¡Pide presupuesto en 2 min! ✓
HosteleríaSectores

Protección de datos en establecimientos hoteleros

7 Mins read

Con la época vacacional en la que nos encontramos, aquellas empresas que se dedican dentro de la hostelería a dar alojamiento a turistas, veraneantes, visitantes o viajeros, en definitiva, huéspedes, verán que sus teléfonos no dejan de sonar. Y sus bandejas de entrada de email no paran de llenarse de mensajes solicitando las reservas de sus servicios.

Todos estamos al tanto de la entrada en vigor el pasado día 25 de mayo del Reglamento Europeo de Protección de Datos de las personas físicas. Ahora bien, ¿Cumple tu establecimiento con las directrices que marca dicho reglamento a la hora de la recogida y el tratamiento de los datos personales de las personas físicas que hacen reservas en tu hotel, ya sea de forma telefónica, vía email o a través de nuestra página web?

Quédate a leer las recomendaciones que desde GrupoAtico34 queremos hacerte para que la actividad se desarrolle con todas las garantías posibles.

Legislación protección de datos en hoteles

Actualmente existen en España dos normativas que debemos tener en cuenta a la hora de realizar la protección de datos. Estas normativas son:

¿Qué datos personales manejan los hoteles?

Como hoteles vamos a manejar una serie de datos bastante voluminosa y por ello debemos distinguir a que datos es necesario aplicar la normativa y a cuáles no. Siendo de aplicación solamente para los datos de personas físicas. Se recoge nombre y apellidos, teléfono, correo electrónico, fecha de nacimiento, tarjeta de crédito o débito a través del TPV, duración de la estancia, DNI o pasaporte…

Además suele ser frecuente que por motivos de seguridad hayamos decidido instalar cámaras de videovigilancia. Las imágenes captadas por estas cámaras también son consideradas como datos personales. La ley establece que se debe informar de la existencia de estas cámaras mediante carteles colocados en zonas visibles informando que se está grabando.

Momento en que se recaban esos datos: reserva y check-in

La forma más habitual de recogida de datos por los establecimientos hoteleros es a través de las reservas realizadas.

¿Quién realiza las reservas?

Las reservas en los hoteles pueden ser realizadas por varios sujetos:

  • Agencias de viajes. En estos casos el cliente no tiene la obligación de dar sus datos al hotel hasta que se persone en el mismo para disfrutar de su estancia. Los datos de las agencias de viajes no se encuentran bajo el paraguas de la normativa europea, ya que son personas jurídicas.
  • Organismo oficial o empresa, cuando se reserva una habitación que va a ser ocupada por una persona diferente a la que la reserva. En estos casos se recogen los datos de quien la solicita y de quien se va a hospedar.
  • Cliente directamente.

¿A través de qué medios se realizan las reservas?

Las reservas pueden realizarse a través de varios medios:

  • página web del hotel, completando los datos en los formularios incluidos para ello
  • teléfono, hablando directamente con la persona encargada para ello en el hotel
  • envío de correo electrónico y
  • formularios de reserva que se obtienen en la propia recepción del hotel.

Por norma general los hoteles recogen los datos en dos momentos: en la reserva y en la llegada del cliente a la recepción.

A la hora de realizar las reservas se recogen una serie de datos:

  • nombre y apellidos,
  • teléfono,
  • duración de la estancia,
  • correo electrónico y, en determinados casos,
  • tarjeta de crédito o débito.

En el momento en que el cliente acude al hotel para su estancia y realiza el check-in, se recogen otra serie de datos personales como lo son el DNI o pasaporte para completar los ya recabados en la reserva.

Estos datos se van a registrar en el libro de registro de pasajeros. Mientras dure la estancia del cliente, además el hotel puede recoger información de servicios como lo es el teléfono, visionado de películas de pago, restaurante…

Junto con los datos personales de los clientes, los hoteles también recogen los datos relativos a sus empleados y a las personas con las que tengan contratados servicios.

Modificaciones de la LOPD y el RGPD

El cambio más sustancial que se ha producido con la entrada en vigor del reglamento europeo es la desaparición de la obligación de inscripción de los ficheros en la AEPD. Ha sido sustituido por un registro de actividades de tratamiento, donde se crearan unos ficheros a nivel interno de aquellos colectivos que vayan a tratar sus datos.

Los ficheros más habituales en el caso de los hoteles son:

  • clientes,
  • proveedores,
  • contabilidad,
  • recursos humanos y
  • videovigilancia, en su caso.

Una vez que se tengan estos ficheros se debe realizar un análisis de riesgo para determinar qué medidas de seguridad serán las necesarias para garantizar la seguridad de los mismos. También se debe elaborar un documento de seguridad donde se recoja todo esto.

Será necesario realizar una actualización de los textos legales que tenemos colgados en nuestra página web y adaptarlos a la normativa europea.

Obligaciones que establece el nuevo Reglamento europeo

Principio de Responsabilidad proactiva

Con este principio se presupone que los hoteles van a adoptar una actitud diligente que se va a reflejar en la realización de un análisis para ver qué riesgo entrañan los tratamientos de datos personales que manejan. Y determinar qué medidas de seguridad serán las apropiadas.

Deben realizar un registro de actividades de tratamiento, donde se indicará

  • nombre y el contacto del responsable o del delegado de protección de datos,
  • finalidad del tratamiento,
  • descripción de las categorías de interesados así como de sus datos personales,
  • si se va a producir una cesión de datos o una transferencia internacional,
  • como se va a realizar el almacenamiento y
  • tipo de soporte, por cuanto tiempo…

Base legal del tratamiento

Se debe especificar cuál es el motivo que justifica que el hotel realiza el tratamiento de esos datos personales, como los ha obtenido, bien por contrato o bien por un consentimiento.

Para los casos en que el hotel quiera o necesite utilizar los datos de sus clientes para fines distintos a los que fueron recabados, necesitará recabar el consentimiento expreso.

También se requiere consentimiento por parte del cliente para los casos en que los datos personales sean comunicados a un tercero.

Transparencia e información a los interesados

El reglamento establece que la información debe ser concisa, transparente, inteligible y de fácil acceso. Además debe estar redactada en un lenguaje claro y sencillo.

La información que se debe dar a los interesados por parte de la empresa es la siguiente:

  • base jurídica por la que se realiza el tratamiento,
  • si van a realizarse transferencias internacionales,
  • si tenemos un Delegado de Protección de Datos debemos recoger e informar de sus datos y
  • elaborar perfiles de aquellos colectivos de los que vamos a recabar los datos.

Nuevos derechos

Se debe garantizar a los clientes el ejercicio de sus derechos de forma accesible y gratuita. La manera más sencilla es incorporando un correo electrónico a donde el interesado pueda dirigirse para ejercer estos derechos. En el caso de que se ejerzan por parte del cliente, la empresa tiene la obligación de contestar en el plazo de un mes, ya sea para aceptar o para denegar la petición del interesado.
Con el nuevo reglamento se introducen dos derechos que se suman a los famosos derechos ARCO, y son:

  • Derecho al olvido. Constituye la solicitud por parte del interesado para que se borren sus datos personales.
  • Derecho de portabilidad. El interesado tiene derecho a que sus datos sean trasladados directamente de un responsable de tratamiento a otro de forma telemática.

Relaciones Responsable-Encargado

La responsabilidad del tratamiento la tiene la persona que esté designada como responsable, pero esta nueva normativa recoge obligaciones para los encargados de tratamiento. Estas obligaciones son:

  • realización de un registro de actividades de tratamiento,
  • establecer las medidas de seguridad que se van a aplicar y
  • designar un Delegado de Protección de Datos cuando sea necesario.

Se contratará con encargados de tratamiento solamente en los casos en que estos ofrezcan las garantías necesarias de que cumplen con el RGPD. En el contrato que se realice con estos se debe recoger un contenido mínimo exigido por el nuevo reglamento.

Delegado de Protección de Datos

El RGPD determina que están obligadas a contar con un Delegado de Protección de Datos:

  • Organizaciones públicas
  • Empresas que realicen tratamiento masivo de datos o a gran escala
  • Entidades que traten datos de especial protección
  • Empresas que recojan características psicológicas y de comportamiento de las personas

Por tanto si tu hotel tiene un tratamiento masivo de datos se verá obligado a tener un Delegado de Protección de Datos.

Preguntas frecuentes que nos hacen nuestros clientes en este sector

¿Qué pasa con los Curriculum que me llegan al hotel?

Los datos que se recogen en los curriculum vitae son datos personales y por tanto requieren para su tratamiento un consentimiento.

Lo que se establece con la nueva normativa es que cuando un candidato nos entregue un currículum, ya sea en mano o a través del correo electrónico, debemos informarle de que sus datos van a ser almacenados. Y del ejercicio de sus derechos ARCO más el derecho de portabilidad y el derecho al olvido. En el caso de que no vayamos a conservar dicho currículum no haría falta obtener el consentimiento por el candidato.

¿Si un cliente comenta a su llegada al hotel que es alérgico a algún alimento, se considera que el hotel trata datos de salud?

La respuesta es afirmativa, ya que este dato se almacena junto a la ficha del cliente para que sea tomado en cuenta. Los datos de salud son considerados datos sensibles y por ello se les debe dar una protección especial.

Si tras leer este post te queda alguna duda sobre si tu establecimiento está cumplimiento con la nueva normativa ponte en contacto con nosotros en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.