Una empresa hotelera es un eslabón más de una cadena de entidades que maneja un alto número de datos personales. Como tal, está sujeta a la Ley de Protección de Datos (LOPD) y a su Reglamento de desarrollo (1720/2007), que la obligan a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos personales que posean, ya sean de nivel básico o especialmente protegidos. Ello no sólo afecta a los datos de clientes, sino también a su personal, a los proveedores, colaboradores de la empresa y a los habituales sistemas de videovigilancia que suelen existir en estas instalaciones como medida de seguridad.

¿Qué pasos debe seguir un hotel en el tratamiento de los datos personales de sus huéspedes?

Pero, como el cliente es lo primero, empecemos con ellos. El registro de los mismos en su base de datos supone el comienzo del tratamiento de los datos personales. La empresa debe obtener el consentimiento del interesado para dicho tratamiento y ejercer el deber de información, como marca la LOPD en sus artículos 5 y 6. Una cláusula en el registro de entrada del cliente puede ser suficiente. Lo mismo será de aplicación para las reservas realizadas ‘online’ o por teléfono.

En cuanto a los cobros por las estancias, si se realizan mediante tarjetas de crédito, el hotel deberá obtener el consentimiento y ejercer el deber de informar de la existencia de un fichero y de la posibilidad de ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición) a través de una nota informativa colgada en un lugar visible. Respecto a la cesión de datos a la Policía, ésta se puede llevar a cabo sin el consentimiento del afectado. Por otra parte, si la empresa desea utilizar los datos del cliente para fines publicitarios, sólo podrá hacerlo con el consentimiento de éste. Además de todo esto, si el cliente ha contratado su estancia con agencias de viajes, tanto físicas como online, o tour operadores, el hotel deberá analizar en profundidad si se trata de una mera prestación de servicios amparada por la LOPD -acceso a datos por cuenta de terceros, regulado en el art. 12- o, por el contrario, se trata de información personal de clientes en la base de datos de la propia empresa. En tal caso, la compañía hotelera debe informar al huésped de sus derechos y obtener los consentimientos pertinentes del interesado.

Documento de Seguridad

Por otra parte, un hotel, como cualquier otra empresa, deberá contar con un Documento de Seguridad que defina el acceso de cada uno de los empleados a los datos personales. Aquí cobra especial relevancia el Responsable del Fichero o Tratamiento, que debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Además, los trabajadores, en especial los del servicio de limpieza, se han de comprometer a guardar secreto respecto de los datos personales a los que tengan acceso. Este compromiso será vigente incluso cuando se extinga su relación laboral con la empresa.

Sistemas de videovigilancia

Finalmente, la instalación de sistemas de videovigilancia deberá hacerse según lo previsto en la Instrucción 1/2006 dictada por la Agencia Española de Protección de Datos (AEPD). El Responsable del Fichero deberá colocar placas informativas en todos los accesos vigilados mediante cámaras; deberá tener notas informativas a disposición de todo aquel que pida información sobre la captación de imágenes; y si las cámaras graban, se deberá crear un fichero e inscribirlo en la AEPD.

Las sanciones a las que se enfrenta una empresa del sector oscilan entre los 900 € y los 600.000 €, en función de la gravedad de la infracción cometida. La cuantía se establecerá en función de los derechos personales que se hayan visto afectados, de los beneficios obtenidos, del grado de intencionalidad, de la reincidencia o de los daños y perjuicios causados a las personas interesadas y a terceras personas, entre otros factores.

Te invitamos a ver la presentación de Conversia sobre la LOPD y las actividades hoteleras aquí.