Download - 1 Estudio Hosteltur Lopd Sector Hoteles

Transcript
  • La LOPD en el sector hoteleroEstudio de concienciacin y conocimiento en los profesionales del sector

    Toni Martn-Avila (IT360.es), Ferrn Rebollo (SGPD), Mario Arauzo (ITsencial)

  • Toni Martn vilaConsultor y Auditor en Seguridad de la informacin y Calidad TIC.CISA. ISO 27001, ISO 20000 Lead Auditor.Director en IT360.es, formador en doITsmart.es. linkedin.com/tonimartinavila twitter @tonimartinavila

    Ferrn RebolloConsultor y auditor en LOPD.Director en SGPD. ferranrebollo.wordpress.comtwitter @rebollosgpd

    Mario ArauzoConsultor y auditor en Gestin de servicios TI y Seguridad de la informacin, ISO 27001-ISO 20000 Lead Auditor. ITIL v3 CertifiedDirector en ITsencial.com, formador en doITsmart.eshttp://es.linkedin.com/in/marioarauzo

    | 3 || 2 |

    Autores

  • | 3 || 2 |

    1. Por qu este estudio? 4

    2. Ficha tcnica 8

    3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10

    4. Resultado del estudio 14

    5. Recomendaciones y Buenas prcticas 36

    ndice

    Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL. Publicado en septiembre de 2011.Diseo y maquetacin: David MolinaGrficas: Toni Martn AvilaPortada: www.boston.com (licencia Creative Commons)

  • La proteccin de datos de carcter personal es un derecho fundamental reconocido en la Constitucin Espaola que

    atribuye al titular del derecho la facultad de

    tratar y almacenar sus datos y a disponer y

    decidir sobre los mismos. La Ley Orgnica de

    Proteccin de Datos (LOPD) y su Reglamento

    de Desarrollo (RDLOPD) concretan y

    desarrollan este derecho. A nivel europeo, la

    Directiva Europea 95/46 CE del Parlamento

    Europeo y del Consejo reconoce la proteccin

    de las personas fsicas en lo que respecta

    al tratamiento de datos personales. La

    normativa sobre proteccin de datos responde

    a la necesidad de proteger todos los datos de

    carcter personal, para que no sean utilizados

    de forma inadecuada, ni tratados o cedidos

    a terceros sin consentimiento inequvoco del

    titular. En este contexto, se entiende por dato

    de carcter personal cualquier informacin

    concerniente a personas fsicas identificadas o

    identificables1 (art. 3 LOPD).

    La regulacin ofrece a los ciudadanos las

    garantas y mecanismos necesarios para

    proteger sus datos personales y controlar el

    uso que se realiza de los mismos. De cara

    a garantizar la proteccin del derecho, se

    establecen obligaciones para toda persona

    fsica o jurdica que posea ficheros con datos

    personales.

    Por qu este estudio?

    | 5 || 4 |

  • Las empresas, en su calidad de agentes que

    manejan y tratan datos de carcter personal,

    estn obligadas a garantizar el derecho

    fundamental a la proteccin de los datos

    personales de que disponen. La normativa

    no contempla excepciones por tamao,

    facturacin o sector de actividad, cualquier

    empresa, por tanto, est incluida en el mbito

    de aplicacin de la legislacin, siempre que

    trate o almacen datos de carcter personal

    por su propia gestin o por encargo de servicio

    de otra empresa.

    De este modo, es necesario que las

    organizaciones, independientemente de

    sus dimensiones establezcan una serie

    de medidas jurdicas y organizativas que

    garanticen el correcto tratamiento de

    los datos que son recogidos de clientes,

    proveedores, colaboradores, empleados, o

    cualquier otro dato de carcter personal que

    manejen. El nivel de exigencia en cuanto al

    cumplimiento de la LOPD es el mismo para

    todas las empresas, sin que se establezcan

    criterios distintos dependiendo de si es una

    gran empresa o una microempresa. ...

    | 5 || 4 |

  • La aplicacin de la legislacin en el sector

    hotelero es a menudo complicada de

    gestionar, principalmente por ser ste

    un negocio enfocado directamente en las

    personas y donde el cliente duerme en casa

    del propietario del servicio. La implantacin

    de la Ley en los establecimientos hoteleros

    es de sobra muy extendida, segn datos de la

    AEPD de la memoria de 2010 existen 81.554

    ficheros registrados en los sectores de

    Turismo y Hostelera, un 30.07% mas sobre

    el 2009.

    | 7 || 6 |

  • La realidad es que aunque en su mayora

    muchos hoteles han declarado los ficheros

    ante la Agencia Espaola de Proteccin

    de Datos (www.agpd.es), la percepcin y

    conocimiento de los profesionales de la

    misma es otra historia. Seis aos despus del

    PLAN DE INSPECCIN DE OFICIO A CADENAS

    HOTELERAS que realiz la Agencia, hemos

    querido comprobar de la mano directamente

    de los profesionales cual es su opinin y

    conocimiento de la misma, cuales son los

    problemas y riesgos que conocen y si de

    alguna manera les ha reportado beneficios.

    Este estudio no pretende ser una evaluacin

    del estado de cumplimiento de la Ley en

    el sector, nicamente est enfocado en

    la concienciacin y conocimiento de los

    profesionales, como paso relevante al

    cumplimiento de una obligacin legal.

    | 7 || 6 |

  • Este estudio se realiz entre Junio 2010 y septiembre de 2011 mediante un cuestionario on-line annimo

    gestionado por bases de datos con control IP y

    cookies para impedir duplicidad de registros.

    La promocin del estudio se realiz a travs

    de email-marketing (800 direcciones de correo

    electrnico), y distribuido por medios sociales

    y los sitios web de los autores. La investigacin

    on-line se reforz con 124 encuestas

    telefnicas que adems sirvi para enfatizar

    algunas de las respuestas de los profesionales

    encuestados y por entrevistas personales a

    profesionales realizadas en diferentes trabajos

    de consultora y auditora realizadas en los

    propios establecimientos hoteleros.

    Error tpico: 6,4 %

    Nivel de confianza: 95% p=q=50%

    Ficha tcnica del Estudio

    | 8 | | 9 |

  • | 8 | | 9 |

  • Mi cliente duerme en mi casa. Esta frase puede decirla, sin ningn pudor, cualquier empresario del sector. Y es

    que el sector hotelero es uno de los ejemplos

    ms claros del marketing relacional y directo,

    lo que le hace proclive a ser muy sensible

    con el tratamiento y almacenamiento de

    datos personales, especialmente de sus

    huspedes, donde el trasiego de personas

    es constante viniendo de hecho de multitud

    de pases (mercados emisores). Los hoteles

    disponen adems de otros servicios donde

    el tratamiento de datos personales se suma

    a los habituales de la administracin de una

    habitacin y servicios. Estos son la gestin

    de eventos, los programas de fidelizacin

    e incluso servicios ms personales en las

    instalaciones del hotel y realizados en

    ocasiones por terceros (spa, tratamientos

    de alimentacin, gestin del minibar, etc.).

    El marketing sobre los futuros y actuales

    clientes es adems intenso, a travs de

    email marketing, en las reservas on-line e

    incluso en la promocin y RRPP sobre medios

    sociales, donde el hotelero y en general

    el Turismo han sido unos de los primeros

    sectores en entrar de lleno en el

    marketing 2.0.

    Los riesgos de incumplimiento de la LOPD en el sector hotelero

    | 11 || 10 |

  • La gestin y administracin de los propios

    hoteles (propiedad o arrendamiento, gestin

    externa o franquicia) puede traer consigo

    adems ciertos riesgos pues en algunas

    ocasiones se pueden realizar transmisin de

    datos entre sociedades mercantiles sin haber

    realizado las debidas medidas que marca la

    Ley (bsicamente el deber de informacin hacia

    el husped y la contratacin entre encargado

    de tratamiento y el responsable del fichero), lo

    que podra ser calificado como una cesin no

    consentida, y por tanto sancionable por la AEPD

    . Ello es importante tambin a nivel del ciclo

    de contratacin, desde touroperadores y AAVV

    y las posibles salidas de informacin como a

    receptivos u otros servicios profesionales de

    terceros. Todos estos tratamientos se suman

    a los informticos, ya que en la totalidad de

    los establecimientos existen sistemas de

    informacin que mediante bases de datos

    y aplicaciones informticas incorporan

    la automatizacin de la informacin. La

    gestin de los datos personales se realiza

    en ocasiones sobre capas superiores, por

    ejemplo en cadenas hoteleras se realizan

    habitualmente tratamientos de Datawarehosue

    y DataMining para segmentar adecuadamente

    las peculiaridades del cliente para realizar

    acciones de marketing ms directas,

    incorporando estos datos desde el kardex a

    potentes CRMs. ...| 11 || 10 |

  • A todo este tratamiento de datos personales

    de los huspedes, hay que aadir que el sector

    dispone de movimiento de personal contratado

    relevante, con contratos fijos discontinuos,

    con altas y bajas constante de empleados. El

    ciclo de vida de informacin de contratacin

    de empleados trae consigo algunos riesgos,

    como son la no debida seguridad por ejemplo

    en los currculums vitae en papel, as como

    los recibidos a travs del email corporativo de

    la empresa, en ambos casos se debe recabar

    la aceptacin por parte del demandante de

    empleo, en cuanto a poder ceder sus datos

    incluso a los diferentes hoteles que forman

    parte de la sociedad hotelera.

    La formacin de los empleados por ejemplo

    en manipulacin de alimentos que en muchos

    casos se realizara travs de la fundacin

    tripartita, y que por tanto obliga a ceder

    datos de los mismos para llevar a cabo dicha

    formacin, implica obtener el consentimiento

    de los propios empleados, para esta cesin

    de datos. Tanto en el caso de los curriculums

    recibidos como la formacin de los

    empleados, hacemos mencin en recabar su

    consentimiento para no ser tratado como una

    cesin inconsentida, y as evitar

    posibles denuncias.

    | 13 || 12 |

  • Hay que tener especial atencin en la instalacin de cmaras de videovigilancia, no tan solo es necesario registrar el fichero ante la AEPD, e incluirlo en el obligado Documento de Seguridad, sino que adems es necesario colocar carteles informativos al respecto, en las zonas de grabacin, informando a nuestros clientes sobre sus derechos de A.R.C.O.

    Segn la Memoria del 2010 el incremento en

    el registro de ficheros en esta materia fue

    de un 7974% acumulando un total de 8.536

    ficheros frente a los 4.749 del 2009, por lo que

    observamos un incremento importante. Cabe

    mencionar que las sanciones efectuadas en

    2010 en este concepto se han incrementado en

    un 8069% respecto a 2009

    Todo ello nos anima a pensar que no slo

    es necesario en el sector hotelero que la

    empresa cumpla la LOPD disponiendo de

    un documento de seguridad y los trmites

    de registro ante la Agencia Espaola de

    Proteccin de datos, sino que es sumamente

    importante que los profesionales de los

    hoteles (direccin, marketing, comercial

    e incluso las/los gobernantas/es y

    evidentemente el personal de recepcin) estn

    concienciados debidamente, conozcan la Ley

    y sobre todo como cumplirla de manera gil

    y especfica en el mbito de sus funciones y

    responsabilidades profesionales.

    | 13 || 12 |

  • La empresa hotelera espaola muestra un bajo nivel de conocimiento de la normativa sobre proteccin de datos

    personales, tanto de la LOPD, vigente desde

    1999 (42%) como del reciente reglamento de

    desarrollo (RDLOPD), en vigor desde abril de

    2008 (53%). Dado que la Ley lleva en vigor casi

    doce aos, que su aplicacin es de obligado

    cumplimiento para todas las empresas con

    ficheros de datos personales, y que se prevn

    sanciones ante su incumplimiento, preocupa

    el escaso conocimiento de la misma entre el

    colectivo. De hecho, prcticamente la totalidad

    de empresas manejan datos personales: el 96%

    de las pymes espaolas disponen de ficheros

    con Datos de carcter personal (ya sea en sus

    sistemas informticos o en sus archivos en

    papel) y estn por tanto potencialmente sujetas

    a la normativa.

    Se muestran a continuacin algunos datos

    clave sobre el nivel de adopcin de la

    legislacin, cuya informacin al completo se

    aade en las 18 grficas de estudio sobre el

    mismo nmero de cuestiones planteadas:

    Slo el 33% afirma haber realizado

    declaracin de ficheros antes la Agencia

    Espaola de Proteccin de datos .

    Slo un 6% afirma haber tenido algn

    evento o incidente relativo a la proteccin de

    datos, normalmente a travs de quejas bien

    Resultados del Estudio

    | 15 || 14 |

  • clientes huspedes o de empleados.

    Un 53% afirma no tener planes de

    formacin y concienciacin sobre

    empleados y usuarios.

    El cumplimiento no es homogneo

    entre las distintas medidas de seguridad

    y procedimientos previstos en el RLOPD,

    aunque el grado de cumplimiento tcnico es

    notablemente alto:

    o Establecimientos hoteleros que

    disponen de documento de seguridad:

    18%

    o Establecimientos hoteleros que han

    realizado auditoras 8%

    o Establecimientos hoteleros que han

    incorporado medidas de seguridad

    tcnicas como las copias de seguridad y

    Antivirus, 100%

    o Establecimientos hoteleros que tienen

    implantado control de acceso en las

    aplicaciones, 21%

    o Establecimientos hoteleros que tienen

    implantado control de acceso en la red,

    un 85%

    Ha sido relevante tambin conocer que

    la prctica totalidad de los encuestados

    que gestionan datos de terceros (por

    ejemplo sociedades gestoras de hoteles)

    no ha realizado ninguna accin sobre este

    tratamiento (80 %), como es la elaboracin

    de un documento de seguridad sobre los

    | 15 || 14 |

    ...

  • datos que gestionan de otros hoteles u

    otros servicios sobre otras sociedades

    mercantiles (incumplimiento de los articulos

    82 y 88 del RLOPD 1720/2007).

    Llama tambin la atencin el

    desconocimiento de las implicaciones

    legales del marketing sobre medios

    sociales (15 %), situacin que en futuro

    cercano podra traer complicaciones en el

    sector, ya que muchas empresas hoteleras

    estn comenzando a realizar marketing

    directo a travs de estos medios.

    Del estudio se ha obtenido que el 80% de

    la empresa hotelera cuenta con ayuda de

    asesores o empresas consultoras para el

    cumplimiento de la legislacin, pero un 20%

    de stas no tiene una opinin favorable

    sobre el servicio recibido.

    Tambin destaca que a pesar de que

    muchos hoteles cuentan con sistemas de

    gestin de la calidad, sobre las normas

    ISO 9001, ISO 14001 o incluso EFQM o

    ISO 27001, no existe integracin alguna

    con ambos sistemas, incluso un 38% de

    la muestra desconoca esta posibilidad.

    Mencin especial que el 3% de los hoteles

    encuestados cuentan con certificacin de

    la norma internacional ISO/IEC 27001 sobre

    Gestin de la Seguridad de la Informacin,

    norma especfica sobre seguridad de los

    sistemas de informacin.

    | 17 || 16 |

  • En general nos hemos encontrado que las barreras para la correcta implantacin de la legislacin son la falta de conocimiento sobre la misma (42 %), la negativa percepcin sobre los servicios realizados por asesores especializados en la LOPD (20%) y en general la limitacin de recursos (econmicos, humanos y de tiempo) para ponerla

    correctamente en prctica. Todos estos

    motivos hacen percibir el coste y tiempo de

    implementacin excesivos, y consideran que

    la necesidad de desviar recursos humanos

    del objeto principal del negocio para la

    implementacin de la normativa no es efectivo.

    | 17 || 16 |

  • | 19 || 18 |

  • | 19 || 18 |

  • | 21 || 20 |

  • | 21 || 20 |

  • | 23 || 22 |

  • | 23 || 22 |

  • | 25 || 24 |

  • | 25 || 24 |

  • | 27 || 26 |

  • | 27 || 26 |

  • | 29 || 28 |

  • | 29 || 28 |

  • | 31 || 30 |

  • | 31 || 30 |

  • | 33 || 32 |

  • | 33 || 32 |

  • | 35 || 34 |

  • | 35 || 34 |

  • Mantener actualizada la inscripcin de los ficheros de datos de carcter personal. Mencin especial tras la modificacin de la Ley desde abril de 2008 donde se modific los niveles de seguridad de los ficheros tpicos de NMINA y GESTIN DEL PERSONAL.

    Incluir en los impresos y formularios de recogida de datos de los huspedes y usuarios clusulas informativas respecto al tratamiento de datos personales (derechos ARCO), conforme al artculo 5 de la LOPD, y adaptarlas en cada formulario en funcin del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, pgina web, etc.)

    Con proveedores y otras organizaciones donde se transmiten datos de huspedes y empleados (touroperadores, AAVV, receptivos, gestoras, etc) realizar los debidos contratos de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos deben ser encaminados hacia ellos.

    Recomendaciones.Buenas prcticas en LOPD

    | 37 || 36 |

  • Colocar carteles informativos sobre el derecho a la proteccin de datos personales de los usuarios del hotel, que sean fcilmente visibles por stos. Mencin especial si se realizan grabaciones con videovigilancia, adems en este caso NO instalarlas en lugares que vulneren la intimidad de los clientes (piscinas, aseos, vestuarios)

    Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de informacin. Esta accin se puede realizar en el proceso de contratacin. Contar en el establecimiento hotelero con un responsable fuera de la direccin, como puede ser el jefe de recepcin o el responsable comercial.

    Realizar auditoras para verificar si el personal autorizado utiliza los datos para la finalidad que justific el acceso, verificando en especial el cumplimiento de las medidas de seguridad sobre los ficheros que se pudiera gestionar sobre terceros.

    | 37 || 36 |

  • Almacenar los archivos fsicos de curriculums vitae en reas seguras, cuidando de establecer contratos de encargados de tratamiento con cualquier sociedad o empresa externa que trate esta informacin.

    Transmitir a los proveedores tecnolgicos las obligaciones en material de seguridad tecnologa. Tener en cuenta este factor a la hora de la contratacin de los mismos.

    Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura).

    | 39 || 38 |

  • Si la organizacin cuenta con sistemas de gestin de la calidad y stos son giles en la empresa, derivar los procedimientos e instrucciones tcnicas de la LOPD al propio sistema.

    Contar con asesores en la LOPD que sobre todo transmitan formacin adecuada y personalizada, y de manera presencial. La LOPD no debe tratarse como un tema nicamente documental o una facility de resolver y cerrar, una de las claves es la formacin presencial a los empleados del establecimiento hotelero.

    Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio electrnico, incluido el realizado en medios sociales (inmails, mensajes directos).

    | 39 || 38 |

  • Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Espaola de proteccin de datos (www.agpd.es) a travs del Registro pblico de ficheros y de las memorias de actuaciones de la Agencia (aos 2009 y 2010)

    Otras Fuentes: Instituto Nacional de Tecnologas de la Comunicacin (inteco.es). Artculos en Comunidad.hosteltur.com

    La presente publicacin pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la misma (IT360.es y SGPD). Esta obra compartida est bajo una licencia Reconocimiento-No comercial 2.5 Espaa de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes:

    Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com . Dicho reconocimiento no podr en ningn caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que hace de su obra.

    Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.

    Adems los autores definen una poltica de publicacin en Internet de la presente obra de modo que no est permitido la publicacin de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicacin deber realizarse sobre los sitios web orginales y las URLs especficas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com

    Al reutilizar o distribuir la obra, debe de dejar bien claro los trminos de la licencia de la misma. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor.

    Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/

    | 40 |

  • | 40 |