Para poder prestar su servicio, los Hoteles deben recabar diferentes tipos de datos de carácter personal de sus clientes. Por esto, los Hoteles deben tener en consideración la normativa específica en materia de protección de datos.

A partir del 25 de mayo de 2018 será de aplicación el nuevo Reglamento General de Protección de Datos (RGPD). Gracias es éste, los Hoteles podrán prever y aplicar las medidas y políticas necesarias para evitar un tratamiento inadecuado de los datos personales de sus huéspedes, trabajadores, etc. Por esto, resulta de extrema importancia realizar una correcta implementación en nuestro Hotel del RGPD en el tiempo que resta hasta su aplicación.

¿Qué tiene que hacer un Hotel para cumplir con la Ley?

En aras de simplificar y ayudar a todos los posibles responsables del tratamiento y encargados del tratamiento de datos personales en todos los ámbitos comerciales y de negocio, la Agencia Española de Protección de Datos (AEPD) y el grupo creado por la Comisión Europea para abordar este asunto (conocido como el Grupo de Trabajo del artículo 29), nos ayudan con sus guías e informes a desarrollar las políticas internas y a entender la correcta aplicación del RGPD.

A continuación, señalamos las principales actuaciones que nuestra empresa debe realizar antes de la aplicación del nuevo RGPD:

Los hoteles, en su día a día recopilan una gran cantidad de datos de carácter personal de los clientes que se alojan en sus instalaciones, es por ello que en ese tratamiento de datos de carácter  personal se encuentran sujetos a las obligaciones contenidas en la Ley Orgánica de Protección de datos y el Reglamento (UE) 2016/679  del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Consejos legales para los hoteles

Para que un Hotel esté bien adecuado a esta nueva normativa y realice un tratamiento correcto de los datos personales de los que es responsable, deberá realizar una serie de acciones concretas que explicamos a continuación.

Según lo dispuesto en el nuevo RGPD, los Hoteles deberán cumplir con el denominado principio de responsabilidad proactiva. Para esto, los Hoteles tendrán que realizar (i) un análisis del riesgo que valoren las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento, la naturaleza de los datos, o el número de interesados afectados; además, si el riesgo resultara ser especialmente alto deberán realizar una (ii) evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis deberán implementar unas (iii) medidas de seguridad que tendrán que ser adecuadas a los estudios realizado.

Por otra parte, nuestro Hotel deberá facilitar a los interesados mecanismos sencillos y accesibles para la gestión de sus derechos. Los derechos ARCO, tal y como los venimos conociendo hasta ahora, serán ampliados de tal forma que los usuarios, sobre sus datos personales, tendrán:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de oposición.
  • Derecho de supresión.
  • Derecho al olvido.
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de sus datos.

Por otra parte, será necesario que nuestro Hotel designe a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPO, de sus siglas en inglés Data Protection Officer).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPO y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

No obstante, si nuestro Hotel pertenece a un grupo empresarial, cabe la posibilidad de nombrar un solo DPO para todo el grupo.

También resulta de vital importancia tener en consideración que, en tanto en cuanto nuestro hotel pertenezca a un grupo hotelero, puede resultar que en ese grupo haya hoteles situados en países que no cuenten con un nivel adecuado de protección de datos. Para realizar transferencias internacionales de datos a estos hoteles será necesaria además la obtención del consentimiento explícito, siempre que dicha transferencia internacional no esté motivada plenamente por la ejecución de un contrato.

El requisito ‘explícito’ supondrá además para el responsable del fichero una serie de esfuerzos adicionales para asegurar la identidad del usuario que presta su consentimiento. Otra forma de dar solución a esta problemática será la petición de una autorización específica a la Agencia Española de Protección de datos o la creación de Binding Corporate Rules o Normas Corporativas Vinculantes, mediante las cuales no sería necesario obtener ningún tipo de autorización para la transferencia internacional de los Datos de sus clientes a sus filiales de todo el mundo.

Letslaw

En Letslaw, estamos al corriente de la regulación y ayudamos a nuestros clientes a tratar correctamente los datos de sus clientes en sus hoteles bajo lo dispuesto en la Ley.

Letslaw es un despacho de abogados especializado en derecho digital, comercio electrónico y derecho de la publicidad.