Llega el verano, y con ello llega el turismo. Con la mayor afluencia de visitantes también es el momento de la época en la que los hoteles tienen que manejar mayores cantidades de datos de todo el año, y por lo tanto, han de asegurarse de que todo el tratamiento se lleva a cabo cumpliendo la normativa vigente.Imagen de ejemplo de una habitación de hotel para explicar la protección de datos

El pasado día 25 de mayo se hicieron 4 años desde que el Reglamento General de Protección de Datos es completamente aplicable, y por ello, ya no hay ningún tipo de duda que todos los hoteles han de cumplir estrictamente con la normativa, por lo que han de comprobar si el tratamiento de la información se realiza de la forma correcta con respecto a las normativas de Protección de Datos, para que no les acarree multas que pueden alcanzar incluso cifras millonarias.

Sigue con nosotros y descubre toda la normativa aplicable en materia de Protección de datos para hoteles.

Qué leyes regulan a los establecimientos hoteleros

Los hoteles manejan una enorme cantidad de datos, ya sean personales de sus clientes, como es el caso de nombre, DNI o tarjetas de crédito; así como de sus empleados. También cuentan con datos de sus proveedores, socios. etc. Es por ello que han de observar varias normativas como son el RGPD y la LOPDGDD para asegurar el cumplimiento de la ley en su establecimiento.
Entre las normativas que tendremos que cumplir hay tres normas principales que debemos destacar:

  • El Reglamento General de Protección de Datos (RGDP), que se aplica a nivel europeo.
  • La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que sustituye a la antigua LOPD y adapta la normativa europea al marco español.
  • La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

Además de ello, debemos estar atentos a cualquier guía, informe, o resolución que pueda ser relevante con respecto al cumplimiento de la normativa publicado tanto por la AEPD, como por cualquier autoridad de control del entorno europeo.

Cabe mencionar que el hotel no sólo debe implantar las medidas que se le requieren por parte de la normativa de tratamiento de datos, y mostrar interés en la protección de estos datos que recaba, sino que además deberá demostrar que las medidas que han implantado son eficaces e identificar las posibles amenazas.

Tipos

Tipos de datos recogidos por un hotel 

Los hoteles recogen una gran cantidad de datos, tanto de clientes como de empleados, proveedores, contabilidad, videovigilancia, etc.

El tratamiento de los datos de los clientes es la parte, quizás, más vulnerable del proceso. Estos datos suelen tomarse a la hora de reservar. Las reservas pueden realizarse a través de medios distintos, como es el caso de la página web del hotel, por vía telefónica, por correo electrónico, o por formularios de reserva en la propia recepción del hotel.

A la hora de reservar o a la hora de hacer el check-in en el hotel, se les suele requerir la siguiente información a los clientes:

  • Nombre
  • Apellidos
  • Documento de identificación
  • Domicilio
  • Duración de la estancia
  • Correo electrónico
  • Teléfono
  • Y en algunas ocasiones, el número de tarjeta de crédito

Estos datos son guardados en el libro de registro de viajeros en el hotel. Así mismo sí no queremos incumplir la LOPD, deberemos tener cautelas y no solicitar datos excesivos.

Adaptación

Cómo se adaptan los hoteles a la protección de datos -ayuda

A continuación, veremos los pasos básicos para conseguir que un hotel esté adaptado a la normativa de protección de datos (RGPD y LOPD), en función de su tratamiento. Para ello se han de tener en cuenta unas actuaciones específicas para adaptar el hotel a la RGPD:

  • Registro de actividades de tratamiento: Con ello se hace mapa de los datos que se tienen en la empresa, para qué tratamiento se utilizan, sobre qué base de legitimación, a quién se comunican, etc. Este registro debe mantenerse actualizado ya que lo pueden requerir en una inspección de la AEPD.
  • Contactos con empleados y terceros: El sector del turismo tiene relación constante con terceros que lo sustentan. Es por ello que hay que tener presente tanto a las personas terceras como a las empresas externas y asegurarse de que también cumplen con la normativa. Estas empresas pueden ser agencias de viajes, asesorías, empresas informáticas, que actuarán como Encargados de tratamiento.
    Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros para establecer obligaciones en ellos y proteger los datos a los que tienen acceso, así como evaluar su cumplimiento.
    En cuanto a los empleados, se ha de firmar con ellos un contrato de confidencialidad y cerciorarse de que cumplen con las medidas de seguridad que la empresa tiene establecidas para la protección de datos personales, facilitar procedimientos y protocolos de actuación, e inclusive realizar formaciones.
  • Notificar brechas de seguridad: Si se produce una brecha de seguridad, la compañía deberá analizar y en su caso, notificar las brechas de seguridad que se produzcan, tanto a los afectados como a la Agencia Española de Protección de Datos (AEPD) si se detecta que puede resultar gravosa para los derechos de los afectados. Esto puede ocurrir en casos de ciberataque, o en una infracción por parte del hotel. Es necesario estar prevenidos con un plan de respuesta ante este tipo de incidentes. Además, el plazo para notificarlo es de 72 horas, por lo que el hotel ha de estar preparado para ello y conocer cómo actuar de manera eficiente.
  • Análisis de Riesgos y Evaluación de impacto: Este análisis de carácter obligatorio, estará destinado a conocer los posibles riesgos de cada uno de los tratamientos, con la finalidad de tomar las medidas técnicas y organizativas, que minimicen la probabilidad o el impacto de que se produzcan. Sí se determina que el riesgo de un tratamiento es elevado, o es alguno de los supuestos obligatorios establecidos tanto por el RGPD, como por la AEPD, también se deberá realizar una evaluación de este impacto y se tomarán las medidas de seguridad adecuadas.
  • Incluir textos legales en la página web: Es necesario que en la página web del hotel se incluyan los textos exigidos por la LOPD y la LSSICE: el aviso legal, la política de privacidad y la política de cookies, son tres de los elementos fundamentales. Por ello se ha de revisar la política de privacidad del hotel y ponerla a disposición de los usuarios en la página web.
  • Información a los clientes y capacidad de evidenciarlo: Además de actualizar la política de privacidad del hotel es necesario contar con con check box o firma de documentación de los clientes, que acredite que dicha información se ha puesto a su disposición la información de cómo el hotel va a poder tratar sus datos, según lo estipula la RGPD. Como indicamos si se lleva a cabo a través de formato electrónico se deberá tener casillas que el cliente marque expresamente, o sí se hace en papel bastará con la firma del interesado.
  • Nombrar un Delegado de protección de datos: Aunque en un principio la LOPD no incluye a los establecimientos hoteleros como sujeto obligado de tener un Delegado de Protección de Datos, y tener uno resulta voluntario, siempre será recomendable. El delegado de protección de datos supervisará el estado de cumplimiento y realizará un seguimiento mucho más exhaustivo de todos los tratamientos, garantizando una mayor diligencia por parte del hotel o del grupo hotelero que le designe.
Sanciones

Sanciones por incumplimiento 

Según se estipula en la Ley Orgánica de Protección de Datos, las sanciones por incumplimiento de la misma oscilan entre diferentes cantidades monetarias según la gravedad de la infracción, el daño ocasionado, el beneficio que se ha obtenido por incumplir la ley, y otros factores.

Se distingue entre infracciones leves, graves y muy graves:

  • Las infracciones leves por el tratamiento de datos tienen aparejada una sanción de multa de entre 900€ y 40.000€.
  • Las infracciones graves oscilan entre 40.001€ y 300.000€.
  • Las infracciones muy graves conllevan una multa de entre 300.001€ y 20.000.000€, o el 4% de la facturación del último ejercicio.

¡Infórmese ahora sobre nuestro servicio de Protección de Datos para Hoteles!

Suscribete a nuestra Newsletter