Hasta la fecha el sector hotelero había convivido con la LOPD (Ley Orgánica de Protección de Datos) aprobada en 1995 a raíz de la Directiva de Protección de Datos de la UE. Pero ahora un nuevo horizonte de cambios y obligaciones se abre para este y otros muchos sectores que manejan información personal de sus clientes.
Y es que el nuevo reglamento general de protección de datos o GDPR tiene implicaciones directas en la gestión y uso de datos de personas de la Unión Europea. Y como es lógico, casi la totalidad de las marcas hoteleras se va a ver afectada.
{{cta(‘bb2971b9-bf36-4c36-8edc-75223dba5208’)}}
Ya nuestra publicación anterior, abordamos en qué consiste esta nueva regulación de la Unión Europea, cuál es su objetivo y cómo afecta al sector hotelero, uno de los más susceptibles a este cambio, debido a la considerable cantidad de datos personales que maneja. En esta ocasión queremos hablar más en concreto sobre sus principios y obligaciones.
Entonces, ¿cuáles son los principios del GDPR?
De acuerdo con el Artículo 5. del GDPR, donde se resumen los principios más importantes de esta regulación, los datos personales serán:
- Procesados de forma legal, justa y con transparencia en relación con el interesado..
- Recopilados con un propósito limitado; es decir, estos datos deben recopilarse con fines específicos, explícitos y legítimos, y no deben procesarse de manera incompatible con este propósito.
- Adecuados, relevantes y limitados a los que son necesarios en relación con los fines para los que se recopilan. Esto quiere decir que se aplica la minimización de datos, con el fin de que las organizaciones sólo tengan aquellos imprescindibles para dicho fin.
- Almacenados y gestionados de forma precisa y, en caso necesario, se deberán tomar las medidas razonables para mantenerse actualizados o borrarse si fuera necesario.
- Almacenados de forma limitada. Es decir, los datos personales se almacenarán por un tiempo no superior al necesario para los fines para los que se procesaron en primer lugar.
- Procesados con total confidencialidad e integridad. Los datos personales deben procesarse de manera que se garantice su seguridad adecuadamente, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando las medidas técnicas u organizativas apropiadas.
En base a estos principios, las empresas hoteleras deberían tener en cuenta una serie de acciones en cuanto al procesamiento. Si bien son prácticas que se venían haciendo con la LOPD, ahora será necesario más que nunca:
- Documentar e identificar la base legal sobre el procesamiento de estos datos para demostrar el cumplimiento del GDPR.
- Proporcionar la información completa sobre la base legal en referencia al procesamiento de datos que hará tu hotel, desde el momento de su recopilación. Esta información, fácilmente accesible, deberá ser concisa, transparente y con un lenguaje claro y sencillo para su total comprensión.
- Especificar y documentar en qué se fundamenta la recogida legítima de estos datos.
- No seguir obteniendo consentimiento por omisión, puesto que el consentimiento de la persona debe ser explícito, inequívoco y libre.
Y, ¿cuáles son las principales obligaciones?
El GDPR tiene en cuenta una serie de derechos de aquellas personas de la UE (llamadas “sujetos de datos”) que van más allá de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición) con los que la LOPD pretendía garantizar a las personas el control sobre sus datos personales. Este cambio, hace que las empresas tengan una serie de obligaciones en cuanto a la responsabilidad de gestión de la información personal de sus contactos, los sujetos de datos.
- Las personas de la UE tendrán derecho de acceso a su información personal, esto significa, entre otras cosas, que tendrán derecho a obtener una copia de los datos personales que el hotel haya recopilado sobre ellas. También se podrá atender a este derecho facilitando un acceso remoto y seguro a un sistema con los datos personales. De acuerdo al GDPR en la mayoría de los casos, no se podrá cobrar por procesar una solicitud de acceso, a menos que se pueda demostrar que el coste sería excesivo.
- La limitación de uso de la información personal que supone que, a petición del sujeto, no se aplicarán sus datos personales para las operaciones de tratamiento que corresponderían.
- Además, los sujetos de datos podrán solicitar su derecho a la eliminación de sus datos (derecho al olvido), que las empresas deberán respetar y en el caso de haber hecho público alguno de estos datos personales, se deberán adoptar las medidas oportunas para borrarlos también.
- El GDPR detalla unas medidas organizativas necesarias que se deberán cumplir, como por ejemplo, el nombramiento de un Oficial de Protección de Datos, quien deberá adoptar medidas como la elección de encargados para demostrar la conformidad y el cumplimiento del GDPR; el análisis de riesgo que conlleva el procesamiento de los datos y establecimiento de políticas de protección de datos, entre otras.
- También será necesario tomar medidas tecnológicas de seguridad para proteger los datos personales. En el caso de los hoteles, tanto las aplicaciones de hardware y software como los archivos impresos deberán revisarse. Y si no se hubiera hecho ya, sería necesario implementar una serie de códigos de cifrado, contraseñas o limitaciones de acceso para proteger el acceso y la integridad de los datos.
- Esta nueva regulación describe además la forma en que las empresas deberían actuar en caso de exposición e incumplimiento de datos, permitiendo a las autoridades de protección de datos imponer multas severas en dicho caso.
Toda una serie de tareas que se deben tener en cuenta con este nuevo panorama, tanto a nivel legal como a nivel estratégico para la comercialización del hotel. Nuestra recomendación es ir paso a paso, para lo que te recomendamos completar esta serie de preguntas. Y como es lógico no olvides la implicación que tendrá el GDPR en el marketing de tu marca hotelera.
