el Diseño

La nueva GDPR llega en un momento interesante, ya que muchas empresas del sector viajes están invirtiendo en nuevas tecnologías que recopilan datos para ofrecer un servicio más personalizado y flexible al viajero. En este sentido, si las empresas no son transparentes sobre sus actividades, pueden arriesgarse a tener problemas al amparo de la nueva ley.

“La industria de viajes está aprovechando las posibilidades que brinda el big data de los gigantes de la tecnología de consumo”, afirma Chappelle, “pero hemos de ser muy cuidadosos para no adoptar también sus problemas relacionados con la privacidad de los datos”. Cuando usamos big data, por ejemplo al localizar a un viajero en tiempo real en caso de emergencia o cuando usamos asistentes virtuales en las herramientas de reserva, la protección de datos ha de estar presente desde el comienzo del proceso.

Chappelle explica que American Express Global Business Travel ha aplicado el concepto “Privacy by Design” o “Privacidad desde el Diseño”, entendiendo que la privacidad de los datos ha de ser una pieza clave en cada una de las fases de desarrollo de producto. “Históricamente esto se consideraba un best practice en el terreno de la privacidad, pero ahora es una obligación según la GDPR. Significa que hemos de tener en cuenta la privacidad en cada una de las fases de desarrollo de cualquier innovación tecnológica, en lugar de esperar a que nuestros abogados resuelvan los posibles problemas sobre privacidad al final de proceso de desarrollo”.

A unos días de la entrada en vigor de la nueva ley, es hora de que nos aseguremos de que estamos preparados para la GDPR. El 25 de mayo está a la vuelta de la esquina.