Cómo adaptar un establecimiento hotelero a la normativa de protección de datos

Autor: Dudatis.com

Cómo adaptar un establecimiento hotelero a la normativa de protección de datos

Los establecimientos hoteleros, pensiones y campings tratan información personal de sus huéspedes, por lo tanto, están obligados a cumplir con las obligaciones que establecen el RGPD y la LOPDGDD. En esta guía te mostramos cómo cumplir con la normativa.

Cómo adaptar mi establecimiento hotelero a la normativa

Debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea. Cada vez que un huésped te deja sus datos para una reserva, contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros. Para un adecuado tratamiento de estos datos, todas las empresas están obligadas a cumplir con la normativa de protección de datos.

Registro de actividades de tratamiento

Una de las exigencias más importantes es llevar un registro de las actividades de tratamiento. En este sentido, hay que preguntarse:

  • ¿Cuáles son los datos que recopilamos?
  • ¿Por qué los necesitamos?
  • ¿Para qué los queremos?
  • ¿Cuál es la política de almacenamiento de esos datos?
  • ¿Cedemos esos datos o los transferimos fuera de nuestro país?
  • ¿A través de qué medios realizamos el tratamiento?

Para ello es necesario realizar un registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico. Descarga aquí todos los modelos gratis para tu hotel.

Contratos con terceros

El sector hotelero se relaciona constantemente con terceros, como las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan. Recuerda firmar el contrato de encargo de tratamiento con los terceros.

Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

El aviso legal es el documento donde se identifica al propietario de la página web. En él debe incluirse el nombre del propietario, CIF / NIF, dirección, email y número de inscripción en el Registro Mercantil. Debe ponerse un enlace visible a este texto desde cualquier página de la web. También hay que revisar la política de privacidad y hacer una versión más extensa, que incluya más información acerca del procesamiento de los datos. Además, si en tu web incluyes cookies, debes insertar la política de cookies, recogida en la LSSI.

Consentimiento de clientes

Debes obtener el consentimiento expreso de todos tus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar la política de privacidad.
  • Si el cliente facilita sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre el responsable del tratamiento, el propósito para el que vas a usar los datos, si los cederás a terceros y la manera en la que puede ejercer sus derechos ARCO.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza. Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar.

Contratos con empleados

Otra de las obligaciones es la de firmar un acuerdo de confidencialidad con los empleados para evitar que la información a la que tienen acceso sea revelada a personas no autorizadas. Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En un hotel, hay varios departamentos que tienen acceso a un correo electrónico y que se comunican internamente, y también que tienen comunicaciones con clientes y proveedores. Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por su éxito para los ciberdelincuentes.

Análisis de riesgos

Es necesario realizar un análisis de riesgos en el que se valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento, la naturaleza de los datos o el número de interesados afectados. Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados, y tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

Notificar brechas de seguridad

Otra de las obligaciones que establece el nuevo Reglamento es notificar las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD. En el caso de que se dé una situación de ciberataque, lo ideal es estar prevenidos con un plan de respuesta ante incidentes de seguridad. Además, tienes un plazo de 72 horas para notificarlo a la AEPD y darle información de lo que ha ocurrido. Por tanto, es necesario que sometas a prueba el plan para garantizar que cumpla con el plazo.

Debes saber que existirán atenuantes a esas infracciones si puedes demostrar a la AEPD y a los clientes que estás haciendo todo lo posible para cumplir la normativa.

Nombrar un DPD

En principio, la LOPDGDD no incluye a los establecimientos hoteleros entre las entidades obligadas a contar con un Delegado de Protección de Datos o DPO. En principio, nombrar un DPO será voluntario. Esta figura solo es obligatoria en caso de que se traten datos personales sensibles o que se haga un tratamiento masivo de datos personales. Si estás obligado a contratarlo, debes hacer públicos sus datos de contacto y comunicarlos a las autoridades de supervisión competentes. No obstante, si el hotel pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

Sanciones por incumplimiento

El incumplimiento de la normativa podría dar lugar a severas sanciones. Las multas que impone la Agencia Española de Protección de Datos dependen de la gravedad de la infracción, el perjuicio ocasionado, el beneficio obtenido, la extensión de la infracción en el tiempo y otros factores. Así, podemos distinguir entre infracciones leves, graves o muy graves.

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € y 20.000.000 €, o el 4% de la facturación del último ejercicio.

Recuerda que es importante cumplir con la normativa para evitar estas sanciones y proteger la información personal de tus huéspedes y empleados.

Modelos

Si necesitas ayuda para adaptar tu establecimiento hotelero a la normativa, te ofrecemos varios modelos que te pueden ser útiles:

  • Contrato con terceros
  • Página web
  • Aviso legal
  • Política de cookies
  • Política de privacidad
  • Compromiso de confidencialidad para empleados
  • Consentimientos
  • Consentimiento de clientes
  • Consentimiento CV
  • Videovigilancia
  • Carteles de Videovigilancia
  • Información a trabajadores de instalación de Videovigilancia
  • Comunicaciones
  • Correos electrónicos
  • Facturas

Si necesitas ayuda para adaptar tu establecimiento hotelero a la normativa de protección de datos, ¡recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

He leído y acepto el aviso legal y la política de privacidad.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.