La LOPD en el sector hotelero - IT360.es
La LOPD en el sector hotelero - IT360.es
La LOPD en el sector hotelero - IT360.es
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>La</strong> <strong>LOPD</strong> <strong>en</strong> <strong>el</strong> <strong>sector</strong> hot<strong>el</strong>ero<br />
Estudio de conci<strong>en</strong>ciación y conocimi<strong>en</strong>to <strong>en</strong> los profesionales d<strong>el</strong> <strong>sector</strong><br />
Toni Martín-Avila (<strong>IT360.es</strong>), Ferrán Rebollo (SGPD), Mario Arauzo (ITs<strong>en</strong>cial)
Autores<br />
Toni Martín Ávila<br />
Consultor y Auditor <strong>en</strong> Seguridad de la información y Calidad TIC.<br />
CISA. ISO 27001, ISO 20000 Lead Auditor.<br />
Director <strong>en</strong> <strong>IT360.es</strong>, formador <strong>en</strong> doITsmart.es.<br />
linkedin.com/tonimartinavila<br />
twitter @tonimartinavila<br />
Ferrán Rebollo<br />
Consultor y auditor <strong>en</strong> <strong>LOPD</strong>.<br />
Director <strong>en</strong> SGPD.<br />
ferranrebollo.wordpress.com<br />
twitter @rebollosgpd<br />
Mario Arauzo<br />
Consultor y auditor <strong>en</strong> Gestión de servicios TI y Seguridad de la información,<br />
ISO 27001-ISO 20000 Lead Auditor. ITIL v3 Certified<br />
Director <strong>en</strong> ITs<strong>en</strong>cial.com, formador <strong>en</strong> doITsmart.es<br />
http://es.linkedin.com/in/marioarauzo<br />
| 2 |
Índice<br />
1. ¿Por qué este estudio 4<br />
2. Ficha técnica 8<br />
3. Los riesgos de incumplimi<strong>en</strong>to de la <strong>LOPD</strong> <strong>en</strong> <strong>el</strong> <strong>sector</strong> hot<strong>el</strong>ero 10<br />
4. Resultado d<strong>el</strong> estudio 14<br />
5. Recom<strong>en</strong>daciones y Bu<strong>en</strong>as prácticas 36<br />
Edita Host<strong>el</strong>tur, IDEAS Y PUBLICIDAD DE BALEARES SL.<br />
Publicado <strong>en</strong> septiembre de 2011.<br />
Diseño y maquetación: David Molina<br />
Gráficas: Toni Martín Avila<br />
Portada: www.boston.com (lic<strong>en</strong>cia Creative Commons)<br />
| 3 |
¿Por qué este estudio<br />
protección de datos de carácter<br />
<strong>La</strong> personal es un derecho fundam<strong>en</strong>tal<br />
reconocido <strong>en</strong> la Constitución Española que<br />
atribuye al titular d<strong>el</strong> derecho la facultad de<br />
tratar y almac<strong>en</strong>ar sus datos y a disponer y<br />
decidir sobre los mismos. <strong>La</strong> Ley Orgánica de<br />
Protección de Datos (<strong>LOPD</strong>) y su Reglam<strong>en</strong>to<br />
de Desarrollo (RD<strong>LOPD</strong>) concretan y<br />
desarrollan este derecho. A niv<strong>el</strong> europeo, la<br />
Directiva Europea 95/46 CE d<strong>el</strong> Parlam<strong>en</strong>to<br />
Europeo y d<strong>el</strong> Consejo reconoce la protección<br />
de las personas físicas <strong>en</strong> lo que respecta<br />
al tratami<strong>en</strong>to de datos personales. <strong>La</strong><br />
normativa sobre protección de datos responde<br />
a la necesidad de proteger todos los datos de<br />
carácter personal, para que no sean utilizados<br />
de forma inadecuada, ni tratados o cedidos<br />
a terceros sin cons<strong>en</strong>timi<strong>en</strong>to inequívoco d<strong>el</strong><br />
titular. En este contexto, se <strong>en</strong>ti<strong>en</strong>de por dato<br />
de carácter personal “cualquier información<br />
concerni<strong>en</strong>te a personas físicas id<strong>en</strong>tificadas o<br />
id<strong>en</strong>tificables1” (art. 3 <strong>LOPD</strong>).<br />
<strong>La</strong> regulación ofrece a los ciudadanos las<br />
garantías y mecanismos necesarios para<br />
proteger sus datos personales y controlar <strong>el</strong><br />
uso que se realiza de los mismos. De cara<br />
a garantizar la protección d<strong>el</strong> derecho, se<br />
establec<strong>en</strong> obligaciones para toda persona<br />
física o jurídica que posea ficheros con datos<br />
personales.<br />
| 4 |
<strong>La</strong>s empresas, <strong>en</strong> su calidad de ag<strong>en</strong>tes que<br />
manejan y tratan datos de carácter personal,<br />
están obligadas a garantizar <strong>el</strong> derecho<br />
fundam<strong>en</strong>tal a la protección de los datos<br />
personales de que dispon<strong>en</strong>. <strong>La</strong> normativa<br />
no contempla excepciones por tamaño,<br />
facturación o <strong>sector</strong> de actividad, cualquier<br />
empresa, por tanto, está incluida <strong>en</strong> <strong>el</strong> ámbito<br />
de aplicación de la legislación, siempre que<br />
trate o almac<strong>en</strong> datos de carácter personal<br />
por su propia gestión o por <strong>en</strong>cargo de servicio<br />
de otra empresa.<br />
De este modo, es necesario que las<br />
organizaciones, indep<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te de<br />
sus dim<strong>en</strong>siones establezcan una serie<br />
de medidas jurídicas y organizativas que<br />
garantic<strong>en</strong> <strong>el</strong> correcto tratami<strong>en</strong>to de<br />
los datos que son recogidos de cli<strong>en</strong>tes,<br />
proveedores, colaboradores, empleados, o<br />
cualquier otro dato de carácter personal que<br />
manej<strong>en</strong>. El niv<strong>el</strong> de exig<strong>en</strong>cia <strong>en</strong> cuanto al<br />
cumplimi<strong>en</strong>to de la <strong>LOPD</strong> es <strong>el</strong> mismo para<br />
todas las empresas, sin que se establezcan<br />
criterios distintos dep<strong>en</strong>di<strong>en</strong>do de si es<br />
...<br />
una<br />
gran empresa o una microempresa.<br />
| 5 |
“<br />
<strong>La</strong> aplicación de la legislación <strong>en</strong> <strong>el</strong> <strong>sector</strong><br />
hot<strong>el</strong>ero es a m<strong>en</strong>udo complicada de<br />
gestionar, principalm<strong>en</strong>te por ser éste<br />
un negocio <strong>en</strong>focado directam<strong>en</strong>te <strong>en</strong> las<br />
personas y donde <strong>el</strong> cli<strong>en</strong>te “duerme <strong>en</strong> casa<br />
d<strong>el</strong> propietario d<strong>el</strong> servicio”. <strong>La</strong> implantación<br />
de la Ley <strong>en</strong> los establecimi<strong>en</strong>tos hot<strong>el</strong>eros<br />
es de sobra muy ext<strong>en</strong>dida, según datos de la<br />
AEPD de la memoria de 2010 exist<strong>en</strong> 81.554<br />
ficheros registrados <strong>en</strong> los <strong>sector</strong>es de<br />
Turismo y Host<strong>el</strong>ería, un 30.07% mas sobre<br />
<strong>el</strong> 2009.<br />
| 6 |
<strong>La</strong> realidad es que aunque <strong>en</strong> su mayoría<br />
muchos hot<strong>el</strong>es han declarado los ficheros<br />
ante la Ag<strong>en</strong>cia Española de Protección<br />
de Datos (www.agpd.es), la percepción y<br />
conocimi<strong>en</strong>to de los profesionales de la<br />
misma es otra historia. Seis años después d<strong>el</strong><br />
PLAN DE INSPECCIÓN DE OFICIO A CADENAS<br />
HOTELERAS que realizó la Ag<strong>en</strong>cia, hemos<br />
querido comprobar de la mano directam<strong>en</strong>te<br />
de los profesionales cual es su opinión y<br />
conocimi<strong>en</strong>to de la misma, cuales son los<br />
problemas y riesgos que conoc<strong>en</strong> y si de<br />
alguna manera les ha reportado b<strong>en</strong>eficios.<br />
“<br />
Este estudio no pret<strong>en</strong>de ser una evaluación<br />
d<strong>el</strong> estado de cumplimi<strong>en</strong>to de la Ley <strong>en</strong><br />
<strong>el</strong> <strong>sector</strong>, únicam<strong>en</strong>te está <strong>en</strong>focado <strong>en</strong><br />
la conci<strong>en</strong>ciación y conocimi<strong>en</strong>to de los<br />
profesionales, como paso r<strong>el</strong>evante al<br />
cumplimi<strong>en</strong>to de una obligación legal.<br />
| 7 |
Ficha técnica d<strong>el</strong> Estudio<br />
estudio se realizó <strong>en</strong>tre Junio<br />
Este 2010 y septiembre de 2011<br />
mediante un cuestionario on-line anónimo<br />
gestionado por bases de datos con control IP y<br />
cookies para impedir duplicidad de registros.<br />
<strong>La</strong> promoción d<strong>el</strong> estudio se realizó a través<br />
de email-marketing (800 direcciones de correo<br />
<strong>el</strong>ectrónico), y distribuido por medios sociales<br />
y los sitios web de los autores. <strong>La</strong> investigación<br />
on-line se reforzó con 124 <strong>en</strong>cuestas<br />
t<strong>el</strong>efónicas que además sirvió para <strong>en</strong>fatizar<br />
algunas de las respuestas de los profesionales<br />
<strong>en</strong>cuestados y por <strong>en</strong>trevistas personales a<br />
profesionales realizadas <strong>en</strong> difer<strong>en</strong>tes trabajos<br />
de consultoría y auditoría realizadas <strong>en</strong> los<br />
propios establecimi<strong>en</strong>tos hot<strong>el</strong>eros.<br />
Error típico: 6,4 %<br />
Niv<strong>el</strong> de confianza: 95% p=q=50%<br />
| 8 |
| 9 |
Los riesgos de incumplimi<strong>en</strong>to de la <strong>LOPD</strong><br />
<strong>en</strong> <strong>el</strong> <strong>sector</strong> hot<strong>el</strong>ero<br />
“Mi<br />
cli<strong>en</strong>te duerme <strong>en</strong> mi casa”. Esta<br />
frase puede decirla, sin ningún<br />
pudor, cualquier empresario d<strong>el</strong> <strong>sector</strong>. Y es<br />
que <strong>el</strong> <strong>sector</strong> hot<strong>el</strong>ero es uno de los ejemplos<br />
más claros d<strong>el</strong> marketing r<strong>el</strong>acional y directo,<br />
lo que le hace proclive a ser muy s<strong>en</strong>sible<br />
con <strong>el</strong> tratami<strong>en</strong>to y almac<strong>en</strong>ami<strong>en</strong>to de<br />
datos personales, especialm<strong>en</strong>te de sus<br />
huéspedes, donde <strong>el</strong> trasiego de personas<br />
es constante vini<strong>en</strong>do de hecho de multitud<br />
de países (mercados emisores). Los hot<strong>el</strong>es<br />
dispon<strong>en</strong> además de otros servicios donde<br />
<strong>el</strong> tratami<strong>en</strong>to de datos personales se suma<br />
a los habituales de la administración de una<br />
habitación y servicios. Estos son la gestión<br />
de ev<strong>en</strong>tos, los programas de fid<strong>el</strong>ización<br />
e incluso servicios más personales <strong>en</strong> las<br />
instalaciones d<strong>el</strong> hot<strong>el</strong> y realizados <strong>en</strong><br />
ocasiones por terceros (spa, tratami<strong>en</strong>tos<br />
de alim<strong>en</strong>tación, gestión d<strong>el</strong> minibar, etc.).<br />
El marketing sobre los futuros y actuales<br />
cli<strong>en</strong>tes es además int<strong>en</strong>so, a través de<br />
email marketing, <strong>en</strong> las reservas on-line e<br />
incluso <strong>en</strong> la promoción y RRPP sobre medios<br />
sociales, donde <strong>el</strong> hot<strong>el</strong>ero y <strong>en</strong> g<strong>en</strong>eral<br />
<strong>el</strong> Turismo han sido unos de los primeros<br />
<strong>sector</strong>es <strong>en</strong> <strong>en</strong>trar de ll<strong>en</strong>o <strong>en</strong> <strong>el</strong><br />
marketing 2.0.<br />
| 10 |
<strong>La</strong> gestión y administración de los propios<br />
hot<strong>el</strong>es (propiedad o arr<strong>en</strong>dami<strong>en</strong>to, gestión<br />
externa o franquicia) puede traer consigo<br />
además ciertos riesgos pues <strong>en</strong> algunas<br />
ocasiones se pued<strong>en</strong> realizar transmisión de<br />
datos <strong>en</strong>tre sociedades mercantiles sin haber<br />
realizado las debidas medidas que marca la<br />
Ley (básicam<strong>en</strong>te <strong>el</strong> deber de información hacia<br />
<strong>el</strong> huésped y la contratación <strong>en</strong>tre <strong>en</strong>cargado<br />
de tratami<strong>en</strong>to y <strong>el</strong> responsable d<strong>el</strong> fichero), lo<br />
que podría ser calificado como una cesión no<br />
cons<strong>en</strong>tida, y por tanto sancionable por la AEPD<br />
. Ello es importante también a niv<strong>el</strong> d<strong>el</strong> ciclo<br />
de contratación, desde touroperadores y AAVV<br />
y las posibles salidas de información como a<br />
receptivos u otros servicios profesionales de<br />
terceros. Todos estos tratami<strong>en</strong>tos se suman<br />
a los informáticos, ya que <strong>en</strong> la totalidad de<br />
los establecimi<strong>en</strong>tos exist<strong>en</strong> sistemas de<br />
información que mediante bases de datos<br />
y aplicaciones informáticas incorporan<br />
la automatización de la información. <strong>La</strong><br />
gestión de los datos personales se realiza<br />
<strong>en</strong> ocasiones sobre capas superiores, por<br />
ejemplo <strong>en</strong> cad<strong>en</strong>as hot<strong>el</strong>eras se realizan<br />
habitualm<strong>en</strong>te tratami<strong>en</strong>tos de Datawarehosue<br />
y DataMining para segm<strong>en</strong>tar adecuadam<strong>en</strong>te<br />
las peculiaridades d<strong>el</strong> cli<strong>en</strong>te para realizar<br />
acciones de marketing más directas,<br />
incorporando estos<br />
...<br />
datos desde <strong>el</strong> kardex a<br />
pot<strong>en</strong>tes CRMs.<br />
| 11 |
A todo este tratami<strong>en</strong>to de datos personales<br />
de los huéspedes, hay que añadir que <strong>el</strong> <strong>sector</strong><br />
dispone de movimi<strong>en</strong>to de personal contratado<br />
r<strong>el</strong>evante, con contratos fijos discontinuos,<br />
con altas y bajas constante de empleados. El<br />
ciclo de vida de información de contratación<br />
de empleados trae consigo algunos riesgos,<br />
como son la no debida seguridad por ejemplo<br />
<strong>en</strong> los currículums vitae <strong>en</strong> pap<strong>el</strong>, así como<br />
los recibidos a través d<strong>el</strong> email corporativo de<br />
la empresa, <strong>en</strong> ambos casos se debe recabar<br />
la aceptación por parte d<strong>el</strong> demandante de<br />
empleo, <strong>en</strong> cuanto a poder ceder sus datos<br />
incluso a los difer<strong>en</strong>tes hot<strong>el</strong>es que forman<br />
parte de la sociedad hot<strong>el</strong>era.<br />
<strong>La</strong> formación de los empleados por ejemplo<br />
<strong>en</strong> manipulación de alim<strong>en</strong>tos que <strong>en</strong> muchos<br />
casos se realizara través de la fundación<br />
tripartita, y que por tanto obliga a ceder<br />
datos de los mismos para llevar a cabo dicha<br />
formación, implica obt<strong>en</strong>er <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to<br />
de los propios empleados, para esta cesión<br />
de datos. Tanto <strong>en</strong> <strong>el</strong> caso de los curriculums<br />
recibidos como la formación de los<br />
empleados, hacemos m<strong>en</strong>ción <strong>en</strong> recabar su<br />
cons<strong>en</strong>timi<strong>en</strong>to para no ser tratado como una<br />
cesión incons<strong>en</strong>tida, y así evitar<br />
posibles d<strong>en</strong>uncias.<br />
| 12 |
“<br />
Hay que t<strong>en</strong>er especial at<strong>en</strong>ción <strong>en</strong> la<br />
instalación de cámaras de videovigilancia, no<br />
tan solo es necesario registrar <strong>el</strong> fichero ante<br />
la AEPD, e incluirlo <strong>en</strong> <strong>el</strong> obligado Docum<strong>en</strong>to<br />
de Seguridad, sino que además es necesario<br />
colocar cart<strong>el</strong>es informativos al respecto, <strong>en</strong><br />
las zonas de grabación, informando a nuestros<br />
cli<strong>en</strong>tes sobre sus derechos de A.R.C.O.<br />
Según la Memoria d<strong>el</strong> 2010 <strong>el</strong> increm<strong>en</strong>to <strong>en</strong><br />
<strong>el</strong> registro de ficheros <strong>en</strong> esta materia fue<br />
de un 79’74% acumulando un total de 8.536<br />
ficheros fr<strong>en</strong>te a los 4.749 d<strong>el</strong> 2009, por lo que<br />
observamos un increm<strong>en</strong>to importante. Cabe<br />
m<strong>en</strong>cionar que las sanciones efectuadas <strong>en</strong><br />
2010 <strong>en</strong> este concepto se han increm<strong>en</strong>tado <strong>en</strong><br />
un 80’69% respecto a 2009<br />
Todo <strong>el</strong>lo nos anima a p<strong>en</strong>sar que no sólo<br />
es necesario <strong>en</strong> <strong>el</strong> <strong>sector</strong> hot<strong>el</strong>ero que la<br />
empresa cumpla la <strong>LOPD</strong> disponi<strong>en</strong>do de<br />
un docum<strong>en</strong>to de seguridad y los trámites<br />
de registro ante la Ag<strong>en</strong>cia Española de<br />
Protección de datos, sino que es sumam<strong>en</strong>te<br />
“<br />
importante que los profesionales de los<br />
hot<strong>el</strong>es (dirección, marketing, comercial<br />
e incluso las/los gobernantas/es y<br />
evid<strong>en</strong>tem<strong>en</strong>te <strong>el</strong> personal de recepción) estén<br />
conci<strong>en</strong>ciados debidam<strong>en</strong>te, conozcan la Ley<br />
y sobre todo como cumplirla de manera ágil<br />
y específica <strong>en</strong> <strong>el</strong> ámbito de sus funciones y<br />
responsabilidades profesionales.<br />
| 13 |
Resultados d<strong>el</strong> Estudio<br />
empresa hot<strong>el</strong>era española muestra<br />
<strong>La</strong> un bajo niv<strong>el</strong> de conocimi<strong>en</strong>to de<br />
la normativa sobre protección de datos<br />
personales, tanto de la <strong>LOPD</strong>, vig<strong>en</strong>te desde<br />
1999 (42%) como d<strong>el</strong> reci<strong>en</strong>te reglam<strong>en</strong>to de<br />
desarrollo (RD<strong>LOPD</strong>), <strong>en</strong> vigor desde abril de<br />
2008 (53%). Dado que la Ley lleva <strong>en</strong> vigor casi<br />
doce años, que su aplicación es de obligado<br />
cumplimi<strong>en</strong>to para todas las empresas con<br />
ficheros de datos personales, y que se prevén<br />
sanciones ante su incumplimi<strong>en</strong>to, preocupa<br />
<strong>el</strong> escaso conocimi<strong>en</strong>to de la misma <strong>en</strong>tre <strong>el</strong><br />
colectivo. De hecho, prácticam<strong>en</strong>te la totalidad<br />
de empresas manejan datos personales: <strong>el</strong> 96%<br />
de las pymes españolas dispon<strong>en</strong> de ficheros<br />
con Datos de carácter personal (ya sea <strong>en</strong> sus<br />
sistemas informáticos o <strong>en</strong> sus archivos <strong>en</strong><br />
pap<strong>el</strong>) y están por tanto pot<strong>en</strong>cialm<strong>en</strong>te sujetas<br />
a la normativa.<br />
Se muestran a continuación algunos datos<br />
clave sobre <strong>el</strong> niv<strong>el</strong> de adopción de la<br />
legislación, cuya información al completo se<br />
añade <strong>en</strong> las 18 gráficas de estudio sobre <strong>el</strong><br />
mismo número de cuestiones planteadas:<br />
• Sólo <strong>el</strong> 33% afirma haber realizado<br />
declaración de ficheros antes la Ag<strong>en</strong>cia<br />
Española de Protección de datos .<br />
• Sólo un 6% afirma haber t<strong>en</strong>ido algún<br />
ev<strong>en</strong>to o incid<strong>en</strong>te r<strong>el</strong>ativo a la protección de<br />
datos, normalm<strong>en</strong>te a través de quejas bi<strong>en</strong><br />
| 14 |
cli<strong>en</strong>tes huéspedes o de empleados.<br />
• Un 53% afirma no t<strong>en</strong>er planes de<br />
formación y conci<strong>en</strong>ciación sobre<br />
empleados y usuarios.<br />
• El cumplimi<strong>en</strong>to no es homogéneo<br />
<strong>en</strong>tre las distintas medidas de seguridad<br />
y procedimi<strong>en</strong>tos previstos <strong>en</strong> <strong>el</strong> R<strong>LOPD</strong>,<br />
aunque <strong>el</strong> grado de cumplimi<strong>en</strong>to técnico es<br />
notablem<strong>en</strong>te alto:<br />
o Establecimi<strong>en</strong>tos hot<strong>el</strong>eros que<br />
dispon<strong>en</strong> de docum<strong>en</strong>to de seguridad:<br />
18%<br />
o Establecimi<strong>en</strong>tos hot<strong>el</strong>eros que han<br />
realizado auditorías 8%<br />
o Establecimi<strong>en</strong>tos hot<strong>el</strong>eros que han<br />
incorporado medidas de seguridad<br />
técnicas como las copias de seguridad y<br />
Antivirus, 100%<br />
o Establecimi<strong>en</strong>tos hot<strong>el</strong>eros que ti<strong>en</strong><strong>en</strong><br />
implantado control de acceso <strong>en</strong> las<br />
aplicaciones, 21%<br />
o Establecimi<strong>en</strong>tos hot<strong>el</strong>eros que ti<strong>en</strong><strong>en</strong><br />
implantado control de acceso <strong>en</strong> la red,<br />
un 85%<br />
• Ha sido r<strong>el</strong>evante también conocer que<br />
la práctica totalidad de los <strong>en</strong>cuestados<br />
que gestionan datos de terceros (por<br />
ejemplo sociedades gestoras de hot<strong>el</strong>es)<br />
no ha realizado ninguna acción sobre este<br />
tratami<strong>en</strong>to (80 %), como es la <strong>el</strong>aboración<br />
de un docum<strong>en</strong>to de seguridad sobre los<br />
...<br />
| 15 |
datos que gestionan de otros hot<strong>el</strong>es u<br />
otros servicios sobre otras sociedades<br />
mercantiles (incumplimi<strong>en</strong>to de los articulos<br />
82 y 88 d<strong>el</strong> R<strong>LOPD</strong> 1720/2007).<br />
• Llama también la at<strong>en</strong>ción <strong>el</strong><br />
desconocimi<strong>en</strong>to de las implicaciones<br />
legales d<strong>el</strong> marketing sobre medios<br />
sociales (15 %), situación que <strong>en</strong> futuro<br />
cercano podría traer complicaciones <strong>en</strong> <strong>el</strong><br />
<strong>sector</strong>, ya que muchas empresas hot<strong>el</strong>eras<br />
están com<strong>en</strong>zando a realizar marketing<br />
directo a través de estos medios.<br />
• D<strong>el</strong> estudio se ha obt<strong>en</strong>ido que <strong>el</strong> 80% de<br />
la empresa hot<strong>el</strong>era cu<strong>en</strong>ta con ayuda de<br />
asesores o empresas consultoras para <strong>el</strong><br />
cumplimi<strong>en</strong>to de la legislación, pero un 20%<br />
de éstas no ti<strong>en</strong>e una opinión favorable<br />
sobre <strong>el</strong> servicio recibido.<br />
• También destaca que a pesar de que<br />
muchos hot<strong>el</strong>es cu<strong>en</strong>tan con sistemas de<br />
gestión de la calidad, sobre las normas<br />
ISO 9001, ISO 14001 o incluso EFQM o<br />
ISO 27001, no existe integración alguna<br />
con ambos sistemas, incluso un 38% de<br />
la muestra desconocía esta posibilidad.<br />
M<strong>en</strong>ción especial que <strong>el</strong> 3% de los hot<strong>el</strong>es<br />
<strong>en</strong>cuestados cu<strong>en</strong>tan con certificación de<br />
la norma internacional ISO/IEC 27001 sobre<br />
Gestión de la Seguridad de la Información,<br />
norma específica sobre seguridad de los<br />
sistemas de información.<br />
| 16 |
“En g<strong>en</strong>eral nos hemos <strong>en</strong>contrado que las<br />
barreras para la correcta implantación de<br />
la legislación son la falta de conocimi<strong>en</strong>to<br />
sobre la misma (42 %), la negativa percepción<br />
sobre los servicios realizados por asesores<br />
especializados <strong>en</strong> la <strong>LOPD</strong> (20%) y <strong>en</strong> g<strong>en</strong>eral<br />
la limitación de recursos (económicos,<br />
humanos y de tiempo) para ponerla<br />
correctam<strong>en</strong>te <strong>en</strong> práctica. Todos estos<br />
motivos hac<strong>en</strong> percibir <strong>el</strong> coste y tiempo de<br />
implem<strong>en</strong>tación excesivos, y consideran que<br />
la necesidad de desviar recursos humanos<br />
d<strong>el</strong> objeto principal d<strong>el</strong> negocio para la<br />
implem<strong>en</strong>tación de la normativa no es efectivo.<br />
| 17 |
| 18 |
| 19 |
| 20 |
| 21 |
| 22 |
| 23 |
| 24 |
| 25 |
| 26 |
| 27 |
| 28 |
| 29 |
| 30 |
| 31 |
| 32 |
| 33 |
| 34 |
| 35 |
Recom<strong>en</strong>daciones.<br />
Bu<strong>en</strong>as prácticas <strong>en</strong> <strong>LOPD</strong><br />
Mant<strong>en</strong>er actualizada la inscripción de los ficheros de datos de carácter personal. M<strong>en</strong>ción<br />
especial tras la modificación de la Ley desde abril de 2008 donde se modificó los niv<strong>el</strong>es de<br />
seguridad de los ficheros típicos de NÓMINA y GESTIÓN DEL PERSONAL.<br />
Incluir <strong>en</strong> los impresos y formularios de recogida de datos de los huéspedes y usuarios<br />
cláusulas informativas respecto al tratami<strong>en</strong>to de datos personales (derechos ARCO),<br />
conforme al artículo 5 de la <strong>LOPD</strong>, y adaptarlas <strong>en</strong> cada formulario <strong>en</strong> función d<strong>el</strong> fichero <strong>en</strong><br />
<strong>el</strong> que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, página<br />
web, etc.)<br />
Con proveedores y otras organizaciones donde se transmit<strong>en</strong> datos de huéspedes y<br />
empleados (touroperadores, AAVV, receptivos, gestorías, etc) realizar los debidos contratos<br />
de Confid<strong>en</strong>cialidad segun rige <strong>el</strong> Art. 13 de la <strong>LOPD</strong>. Estos terceros son id<strong>en</strong>tificados por<br />
la Ley como Encargados de Tratami<strong>en</strong>to y diversas medidas de seguridad y procedimi<strong>en</strong>tos<br />
deb<strong>en</strong> ser <strong>en</strong>caminados hacia <strong>el</strong>los.<br />
| 36 |
Colocar cart<strong>el</strong>es informativos sobre <strong>el</strong> derecho a la protección de datos personales de los<br />
usuarios d<strong>el</strong> hot<strong>el</strong>, que sean fácilm<strong>en</strong>te visibles por éstos. M<strong>en</strong>ción especial si se realizan<br />
grabaciones con videovigilancia, además <strong>en</strong> este caso NO instalarlas <strong>en</strong> lugares que<br />
vulner<strong>en</strong> la intimidad de los cli<strong>en</strong>tes (piscinas, aseos, vestuarios…)<br />
Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de información.<br />
Esta acción se puede realizar <strong>en</strong> <strong>el</strong> proceso de contratación. Contar <strong>en</strong> <strong>el</strong> establecimi<strong>en</strong>to<br />
hot<strong>el</strong>ero con un responsable fuera de la dirección, como puede ser <strong>el</strong> jefe de recepción o <strong>el</strong><br />
responsable comercial.<br />
Realizar auditorías para verificar si <strong>el</strong> personal autorizado utiliza los datos para la finalidad<br />
que justificó <strong>el</strong> acceso, verificando <strong>en</strong> especial <strong>el</strong> cumplimi<strong>en</strong>to de las medidas de seguridad<br />
sobre los ficheros que se pudiera gestionar sobre terceros.<br />
| 37 |
Almac<strong>en</strong>ar los archivos físicos de curriculums vitae <strong>en</strong> áreas seguras, cuidando de<br />
establecer contratos de <strong>en</strong>cargados de tratami<strong>en</strong>to con cualquier sociedad o empresa<br />
externa que trate esta información.<br />
Transmitir a los proveedores tecnológicos las obligaciones <strong>en</strong> material de seguridad<br />
tecnología. T<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta este factor a la hora de la contratación de los mismos.<br />
Informar al personal de limpieza y otros proveedores que pudieran t<strong>en</strong>er acceso a ficheros<br />
de datos personales <strong>en</strong> pap<strong>el</strong>, sobre la necesidad de garantizar la confid<strong>en</strong>cialidad de los<br />
datos (por ejemplo, <strong>en</strong> la recogida de la basura).<br />
| 38 |
Si la organización cu<strong>en</strong>ta con sistemas de gestión de la calidad y éstos son ágiles <strong>en</strong> la<br />
empresa, derivar los procedimi<strong>en</strong>tos e instrucciones técnicas de la <strong>LOPD</strong> al propio sistema.<br />
Contar con asesores <strong>en</strong> la <strong>LOPD</strong> que sobre todo transmitan formación adecuada y<br />
personalizada, y de manera pres<strong>en</strong>cial. <strong>La</strong> <strong>LOPD</strong> no debe tratarse como un tema únicam<strong>en</strong>te<br />
docum<strong>en</strong>tal o una facility de resolver y cerrar, una de las claves es la formación pres<strong>en</strong>cial<br />
a los empleados d<strong>el</strong> establecimi<strong>en</strong>to hot<strong>el</strong>ero.<br />
Aplicar los derechos ARCO <strong>en</strong> <strong>el</strong> marketing directo realizado sobre cualquier medio<br />
<strong>el</strong>ectrónico, incluido <strong>el</strong> realizado <strong>en</strong> medios sociales (inmails, m<strong>en</strong>sajes directos).<br />
| 39 |
Algunos de los datos mostrados <strong>en</strong> este estudio han sido consultados a la Ag<strong>en</strong>cia Española de protección de<br />
datos (www.agpd.es) a través d<strong>el</strong> Registro público de ficheros y de las memorias de actuaciones de la Ag<strong>en</strong>cia<br />
(años 2009 y 2010)<br />
Otras Fu<strong>en</strong>tes: Instituto Nacional de Tecnologías de la Comunicación (inteco.es). Artículos <strong>en</strong> Comunidad.host<strong>el</strong>tur.com<br />
<strong>La</strong> pres<strong>en</strong>te publicación pert<strong>en</strong>ece a Host<strong>el</strong>tur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la<br />
misma (<strong>IT360.es</strong> y SGPD). Esta obra compartida está bajo una lic<strong>en</strong>cia Reconocimi<strong>en</strong>to-No comercial 2.5 España<br />
de Creative Commons, y por <strong>el</strong>lo esta permitido copiar, distribuir y comunicar públicam<strong>en</strong>te esta obra bajo las<br />
condiciones sigui<strong>en</strong>tes:<br />
• Reconocimi<strong>en</strong>to: El cont<strong>en</strong>ido de este estudio se puede reproducir total o parcialm<strong>en</strong>te por terceros, citando su proced<strong>en</strong>cia y<br />
haci<strong>en</strong>do refer<strong>en</strong>cia expresa tanto a Ios autores como a sus sitios web: www.host<strong>el</strong>tur.com, www.<strong>IT360.es</strong>, ferranrebollo.wordpress.com<br />
. Dicho reconocimi<strong>en</strong>to no podrá <strong>en</strong> ningún caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya <strong>el</strong> uso que<br />
hace de su obra.<br />
• Uso No Comercial: El material original y los trabajos derivados pued<strong>en</strong> ser distribuidos, copiados y exhibidos mi<strong>en</strong>tras su uso no t<strong>en</strong>ga<br />
fines comerciales.<br />
Además los autores defin<strong>en</strong> una política de publicación <strong>en</strong> Internet de la pres<strong>en</strong>te obra de modo que no está permitido la publicación<br />
de la misma <strong>en</strong> otros sistios web difer<strong>en</strong>tes a los autores. Si se desea, por tanto, realizar <strong>en</strong>laces de descarga de la publicación deberá<br />
realizarse sobre los sitios web orginales y las URLs específicas sobre www.host<strong>el</strong>tur.com, www.<strong>IT360.es</strong>, ferranrebollo.wordpress.com<br />
Al reutilizar o distribuir la obra, debe de dejar bi<strong>en</strong> claro los términos de la lic<strong>en</strong>cia de la misma. Alguna de estas condiciones puede no<br />
aplicarse si se obti<strong>en</strong>e <strong>el</strong> permiso expreso de los autores como titular de los derechos de autor.<br />
Texto completo de la lic<strong>en</strong>cia: http://creativecommons.org/lic<strong>en</strong>ses/by-nc/2.5/es/<br />
| 40 |