Guía Legal · GDPR
Al organizar un evento corporativo, recogemos y tratamos datos personales de múltiples fuentes: el formulario de inscripción (nombre, email, empresa, cargo, alergias alimentarias, necesidades de accesibilidad), la gestión del alojamiento (datos de pasaporte o DNI para check-in), el sistema de badging (foto del asistente), las grabaciones de sesiones (imagen y voz de ponentes y asistentes) y las encuestas de satisfacción post-evento.
Todos estos datos activan el GDPR si el organizador está establecido en la UE o si los asistentes son residentes de la UE, independientemente de dónde se celebre el evento. El organizador actúa como responsable del tratamiento (data controller) y los hoteles, plataformas de inscripción y empresas de badge son encargados del tratamiento (data processors), lo que exige contratos de encargo de tratamiento (DPA, Data Processing Agreements) con todos ellos.
La base jurídica más común para tratar datos de inscripción a eventos es la ejecución de un contrato (el asistente se registra y acepta los términos de participación). Para datos sensibles como alergias o necesidades especiales de accesibilidad, se requiere consentimiento explícito. Para el envío de comunicaciones de marketing posteriores al evento (newsletters, invitaciones a futuros eventos), también se necesita consentimiento explícito separado del consentimiento de participación.
La fotografía y vídeo durante el evento requieren consentimiento informado previo. Lo más práctico es incluirlo en el formulario de inscripción con una casilla específica, y señalizarlo físicamente en el evento (carteles en la entrada indicando que hay cámaras). Los ponentes requieren consentimientos separados si las grabaciones se publicarán después.
| Obligación | Cuándo aplica | Cómo cumplir |
|---|---|---|
| Aviso de privacidad | Siempre | Enlace en formulario de inscripción |
| Base jurídica documentada | Siempre | Registro de actividades de tratamiento |
| DPA con proveedores | Todos los encargados | Contrato firmado antes del evento |
| Consentimiento fotografía | Siempre | Casilla en inscripción + cartelería |
| Consentimiento marketing | Envío post-evento | Opt-in separado y verificable |
| Derecho de supresión | Solicitud del interesado | Proceso documentado, respuesta en 30 días |
| Retención de datos | Siempre | Definir plazos: inscripción, contabilidad, marketing |
El hotel actúa como encargado del tratamiento para los datos que le transmites (lista de habitaciones bloqueadas, asignaciones de habitación, datos de check-in). Antes de compartir cualquier dato de asistentes con el hotel, debes firmar un DPA (Data Processing Agreement) que especifique qué datos se comparten, con qué finalidad, durante cuánto tiempo y con qué medidas de seguridad. Los hoteles de cuatro y cinco estrellas con departamentos de eventos tienen habitualmente plantillas de DPA que puedes revisar y firmar. Si el hotel no tiene DPA, redacta uno tú mismo.
Las sanciones por incumplimiento del GDPR pueden alcanzar hasta el 4 % del volumen de negocios anual global de la empresa responsable, o 20 millones de euros, la cifra mayor de las dos. En el sector de eventos, las infracciones más frecuentes son: uso de datos de inscripción para marketing sin consentimiento, fotografías publicadas de asistentes sin autorización y transferencias de datos a hoteles o plataformas de inscripción sin DPA.
Gestiona tus RFPs de hotel de forma profesional
Prueba Easy Hotel RFP gratis y compara propuestas en minutos.
Sí. El GDPR requiere consentimiento informado para fotografiar o grabar a los asistentes. Lo más práctico es incluirlo como casilla opt-in en el formulario de inscripción y señalizarlo con carteles en el evento. Los asistentes que no consientan no pueden ser fotografiados individualmente.
No. El haber asistido a un evento no da derecho automático a enviar marketing. Necesitas consentimiento explícito y separado para comunicaciones de marketing. Incluye una casilla opt-in en el formulario de inscripción si quieres poder contactar a los asistentes con futuras comunicaciones.
Sí. El hotel actúa como encargado del tratamiento (data processor) y el GDPR exige un contrato de encargo de tratamiento (DPA) firmado antes de compartir cualquier dato personal. Los hoteles de cuatro y cinco estrellas con departamentos de grupos suelen tener sus propias plantillas de DPA.
Depende de la finalidad. Los datos para la ejecución del evento pueden conservarse el tiempo necesario para resolver posibles reclamaciones (generalmente 1-2 años). Los datos fiscales (facturas, pagos) deben conservarse el tiempo exigido por la normativa contable local (habitualmente 6-7 años en España). Los datos de marketing deben eliminarse cuando el interesado retire el consentimiento.