Conoce Atico34 - Solicita presupuesto
HosteleríaSectores

Protección de datos en hoteles 2022: Normativa LOPDGDD – RGPD actualizada

¿Tienen los hoteles que cumplir la Ley de Protección de Datos? ¿Cómo deben adaptarse los establecimientos hoteleros a esta normativa? ¿Qué obligaciones deben contemplar? En los próximos puntos tratamos los aspectos más importantes de la Ley de Protección de Datos para hoteles.

¿Deben los hoteles cumplir la Ley de Protección de Datos?

Sí, los hoteles deben cumplir la Ley de Protección de Datos, puesto que para prestar sus servicios, deben recabar datos personales de sus clientes, así como de sus empleados e incluso algunos de sus proveedores.

Los hoteles y otros alojamientos recaban y tratan datos como nombre y apellidos, DNI, pasaporte, número de teléfono, dirección de email, fecha de nacimiento, número de tarjeta de crédito, imágenes de las cámaras de seguridad, etc. Todos ellos datos personales, que implican cumplir con la normativa de protección de datos.

Además, estos datos, cuando son de sus clientes, quedan registrados en el libro de registro de huéspedes. Y mientras que dura la estancia, el hotel también puede recoger información personal relativa a los servicios que usa el cliente, como el teléfono, el visionado de películas de pago, las consumiciones en bar o restaurante, etc.

Normativa de protección de datos para hoteles

Cuando hablamos de normativa de protección de datos en hoteles, nos referimos concretamente a:

¿Cómo cumplir la Ley de Protección de Datos en hoteles?

A continuación explicaremos cómo deben los hoteles adaptarse al RGPD y la LOPDGDD, repasando las principales obligaciones contempladas en esta normativa, que están obligados a cumplir.

Cumplir protección de datos en hoteles

Cumplir la normativa de protección de datos en hoteles

– Información y consentimiento de los clientes

Cumplir con la protección de datos en hoteles implica, como en cualquier otro negocio o establecimiento que trate con datos personales, informar a los interesados (las personas físicas titulares de los datos, por ejemplo, clientes y empleados) sobre todo lo relativo al tratamiento de sus datos personales, es decir, se debe suministrar a los interesados la siguiente información antes de tratar sus datos:

  • Identidad y datos de contacto del responsable del tratamiento y, en su caso, del encargado del tratamiento y del Delegado de Protección de Datos
  • La finalidad del tratamiento (para qué van a ser usados los datos, por ejemplo, en el hotel, para el registro de huéspedes)
  • La base legitimadora del tratamiento (de las recogidas en el artículo 6 del RGPD)
  • Los datos que se van a tratar
  • El plazo de conservación de los datos
  • La vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)

Esta información debe suministrarse a través del medio que se estime más adecuado, en el caso del hotel, por ejemplo, como un documento a la hora de hacer el check-in, y debe ser clara y comprensible.

En cuanto al consentimiento para el tratamiento de datos personales, el RGPD establece que este debe ser siempre un consentimiento expreso, es decir, que el interesado debe darlo de forma activa (puede ser una firma, el marcado de una casilla, etc.). Para el tratamiento de datos personales en el hotel, este deberá recabar el consentimiento expreso cuando la base legitimadora no se corresponda con ninguna de las recogidas en el art. 6, letras b, c, d, e y f.

En caso de que el consentimiento expreso no sea necesario para el tratamiento, el hotel seguirá estando obligado a informar a los clientes y empleados del tratamiento de sus datos personales.

– Cesión de datos a terceros

Los hoteles, en el desarrollo de su actividad, pueden tener que ceder datos personales de clientes y empleados a terceros, esto implica que el hotel, como responsable del tratamiento, deberá firmar con esos terceros un contrato de encargado de tratamiento, en el que se establezcan las obligaciones a cumplir, el tipo de datos y la finalidad del tratamiento de los mismos que realizará el encargado del tratamiento por cuenta del responsable, además de asegurar la existencia de medidas de seguridad adecuadas para garantizar la privacidad y seguridad de los datos y que el encargado cumple con la normativa de protección de datos.

Además, el hotel deberá informar a los interesados de la cesión de sus datos y de la identidad del encargado del tratamiento. Siendo posible que esas cesiones deban ser autorizadas mediante el consentimiento expreso de los interesados.

Aparte de estas cesiones, los hoteles también están obligados por ley a ceder determinada información de los huéspedes a las Fuerzas y Cuerpos de Seguridad del Estado. Para esta cesión no es necesario el consentimiento expreso de los clientes, puesto que se trata de una obligación legal (una de las bases legitimadoras comprendidas en el art. 6 del RGPD).

– Elaborar el registro de actividades de tratamiento

La elaboración del registro de actividades de tratamiento es obligatorio para empresas con más de 250 empleados o que traten datos personales a gran escala o de manera sistemática. Estas condiciones se corresponden con las cadenas hoteleras, pero llevar este registro también es recomendable para establecimientos hoteleros más pequeños, puesto que permite tener un mejor control sobre los datos personales y el tratamiento que se hace de ellos.

El registro de actividades de tratamiento debe llevarse por escrito, recoger cada tratamiento de datos que se realice y mantenerse actualizado. Además, aunque no es necesario inscribirlo, sí debe facilitársela a la AEPD (Agencia Española de Protección de Datos) si esta lo solicita.

Debe incluir la siguiente información:

  • Identidad del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
  • Finalidad del tratamiento
  • Base legitimadora del tratamiento
  • Descripción de las categorías de interesados y de datos
  • Descripción de categorías de destinatarios de los datos (existentes y previstas)
  • Transferencias internacionales de datos y sus garantías, si se producen
  • Plazo previsto de conservación de los datos
  • Descripción de las medidas de seguridad implementadas

– Análisis de riesgos y EIPD

Para cumplir con el principio de accountability, es necesario que el responsable del tratamiento realice los perceptivos análisis de riesgos con carácter previo a cualquier tratamiento de datos personales, para poder determinar los posibles riesgos para los derechos y libertades de los interesados derivados de dichos tratamientos.

Si del análisis de riesgos se determina un riesgo alto y un impacto negativo para esos derechos y libertades, será necesario hacer la correspondiente EIPD (evaluación de impacto de protección de datos) sobre el tratamiento de datos que se quiere realizar.

La EIPD también es obligatoria cuando se tratan datos a gran escala o datos de categorías especiales (art. 9 del RGPD).

Tanto el análisis de riesgos como la EIPD, servirán al hotel para tomar y aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad y privacidad de los datos personales que traten.

tarifas proteccion datos

– Acuerdos de confidencialidad

Aquellos empleados que vayan a tener acceso a los datos personales de clientes y otros empleados, deberán firmar una cláusula o acuerdo de confidencialidad, en el que se recoja su compromiso para cumplir con el protocolo de protección de datos del hotel, es decir, que cumplirán las normas establecidas para acceder y tratar los datos personales y que seguirán las instrucciones de seguridad adoptadas por el hotel, además de no usar ese acceso a los datos personales para su propio beneficio.

Aparte de las cláusulas de confidencialidad de los empleados, se recomienda que los hoteles firmen acuerdos de confidencialidad con aquellas empresas que, aunque no vayan a tratar datos personales, puedan llegar a tener acceso a estos en el desempeño de sus servicios, como es el caso, por ejemplo, si se tiene contratada a una empresa de limpieza externa.

– Nombrar un DPO

En principio, solo las empresas que tratan de manera sistemática y habitual datos personales o tratan a gran escala datos de categorías especiales o cuya actividad esté comprendida entra las recogidas en el artículo 34 de la LOPDGDD, están obligadas a nombrar un DPO.

En el caso de los hoteles, las grandes cadenas hoteleras pueden tener que cumplir con esta obligación y designar un DPO, que puede ser un empleado interno con conocimientos y experiencia en protección de datos, o contratar los servicios de un DPO externo, por ejemplo, a través de una consultoría especializada en protección de datos.

Para hoteles más pequeños, habría que estudiar su caso particular y determinar si necesita o no contar con DPO.

– Si el hotel tiene página web

Si el hotel tiene página web, tanto para promocionarse como para poder realizar reservas a través de ella, la página deberá contar con los correspondientes textos legales, a través de los cuales se informa a los usuarios de la titularidad de la página, sobre el tratamiento de sus datos, las condiciones de uso y los términos y condiciones de contratación.

Estos textos legales deben estar publicados en una página o subpágina independiente y ser accesibles desde cualquier sección de la web, estar redactados en un lenguaje claro y comprensible y, en el caso de algunos de ellos, tener un enlace a los mismos en los formularios de contacto o contratación.

Los textos legales que debe incluir la página web de un hotel son:

  • El aviso legal, en el que figuran los datos identificativos del propietario de la web:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • N.º de inscripción del Registro Mercantil
    • Condiciones de uso de la web
  • La política de privacidad, mediante la que se suministra a los usuarios toda la información relativa al tratamiento de sus datos personales:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Cómo se gestionan los datos personales
    • Plazo de conservación de los datos
    • Cesiones a terceros
    • Uso de cookies
    • Vía para ejercer los derechos ARSULIPO
  • La política de cookies, a través de la cual se informa a los usuarios del empleo de cookies de la web (tipo de cookies, finalidad, duración, titulares de las cookies, etc.). A través del aviso o banner de cookies se podrá recabar el consentimiento de los usuarios para el uso de las mismas.

– Notificar brechas de seguridad

En el caso de que se produzca un incidente de seguridad que pueda poner en riesgo los datos personales custodiados y tratados por el hotel y ese riesgo pueda tener un impacto negativo en los derechos y libertades de los interesados, el hotel deberá notificar la brecha de seguridad tanto a la AEPD como a los propios interesados, cuyos datos se hayan podido ver afectados.

Para realizar esta notificación, el hotel dispone de un plazo máximo de 72 horas desde que tuvo conocimiento del incidente.

– Auditorías periódicas

Para garantizar el cumplimiento de la normativa de protección de datos en hoteles y saber que las medidas de seguridad implementadas son efectivas, es recomendable realizar auditorías periódicas de protección de datos. Además, los informes de estas auditorías no solo servirán al hotel para mejorar sus medidas de seguridad o subsanar cualquier posible irregularidad o incumplimiento, sino también servirán como prueba ante la AEPD de que se cumple con la normativa.

Así mismo, es recomendable que dichas auditorías las realice un servicio externo para mantener una mayor objetividad.

Sanciones por vulnerar la protección de datos en hoteles

Vulnerar la protección de datos en hoteles es motivo de sanción; la cuantía de la misma se determina en función de la gravedad de la infracción cometida, el número de interesados afectados, la duración en el tiempo y si se obtuvo algún beneficio económico con ello.

En concreto, la LOPDGDD establece los siguientes rangos de infracciones y sanciones:

  • Sanción de hasta 40.000 euros para infracciones leves (art. 74)
  • Sanción de 40.001 hasta 300.000 euros para infracciones graves (art. 73)
  • Sanción de 300.001 hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves (art. 72)

tarifas proteccion datos

Preguntas Frecuentes

¿Qué ocurre con las reservas hechas a través de Booking y plataformas similares?

Si la reserva se hace a través de Booking o plataformas similares, ellas serán las responsables del tratamiento de esos datos personales, teniendo que cumplir con sus obligaciones correspondientes en materia de protección de datos.

¿Las tarjetas magnéticas de los hoteles almacenan datos personales?

Las tarjetas magnéticas que se usan en los hoteles para acceder a las habitaciones no deberían almacenar datos personales de los clientes, puesto que la información que contienen al activarse es la correspondiente al número de habitación y los días de uso habilitados. Solo el personal del hotel puede saber a qué huésped corresponde cada habitación.

¿Si un cliente comenta a su llegada al hotel que es alérgico a algún alimento, se considera que el hotel trata datos de salud?

La respuesta es afirmativa, ya que este dato se almacena junto a la ficha del cliente para que sea tomado en cuenta. Los datos de salud son considerados datos sensibles y por ello se les debe dar una protección especial.

¿Qué pasa con los Curriculums que me llegan al hotel?

Los datos que se recogen en los curriculum vitae son datos personales y, por tanto, requieren para su tratamiento un consentimiento.

Lo que se establece la normativa es que cuando un candidato nos entregue un currículum, ya sea en mano o a través del correo electrónico, debemos informarle de que sus datos van a ser almacenados. Y del ejercicio de sus derechos ARSULIPO. En el caso de que no vayamos a conservar dicho currículum no haría falta obtener el consentimiento por el candidato.

¿Necesitas cumplir con la LOPDGDD y el RGPD en tu hotel? Contacta con un especialista

Tanto si tu hotel es un pequeño establecimiento rural como si ocupa todo un edificio en una gran ciudad, debe cumplir con la LOPDGDD y el RGPD tal y como hemos visto a lo largo de los puntos anteriores. Esta labor puede no solo consumirá tiempo, también exige tener conocimientos suficientes en protección de datos y la normativa para poder cumplirla de manera adecuada y suficiente, de otra forma, tu hotel podría incurrir en infracciones y ser multado.

Por ello, es recomendable contratar los servicios de una consultoría especializada en protección de datos, como Grupo Atico34; más de 12 años de experiencia y un equipo de abogados expertos en la materia garantizan que tu hotel cumplirá al cien por cien con la ley y tú podrás despreocuparte y dedicarte a atender a tus huéspedes.