Debido a las circunstancias originadas por la pandemia por covid-19 los establecimientos hoteleros han tenido que adaptarse y aplicar las medidas sociosanitarias impuestas por las autoridades para hacer de los hoteles un espacio seguro. En muchos establecimientos se realizan pruebas PCR o antígenos a los clientes, y otros exigen a estos que acrediten que son negativos en COVID19 como requisito para poder alojarse en sus instalaciones.

Los datos personales que resultan de la realización de estas pruebas están dentro de la categoría de datos especiales y, por tanto, exigen una mayor protección en relación con su confidencialidad. Por este motivo, ahora más que nunca, los hoteles deben esforzarse por cumplir la normativa de protección de datos.

A continuación, explicaremos los 10 aspectos más relevantes que debe tener en cuenta un establecimiento hotelero para el cumplimiento de la protección de datos, en concreto, el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).

1. ¿Qué datos de clientes tratan los hoteles y a través de qué medios son recabados?

La entrada de datos personales de clientes suele producirse al realizar la reserva telefónica, presencial o a través de la página web, y durante el check-in. Los datos que se recaban, con carácter general, son el nombre y apellidos, documento de identificación, domicilio, duración de la estancia, correo electrónico, teléfono y la tarjeta de crédito. Datos que el hotel deberá conservar en el libro de registro de viajeros.

Los datos pueden ser facilitados por el propio cliente, como en el caso expuesto, a través de la agencia de viajes con la que el cliente realice su reserva o incluso por medio de una empresa, por ejemplo, cuando se trate de un viaje de trabajo.

2. ¿Se debe firmar un compromiso de confidencialidad con los empleados del hotel?

Una gran parte de la plantilla del hotel va a acceder a la información de carácter personal recogida como parte del desarrollo de sus funciones, por lo que sí deberán firmar un acuerdo de confidencialidad que puede estar incluido dentro de la política de protección de datos que confeccione el establecimiento. Esta política debe recoger, además del mencionado compromiso de confidencialidad, las normas internas tanto organizativa como técnicas, que deberán cumplir empleados en relación con la gestión de recursos empresariales, así como la prohibición de realizar acciones que podrían comprometer la seguridad de los datos y la responsabilidad del establecimiento.

Es muy importante que los empleados conozcan estas medidas y se comprometan a cumplirlas. No bastará con darles una copia de las políticas, ya que probablemente algunos no la lean o no la entiendan, sino que deberá realizarse formación para garantizar la comprensión de su contenido.

3. ¿Deben firmarse contratos con los encargados de tratamiento?

Sí. El hotel deberá firmar un contrato de protección de datos con las empresas que tengan la consideración de encargado de tratamiento, que son aquellas que prestan servicios al establecimiento y que para ello requieren acceso a datos personales, como pueden ser las gestorías, empresas de mantenimiento informático o de videovigilancia.

Además, es muy recomendable que firmen acuerdos de confidencialidad con aquellas empresas que, si bien no requieren acceder a datos para el desarrollo de sus funciones, podrían accidentalmente conocer información de carácter personal. Es el caso de las empresas de limpieza y de mantenimiento de las instalaciones.

En línea con el principio de responsabilidad proactiva, es importante que, junto con la firma del contrato, los encargados de tratamiento acrediten que cumplen con las garantías suficientes respecto de la protección de datos de carácter personal.

4. ¿Qué requisitos debe cumplir la página web de un hotel?

No hay un correcto cumplimiento de la protección de datos si la página web no está adecuada y recoge los textos legales exigibles de forma accesible desde cualquier punto de la web. Por lo general, las webs de los hoteles tienen un apartado de reservas que constituye un punto de entrada y recogida de datos personales. Por ello, deben contar fundamentalmente con una política de privacidad que identifique al responsable y describa la finalidad del tratamiento, las posibles cesiones de datos y las vías para el ejercicio de derechos de los clientes; así como también debe contar con una política de cookies, si esta tecnología se utiliza en la página web, en la que se indiquen cuáles se usan, su finalidad y duración.

5. ¿Es necesario el consentimiento para el tratamiento de datos de clientes del hotel?

Dependerá de la actividad de tratamiento que vayamos a realizar. Tal y como establece el RGPD en su artículo 6, existen distintas bases de legitimación para el tratamiento de datos personales. Para aquellas actividades que no estén sujetas al cumplimiento de relación contractual, por ejemplo, la gestión de la reserva, o por el cumplimiento de una obligación legal por parte del responsable como es el caso de la cesión de datos personales a las fuerzas de seguridad con fines de investigación y detección de infracciones penales, el hotel sí deberá recabar de forma expresa, inequívoca e informada el consentimiento del cliente. No cabe en ningún modo el consentimiento tácito.

El hecho de que no sea necesario el consentimiento del cliente para el tratamiento de sus datos en determinadas actividades no exime al hotel de su obligación de informar al interesado del tratamiento de sus datos, concretamente de la finalidad, posibles cesiones o transferencias, legitimación o período de conservación, ejercicio de derechos, entre otros aspectos. Por este motivo recomendamos que en el momento del check-in o de formalización de la reserva se ofrezca esta información, ya sea de manera automatizada o mediante un cartel informativo.

Cuando el consentimiento sea recabado a través de la página web, deberá incluirse una casilla para que acepte la política de privacidad en la que se informa sobre el tratamiento de sus datos.

No debe olvidarse que los hoteles están obligados a ceder determinada información sobre todos huéspedes alojados de forma periódica a las fuerzas y cuerpos de seguridad, para lo que tampoco necesitan recabar el consentimiento del cliente, al tratarse de una obligación legal.

6. ¿Están los hoteles obligados a designar un delegado de protección de datos (DPD)?

En cuanto a la figura del DPD, habrá que atender a las condiciones establecidas en el artículo 37 del RGPD y 34 de la LOPDGDD. Dependiendo de la naturaleza, alcance o fines del tratamiento, o si se manejan de manera sistemática y habitual datos a gran escala, el hotel tendrá o no la obligación de designar un DPD Hay que tener en cuenta que no trata el mismo volumen de datos un pequeño hotel rural que una gran cadena hotelera, lo que puede marcar la obligatoriedad a la hora de designar al DPD. Habrá que estudiar cada caso de manera individualizada y documentar el análisis realizado al respecto.

En el caso de que por las características del tratamiento el hotel tenga la obligación de nombrar un DPD, deberá comunicarlo a la Agencia Española de Protección de Datos en los 10 días siguientes a su designación.

Si no resulta obligatoria su designación, el hotel puede nombrar voluntariamente a un DPD, lo que supondrá un plus de diligencia que se valorará poitivamente por la Autoridad de Control en caso de incidente.

Si el hotel pertenece a un grupo empresarial, es posible designar a un único DPD para todo el grupo, así lo establece el artículo 37.2 RGPD.

7. ¿Y si la reserva de alojamiento se ha hecho mediante un buscador de hoteles, como por ejemplo Booking?

En este caso es Booking o la empresa en cuestión la Responsable del tratamiento de los datos personales, debiendo cumplir con la normativa en su web. Será Booking, al momento de la recogida de datos, quien deba solicitar el consentimiento, si procede, para ceder los datos al hotel con el fin de garantizar la reserva.

8. ¿Las tarjetas de acceso a la habitación tienen datos personales?

Normalmente no. Las tarjetas de acceso no contienen datos de carácter personal, simplemente recogen el número de habitación y los días de uso. Solo el personal del hotel puede conocer a qué cliente corresponde cada habitación.

Asociar la tarjeta con datos personales podría considerarse excesivo de acuerdo con lo dispuesto en el RGPD, puesto que la finalidad perseguida con este tratamiento puede obtenerse de una forma menos invasiva, o sea, asociando la tarjeta con un código o número de habitación.

9. ¿Puede un hotel facilitar a terceros información de clientes, como por ejemplo en qué habitación se alojan?

No, salvo que el hotel cuente con el consentimiento expreso del cliente. Los empleados, en cumplimiento de su deber de confidencialidad, no pueden facilitar información relativa a los huéspedes que se alojan en el establecimiento a otras personas.

10. ¿Es suficiente “no incumplir” el RGPD?

Un hotel no solo debe implantar medidas técnicas y organizativas que demuestren un interés del establecimiento en la protección de los datos personales, sino que además deberá ser capaz de acreditar cada una de las medidas implantadas. En especial debe ser capaz de demostrar que ha implantado etas medidas con enfoque de riesgo, identificando previamente las posibles amenazas. Las acciones de respuesta son importantes, pero las indispensables son las de prevención. Tal y como ha referido la directora de la Agencia Española de Protección de Datos “no incumplir ya no será suficiente”.

Lilliam Valenzuela