Protección de datos en hoteles

Guía 2021

Los hoteles, pensiones y campings tratan información personal de sus huéspedes, por tanto han de cumplir con las obligaciones que establecen el RGPD y la LOPDGDD. En esta guía te mostramos cómo cumplir con la protección de datos en hoteles, para que adaptes tu negocio a la normativa y ofrezcas un alojamiento de garantías a tus clientes.

Leyes que regulan a los establecimientos hoteleros

Cuando un cliente hace una reserva o se aloja en un hotel, el establecimiento recoge numerosa información personal del huésped, como su nombre, DNI o cuenta bancaria.

A su vez, los hoteles, pensiones o campings también recaban datos personales sobre sus empleados, proveedores, socios o inversores.

Por ello, están obligados a cumplir con la ley de protección de datos. Pero, ¿qué normativas han de respetar?

Para cumplir con la nueva ley de protección de datos para hoteles hay que cumplir lo dispuesto en tres normativas principales:

  • El Reglamento General de Protección de Datos (RGPD), que se aplica a nivel europeo.
  • La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que sustituye a la antigua LOPD y adapta la normativa europea al marco español.
  • La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE).

¿Qué datos recogen los hoteles?

Los hoteles recogen datos principalmente de:

  • Clientes
  • Empleados
  • Proveedores
  • Contabilidad
  • Videovigilancia, en su caso.

El mayor volumen de datos suele estar relacionado con los clientes. En el momento de la reserva o alojamiento, los hoteles solicitan datos como el nombre y apellidos, DNI, fecha de nacimiento, teléfono, tarjeta de crédito o débito, duración de la estancia, etc.

Sin embargo, los establecimientos hoteleros también pueden manejar datos de usuarios con objetivos comerciales o de publicidad, sobre todo a través de internet. Por ejemplo, a través de las cookies pueden realizar un seguimiento del comportamiento de los usuarios para ofrecerles ofertas adaptadas a sus preferencias.

Las reservas

La reserva puede ser el primer momento en que el cliente le de sus datos personales al hotel. Esto es imprescindible para realizar la reserva.

Lo más habitual es que las reservas las hagan directamente los propios clientes. Pero también es muy frecuente que las reservas se pueda hacer a través de agencias de viajes, o por organismos oficiales o una empresa, (en estos casos la habitación suele ser ocupada por una persona distinta a quien realiza la reserva).

¿Y si es una empresa externa tipo Booking, Expedia..?

Si el cliente hace la reserva a través de portales como Booking, Expedia o Trivago, deberá otorgar consentimiento expreso a estas webs para que traten sus datos y puedan formalizar la reserva.

En este caso el hotel no tiene relación con el cliente hasta que éste llegue a recepción y confirme su reserva, por lo que hasta ese momento es obligación de estos portales cumplir con la normativa de protección de datos.

Por que medios lo recogen

Se pueden hacer a través de la pagina web del hotel, por teléfono, por correo electrónico, a través de formularios de solicitud o incluso de forma presencial en el hotel.

En todos estos casos es necesario solicitar el consentimiento del cliente en el momento de realizar la reserva, siempre y cuándo ésta la haya realizado el cliente directamente, y no haya una agencia o portal web que actúe como intermediario.

Cómo adaptar mi hotel a la protección de datos

Para cumplir con la protección de datos en un hotel debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un huésped te deja sus datos para una reserva, contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Para un adecuado tratamiento de estos datos todas las empresas están obligadas a cumplir con la normativa de protección de datos.

Existen unas actuaciones específicas que debes realizar para adaptar tu hotel al RGPD. En concreto, estas son:

Registro de actividades de tratamiento

Una de las exigencias más importantes respecto a la protección de datos en hoteles es llevar un registro de las actividades de tratamiento. En este sentid, hay que preguntarse:

  • ¿Cuáles son los datos que recopilamos?
  • ¿Por qué los necesitamos?
  • ¿Para qué los queremos?
  • ¿Cuál es la política de almacenamiento de esos datos?
  • ¿Cedemos esos datos o los transferimos fuera de nuestro país?
  • ¿A través de qué medios realizamos el tratamiento?

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Contratos con terceros

El sector hotelero se relaciona constantemente con terceros, como las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos. Por ejemplo:

  • Agencias de viajes
  • Asesorías
  • Empresas informáticas
  • Empresas de transporte, etc.

Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Página web del hotel

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

El aviso legal es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

También hay que revisar la política de privacidad del hotel y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos. Así, al solicitar los datos personales del huésped, en el formulario habrá que informar expresamente de:

  • Tratamiento de los datos que se le están solicitando.
  • Finalidad.
  • Destinatario o destinatarios de aquella información.
  • Datos identificativos y dirección del responsable del tratamiento de los datos.
  • Ejercicio de derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Por otro lado, si en tu web incluyes cookies, debes insertar la política de cookies, recogida en la LSSI.

En ese texto debe informarse sobre:

  • Cookies usadas en la página.
  • Su finalidad.
  • Duración de las mismas.

¿Necesitas cumplir el RGPD y la LOPDGDD?

Solicita varios presupuestos

 

Consentimiento de clientes

Además de actualizar la política de privacidad del hotel debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:
    • Responsable del tratamiento.
    • Propósito para el que vas a usar los datos.
    • Si los cederás a terceros.
    • La manera en la que puede ejercer sus derechos ARCO.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza. Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Aquí te dejamos un modelo de consentimiento de protección de datos en PDF.

Contratos con empleados

Otra de las obligaciones en materia de protección de datos en hoteles es la de firmar un acuerdo de confidencialidad con los empleados para evitar que la información a la que tienen acceso sea revelada a personas no autorizadas. Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En un hotel, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

Análisis de riesgos

El hotel debe también realizar análisis de riesgos en el que se valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento,
  • la naturaleza de los datos, o
  • el número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Notificar brechas de seguridad

Otra de las obligaciones que establece el nuevo Reglamento es notificar las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte del hotel, lo ideal es estar prevenidos con un plan de respuesta ante incidentes de seguridad. Además tienes un plazo de 72 horas para notificarlo a la AEPD y darle información de lo que ha ocurrido. Por tanto, es necesario que sometas a prueba el plan para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Debes saber que existirán atenuantes a esas infracciones si puedes demostrar a la AEPD y a los clientes que estás haciendo todo lo posible para cumplir la normativa.

Nombrar un DPD

En principio, la LOPDGDD no incluye a los establecimientos hoteleros entre las entidades obligadas a contar con un Delegado de Protección de Datos o DPO.

En principio, nombrar un DPO será voluntario. Esta figura solo es obligatoria en caso de que se traten datos personales sensibles o que se haga un tratamiento masivo de datos personales.

Si estás obligado a contratarlo, debes hacer públicos sus datos de contacto y comunicarlos a las autoridades de supervisión competentes.

No obstante, si el hotel pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

Sanciones por incumplimiento

El incumplimiento de la protección de datos en hoteles podría dar lugar a severas sanciones. Las multas que impone la Agencia Española de Protección de Datos dependen de la gravedad de la infracción, el perjuicio ocasionado, el beneficio obtenido, la extensión de la infracción en el tiempo y otros factores. Así, podemos distinguir entre infracciones leves, graves o muy graves:

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € y 20.000.000 €, o el 4% de la facturación del último ejercicio.

Ejemplos

Cabe decir que una de las mayores multas impuestas hasta el momento por no cumplir con el RGPD fue impuesta al gigante hotelero Marriot. La cadena fue multada con 110 millones de euros por no cumplir los protocolos de seguridad y privacidad, exponiendo así los datos personales de 339 millones de clientes de 31 nacionalidades distintas.

Como vemos, en este caso, debido a la gravedad de la infracción, la sanción superó los 20 millones de euros, ya que se le aplicó a la compañía una multa por el 4% de su facturación anual.

Modelos 

Te dejamos todos los documentos que necesitarás para cumplir con la protección de datos en establecimientos hoteleros:

Preguntas frecuentes

A continuación tienes las respuestas a las dudas más frecuentes acerca de la protección de datos en hoteles.

¿Dónde almacenan la información los hoteles?

La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o archivadores. Ahora el personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas hoteleras formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

, en caso de tener trabajadores en prácticas estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Qué debo hacer con los currículum que me dejan en recepción?

En el caso de que una persona nos entregue su currículum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Y si los clientes realizan la reserva a través de Booking?

En este caso no te preocupes, es responsabilidad de la empresa Booking cumplir con la normativa de Protección de Datos en su página web. Tú únicamente debes solicitar el consentimiento al cliente cuando facilite sus datos en recepción.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente la tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan la marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y habitación asignada.

Por supuesto, el personal del hotel con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos. Los establecimientos que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

¿Los hoteles pueden dar información de quien se hospeda?

Los hoteles solo podrán ceder información de sus huéspedes si han obtenido el consentimiento expreso de éstos para ello. Por ejemplo, a proveedores de servicios o a otras empresas asociadas.

Sin embargo, hay algo que mucha gente no sabe. Y es que, en virtud de la ley 4/2015, de Protección de la Seguridad Ciudadana, las personas físicas o jurídicas que ejerzan actividades de hospedaje, transporte de personas, acceso comercial a servicios telefónicos o telemáticos, etc, deberán informar sobre la identidad de sus clientes a los Cuerpos y Fuerzas de Seguridad del Estado en un plazo de 24 horas.

¿Es obligatorio dar la tarjeta de crédito en los hoteles?

No es obligatorio, aunque hay establecimientos hoteleros que lo solicitan.

Si has pagado la reserva a través de una agencia de viajes o de portales como Booking, el recargo ya se habrá hecho, por lo que no será necesario dar ninguna tarjeta ni señal.

Si haces la reserva directamente, normalmente tienes otras opciones de pago, por ejemplo a través de PayPal, por transferencia bancaria o incluso en efectivo.

Aún así, hay hoteles que debido al Covid-19 exigen el uso de tarjetas de crédito contactless. Por lo tanto, lo mejor es que te informes sobre las condiciones del servicio del propio hotel.

¿Dónde encontrar un especialista en protección de datos para hoteles?

Si necesitas un especialista en protección de datos para hoteles deberás contactar con una consultora de protección de datos. En nuestra web puedes encontrar una lista con empresas de protección de datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.