Seis claves sobre la nueva normativa de protección de datos en los hoteles, y la llegada de la IA: así afecta a los huéspedes
|
03/11/2024 05:35
|
Actualizado: 02/11/2024 22:48
|
Llegar a hacer el check-in a un hotel siempre es un momento de dudas para los huéspedes. Y es que no siempre se tiene claro qué datos deben entregarse a la dirección del hotel, ni cómo éste debe gestionarlos.
Una realidad que se hace aún más polémica ante la llegada de nuevas normativas, como es el caso del Reglamento de Inteligencia Artificial y, especialmente, el Real Decreto 933/2021, que podría obligar a los hoteles a recabar aún más información sobre sus huéspedes.
Cuestión ante la que Ramón Mesonero-Romanos e Ingrid González, socio y manager area de Ceca-Magán, no han dudado en aclarar las principales dudas de los consumidores a la hora de disfrutar de un hotel, a la vez que de la protección de sus datos más personales.
¿Considera la normativa de protección de datos es desconocida por el gran público?
La normativa en materia de protección de datos es la gran desconocida tanto para empresas, quienes son sancionadas con cuantiosas multas administrativas como para los ciudadanos que ven considerablemente afectados sus datos personales en el día a día.
Quizás la falta de conocimiento o interés por la materia derive del enfoque dado a la misma. Es habitual encontrar tediosos formularios con infinitas casillas o cláusulas informativas extremadamente largas que invitan al lector a pulsar “Aceptar todo”.
Redactados en un lenguaje técnico y con una estructura densa, estos documentos resultan tan largos y detallados que acaban por, irónicamente, diluir la transparencia para la que fueron ideados. Este punto debe cambiar. Para cumplir con la normativa aplicable en protección de datos no debería ser suficiente con satisfacer aquellos aspectos requeridos legalmente sino garantizar que estos son accesibles y comprensibles para los interesados.
¿Cómo deben gestionar los hoteles los datos de sus clientes? ¿Y si se produce una brecha de seguridad?
Debido al volumen de datos tratados por las empresas del sector hotelero, la gestión de los mismos puede convertirse en un punto vulnerable por el que ser sancionado o una ventaja competitiva. Por ello, los hoteles siempre han estado en el punto de mira de las autoridades de control debido a un pilar fundamental en la materia de protección de datos y por el cual se debe regir la gestión y tratamiento de los mismos: el principio de minimización.
Esto implica que los hoteles únicamente pueden tratar los datos estrictamente necesarios para la prestación de sus servicios de hospedaje. En este sentido, se han venido observando multitud de resoluciones por parte de la AEPD en las que sancionaba a hoteles por recabar datos de manera excesiva, por ejemplo, a través de la fotocopia del DNI o la incorporación de los datos del huésped a los dispositivos empleados por el personal de servicio del hotel que se utiliza para verificar la identidad del huésped cuando realizan consumos en el hotel.
Asimismo, teniendo en consideración la volumetría dada por su actividad, debe primar la implementación de robustas medidas de seguridad de cara a mitigar los riesgos a sufrir fugas de información o cualquier otra brecha de seguridad que pueda perjudicar a los intereses de los afectados ,así como a su propia reputación.
Con respecto a las brechas de seguridad, es esencial contar con políticas internas que permitan al personal en primer lugar identificar el acontecimiento de un incidente de seguridad y en segundo lugar, abordar los pasos a seguir para su adecuada gestión. En este sentido, a la hora de hacer una valoración inicial de la magnitud de la brecha debemos tener en cuenta el número de personas afectadas, el carácter de los datos, las medidas de seguridad previas y las implementadas a raíz de la brecha, y lo más importante, el impacto que esta brecha pueda suponer para los derechos e intereses de los afectados. En función de todo ello, se debe analizar la obligatoriedad o no de comunicarla tanto a la AEPD como a los afectados y actuar en consecuencia.
El Gobierno estipulaba recientemente que los hoteles deberán exigir hasta 43 datos de sus huéspedes. ¿Esto podría vulnerar sus derechos?
Antes del Real Decreto 933/2021 (RD), los hoteles recababan, los datos relativos a la identificación del huésped, método de pago y, en su caso, datos de contacto, de los cuales solamente comunicaban a través del registro de viajeros a la Policía Nacional, Guardia Civil, Ertztaintza o Mossos d’Esquadra según el caso, los datos identificativos. Sin embargo, la nueva normativa contempla la comunicación a los Cuerpos y Fuerzas de Seguridad del Estado un número considerablemente mayor de datos personales de los huéspedes, incluyendo los métodos de pago y las relaciones de parentesco entre los viajeros cuando haya menores de edad.
Si bien, esta disposición se basa en garantizar la seguridad ciudadana y pública, ha sido objeto de crítica por gran parte del sector hotelero, incluso de la doctrina. El debate se fundamenta en que el RD contraviene la tendencia marcada por la autoridad de control, puesto que, se puede dar la situación en la que un hotel para cumplir con la obligación de comunicar el registro de viajeros conforme al RD, deba recabar datos de los huéspedes que no se han venido recabando hasta ahora, y que por lo tanto, no son necesarios para la prestación de sus servicios, de tal manera que se incumpla el mencionado principio de minimización, en contra de los derechos e intereses de los huéspedes.
Debido al rechazo generado y la presión ejercida por las patronales, el Ministerio de Interior baraja la posibilidad de realizar una nueva prórroga de la suspensión de esta normativa, la cuarta hasta la fecha, que fue publicada en octubre de 2021 y cuyas obligaciones relativas al registro de viajeros aún no han entrado en vigor.
¿Cuáles son los derechos de un huésped en la visita de un hotel? ¿Se informa de ello, según su opinión, correctamente?
A nuestro juicio, el derecho clave para los huéspedes, y sobre el que pivota el resto, es el derecho a ser informado. La normativa de protección de datos obliga a los hoteles, como responsables del tratamiento, a informar a los interesados, en este caso los huéspedes, sobre cómo se lleva a cabo el tratamiento de sus datos personales: para qué finalidad se tratan, por cuánto tiempo se van a conservar, si existen cesiones de datos a terceros o transferencias a países fuera del Espacio Económico Europeo, etc.
Igualmente, entre esta información se debe advertir al huésped de la posibilidad de ejercer el resto de derechos contemplados por la legislación, como son: el derecho a conocer qué datos personales vinculados a su persona maneja el hotel (derecho de acceso), la posibilidad de corregir o actualizar alguno de estos datos (derecho de rectificación) o incluso el derecho a solicitar el borrado de todos sus datos personales una vez haya finalizado la prestación del servicio (derecho de supresión, también conocido como derecho al olvido).
Los hoteles deben advertir a los huéspedes de la existencia de estos derechos y las indicaciones para ejercer los mismos en sus cláusulas informativas o políticas de privacidad contempladas en la web. Sin embargo, en ocasiones, el vocabulario técnico empleado en estos textos puede resultar complejo y difícil de entender para quienes no están familiarizados con esta normativa. Es precisamente en este punto donde los hoteles tienen que mostrar su compromiso con los huéspedes y la materia de protección de datos, poniendo a disposición esta información de manera que resulte clara y accesible para ellos.
¿Podrían negar el hotel el hospedaje a un huésped que se niegue a dar estos datos?
Sí, el hotel puede negar el hospedaje a un huésped que no desee proporcionar los datos necesarios tanto para formalizar la reserva como para cumplir con las obligaciones legales, tales como la obligación de registrar a los huéspedes y, en su caso, poner a disposición de las autoridades competentes esta información.
La negativa por parte del huésped de facilitar estos datos puede impedir al hotel prestar correctamente sus servicios.
¿Cómo podrán implementarse nuevas tecnologías, como la Inteligencia Artificial, en los hoteles, sin vulnerar los datos de hotel o cliente?
Existen numerosas aplicaciones de la IA en diversos aspectos clave del sector hotelero como la automatización del check-in y check-out, revenue management, mantenimiento predictivo a través de la monitorización de los estados de los equipos y las infraestructuras del hotel, asistentes virtuales y chatbots en los procesos de reserva, etc. Sin embargo, de cara a cumplir con la normativa en materia de protección de datos y a garantizar los derechos e intereses de los huéspedes es esencial implementar de forma previa políticas de privacidad desde el diseño y por defectos que analicen las implicaciones y posibles riesgos que se pudieran derivar de la implementación de dichas herramientas.
Además, con base en el nuevo Reglamento de IA publicado este año, deberemos prestar especial atención a los usos que se pretendan dar dentro de la actividad turística y hotelera a los sistemas de IA, ya que según su funcionalidad se podrán clasificar como sistemas de alto riesgo o incluso, prácticas prohibidas.
En caso de que el sistema sea de uso general no existen numerosos impedimentos ni riesgos para los huéspedes para que sea usado como forma de apoyo a las funciones básicas del hotel, como puede ser la gestión de reservas del hotel, siempre y cuando se tengan presente las disposiciones generales aplicables desde la óptica de protección de datos y las consecuentes medidas de seguridad.
No obstante, en caso de que quiera usarse un sistema que, por sus características, entre dentro de la clasificación de “alto riesgo”, deberá someterse antes de usarse a una evaluación de conformidad con el objetivo para el cual vaya a usarse (en este caso en servicios de hospedaje) para asegurar, entre otros aspectos, que no vulnera datos de los clientes.
Noticias Relacionadas: