RGPD: ¿cómo ha afectado al sector hotelero?

Los hoteles son negocios que recaban abundante información de sus clientes. Si tu empresa se dedica al hospedaje, presta atención a este post en el que te damos todas las claves para que cumplas con el RGPD.

• Si tienes un hotel, pensión o camping es necesario que conozcas cómo te afecta el RGPD a la hora de tratar con los datos de tus clientes, su consentimiento o los textos legales que debes incluir en tu página web.
• Pero ¿qué son los derechos ARCO? ¿qué especificaciones relativas al consentimiento de tus clientes debes conocer? ¿Cómo se realizan las tareas de registro adecuadamente? A estas y otras cuestiones te respondemos en este artículo.

Como empresario, debes conocer cómo afecta el RGPD a tu actividad, especialmente si tu empresa se encuadra en el sector hotelero, un mercado que recaba gran cantidad de datos personales. Por ello, en este post te mostramos los protocolos que has de activar, así como las respuestas a dudas relativas al mercado hotelero que pueden surgirte, para que te adaptes al RGPD.

Cómo adaptar tu hotel al RGPD

Estas son las principales actuaciones que debes poner en marcha para cumplir con la normativa europea. ¡Toma nota!

1. Registro de actividades de tratamiento

Para realizar el registro de actividades de tratamiento, ha de realizarse un registro de todas las categorías de actividades de tratamiento o conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica. Cada actividad de tratamiento debe incluir las operaciones relacionadas con el ciclo de vida de un dato personal, desde la recogida hasta su destrucción y debe ser incluida en el registro de actividades en el momento previo a su puesta en marcha. La identificación y descripción de las actividades del tratamiento, no solo es una obligación, sino una necesidad en las fases iniciales para facilitar el análisis de riesgos. El registro de actividades no será obligatorio para empresas con menos de 250 trabajadores salvo que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, incluya categorías especiales de datos personales o incluya datos relativos a condenas e infracciones penales. Pero ¡que no cunda el pánico! Los procesos que incorpora el RGPD pueden automatizarse utilizando softwares ERP avanzados, ayudándote a ahorrar tiempo y costes, así como evitar errores que deriven en multas por incumplimiento.

2. Contratos con terceros

Debes contar con una lista de terceros (agencias de viajes, empresas de transportes, asesorías…) con los que operes y asegurarte de que ellos también cumplen con la normativa. ¿Cómo? Firmando con ellos un contrato de encargo de tratamiento que garantice la protección de los datos personales a los que acceden. El contenido mínimo del contrato o acuerdo con el encargado de tratamiento ha de establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

3. ¿Qué información debes incluir en tu página web?

Una de las obligaciones del responsable que establece el RGPD recae directamente sobre el deber de informar a los interesados sobre las circunstancias relativas al tratamiento de los datos en el momento en que se soliciten los datos, previamente a la recogida o registro:

1. El contacto del Delegado de Protección de Datos (DPD).
2. La base jurídica para el tratamiento.
3. El plazo de conservación de datos
4. Decisiones automatizadas o elaboración de perfiles
5. La previsión de transferencias a terceros países.
6. El derecho a presentar reclamaciones ante las autoridades de control.
7. Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento.
8. Destinatarios o categorías de destinatarios en caso de cesión de datos.
9. Realización de transferencias internacionales de datos a terceros países y en el caso de realizarse si existen decisiones de adecuación, garantías, normas corporativas vinculantes.

4. Consentimiento expreso de tus clientes

Para poder tratar los datos de tus clientes, puedes obtener su consentimiento expreso de dos formas:

• A través de tu página web

Cuando un cliente realice reserva a través de tu web, esta debe contener una casilla desmarcada por defecto que le permita aceptar tu política de privacidad.

• Presencialmente

Si tu cliente te facilita sus datos presencialmente, debe firmar un documento en el que le informes sobre el responsable del tratamiento, el propósito en el uso de los datos, si los cederás a terceros y cómo puede el usuario ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO). Novedades ARCO El RGPD incluye novedades referentes al derecho al olvido, portabilidad y derechos ARCO. Si algún cliente decide ejercerlos, debes responderle dentro del plazo de un mes a partir de la recepción de la solicitud y explicando los motivos en caso de que no fuera atendida., aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. En este último supuesto deberás notificar, al cliente, esta ampliación dentro del primer mes.

El número de tarjeta, importe de compra o fecha de transacción son datos recogidos por TPV que también se consideran personales, por lo que debes tratarlos como tal y guardar los tickets de venta de la forma más segura.

5. Contratos con los empleados

Los empleados tienen acceso a mucha de la información que maneja tu empresa. Por ello, es recomendable que firmen un acuerdo de confidencialidad para evitar que trascienda información de la empresa fuera de la misma.

6. Análisis de riesgos

Es fundamental que analices las posibles incidencias ocasionadas en el tratamiento de datos de tus clientes. Mediante este análisis, podrás diseñar medidas de seguridad adecuadas y planes de respuesta rápida, por ejemplo, cuando se detecte una brecha de seguridad provocada por un ciberataque.

Dudas frecuentes respecto al tratamiento de datos en el sector hotelero

En las siguientes líneas te respondemos a cuestiones que pueden surgirte cuando diseñes planes de adaptación al RGPD en tu hotel.

Cámaras de seguridad, ¿debo informar de su presencia?

En tu hotel, los lugares destinados al descanso de los trabajadores como vestuarios, aseos o comedores deben estar libres de cámaras. Si decides instalarlas fuera de estos espacios, debes informar de su presencia mediante cartelería.

¿En qué casos no necesito el consentimiento del cliente?

Existen situaciones en las que puedes tratar datos de tus clientes sin su consentimiento. Son los siguientes:

• Para ejecutar el contrato de alojamiento. Sin la identificación del cliente, no es posible alojarle.
• Para ofrecerle otros servicios del hotel.
• Para cumplir con ciertas obligaciones legales, como la de comunicar la identificación del huésped a la policía.

Responsabilidad de mi hotel en las reservas realizadas mediante plataformas online externas

En este caso, es responsabilidad de la plataforma cumplir con el RGPD en su web. Tú únicamente eres responsable de los datos que tu cliente te facilite en la recepción.

¿Cómo recopilo la opinión de un servicio prestado?

Como empresario, tienes derecho a recabar la opinión de tus clientes. No obstante, has de solicitar aceptación expresa de este propósito en tus formularios.

La importancia del DPD en tu hotel, ¿qué ocurre si un cliente reclama una incidencia?

Si un cliente reclama alguna incidencia en el tratamiento de datos de tu empresa conviene que cuentes con un DPD que asuma funciones preventivas, supervisoras y que establezca protocolos de protección para tu empresa. Esta figura, además, funciona como punto de unión entre el responsable (tu hotel), el afectado y la autoridad de control (AEPD), ahorrándote importantes quebraderos de cabeza. Los hoteles que no dispongan de un sistema de gestión automático de datos lo tienen más difícil a la hora de adaptarse al RGPD. Por ello, debes saber que tienes a tu alcance tecnología adecuada para tratar los datos de tus clientes.