Por fin de vacaciones!

No veía el momento de descansar a la orilla del mar y tomar unas cañas en el chiringuito. Busqué en Internet y encontré un bonito hotel en la costa, con vistas a la playa y muy buenas opiniones. Ya está! Hice la reserva pero ¿Y la política de privacidad? Nada. ¿Quién va a utilizar y con qué finalidad todos los datos personales que me han pedido?

Llegué al hotel, me confirman la reserva pero ni rastro de consentimiento para tratar mis datos.

Porque sí, los hoteles, pensiones y campings también deben cumplir con la normativa de Protección de Datos. Y aquí te cuento cómo.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva Ley de Protección de Datos (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir los establecimientos hoteleros y alojamientos el RGPD?

Los hoteles forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, tanto de clientes como de empleados, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta ley, si tienes un hotel debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un huésped te deja sus datos para una reserva, contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu hotel para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Incluir los textos legales en la página web
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con los empleados
  6. Realizar un Análisis de riesgos
  7. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en los hoteles pensiones camping

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan y qué cantidad. El hotel debe responder a preguntas como:

  • ¿Cuáles son los datos que recopilamos?
  • ¿Por qué los necesitamos?
  • ¿Para qué los queremos?
  • ¿Cuál es la política de almacenamiento de esos datos?
  • ¿Cedemos esos datos o los transferimos fuera de nuestro país?
  • ¿A través de qué medios realizamos el tratamiento?

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Contratos con terceros

El sector hotelero se relaciona constantemente con terceros, como las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos. Por ejemplo:

  • Agencias de viajes
  • Asesorías
  • Empresas informáticas
  • Empresas de transporte, etc.

Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

3. Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

En caso de que las reservas se realicen a través de páginas web de empresas como Booking o Trivago, más abajo te explico cómo proceder.

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del hotel y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del huésped, en el formulario habrá que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

4. Consentimiento de clientes

Además de actualizar la política de privacidad, en tu hotel debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en el hotel y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un hotel, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

No lo olvides! Esto es importante.

El hotel debe también realizar análisis del riesgo en el que se valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento,
  • la naturaleza de los datos, o
  • el número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte del hotel, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

8. Nombrar un DPD

Puede ser necesario que el hotel designe a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

No obstante, si el hotel pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

Preguntas frecuentes

A continuación tienes las respuestas a las dudas más frecuentes planteadas por los hoteles en materia de protección de datos.

¿Dónde almacenan la información los hoteles?

La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o achivadores. Ahora el personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas hoteleras formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

, en caso de tener trabajadores en prácticas estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Qué debo hacer con los curriculum que me dejan en recepción?

En el caso de que una persona nos entregue su curriculum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Y si los clientes realizan la reserva a través de Booking?

En este caso no te preocupes, es responsabilidad de la empresa Booking cumplir con la normativa de Protección de Datos en su página web. Tú únicamente debes solicitar el consentimiento al cliente cuando facilite sus datos en recepción.

¿Maneja un hotel datos sensibles?

Normalmente no. Pero puede darse el caso en el que un cliente nos informe de una alergia o intolerancia a determinados alimentos que deberá anotarse de cara a las comidas facilitadas en el hotel. En este caso sí se manejan datos sensibles y, como tales, deben ser objeto de una especial protección.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente esta tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan la marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y habitación asignada.

Por supuesto, el personal del hotel con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos. Los establecimientos que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

Modelos y plantillas

Os dejo todos los documentos que necesitaréis para adaptar vuestro establecimiento hotelero a la normativa de Protección de Datos.

Sanciones por incumplimiento

El RGPD mantiene el poder sancionador de la Agencia, pero también endurece las multas.

Las sanciones cambian y aumentan considerablemente. Ya no estarán tipificadas en niveles, sino que se separarán en dos rangos, dependiendo de los artículos del Reglamento que las contengan.

Aquí tienes algún ejemplo de sanciones impuestas por la AEPD a establecimientos hoteleros.

Cámaras de videovigilancia que graban la vía pública

Si instalas cámaras de Videovigilancia en tu hotel o pensión, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución AEPD R/03462/2017

No facilitar el ejercicio de los derechos ARCO

Debes facilitar a todos tus clientes el ejercicio de los derechos de acceso, rectificación, cancelación y oposición a través de un medio sencillo y gratuito. En caso de que algún cliente ejerza alguno de estos derechos, debes responderle dentro del plazo establecido. Resolución AEPD R/02531/2017

Y ahora que conoces la responsabilidad de los hoteles respecto a la Protección de datos, ¿vas a adaptarte a esta normativa?

¿Necesitas cumplir el RGPD?

Hoteles, pensiones y campings, ¿Cómo cumplir el RGPD?
4.8 (95.38%) 13 votos