Los hoteles, en su día a día recopilan una gran cantidad de datos de carácter personal de los clientes que se alojan en sus habitaciones, ello conlleva que en ese tratamiento de datos de carácter personal se encuentran sujetos a las obligaciones contenidas en el Reglamento (UE) 2016/679 de protección de datos conocido como él (RGPD) y su transposición a la normativa española en la Ley Orgánica 3/2018 de protección de Datos Personales y garantía de los derechos digitales conocida como la (LOPD).
La normativa obliga a que se lleve un adecuado tratamiento de los datos y a cumplir con las siguientes obligaciones:
Se deben de identificar que datos se tratan: Analizar qué datos se recaban, con que finalidad, cuanto tiempo se conservan los datos en nuestros sistemas, como custodiamos estos datos y si los datos son cedidos a terceros.
En el caso de los hoteles se debe tener en cuenta el Real Decreto 933/2021, de 26 de octubre, y entrada en vigor el 02 de diciembre del 2024 por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje. Este real decreto regula las obligaciones de registro documental e información prevista en la normativa de protección de la seguridad ciudadana para las actividades de hospedaje.
1. Las personas titulares de las actividades de hospedaje incluidos en el ámbito de aplicación de esta norma recogerán los datos de las personas usuarias de las mismas con el objeto de proceder a su registro y a la comunicación necesarias para el cumplimiento de las obligaciones legales.
2. Los partes de entrada para el uso de los servicios de hospedaje deberán ser firmados por toda persona mayor de catorce años que haga uso de los mismos, conforme al sistema y modelo que se establezca. En el caso de las personas menores de catorce años, sus datos serán proporcionados por la persona mayor de edad de la que vayan acompañados.
3. Los partes y hojas serán proporcionados por el establecimiento de hospedaje, los cuales serán responsables de la exactitud de los datos que se hagan constar en ellos, de modo que coincidan con los documentos o sistemas que acrediten la identidad de las personas, que habrán de ser exhibidos o facilitados por los usuarios de estos servicios.
Cuáles son las obligaciones de comunicación a las autoridades competentes:
Los hoteles deberán transmitir a las autoridades competentes (ses.hospedajes) los datos de los viajeros. Esta comunicación se realizará de manera inmediata, y en todo caso en un plazo no superior a 24 horas, respectivamente, a partir de los siguientes momentos:
a) Al realizar la reserva o la formalización del contrato o, en su caso, su anulación.
b) Al inicio de los servicios contratados.
Las comunicaciones se realizarán por procedimientos telemáticos.
Se deben de identificar que datos se tratan: Analizar qué datos se recaban, con que finalidad, cuanto tiempo se conservan los datos en nuestros sistemas, como custodiamos estos datos y si los datos son cedidos a terceros.
En el caso de los hoteles se debe tener en cuenta el Real Decreto 933/2021, de 26 de octubre, y entrada en vigor el 02 de diciembre del 2024 por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje. Este real decreto regula las obligaciones de registro documental e información prevista en la normativa de protección de la seguridad ciudadana para las actividades de hospedaje.
Datos de los viajeros: Nombre, primer apellido, Segundo apellido, Sexo, Numero de documento de identidad, Número de soporte del documento, Tipo de documento (DNI, pasaporte, TIE), Nacionalidad, Fecha de nacimiento, Lugar de residencia habitual, dirección completa, localidad, País, Teléfono fijo, Teléfono móvil, correo electrónico, Número de viajeros:, Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).
Firma: Firma del huésped
Datos de la transacción: Datos del contrato, Número de referencia, Fecha, Firmas.
Datos de la ejecución del contrato: Fecha y hora de entrada, Fecha y hora de salida.
Datos del inmueble: Dirección completa, Número de habitaciones, Conexión a Internet (si/no)
Datos del pago: Tipo (efectivo, tarjeta de crédito, plataforma de pago, transferencia...), Identificación del medio de pago: tipo de tarjeta y número, IBAN cuenta bancaria, solución de pago por móvil, otros, Titular del medio de pago, Fecha de caducidad de la tarjeta, Fecha del pago.
Las posibles sanciones por el incumplimiento de está normativa son:
Se considerarán infracciones graves:
a) No estar registrado como proveedor de alojamiento
b) No comunicar los datos de los clientes de los alojamientos a las autoridades.
Las sanciones oscilan entre 601 € y 30.000 €
Se considerarán infracciones leves:
a) Las irregularidades o deficiencias en la cumplimentación de los registros previstos en este real decreto.
b) La realización de las comunicaciones obligatorias fuera del plazo establecido.
Cuyas sanciones oscilan entre 100 y 600 euros.
En el artículo de nuestro blog dispones de más información sobre el registro de viajeros.
También se debe de analizar los riesgos y establecer las medidas de seguridad: Un análisis de riesgos en protección de datos es un proceso esencial para identificar, evaluar y mitigar los riesgos asociados al tratamiento de datos personales. Este análisis debe determinar qué medidas de seguridad son necesarias para proteger los datos personales ante la disponibilidad, la integridad y la confidencialidad de dichos datos. El análisis de riesgos ayuda a identificar y prevenir posibles daños a los derechos y libertades de las personas físicas, como la discriminación, la pérdida de control sobre sus datos o el robo de identidad.
Puede decirse que la elaboración del “Registro de actividades” RAT constituye la base del proceso de adecuación de toda organización al RGPD, siendo imprescindible que su contenido refleje fielmente en todo momento la realidad de los tratamientos de datos que realiza. Este registro te ofrece una visión general de tus actividades de tratamiento. Para crear dicho registro, debes identificar cuáles de tus actividades requieren el tratamiento de datos personales (por ejemplo, clientes o huéspedes, gestión laboral, proveedores, etc. Este registro debe estar a disposición de la autoridad de protección de datos del país en este caso en España es la Agencia española de protección de datos.
El derecho a la información es el derecho que tienen los interesados a ser informados por el responsable acerca de los fines y demás circunstancias del tratamiento de sus datos. De acuerdo a la normativa de protección de datos, el interesado tiene, además, un derecho a la transparencia de toda información recibida sobre el tratamiento de sus datos, de manera que dicha información le sea facilitada en forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, evitando el uso de textos que por su complejidad o extensión impidan o dificulten una comprensión de la información.
Las medidas de seguridad que debes aplicar para proteger los datos personales deben ser proporcionales al riesgo asociado al tratamiento de los datos personales y para ello se debe de realizar un análisis de riesgos como hemos explicado anteriormente.
Los derechos también llamados ARSULIPO son los (derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición) antiguamente también llamados derechos ARCO. Estos derechos pueden ser ejercidos por cualquier persona física cuyos datos personales sean objeto de tratamiento. Cualquier usuario o titular de datos personales puede solicitar el ejercicio de estos derechos ante la empresa o entidad que trate sus datos. Se debe de informar a los huéspedes de estos derechos.
Una brecha de seguridad es un incidente de seguridad que ocurre cuando se produce una violación o acceso no autorizado a los datos personales que una empresa o entidad tiene bajo su custodia.
Una brecha de seguridad se produce cuando:
•Se pierde, destruye, altera o se accede de manera no autorizada a datos personales.
•Estos datos personales son divulgados, copiados, transmitidos, consultados o utilizados de manera no autorizada.
•Esto ocurre de manera accidental o deliberada.
Algunos ejemplos de brechas de seguridad pueden ser:
•El robo o pérdida de un dispositivo que contenga datos personales.
•Un ciberataque que permita el acceso no autorizado a los sistemas de la empresa.
•Un error humano que provoque la divulgación inadecuada de información confidencial.
• El mal funcionamiento de los sistemas de seguridad que deje expuestos los datos.
Las brechas de seguridad se deben de notificar a la Agencia española de protección de datos (AEPD), a menos que sea improbable que constituya un riesgo para los derechos y libertades de los interesados; y adicionalmente, comunicar la violación o brecha a las personas afectadas por la misma, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. La notificación de la brecha de seguridad a la autoridad de control debe realizarse, a más tardar, en el plazo de 72 horas a contar desde que se tenga constancia de la misma. Cuando sea probable que la brecha de seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
El encargado de tratamiento es la persona o entidad que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste. Un ejemplo de encargado de tratamiento:
Un hotel que contrata los servicios de una asesoría fiscal, laboral y contable para que se encargue del tratamiento de los datos de sus huéspedes y empleados. La asesoría:
•Gestiona los contratos, nóminas y Seguridad Social de los empleados.
•Lleva la contabilidad del hotel, elabora los estados financieros y asesora en la toma de decisiones.
•Recopila, organiza y almacena los datos personales de los empleados y clientes, cumpliendo con la normativa de protección de datos.
•Implementa medidas de seguridad para garantizar la confidencialidad y el correcto tratamiento de los datos.
De esta manera, la asesoría fiscal, laboral y contable se encarga de las principales obligaciones y necesidades de la empresa, tratando los datos de nuestros huéspedes o clientes y trabajadores. Este tratamiento de datos se debe formalizar con un contrato de “encargo de tratamiento
Con todas estas medidas se debe de adaptar e impulsar el principio de responsabilidad “Proactiva” que indica el reglamento europeo de protección de datos.
En la industria hotelera, la protección de datos es esencial. Los hoteles manejan una gran cantidad de información confidencial de sus huéspedes, desde datos personales hasta detalles de tarjetas de crédito. En este entorno, cumplir con las regulaciones de privacidad es fundamental para garantizar la confianza de los clientes y evitar sanciones legales.
El cumplimiento normativo en la gestión de datos hoteleros es una prioridad. Los hoteles deben asegurarse de que sus sistemas y procesos estén diseñados para proteger la privacidad de los huéspedes. Esto implica el manejo seguro de datos sensibles, la formación del personal y la implementación de políticas de privacidad sólidas.
La privacidad de los huéspedes es una responsabilidad fundamental para los hoteles. Esto incluye la recopilación adecuada de datos, su almacenamiento seguro y su eliminación adecuada cuando ya no sean necesarios. Los hoteles deben garantizar que los huéspedes estén informados sobre cómo se utilizan sus datos y que tengan opciones claras para dar su consentimiento.
Una gestión eficiente de datos no solo es un requisito legal, sino que también puede ser una ventaja competitiva para los hoteles. Los hoteles que demuestran un compromiso sólido con la protección de datos pueden ganarse la confianza de los clientes y mejorar su reputación. Además, un manejo adecuado de datos puede ayudar a prevenir incidentes de seguridad y sus consecuencias negativas.
Datusmas ofrece servicios especializados para ayudar a los hoteles en la protección de datos. Nuestros expertos pueden asesorarte en la implementación de políticas de privacidad, la capacitación del personal y la auditoría de tus sistemas de datos. Confía en nosotros para mantener la privacidad de tus huéspedes y cumplir con las regulaciones.