Cumplimiento del RGPD en el sector turístico
En la industria del turismo, donde la recopilación y el procesamiento de datos personales son esenciales para la prestación de servicios, es aún más importante tomar medidas para garantizar que el tratamiento de dichos datos de los clientes se realiza conforme a lo establecido en el Reglamento General de Protección de Datos (RGPD).
Es una realidad que en la cadena de suministro de servicios turísticos tiene lugar un continuo flujo de datos personales: puesto que la información facilitada por los interesados en los datos de reserva (sus datos personales y, en algunos casos, hasta datos personales de categoría especial) fluye entre diferentes actores durante la gestión de la reserva. Sin embargo, este flujo aumenta el riesgo a un incorrecto tratamiento de dichos datos personales o a una exposición incorrecta de dicha información.
Por tanto, el problema jurídico principalmente proviene de cómo viajan los datos personales en los diferentes sistemas de información, puesto que desde que el interesado introduce sus datos de reserva en un portal concreto, hasta que la dicha reserva queda perfeccionada, dichos datos pueden viajar por múltiples intermediarios en el tratamiento de dichos datos, donde cada intermediario mantiene un acuerdo separado entre el cliente y el proveedor, el cual deberá definir correctamente cada posición jurídica en relación con el tratamiento de los datos personales. Entre los principales problemas que pueden derivarse de esta casuística, encontramos la falta de control directo entre una plataforma, el responsable de los datos (la empresa que inicialmente recoge los datos del interesado) y el proveedor del servicio (si, por ejemplo, un hotel no realiza prácticas adecuadas de protección de datos).
A esta posible falta de control directo se puede sumar (i) la complejidad de llevar un correcto control de supervisión sobre cómo llevan a cabo el procesamiento de los datos los diferentes actores involucrados; (ii) que dichos datos personales se alojen en plataformas fácilmente expuestas a ciberataques; (iii) y a que, si se trata de un turismo internacional (y, más concretamente, fuera de la Unión Europea), se llevan a cabo transferencias internacionales de datos sin cumplir con las obligaciones que establece el RGPD.
Otro de los desafíos a los que se enfrenta este sector es, teniendo en cuenta la oferta de servicios personalizados, equilibrar dicha personalización de servicios con el cumplimiento del RGPD.
Infracción de privacidad
Actualmente, las mayores infracciones de privacidad en el sector turístico incluyen filtraciones de datos personales debido a ciberataques o falta de medidas de seguridad adecuadas, la recolección excesiva de información, el uso de datos sin el consentimiento explícito de los clientes, y la retención prolongada de información más allá de los límites legales establecidos.
Además, se destacan la falta de control sobre el acceso del personal de las empresas turísticas a datos sensibles de los interesados, el mal uso de los datos con fines publicitarios sin autorización, y el incumplimiento de las normas sobre transferencias internacionales de datos y notificación de violaciones.
Casos de incumplimiento
Entre los casos más sonados en este sector, debemos destacar el incumplimiento a la normativa de protección de datos que incurren muchos negocios de este sector al realizar fotocopias de los documentos de identidad de sus huéspedes.
En concreto, el control exhaustivo que ha llevado a cabo la Agencia Española de Protección de Datos (AEPD) este verano, aprovechando el marco de la temporada alta del turismo, a los negocios turísticos que fotocopian o escanean el DNI de sus huéspedes. La AEPD ha recordado en numerosas ocasiones que esta práctica, aunque esté muy extendida entre los negocios dedicados a los alojamientos turísticos, es ilegal, puesto que es una práctica que vulnera la protección de datos.
Es importante recordar que únicamente deben recopilar información de los interesados que sea adecuada, pertinente y limitada a la necesidad para que haya sido recabada para, en definitiva, no incurrir en un tratamiento excesivo de datos. Por tanto, será lícito recabar información concreta sobre los usuarios y tratar dichos datos personales, pero realizar fotocopias del DNI sería un tratamiento excesivo, puesto que hay información contenida en el DNI que no es necesaria para la finalidad con la que se tratan dichos datos.
En este mismo sentido, la AEPD impuso una multa de 30.000 euros a un hotel por infringir el artículo 6 del RGPD. La sanción surgió tras una reclamación de la autoridad de protección de datos de Países Bajos, ya que el hotel escaneó el pasaporte de un cliente, incluyendo su fotografía, y utilizó esa información para verificar su identidad al realizar cargos en su cuenta, sin su consentimiento. Aunque el hotel recopilaba estos datos para cumplir con la normativa de registro de viajeros, el uso posterior de la información para otros fines fue considerado ilícito.
Sanciones del RGPD
Las multas por incumplir el RGPD pueden ser extremadamente altas, alcanzando hasta 20 millones de euros o el 4% del volumen de negocio anual. Aunque en la mayoría de los casos las sanciones son menores, como los 2.000 euros impuestos a un negocio turístico por fotocopiar el DNI, la AEPD advierte que las sanciones pueden ser severas y aumentar en función de la gravedad de la infracción.