Seleccionar página

ESTABLECIMIENTOS HOTELEROS Y RGPD

por | Mar 10, 2020 | blog, Derechos de los ciudadanos, Legitimación en el tratamiento de datos personales | 2 Comentarios

establecimientos hoteleros y RGPD

La protección de datos hay que cumplirla en todos los establecimientos hoteleros: hoteles, pensiones, hostales, campings, etc.

En estos establecimientos vamos a manejar una serie de datos bastante voluminosa y por ello debemos distinguir a que datos es necesario aplicar la normativa y a cuáles no. Siendo de aplicación solamente para los datos de personas físicas.

Los datos que se recogen en establecimientos hoteleros son por ejemplo: nombre y apellidos, teléfono, correo electrónico, fecha de nacimiento, tarjeta de crédito o débito a través del TPV, duración de la estancia, DNI o pasaporte…

También es importante tener en cuenta que cuando contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Además suele ser frecuente que por motivos de seguridad hayamos decidido instalar cámaras de videovigilancia. Las imágenes captadas por estas cámaras también son consideradas como datos personales. La ley establece que se debe informar de la existencia de estas cámaras mediante carteles colocados en zonas visibles informando que se está grabando.

Por tanto, el primer paso es entender todos los datos personales que tu establecimiento obtiene, porqué se recopilan, cómo se almacena y gestiona esta información, qué miembros de su personal tienen acceso a estos datos y saber si hay servicios o colaboradores externos con quienes se comparten los datos, así como sus políticas y sistemas de seguridad.

Identifique también quién es el máximo responsable de la seguridad de datos y la privacidad en su estructura organizativa.

Todo esto conforma una buena manera de conocer si hay aspectos que tiene que cambiar para cumplir con el RGPD, aunque también le puede servir para mejorar la seguridad y procesos en general y minimizar la recopilación de datos.

PRIMEROS PASOS

Lleve a cabo una evaluación de la infraestructura informática y de la seguridad

¿Están a salvo los datos que posee en su establecimiento hotelero?

¿Cuenta con los sistemas de seguridad que le ayudarán a minimizar el riesgo de un ataque externo y también a evitar el acceso a datos confidenciales por parte de sus empleados?

Aunque no es posible eliminar por completo los riesgos de seguridad, hay muchas medidas prácticas que le ayudarán a proteger el almacenamiento de los datos de los huéspedes.

Garantice la transparencia de los datos y el control de los usuarios

En los establecimientos hoteleros, se puede certificar la transparencia con políticas de privacidad claras, informando de las mismas a los huéspedes y asegurándose de que su personal se las tome en serio.

Minimice la recopilación y el almacenamiento de datos innecesarios y compruebe que los procedimientos para que los huéspedes acepten la recopilación de datos o soliciten copias de sus datos o su eliminación sean correctos.

Cumplimiento y seguimiento

Es necesario formar al personal y poner en práctica las políticas y los procesos definidos por la legislación.

Muy importante es que se desarrolle una cultura que respete la privacidad de los huéspedes y tenga en cuenta todas las fases de la seguridad de datos.

Será necesario supervisar continuamente esta información para asegurarse de que los procesos y la infraestructura informática, en constante cambio, están actualizados.

Momento en que se recaban  datos: reserva y check-in

La forma más habitual de recogida de datos por los establecimientos hoteleros es a través de las reservas realizadas.

¿Quién realiza las reservas?

Las reservas en los hoteles pueden ser realizadas por varios sujetos:

Agencias de viajes.

En estos casos el cliente no tiene la obligación de dar sus datos al hotel hasta que se persone en el mismo para disfrutar de su estancia. Los datos de las agencias de viajes no se encuentran bajo el paraguas de la normativa europea, ya que son personas jurídicas.

Organismo oficial o empresa

En ocasiones, se reserva una habitación que va a ser ocupada por una persona diferente a la que la reserva. En estos casos se recogen los datos de quien la solicita y de quien se va a hospedar.

Cliente directamente.

¿A través de qué medios se realizan las reservas?

Las reservas pueden realizarse a través de varios medios:

  • página web del establecimiento hotelero, completando los datos en los formularios incluidos para ello
  • teléfono, hablando directamente con la persona encargada para ello en el hotel
  • envío de correo electrónico y
  • formularios de reserva que se obtienen en la propia recepción del establecimiento.

Por norma general los establecimientos hoteleros recogen los datos en dos momentos: en la reserva y en la llegada del cliente a la recepción.

Estos datos se van a registrar en el libro de registro de pasajeros.

Mientras dure la estancia del cliente, además el hotel puede recoger información de servicios como lo es el teléfono, visionado de películas de pago, restaurante…

ACTUACIONES A SEGUIR

Las principales actuaciones que debes realizar en tu hotel para adaptarte al RGPD son:

  • 1. Realizar un Registro de actividades de tratamiento
  • 2. Firmar los contratos con terceros
  • 3. Incluir los textos legales en la página web
  • 4. Solicitar el consentimiento a los clientes
  • 5. Firmar los contratos con los empleados
  • 6. Realizar un Análisis de riesgos
  • 7. Nombrar un DPD

1. Crear un registro de actividades de tratamiento

Esta es una de las imposiciones del Reglamento Europeo de Protección de Datos y es necesario que todos los establecimientos hoteleros lo tengan. 

Se debe especificar cuál es el motivo que justifica que el establecimiento hotelero realice el tratamiento de esos datos personales, como los ha obtenido, bien por contrato o bien por un consentimiento.

Para los casos en que el establecimiento hotelero quiera o necesite utilizar los datos de sus clientes para fines distintos a los que fueron recabados, necesitará recabar el consentimiento expreso.

También se requiere consentimiento por parte del cliente para los casos en que los datos personales sean comunicados a un tercero.

Dicho registro sería como el documento oficial en el que se explica qué se va a hacer con los datos y por qué. La información que debe aparecer en este documento es la siguiente:

  • – Qué datos se recopilan.
  • – Por qué es necesaria su recogida.
  • – Para qué se quieren.
  • – Qué política de almacenamiento se va a cumplir con estos datos.
  • – Si esta información se va a ceder o transferir fuera del país.
  • – Qué medios se utilizan para realizar el tratamiento.

Todo esto debe constar en el registro de actividades de tratamiento.

Pero además, es necesario que este documento esté actualizado debidamente y que, si se modifica cualquiera de las acciones, se exponga en este registro.

Principalmente, la función de este documento es la de constatar ante la Agencia Española de Protección de Datos (AEPD) que todo se lleva a cabo adecuadamente.

Lo puedes tener por escrito y también en formato electrónico.

2. Contratos con terceros

Los establecimientos hoteleros se relacionan constantemente con terceros.

Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurarte de que también cumplan la normativa de Protección de Datos.

Por ejemplo:

  • Agencias de viajes
  • Asesorías
  • Empresas informáticas
  • Empresas de transporte, etc.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web y consentimiento

Además de actualizar la política de privacidad en la página web, en tu establecimiento hotelero, debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos.

Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:

  • responsable del tratamiento,
  • propósito para el que vas a usar los datos,
  • si los cederás a terceros y
  • la manera en la que puede ejercer sus derechos.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza.

Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

4. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en el establecimiento hotelero y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En casi todos los establecimientos hoteleros, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores.

Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

5. Análisis de riesgos

Realizar un análisis de riesgos en los establecimientos hoteleros es imprescindible para poder establecer cuáles son las contingencias que podrían darse y que comprometerían la seguridad de los datos.

Para hacerlo, hay que tener en cuenta el tipo de tratamiento, la naturaleza de los datos y el número de personas que serían afectadas. 

Por otro lado, también hay que realizar una evaluación del impacto que tendría la filtración de los datos para minimizar riesgos mediante las medidas correspondientes.

Notificación de brechas de seguridad

Esta es una obligación que tienen todas las empresas. En caso de que ocurra cualquier filtración, deberás avisar a la AEPD y a los afectados en un plazo máximo de 72 horas.

6. Nombrar un Delegado de Protección de Datos

Es decir, contratar o nombrar a un profesional que se encargue de salvaguardar los procesos y políticas internas del tratamiento de datos. 

Normalmente, todos los establecimientos hoteleros están obligados a tener un Delegado de Protección de Datos, y cuando se nombra, hay que hacer públicos sus datos de contacto y comunicárselos a las autoridades de supervisión.

OTRAS CUESTIONES

¿Dónde almacenan la información los establecimientos hoteleros?

Podemos encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o archivadores.

El personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos.

Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas hoteleras formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

Sí, en caso de que los establecimientos hoteleros tengan trabajadores en prácticas, estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Qué debo hacer con los currículos que me dejan en recepción?

En el caso de que una persona nos entregue su currículo debemos:

Informarle de que lo vamos a guardar

Facilitarle el ejercicio de sus derechos, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Maneja un establecimiento hotelero datos sensibles?

Normalmente no, pero puede darse el caso en el que un cliente nos informe de una alergia o intolerancia a determinados alimentos que deberá anotarse de cara a las comidas facilitadas en el establecimiento hotelero. En este caso sí se manejan datos sensibles y, como tales, deben ser objeto de una especial protección.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente esta tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan al marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y habitación asignada.

Por supuesto, el personal del establecimiento hotelero con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos.

Los establecimientos hoteleros que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

Cámaras de videovigilancia que graban la vía pública

Si instalas cámaras de Videovigilancia en tu establecimiento hotelero, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución AEPD R/03462/2017

Ejercicio de los derechos

Debes facilitar a todos tus clientes el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación del tratamiento y portabilidad,  a través de un medio sencillo y gratuito.

En caso de que algún cliente ejerza alguno de estos derechos, debes responderle dentro del plazo establecido. Resolución AEPD R/02531/2017.

En muchos establecimientos hoteleros, si un cliente comenta que quiere que “eliminen todos sus datos” no sabría exactamente cómo ha de proceder.

Ello implicar un desconocimiento de la normativa de protección de datos por parte de los empleados y no tener un régimen de actuación que explique cómo proceder en estos casos.

Envío de publicidad sin consentimiento expreso del cliente

Muchos establecimientos hoteleros realizan publicidad sin obtener previamente el consentimiento del cliente para ello. Esto es un grave error, pues el consentimiento es una exigencia para realizar promociones a través de los diversos medios.

Cualquier email o teléfono, indistintamente incorporado a una base de datos, se puede utilizar como válido para el envío de publicidad, si el interesado ha prestado previamente su consentimiento.

En definitiva,  tienes que asegurarte de que tus protocolos se ajustan a la ley actual para proteger tu información. Y, si tienes alguna duda, no tengas reparos en contactar con expertos. 

Logo Gestiona Abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *