La LOPD en el sector hotelero - IT360.es

La LOPD en el sector hotelero 

Estudio de concienciación y conocimiento en los profesionales del sector 

Toni Martín-Avila (IT360.es), Ferrán Rebollo (SGPD), Mario Arauzo (ITsencial)

Autores 

Toni Martín Ávila 

Consultor y Auditor en Seguridad de la información y Calidad TIC. 

CISA. ISO 27001, ISO 20000 Lead Auditor. 

Director en IT360.es, formador en doITsmart.es. 

linkedin.com/tonimartinavila 

twitter @tonimartinavila 

Ferrán Rebollo 

Consultor y auditor en LOPD. 

Director en SGPD. 

ferranrebollo.wordpress.com 

twitter @rebollosgpd 

Mario Arauzo 

Consultor y auditor en Gestión de servicios TI y Seguridad de la información, 

ISO 27001-ISO 20000 Lead Auditor. ITIL v3 Certified 

Director en ITsencial.com, formador en doITsmart.es 

http://es.linkedin.com/in/marioarauzo 

| 2 |

Índice 

1. ¿Por qué este estudio 4 

2. Ficha técnica 8 

3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10 

4. Resultado del estudio 14 

5. Recomendaciones y Buenas prácticas 36 

Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL. 

Publicado en septiembre de 2011. 

Diseño y maquetación: David Molina 

Gráficas: Toni Martín Avila 

Portada: www.boston.com (licencia Creative Commons) 

| 3 |

¿Por qué este estudio 

protección de datos de carácter 

La personal es un derecho fundamental 

reconocido en la Constitución Española que 

atribuye al titular del derecho la facultad de 

tratar y almacenar sus datos y a disponer y 

decidir sobre los mismos. La Ley Orgánica de 

Protección de Datos (LOPD) y su Reglamento 

de Desarrollo (RDLOPD) concretan y 

desarrollan este derecho. A nivel europeo, la 

Directiva Europea 95/46 CE del Parlamento 

Europeo y del Consejo reconoce la protección 

de las personas físicas en lo que respecta 

al tratamiento de datos personales. La 

normativa sobre protección de datos responde 

a la necesidad de proteger todos los datos de 

carácter personal, para que no sean utilizados 

de forma inadecuada, ni tratados o cedidos 

a terceros sin consentimiento inequívoco del 

titular. En este contexto, se entiende por dato 

de carácter personal “cualquier información 

concerniente a personas físicas identificadas o 

identificables1” (art. 3 LOPD). 

La regulación ofrece a los ciudadanos las 

garantías y mecanismos necesarios para 

proteger sus datos personales y controlar el 

uso que se realiza de los mismos. De cara 

a garantizar la protección del derecho, se 

establecen obligaciones para toda persona 

física o jurídica que posea ficheros con datos 

personales. 

| 4 |

Las empresas, en su calidad de agentes que 

manejan y tratan datos de carácter personal, 

están obligadas a garantizar el derecho 

fundamental a la protección de los datos 

personales de que disponen. La normativa 

no contempla excepciones por tamaño, 

facturación o sector de actividad, cualquier 

empresa, por tanto, está incluida en el ámbito 

de aplicación de la legislación, siempre que 

trate o almacen datos de carácter personal 

por su propia gestión o por encargo de servicio 

de otra empresa. 

De este modo, es necesario que las 

organizaciones, independientemente de 

sus dimensiones establezcan una serie 

de medidas jurídicas y organizativas que 

garanticen el correcto tratamiento de 

los datos que son recogidos de clientes, 

proveedores, colaboradores, empleados, o 

cualquier otro dato de carácter personal que 

manejen. El nivel de exigencia en cuanto al 

cumplimiento de la LOPD es el mismo para 

todas las empresas, sin que se establezcan 

criterios distintos dependiendo de si es 

... 

una 

gran empresa o una microempresa. 

| 5 |

“ 

La aplicación de la legislación en el sector 

hotelero es a menudo complicada de 

gestionar, principalmente por ser éste 

un negocio enfocado directamente en las 

personas y donde el cliente “duerme en casa 

del propietario del servicio”. La implantación 

de la Ley en los establecimientos hoteleros 

es de sobra muy extendida, según datos de la 

AEPD de la memoria de 2010 existen 81.554 

ficheros registrados en los sectores de 

Turismo y Hostelería, un 30.07% mas sobre 

el 2009. 

| 6 |

La realidad es que aunque en su mayoría 

muchos hoteles han declarado los ficheros 

ante la Agencia Española de Protección 

de Datos (www.agpd.es), la percepción y 

conocimiento de los profesionales de la 

misma es otra historia. Seis años después del 

PLAN DE INSPECCIÓN DE OFICIO A CADENAS 

HOTELERAS que realizó la Agencia, hemos 

querido comprobar de la mano directamente 

de los profesionales cual es su opinión y 

conocimiento de la misma, cuales son los 

problemas y riesgos que conocen y si de 

alguna manera les ha reportado beneficios. 

“ 

Este estudio no pretende ser una evaluación 

del estado de cumplimiento de la Ley en 

el sector, únicamente está enfocado en 

la concienciación y conocimiento de los 

profesionales, como paso relevante al 

cumplimiento de una obligación legal. 

| 7 |

Ficha técnica del Estudio 

estudio se realizó entre Junio 

Este 2010 y septiembre de 2011 

mediante un cuestionario on-line anónimo 

gestionado por bases de datos con control IP y 

cookies para impedir duplicidad de registros. 

La promoción del estudio se realizó a través 

de email-marketing (800 direcciones de correo 

electrónico), y distribuido por medios sociales 

y los sitios web de los autores. La investigación 

on-line se reforzó con 124 encuestas 

telefónicas que además sirvió para enfatizar 

algunas de las respuestas de los profesionales 

encuestados y por entrevistas personales a 

profesionales realizadas en diferentes trabajos 

de consultoría y auditoría realizadas en los 

propios establecimientos hoteleros. 

Error típico: 6,4 % 

Nivel de confianza: 95% p=q=50% 

| 8 |

| 9 |

Los riesgos de incumplimiento de la LOPD 

en el sector hotelero 

“Mi 

cliente duerme en mi casa”. Esta 

frase puede decirla, sin ningún 

pudor, cualquier empresario del sector. Y es 

que el sector hotelero es uno de los ejemplos 

más claros del marketing relacional y directo, 

lo que le hace proclive a ser muy sensible 

con el tratamiento y almacenamiento de 

datos personales, especialmente de sus 

huéspedes, donde el trasiego de personas 

es constante viniendo de hecho de multitud 

de países (mercados emisores). Los hoteles 

disponen además de otros servicios donde 

el tratamiento de datos personales se suma 

a los habituales de la administración de una 

habitación y servicios. Estos son la gestión 

de eventos, los programas de fidelización 

e incluso servicios más personales en las 

instalaciones del hotel y realizados en 

ocasiones por terceros (spa, tratamientos 

de alimentación, gestión del minibar, etc.). 

El marketing sobre los futuros y actuales 

clientes es además intenso, a través de 

email marketing, en las reservas on-line e 

incluso en la promoción y RRPP sobre medios 

sociales, donde el hotelero y en general 

el Turismo han sido unos de los primeros 

sectores en entrar de lleno en el 

marketing 2.0. 

| 10 |

La gestión y administración de los propios 

hoteles (propiedad o arrendamiento, gestión 

externa o franquicia) puede traer consigo 

además ciertos riesgos pues en algunas 

ocasiones se pueden realizar transmisión de 

datos entre sociedades mercantiles sin haber 

realizado las debidas medidas que marca la 

Ley (básicamente el deber de información hacia 

el huésped y la contratación entre encargado 

de tratamiento y el responsable del fichero), lo 

que podría ser calificado como una cesión no 

consentida, y por tanto sancionable por la AEPD 

. Ello es importante también a nivel del ciclo 

de contratación, desde touroperadores y AAVV 

y las posibles salidas de información como a 

receptivos u otros servicios profesionales de 

terceros. Todos estos tratamientos se suman 

a los informáticos, ya que en la totalidad de 

los establecimientos existen sistemas de 

información que mediante bases de datos 

y aplicaciones informáticas incorporan 

la automatización de la información. La 

gestión de los datos personales se realiza 

en ocasiones sobre capas superiores, por 

ejemplo en cadenas hoteleras se realizan 

habitualmente tratamientos de Datawarehosue 

y DataMining para segmentar adecuadamente 

las peculiaridades del cliente para realizar 

acciones de marketing más directas, 

incorporando estos 

... 

datos desde el kardex a 

potentes CRMs. 

| 11 |

A todo este tratamiento de datos personales 

de los huéspedes, hay que añadir que el sector 

dispone de movimiento de personal contratado 

relevante, con contratos fijos discontinuos, 

con altas y bajas constante de empleados. El 

ciclo de vida de información de contratación 

de empleados trae consigo algunos riesgos, 

como son la no debida seguridad por ejemplo 

en los currículums vitae en papel, así como 

los recibidos a través del email corporativo de 

la empresa, en ambos casos se debe recabar 

la aceptación por parte del demandante de 

empleo, en cuanto a poder ceder sus datos 

incluso a los diferentes hoteles que forman 

parte de la sociedad hotelera. 

La formación de los empleados por ejemplo 

en manipulación de alimentos que en muchos 

casos se realizara través de la fundación 

tripartita, y que por tanto obliga a ceder 

datos de los mismos para llevar a cabo dicha 

formación, implica obtener el consentimiento 

de los propios empleados, para esta cesión 

de datos. Tanto en el caso de los curriculums 

recibidos como la formación de los 

empleados, hacemos mención en recabar su 

consentimiento para no ser tratado como una 

cesión inconsentida, y así evitar 

posibles denuncias. 

| 12 |

“ 

Hay que tener especial atención en la 

instalación de cámaras de videovigilancia, no 

tan solo es necesario registrar el fichero ante 

la AEPD, e incluirlo en el obligado Documento 

de Seguridad, sino que además es necesario 

colocar carteles informativos al respecto, en 

las zonas de grabación, informando a nuestros 

clientes sobre sus derechos de A.R.C.O. 

Según la Memoria del 2010 el incremento en 

el registro de ficheros en esta materia fue 

de un 79’74% acumulando un total de 8.536 

ficheros frente a los 4.749 del 2009, por lo que 

observamos un incremento importante. Cabe 

mencionar que las sanciones efectuadas en 

2010 en este concepto se han incrementado en 

un 80’69% respecto a 2009 

Todo ello nos anima a pensar que no sólo 

es necesario en el sector hotelero que la 

empresa cumpla la LOPD disponiendo de 

un documento de seguridad y los trámites 

de registro ante la Agencia Española de 

Protección de datos, sino que es sumamente 

“ 

importante que los profesionales de los 

hoteles (dirección, marketing, comercial 

e incluso las/los gobernantas/es y 

evidentemente el personal de recepción) estén 

concienciados debidamente, conozcan la Ley 

y sobre todo como cumplirla de manera ágil 

y específica en el ámbito de sus funciones y 

responsabilidades profesionales. 

| 13 |

Resultados del Estudio 

empresa hotelera española muestra 

La un bajo nivel de conocimiento de 

la normativa sobre protección de datos 

personales, tanto de la LOPD, vigente desde 

1999 (42%) como del reciente reglamento de 

desarrollo (RDLOPD), en vigor desde abril de 

2008 (53%). Dado que la Ley lleva en vigor casi 

doce años, que su aplicación es de obligado 

cumplimiento para todas las empresas con 

ficheros de datos personales, y que se prevén 

sanciones ante su incumplimiento, preocupa 

el escaso conocimiento de la misma entre el 

colectivo. De hecho, prácticamente la totalidad 

de empresas manejan datos personales: el 96% 

de las pymes españolas disponen de ficheros 

con Datos de carácter personal (ya sea en sus 

sistemas informáticos o en sus archivos en 

papel) y están por tanto potencialmente sujetas 

a la normativa. 

Se muestran a continuación algunos datos 

clave sobre el nivel de adopción de la 

legislación, cuya información al completo se 

añade en las 18 gráficas de estudio sobre el 

mismo número de cuestiones planteadas: 

• Sólo el 33% afirma haber realizado 

declaración de ficheros antes la Agencia 

Española de Protección de datos . 

• Sólo un 6% afirma haber tenido algún 

evento o incidente relativo a la protección de 

datos, normalmente a través de quejas bien 

| 14 |

clientes huéspedes o de empleados. 

• Un 53% afirma no tener planes de 

formación y concienciación sobre 

empleados y usuarios. 

• El cumplimiento no es homogéneo 

entre las distintas medidas de seguridad 

y procedimientos previstos en el RLOPD, 

aunque el grado de cumplimiento técnico es 

notablemente alto: 

o Establecimientos hoteleros que 

disponen de documento de seguridad: 

18% 

o Establecimientos hoteleros que han 

realizado auditorías 8% 

o Establecimientos hoteleros que han 

incorporado medidas de seguridad 

técnicas como las copias de seguridad y 

Antivirus, 100% 

o Establecimientos hoteleros que tienen 

implantado control de acceso en las 

aplicaciones, 21% 

o Establecimientos hoteleros que tienen 

implantado control de acceso en la red, 

un 85% 

• Ha sido relevante también conocer que 

la práctica totalidad de los encuestados 

que gestionan datos de terceros (por 

ejemplo sociedades gestoras de hoteles) 

no ha realizado ninguna acción sobre este 

tratamiento (80 %), como es la elaboración 

de un documento de seguridad sobre los 

... 

| 15 |

datos que gestionan de otros hoteles u 

otros servicios sobre otras sociedades 

mercantiles (incumplimiento de los articulos 

82 y 88 del RLOPD 1720/2007). 

• Llama también la atención el 

desconocimiento de las implicaciones 

legales del marketing sobre medios 

sociales (15 %), situación que en futuro 

cercano podría traer complicaciones en el 

sector, ya que muchas empresas hoteleras 

están comenzando a realizar marketing 

directo a través de estos medios. 

• Del estudio se ha obtenido que el 80% de 

la empresa hotelera cuenta con ayuda de 

asesores o empresas consultoras para el 

cumplimiento de la legislación, pero un 20% 

de éstas no tiene una opinión favorable 

sobre el servicio recibido. 

• También destaca que a pesar de que 

muchos hoteles cuentan con sistemas de 

gestión de la calidad, sobre las normas 

ISO 9001, ISO 14001 o incluso EFQM o 

ISO 27001, no existe integración alguna 

con ambos sistemas, incluso un 38% de 

la muestra desconocía esta posibilidad. 

Mención especial que el 3% de los hoteles 

encuestados cuentan con certificación de 

la norma internacional ISO/IEC 27001 sobre 

Gestión de la Seguridad de la Información, 

norma específica sobre seguridad de los 

sistemas de información. 

| 16 |

“En general nos hemos encontrado que las 

barreras para la correcta implantación de 

la legislación son la falta de conocimiento 

sobre la misma (42 %), la negativa percepción 

sobre los servicios realizados por asesores 

especializados en la LOPD (20%) y en general 

la limitación de recursos (económicos, 

humanos y de tiempo) para ponerla 

correctamente en práctica. Todos estos 

motivos hacen percibir el coste y tiempo de 

implementación excesivos, y consideran que 

la necesidad de desviar recursos humanos 

del objeto principal del negocio para la 

implementación de la normativa no es efectivo. 

| 17 |

| 18 |

| 19 |

| 20 |

| 21 |

| 22 |

| 23 |

| 24 |

| 25 |

| 26 |

| 27 |

| 28 |

| 29 |

| 30 |

| 31 |

| 32 |

| 33 |

| 34 |

| 35 |

Recomendaciones. 

Buenas prácticas en LOPD 

Mantener actualizada la inscripción de los ficheros de datos de carácter personal. Mención 

especial tras la modificación de la Ley desde abril de 2008 donde se modificó los niveles de 

seguridad de los ficheros típicos de NÓMINA y GESTIÓN DEL PERSONAL. 

Incluir en los impresos y formularios de recogida de datos de los huéspedes y usuarios 

cláusulas informativas respecto al tratamiento de datos personales (derechos ARCO), 

conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en 

el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, página 

web, etc.) 

Con proveedores y otras organizaciones donde se transmiten datos de huéspedes y 

empleados (touroperadores, AAVV, receptivos, gestorías, etc) realizar los debidos contratos 

de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por 

la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos 

deben ser encaminados hacia ellos. 

| 36 |

Colocar carteles informativos sobre el derecho a la protección de datos personales de los 

usuarios del hotel, que sean fácilmente visibles por éstos. Mención especial si se realizan 

grabaciones con videovigilancia, además en este caso NO instalarlas en lugares que 

vulneren la intimidad de los clientes (piscinas, aseos, vestuarios…) 

Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de información. 

Esta acción se puede realizar en el proceso de contratación. Contar en el establecimiento 

hotelero con un responsable fuera de la dirección, como puede ser el jefe de recepción o el 

responsable comercial. 

Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad 

que justificó el acceso, verificando en especial el cumplimiento de las medidas de seguridad 

sobre los ficheros que se pudiera gestionar sobre terceros. 

| 37 |

Almacenar los archivos físicos de curriculums vitae en áreas seguras, cuidando de 

establecer contratos de encargados de tratamiento con cualquier sociedad o empresa 

externa que trate esta información. 

Transmitir a los proveedores tecnológicos las obligaciones en material de seguridad 

tecnología. Tener en cuenta este factor a la hora de la contratación de los mismos. 

Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros 

de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los 

datos (por ejemplo, en la recogida de la basura). 

| 38 |

Si la organización cuenta con sistemas de gestión de la calidad y éstos son ágiles en la 

empresa, derivar los procedimientos e instrucciones técnicas de la LOPD al propio sistema. 

Contar con asesores en la LOPD que sobre todo transmitan formación adecuada y 

personalizada, y de manera presencial. La LOPD no debe tratarse como un tema únicamente 

documental o una facility de resolver y cerrar, una de las claves es la formación presencial 

a los empleados del establecimiento hotelero. 

Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio 

electrónico, incluido el realizado en medios sociales (inmails, mensajes directos). 

| 39 |

Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Española de protección de 

datos (www.agpd.es) a través del Registro público de ficheros y de las memorias de actuaciones de la Agencia 

(años 2009 y 2010) 

Otras Fuentes: Instituto Nacional de Tecnologías de la Comunicación (inteco.es). Artículos en Comunidad.hosteltur.com 

La presente publicación pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la 

misma (IT360.es y SGPD). Esta obra compartida está bajo una licencia Reconocimiento-No comercial 2.5 España 

de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las 

condiciones siguientes: 

• Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y 

haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com 

. Dicho reconocimiento no podrá en ningún caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que 

hace de su obra. 

• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga 

fines comerciales. 

Además los autores definen una política de publicación en Internet de la presente obra de modo que no está permitido la publicación 

de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicación deberá 

realizarse sobre los sitios web orginales y las URLs específicas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com 

Al reutilizar o distribuir la obra, debe de dejar bien claro los términos de la licencia de la misma. Alguna de estas condiciones puede no 

aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor. 

Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/ 

| 40 |

La LOPD en el sector hotelero - IT360.es

Create successful ePaper yourself

Delete template?

Save as template?