Establecimientos hoteleros: Normativa 2024

Los establecimientos hoteleros, pensiones y campings tratan información personal de sus huéspedes, por tanto han de cumplir con las obligaciones que establecen el RGPD y la LOPDGDD. En esta guía te mostramos cómo cumplir con la normativa.

Cómo adaptar mi establecimiento hotelero a normativa

Debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un huésped te deja sus datos para una reserva, contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Para un adecuado tratamiento de estos datos todas las empresas están obligadas a cumplir con la normativa de protección de datos.

Registro de actividades de tratamiento

Una de las exigencias más importantes es llevar un registro de las actividades de tratamiento. En este sentid, hay que preguntarse:

¿Cuáles son los datos que recopilamos?
¿Por qué los necesitamos?
¿Para qué los queremos?
¿Cuál es la política de almacenamiento de esos datos?
¿Cedemos esos datos o los transferimos fuera de nuestro país?
¿A través de qué medios realizamos el tratamiento?

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Descarga aquí todos los modelos gratis para tu hotel

Contratos con terceros

El sector hotelero se relaciona constantemente con terceros, como las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos. Por ejemplo:

Agencias de viajes
Asesorías
Empresas informáticas
Empresas de transporte, etc.

Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

Aviso legal
Política de privacidad
Política de cookies

El aviso legal es el documento donde se identifica al propietario de la página web. En él debe incluirse:

Nombre del propietario
CIF / NIF
Dirección
Email
Nº de inscripción en el Registro Mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

También hay que revisar la política de privacidad y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos. Así, al solicitar los datos personales del huésped, en el formulario habrá que informar expresamente de:

Tratamiento de los datos que se le están solicitando.
Finalidad.
Destinatario o destinatarios de aquella información.
Datos identificativos y dirección del responsable del tratamiento de los datos.
Ejercicio de derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Por otro lado, si en tu web incluyes cookies, debes insertar la política de cookies, recogida en la LSSI.

En ese texto debe informarse sobre:

Cookies usadas en la página.
Su finalidad.
Duración de las mismas.

¿Necesitas cumplir el RGPD y la LOPDGDD?

Solicita varios presupuestos

Consentimiento de clientes

Debes obtener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:

Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:
- Responsable del tratamiento.
- Propósito para el que vas a usar los datos.
- Si los cederás a terceros.
- La manera en la que puede ejercer sus derechos ARCO.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza. Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Aquí te dejamos un modelo de consentimiento de protección de datos en PDF.

Contratos con empleados

Otra de las obligaciones es la de firmar un acuerdo de confidencialidad con los empleados para evitar que la información a la que tienen acceso sea revelada a personas no autorizadas. Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En un hotel, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

Análisis de riesgos

Es necesario realizar un análisis de riesgos en el que se valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

el tipo de tratamiento,
la naturaleza de los datos, o
el número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Notificar brechas de seguridad

Otra de las obligaciones que establece el nuevo Reglamento es notificar las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque, lo ideal es estar prevenidos con un plan de respuesta ante incidentes de seguridad. Además tienes un plazo de 72 horas para notificarlo a la AEPD y darle información de lo que ha ocurrido. Por tanto, es necesario que sometas a prueba el plan para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Debes saber que existirán atenuantes a esas infracciones si puedes demostrar a la AEPD y a los clientes que estás haciendo todo lo posible para cumplir la normativa.

Nombrar un DPD

En principio, la LOPDGDD no incluye a los establecimientos hoteleros entre las entidades obligadas a contar con un Delegado de Protección de Datos o DPO.

En principio, nombrar un DPO será voluntario. Esta figura solo es obligatoria en caso de que se traten datos personales sensibles o que se haga un tratamiento masivo de datos personales.

Si estás obligado a contratarlo, debes hacer públicos sus datos de contacto y comunicarlos a las autoridades de supervisión competentes.

No obstante, si el hotel pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

Sanciones por incumplimiento

El incumplimiento de la normativa podría dar lugar a severas sanciones. Las multas que impone la Agencia Española de Protección de Datos dependen de la gravedad de la infracción, el perjuicio ocasionado, el beneficio obtenido, la extensión de la infracción en el tiempo y otros factores. Así, podemos distinguir entre infracciones leves, graves o muy graves:

Infracciones leves: multa de hasta 40.000 €
Infracciones graves: multa de 40.001 € a 300.000 €
Infracciones muy graves: multa entre 300.001 € y 20.000.000 €, o el 4% de la facturación del último ejercicio.

Modelos

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.