• Horario: 09 a 19
  • info@legalglobal.es

Legal Global

Consultoría Compliance

Protección de datos para Hoteles

Spread the love
protección de datos en hoteles

Protección de datos en establecimientos hoteleros y alojamientos turísticos

Como establecimientos hosteleros y alojamientos turísticos, podemos encontrar principalmente los siguientes: Hoteles, Hoteles boutiques, Hoteles de negocios, Hoteles pop-up, Hoteles-Eco, Hoteles-Lov, Hoteles Cápsulas, Casa de huéspedes, Lodge, Posadas, Pensiones, Hostels, Moteles, Apartahoteles, Apartamentos, Resort, Bed and Breakfast (B&B), Casas rurales, Albergues, Pensiones, Campings, Glamping, Cortijos, …etc.

Estos tratan información personal de sus huéspedes, por tanto han de cumplir con las obligaciones que establecen el RGPD y la LOPDGDD. En esta guía te mostramos cómo cumplir con la protección de datos en establecimientos hoteleros y alojamientos turísticos, para que adaptes tu negocio a la normativa y ofrezcas un alojamiento de garantías a tus clientes.

Leyes que regulan a los establecimientos hoteleros

Cuando un cliente hace una reserva o se aloja en un hotel, el establecimiento recoge numerosa información personal del huésped, como su nombre, DNI o cuenta bancaria.

A su vez, los establecimientos hoteleros y alojamientos turísticos también recaban datos personales sobre sus empleados, proveedores, socios o inversores.

Por ello, están obligados a cumplir con la ley de protección de datos. Pero, ¿qué normativas han de respetar?

Para cumplir con la nueva ley de protección de datos para establecimientos hoteleros y alojamientos turísticos hay que cumplir lo dispuesto en tres normativas principales:

  • El Reglamento General de Protección de Datos, que se aplica a nivel europeo.
  • La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que sustituye a la antigua LOPD y adapta la normativa europea al marco español.
  • La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.

¿Qué datos recogen los establecimientos hoteleros y alojamientos turísticos?

Los establecimientos hoteleros y alojamientos turísticos recogen datos principalmente de:

  • Clientes
  • Empleados
  • Proveedores
  • Contabilidad
  • Videovigilancia, en su caso.
  • Candidatos
  • TPV
  • Contacto Web y Redes Sociales
  • Certificados negativos de delitos penales

El mayor volumen de datos suele estar relacionado con los clientes. En el momento de la reserva o alojamiento, los establecimientos hoteleros y alojamientos turísticos solicitan datos como el nombre y apellidos, DNI, fecha de nacimiento, teléfono, tarjeta de crédito o débito, duración de la estancia, etc.

Sin embargo, los establecimientos hoteleros y alojamientos turísticos también pueden manejar datos de usuarios con objetivos comerciales o de publicidad, sobre todo a través de internet. Por ejemplo, a través de las cookies pueden realizar un seguimiento del comportamiento de los usuarios para ofrecerles ofertas adaptadas a sus preferencias.

Las reservas

La reserva puede ser el primer momento en que el cliente le de sus datos personales al establecimiento hotelero y alojamiento turístico. Esto es imprescindible para realizar la reserva.

Lo más habitual es que las reservas las hagan directamente los propios clientes. Pero también es muy frecuente que las reservas se pueda hacer a través de agencias de viajes, o por organismos oficiales o una empresa, (en estos casos la habitación suele ser ocupada por una persona distinta a quien realiza la reserva).

¿Y si es una empresa externa tipo Booking, Expedia..?

Si el cliente hace la reserva a través de portales como Booking, Expedia o Trivago, deberá otorgar consentimiento expreso a estas webs para que traten sus datos y puedan formalizar la reserva.

En este caso el establecimiento hotelero y alojamiento turístico no tiene relación con el cliente hasta que éste llegue a recepción y confirme su reserva, por lo que hasta ese momento es obligación de estos portales cumplir con la normativa de protección de datos.

Por qué medios lo recogen

Se pueden hacer a través de la página web del establecimiento hotelero y alojamiento turístico, por teléfono, por correo electrónico, a través de formularios de solicitud o incluso de forma presencial en el establecimiento hotelero y alojamiento turístico.

En todos estos casos es necesario solicitar el consentimiento del cliente en el momento de realizar la reserva, siempre y cuándo ésta la haya realizado el cliente directamente, y no haya una agencia o portal web que actúe como intermediario.

Cómo adaptar mi establecimiento hotelero y alojamiento turístico a la protección de datos

Para cumplir con la protección de datos en un establecimiento hotelero y alojamiento turístico debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un huésped te deja sus datos para una reserva, contratas con los profesionales y empresas externas servicios de lavandería o transporte, o ceder los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Para un adecuado tratamiento de estos datos todas las empresas están obligadas a cumplir con la normativa de protección de datos.

Esquema resumen de como cumplir la protección de datos en establecimientos hoteleros y alojamientos turístico

1. Registro de actividades de tratamiento

Una de las exigencias más importantes respecto a la protección de datos en establecimientos hoteleros y alojamientos turísticos es llevar un registro de las actividades de tratamiento. En este sentido, hay que preguntarse:

  • ¿Cuáles son los datos que recopilamos?
  • ¿Por qué los necesitamos?
  • ¿Para qué los queremos?
  • ¿Cuál es la política de almacenamiento de esos datos?
  • ¿Cedemos esos datos o los transferimos fuera de nuestro país?
  • ¿A través de qué medios realizamos el tratamiento?

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la Agencia Española de Protección de Datos. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Contratos con terceros

El sector de establecimientos hoteleros y alojamientos turísticos se relaciona constantemente con terceros, como las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos. Por ejemplo:

  • Agencias de viajes
  • Asesorías fiscal, laboral, contable, jurídica, protección de datos, calidad,..etc.
  • Empresas informáticas
  • Empresas de transporte
  • Empresas de organización de actividades turísticas,..etc.

Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Recuerda firmar el contrato de encargo de tratamiento con los terceros.

3. Página web del establecimiento hotelero y alojamiento turístico

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

El aviso legal es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

También hay que revisar la política de privacidad del establecimiento hotelero y alojamiento turístico y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos. Así, al solicitar los datos personales del huésped, en el formulario habrá que informar expresamente de:

  • Tratamiento de los datos que se le están solicitando.
  • Finalidad.
  • Destinatario o destinatarios de aquella información.
  • Datos identificativos y dirección del responsable del tratamiento de los datos.
  • Ejercicio de derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Por otro lado, si en tu web incluyes cookies, debes insertar la política de cookies, recogida en la LSSI.

En ese texto debe informarse sobre:

  • Cookies usadas en la página.
  • Su finalidad.
  • Duración de las mismas.

4. Consentimiento de clientes

Además de actualizar la política de privacidad del establecimiento hotelero y alojamiento turístico debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:
    • Responsable del tratamiento.
    • Propósito para el que vas a usar los datos.
    • Si los cederás a terceros.
    • La manera en la que puede ejercer sus derechos ARCO.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza. Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

4. Consentimiento de los empleados

Otra de las obligaciones en materia de protección de datos en establecimientos hoteleros y alojamientos turísticos es la de firmar un acuerdo de confidencialidad con los empleados para evitar que la información a la que tienen acceso sea revelada a personas no autorizadas. Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En un establecimiento hotelero y alojamiento turístico, hay varios departamentos que tienen acceso a un correo electrónico o a una Whatsapp corporativo, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

5. Análisis de riesgos

El establecimiento hotelero y alojamiento turístico debe también realizar análisis de riesgos en el que se valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento,
  • la naturaleza de los datos, o
  • el número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

6. Notificar brechas de seguridad

Otra de las obligaciones que establece el nuevo Reglamento es notificar las brechas de seguridad que se produzcan en la organización, tanto a los afectados como a la Agencia Española de Protección de Datos.

En el caso de que se dé una situación de ciberataque o infracción por parte del establecimiento hotelero y alojamiento turístico, lo ideal es estar prevenidos con un plan de respuesta ante incidentes de seguridad. Además tienes un plazo de 72 horas para notificarlo a la Agencia Española de Protección de Datos y darle información de lo que ha ocurrido.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Debes saber que existirán atenuantes a esas infracciones si puedes demostrar a la Agencia Española de Protección de Datos y a los clientes que estás haciendo todo lo posible para cumplir la normativa.

7. Nombrar un DPO

En principio, la LOPDGDD no incluye a los establecimientos hoteleros y alojamientos turísticos entre las entidades obligadas a contar con un Delegado de Protección de Datos o DPO.

En principio, nombrar un DPO será voluntario. Esta figura solo es obligatoria en caso de que se traten datos personales sensibles o que se haga un tratamiento masivo de datos personales.

Si estás obligado a contratarlo, debes hacer públicos sus datos de contacto y comunicarlos a las autoridades de supervisión competentes.

No obstante, si el establecimiento hotelero y alojamiento turístico pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

8. Elaboración del documento de Seguridad

Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.

Sanciones por incumplimiento

El incumplimiento de la protección de datos en establecimientos hoteleros y alojamientos turísticospodría dar lugar a severas sanciones. Las multas que impone la Agencia Española de Protección de Datos dependen de la gravedad de la infracción, el perjuicio ocasionado, el beneficio obtenido, la extensión de la infracción en el tiempo y otros factores. Así, podemos distinguir entre infracciones leves, graves o muy graves:

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € y 20.000.000 €, o el 4% de la facturación del último ejercicio.

Ejemplos

Cabe decir que una de las mayores multas impuestas hasta el momento por no cumplir con el RGPD fue impuesta a un gigante hotelero. La cadena fue multada con 110 millones de euros por no cumplir los protocolos de seguridad y privacidad, exponiendo así los datos personales de 339 millones de clientes de 31 nacionalidades distintas.

Como vemos, en este caso, debido a la gravedad de la infracción, la sanción superó los 20 millones de euros, ya que se le aplicó a la compañía una multa por el 4% de su facturación anual.

Preguntas frecuentes

A continuación tienes las respuestas a las dudas más frecuentes acerca de la protección de datos en establecimientos hoteleros y alojamientos turísticos.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

, en caso de tener trabajadores en prácticas estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Los establecimientos hoteleros y alojamientos turísticos pueden dar información de quien se hospeda?

Los establecimientos hoteleros y alojamientos turísticos sólo podrán ceder información de sus huéspedes si han obtenido el consentimiento expreso de éstos para ello. Por ejemplo, a proveedores de servicios o a otras empresas asociadas.

Sin embargo, hay algo que mucha gente no sabe. Y es que, en virtud de la ley 4/2015, de Protección de la Seguridad Ciudadana, las personas físicas o jurídicas que ejerzan actividades de hospedaje, transporte de personas, acceso comercial a servicios telefónicos o telemáticos, etc, deberán informar sobre la identidad de sus clientes a los Cuerpos y Fuerzas de Seguridad del Estado en un plazo de 24 horas.

¿Es obligatorio dar la tarjeta de crédito en los establecimientos hoteleros y alojamientos turísticos?

No es obligatorio, aunque hay establecimientos hoteleros y alojamientos turísticos que lo solicitan.

Si has pagado la reserva a través de una agencia de viajes o de portales como Booking, el recargo ya se habrá hecho, por lo que no será necesario dar ninguna tarjeta ni señal.

Si haces la reserva directamente, normalmente tienes otras opciones de pago, por ejemplo a través de PayPal, por transferencia bancaria o incluso en efectivo.

Aún así, hay establecimientos hoteleros y alojamientos turísticos que debido al Covid-19 exigen el uso de tarjetas de crédito contactless. Por lo tanto, lo mejor es que te informes sobre las condiciones del servicio del propio establecimiento hotelero y alojamiento turístico.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente la tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan al marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y la habitación asignada.

Por supuesto, el personal del establecimiento hotelero y alojamiento turístico con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos. Los establecimientos que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

 ¿Dónde almacenan la información los establecimientos hoteleros y alojamientos turísticos?

La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o archivadores. Ahora el personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñado a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas de  establecimientos hoteleros y alojamientos turísticos formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Qué debo hacer con los currículum que me dejan en recepción?

En el caso de que una persona nos entregue su currículum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitar el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Y si los clientes realizan la reserva a través de Portales de Reservas?

En este caso no te preocupes, es responsabilidad de la empresa de reservas cumplir con la normativa de Protección de Datos en su página web. Tú únicamente debes solicitar el consentimiento al cliente cuando facilite sus datos en recepción.

Entre los portales de reserva podemos encontrar los siguientes:

  • Booking.
  • Expedia.
  • Hotelbeds
  • Jet2holidays
  • World 2 Meet
  • Airbnb
  • Jumbo Tours
  • Hotusa
  • OTS Globe
  • Traveltino

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/

Abrir chat
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?