La LOPD en el sector hoteleroEstudio de concienciacin y conocimiento en los profesionales del sector

Toni Martn-Avila (IT360.es), Ferrn Rebollo (SGPD), Mario Arauzo (ITsencial)

Toni Martn vilaConsultor y Auditor en Seguridad de la informacin y Calidad TIC.CISA. ISO 27001, ISO 20000 Lead Auditor.Director en IT360.es, formador en doITsmart.es. linkedin.com/tonimartinavila twitter @tonimartinavila

Ferrn RebolloConsultor y auditor en LOPD.Director en SGPD. ferranrebollo.wordpress.comtwitter @rebollosgpd

Mario ArauzoConsultor y auditor en Gestin de servicios TI y Seguridad de la informacin, ISO 27001-ISO 20000 Lead Auditor. ITIL v3 CertifiedDirector en ITsencial.com, formador en doITsmart.eshttp://es.linkedin.com/in/marioarauzo

| 3 || 2 |

Autores

| 3 || 2 |

1. Por qu este estudio? 4

2. Ficha tcnica 8

3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10

4. Resultado del estudio 14

5. Recomendaciones y Buenas prcticas 36

ndice

Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL. Publicado en septiembre de 2011.Diseo y maquetacin: David MolinaGrficas: Toni Martn AvilaPortada: www.boston.com (licencia Creative Commons)

La proteccin de datos de carcter personal es un derecho fundamental reconocido en la Constitucin Espaola que

atribuye al titular del derecho la facultad de

tratar y almacenar sus datos y a disponer y

decidir sobre los mismos. La Ley Orgnica de

Proteccin de Datos (LOPD) y su Reglamento

de Desarrollo (RDLOPD) concretan y

desarrollan este derecho. A nivel europeo, la

Directiva Europea 95/46 CE del Parlamento

Europeo y del Consejo reconoce la proteccin

de las personas fsicas en lo que respecta

al tratamiento de datos personales. La

normativa sobre proteccin de datos responde

a la necesidad de proteger todos los datos de

carcter personal, para que no sean utilizados

de forma inadecuada, ni tratados o cedidos

a terceros sin consentimiento inequvoco del

titular. En este contexto, se entiende por dato

de carcter personal cualquier informacin

concerniente a personas fsicas identificadas o

identificables1 (art. 3 LOPD).

La regulacin ofrece a los ciudadanos las

garantas y mecanismos necesarios para

proteger sus datos personales y controlar el

uso que se realiza de los mismos. De cara

a garantizar la proteccin del derecho, se

establecen obligaciones para toda persona

fsica o jurdica que posea ficheros con datos

personales.

Por qu este estudio?

| 5 || 4 |

Las empresas, en su calidad de agentes que

manejan y tratan datos de carcter personal,

estn obligadas a garantizar el derecho

fundamental a la proteccin de los datos

personales de que disponen. La normativa

no contempla excepciones por tamao,

facturacin o sector de actividad, cualquier

empresa, por tanto, est incluida en el mbito

de aplicacin de la legislacin, siempre que

trate o almacen datos de carcter personal

por su propia gestin o por encargo de servicio

de otra empresa.

De este modo, es necesario que las

organizaciones, independientemente de

sus dimensiones establezcan una serie

de medidas jurdicas y organizativas que

garanticen el correcto tratamiento de

los datos que son recogidos de clientes,

proveedores, colaboradores, empleados, o

cualquier otro dato de carcter personal que

manejen. El nivel de exigencia en cuanto al

cumplimiento de la LOPD es el mismo para

todas las empresas, sin que se establezcan

criterios distintos dependiendo de si es una

gran empresa o una microempresa. ...

| 5 || 4 |

La aplicacin de la legislacin en el sector

hotelero es a menudo complicada de

gestionar, principalmente por ser ste

un negocio enfocado directamente en las

personas y donde el cliente duerme en casa

del propietario del servicio. La implantacin

de la Ley en los establecimientos hoteleros

es de sobra muy extendida, segn datos de la

AEPD de la memoria de 2010 existen 81.554

ficheros registrados en los sectores de

Turismo y Hostelera, un 30.07% mas sobre

el 2009.

| 7 || 6 |

La realidad es que aunque en su mayora

muchos hoteles han declarado los ficheros

ante la Agencia Espaola de Proteccin

de Datos (www.agpd.es), la percepcin y

conocimiento de los profesionales de la

misma es otra historia. Seis aos despus del

PLAN DE INSPECCIN DE OFICIO A CADENAS

HOTELERAS que realiz la Agencia, hemos

querido comprobar de la mano directamente

de los profesionales cual es su opinin y

conocimiento de la misma, cuales son los

problemas y riesgos que conocen y si de

alguna manera les ha reportado beneficios.

Este estudio no pretende ser una evaluacin

del estado de cumplimiento de la Ley en

el sector, nicamente est enfocado en

la concienciacin y conocimiento de los

profesionales, como paso relevante al

cumplimiento de una obligacin legal.

| 7 || 6 |

Este estudio se realiz entre Junio 2010 y septiembre de 2011 mediante un cuestionario on-line annimo

gestionado por bases de datos con control IP y

cookies para impedir duplicidad de registros.

La promocin del estudio se realiz a travs

de email-marketing (800 direcciones de correo

electrnico), y distribuido por medios sociales

y los sitios web de los autores. La investigacin

on-line se reforz con 124 encuestas

telefnicas que adems sirvi para enfatizar

algunas de las respuestas de los profesionales

encuestados y por entrevistas personales a

profesionales realizadas en diferentes trabajos

de consultora y auditora realizadas en los

propios establecimientos hoteleros.

Error tpico: 6,4 %

Nivel de confianza: 95% p=q=50%

Ficha tcnica del Estudio

| 8 | | 9 |

| 8 | | 9 |

Mi cliente duerme en mi casa. Esta frase puede decirla, sin ningn pudor, cualquier empresario del sector. Y es

que el sector hotelero es uno de los ejemplos

ms claros del marketing relacional y directo,

lo que le hace proclive a ser muy sensible

con el tratamiento y almacenamiento de

datos personales, especialmente de sus

huspedes, donde el trasiego de personas

es constante viniendo de hecho de multitud

de pases (mercados emisores). Los hoteles

disponen adems de otros servicios donde

el tratamiento de datos personales se suma

a los habituales de la administracin de una

habitacin y servicios. Estos son la gestin

de eventos, los programas de fidelizacin

e incluso servicios ms personales en las

instalaciones del hotel y realizados en

ocasiones por terceros (spa, tratamientos

de alimentacin, gestin del minibar, etc.).

El marketing sobre los futuros y actuales

clientes es adems intenso, a travs de

email marketing, en las reservas on-line e

incluso en la promocin y RRPP sobre medios

sociales, donde el hotelero y en general

el Turismo han sido unos de los primeros

sectores en entrar de lleno en el

marketing 2.0.

Los riesgos de incumplimiento de la LOPD en el sector hotelero

| 11 || 10 |

La gestin y administracin de los propios

hoteles (propiedad o arrendamiento, gestin

externa o franquicia) puede traer consigo

adems ciertos riesgos pues en algunas

ocasiones se pueden realizar transmisin de

datos entre sociedades mercantiles sin haber

realizado las debidas medidas que marca la

Ley (bsicamente el deber de informacin hacia

el husped y la contratacin entre encargado

de tratamiento y el responsable del fichero), lo

que podra ser calificado como una cesin no

consentida, y por tanto sancionable por la AEPD

. Ello es importante tambin a nivel del ciclo

de contratacin, desde touroperadores y AAVV

y las posibles salidas de informacin como a

receptivos u otros servicios profesionales de

terceros. Todos estos tratamientos se suman

a los informticos, ya que en la totalidad de

los establecimientos existen sistemas de

informacin que mediante bases de datos

y aplicaciones informticas incorporan

la automatizacin de la informacin. La

gestin de los datos personales se realiza

en ocasiones sobre capas superiores, por

ejemplo en cadenas hoteleras se realizan

habitualmente tratamientos de Datawarehosue

y DataMining para segmentar adecuadamente

las peculiaridades del cliente para realizar

acciones de marketing ms directas,

incorporando estos datos desde el kardex a

potentes CRMs. ...| 11 || 10 |

A todo este tratamiento de datos personales

de los huspedes, hay que aadir que el sector

dispone de movimiento de personal contratado

relevante, con contratos fijos discontinuos,

con altas y bajas constante de empleados. El

ciclo de vida de informacin de contratacin

de empleados trae consigo algunos riesgos,

como son la no debida seguridad por ejemplo

en los currculums vitae en papel, as como

los recibidos a travs del email corporativo de

la empresa, en ambos casos se debe recabar

la aceptacin por parte del demandante de

empleo, en cuanto a poder ceder sus da