Estudio de concienciación de la LOPD en sector hotelero - IT360.es
1. La LOPD en conocimiento en los profesionales del sector
el sector hotelero
Estudio de concienciación y
Toni Martín-Avila (IT360.es), Ferrán Rebollo (SGPD), Mario Arauzo (ITsencial)
2. Autores
Toni Martín Ávila
Consultor y Auditor en Seguridad de la información y Calidad TIC.
CISA. ISO 27001, ISO 20000 Lead Auditor.
Director en IT360.es, formador en doITsmart.es.
linkedin.com/tonimartinavila
twitter @tonimartinavila
Ferrán Rebollo
Consultor y auditor en LOPD.
Director en SGPD.
ferranrebollo.wordpress.com
twitter @rebollosgpd
Mario Arauzo
Consultor y auditor en Gestión de servicios TI y Seguridad de la información,
ISO 27001-ISO 20000 Lead Auditor. ITIL v3 Certified
Director en ITsencial.com, formador en doITsmart.es
http://es.linkedin.com/in/marioarauzo
| 2 |
3. Índice
1. ¿Por qué este estudio? 4
2. Ficha técnica 8
3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10
4. Resultado del estudio 14
5. Recomendaciones y Buenas prácticas 36
Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL.
Publicado en septiembre de 2011.
Diseño y maquetación: David Molina
Gráficas: Toni Martín Avila
Portada: www.boston.com (licencia Creative Commons)
| 3 |
4. ¿Por qué este estudio?
La protección de datos de carácter
personal es un derecho fundamental
reconocido en la Constitución Española que
de forma inadecuada, ni tratados o cedidos
a terceros sin consentimiento inequívoco del
titular. En este contexto, se entiende por dato
atribuye al titular del derecho la facultad de de carácter personal “cualquier información
tratar y almacenar sus datos y a disponer y concerniente a personas físicas identificadas o
decidir sobre los mismos. La Ley Orgánica de identificables1” (art. 3 LOPD).
Protección de Datos (LOPD) y su Reglamento
de Desarrollo (RDLOPD) concretan y La regulación ofrece a los ciudadanos las
desarrollan este derecho. A nivel europeo, la garantías y mecanismos necesarios para
Directiva Europea 95/46 CE del Parlamento proteger sus datos personales y controlar el
Europeo y del Consejo reconoce la protección uso que se realiza de los mismos. De cara
de las personas físicas en lo que respecta a garantizar la protección del derecho, se
al tratamiento de datos personales. La establecen obligaciones para toda persona
normativa sobre protección de datos responde física o jurídica que posea ficheros con datos
a la necesidad de proteger todos los datos de personales.
carácter personal, para que no sean utilizados
| 4 |
5. Las empresas, en su calidad de agentes que De este modo, es necesario que las
manejan y tratan datos de carácter personal, organizaciones, independientemente de
están obligadas a garantizar el derecho sus dimensiones establezcan una serie
fundamental a la protección de los datos de medidas jurídicas y organizativas que
personales de que disponen. La normativa garanticen el correcto tratamiento de
no contempla excepciones por tamaño, los datos que son recogidos de clientes,
facturación o sector de actividad, cualquier proveedores, colaboradores, empleados, o
empresa, por tanto, está incluida en el ámbito cualquier otro dato de carácter personal que
de aplicación de la legislación, siempre que manejen. El nivel de exigencia en cuanto al
trate o almacen datos de carácter personal cumplimiento de la LOPD es el mismo para
por su propia gestión o por encargo de servicio todas las empresas, sin que se establezcan
de otra empresa.
...
criterios distintos dependiendo de si es una
gran empresa o una microempresa.
| 5 |
6. “
La aplicación de la legislación en el sector
hotelero es a menudo complicada de
gestionar, principalmente por ser éste
un negocio enfocado directamente en las
personas y donde el cliente “duerme en casa
del propietario del servicio”. La implantación
de la Ley en los establecimientos hoteleros
es de sobra muy extendida, según datos de la
AEPD de la memoria de 2010 existen 81.554
ficheros registrados en los sectores de
Turismo y Hostelería, un 30.07% mas sobre
el 2009.
| 6 |
7. “
“
La realidad es que aunque en su mayoría Este estudio no pretende ser una evaluación
muchos hoteles han declarado los ficheros del estado de cumplimiento de la Ley en
ante la Agencia Española de Protección el sector, únicamente está enfocado en
de Datos (www.agpd.es), la percepción y la concienciación y conocimiento de los
conocimiento de los profesionales de la profesionales, como paso relevante al
misma es otra historia. Seis años después del cumplimiento de una obligación legal.
PLAN DE INSPECCIÓN DE OFICIO A CADENAS
HOTELERAS que realizó la Agencia, hemos
querido comprobar de la mano directamente
de los profesionales cual es su opinión y
conocimiento de la misma, cuales son los
problemas y riesgos que conocen y si de
alguna manera les ha reportado beneficios.
| 7 |
8. Ficha técnica del Estudio
Este estudio se realizó entre Junio
2010 y septiembre de 2011
mediante un cuestionario on-line anónimo
gestionado por bases de datos con control IP y
cookies para impedir duplicidad de registros.
La promoción del estudio se realizó a través
de email-marketing (800 direcciones de correo
electrónico), y distribuido por medios sociales
y los sitios web de los autores. La investigación
on-line se reforzó con 124 encuestas
telefónicas que además sirvió para enfatizar
algunas de las respuestas de los profesionales
encuestados y por entrevistas personales a
profesionales realizadas en diferentes trabajos
de consultoría y auditoría realizadas en los Error típico: 6,4 %
propios establecimientos hoteleros. Nivel de confianza: 95% p=q=50%
| 8 |
10. Los riesgos de incumplimiento de la LOPD
en el sector hotelero
“Mi cliente duerme en mi casa”. Esta
frase puede decirla, sin ningún
pudor, cualquier empresario del sector. Y es
e incluso servicios más personales en las
instalaciones del hotel y realizados en
ocasiones por terceros (spa, tratamientos
que el sector hotelero es uno de los ejemplos de alimentación, gestión del minibar, etc.).
más claros del marketing relacional y directo, El marketing sobre los futuros y actuales
lo que le hace proclive a ser muy sensible clientes es además intenso, a través de
con el tratamiento y almacenamiento de email marketing, en las reservas on-line e
datos personales, especialmente de sus incluso en la promoción y RRPP sobre medios
huéspedes, donde el trasiego de personas sociales, donde el hotelero y en general
es constante viniendo de hecho de multitud el Turismo han sido unos de los primeros
de países (mercados emisores). Los hoteles sectores en entrar de lleno en el
disponen además de otros servicios donde marketing 2.0.
el tratamiento de datos personales se suma
a los habituales de la administración de una
habitación y servicios. Estos son la gestión
de eventos, los programas de fidelización
| 10 |
11. La gestión y administración de los propios terceros. Todos estos tratamientos se suman
hoteles (propiedad o arrendamiento, gestión a los informáticos, ya que en la totalidad de
externa o franquicia) puede traer consigo los establecimientos existen sistemas de
además ciertos riesgos pues en algunas información que mediante bases de datos
ocasiones se pueden realizar transmisión de y aplicaciones informáticas incorporan
datos entre sociedades mercantiles sin haber la automatización de la información. La
realizado las debidas medidas que marca la gestión de los datos personales se realiza
Ley (básicamente el deber de información hacia en ocasiones sobre capas superiores, por
el huésped y la contratación entre encargado ejemplo en cadenas hoteleras se realizan
de tratamiento y el responsable del fichero), lo habitualmente tratamientos de Datawarehosue
que podría ser calificado como una cesión no y DataMining para segmentar adecuadamente
consentida, y por tanto sancionable por la AEPD las peculiaridades del cliente para realizar
. Ello es importante también a nivel del ciclo acciones de marketing más directas,
de contratación, desde touroperadores y AAVV
y las posibles salidas de información como a
receptivos u otros servicios profesionales de
potentes CRMs. ...
incorporando estos datos desde el kardex a
| 11 |
12. A todo este tratamiento de datos personales La formación de los empleados por ejemplo
de los huéspedes, hay que añadir que el sector en manipulación de alimentos que en muchos
dispone de movimiento de personal contratado casos se realizara través de la fundación
relevante, con contratos fijos discontinuos, tripartita, y que por tanto obliga a ceder
con altas y bajas constante de empleados. El datos de los mismos para llevar a cabo dicha
ciclo de vida de información de contratación formación, implica obtener el consentimiento
de empleados trae consigo algunos riesgos, de los propios empleados, para esta cesión
como son la no debida seguridad por ejemplo de datos. Tanto en el caso de los curriculums
en los currículums vitae en papel, así como recibidos como la formación de los
los recibidos a través del email corporativo de empleados, hacemos mención en recabar su
la empresa, en ambos casos se debe recabar consentimiento para no ser tratado como una
la aceptación por parte del demandante de cesión inconsentida, y así evitar
empleo, en cuanto a poder ceder sus datos posibles denuncias.
incluso a los diferentes hoteles que forman
parte de la sociedad hotelera.
| 12 |
13. “
Hay que tener especial atención en la Todo ello nos anima a pensar que no sólo
instalación de cámaras de videovigilancia, no es necesario en el sector hotelero que la
tan solo es necesario registrar el fichero ante empresa cumpla la LOPD disponiendo de
la AEPD, e incluirlo en el obligado Documento un documento de seguridad y los trámites
de Seguridad, sino que además es necesario de registro ante la Agencia Española de
colocar carteles informativos al respecto, en
las zonas de grabación, informando a nuestros
clientes sobre sus derechos de A.R.C.O.
Según la Memoria del 2010 el incremento en
el registro de ficheros en esta materia fue
de un 79’74% acumulando un total de 8.536
ficheros frente a los 4.749 del 2009, por lo que
observamos un incremento importante. Cabe
“
Protección de datos, sino que es sumamente
importante que los profesionales de los
hoteles (dirección, marketing, comercial
e incluso las/los gobernantas/es y
evidentemente el personal de recepción) estén
concienciados debidamente, conozcan la Ley
y sobre todo como cumplirla de manera ágil
y específica en el ámbito de sus funciones y
mencionar que las sanciones efectuadas en responsabilidades profesionales.
2010 en este concepto se han incrementado en
un 80’69% respecto a 2009
| 13 |
14. Resultados del Estudio
La empresa hotelera española muestra
un bajo nivel de conocimiento de
la normativa sobre protección de datos
sistemas informáticos o en sus archivos en
papel) y están por tanto potencialmente sujetas
a la normativa.
personales, tanto de la LOPD, vigente desde
1999 (42%) como del reciente reglamento de Se muestran a continuación algunos datos
desarrollo (RDLOPD), en vigor desde abril de clave sobre el nivel de adopción de la
2008 (53%). Dado que la Ley lleva en vigor casi legislación, cuya información al completo se
doce años, que su aplicación es de obligado añade en las 18 gráficas de estudio sobre el
cumplimiento para todas las empresas con mismo número de cuestiones planteadas:
ficheros de datos personales, y que se prevén
sanciones ante su incumplimiento, preocupa • Sólo el 33% afirma haber realizado
el escaso conocimiento de la misma entre el declaración de ficheros antes la Agencia
colectivo. De hecho, prácticamente la totalidad Española de Protección de datos .
de empresas manejan datos personales: el 96% • Sólo un 6% afirma haber tenido algún
de las pymes españolas disponen de ficheros evento o incidente relativo a la protección de
con Datos de carácter personal (ya sea en sus datos, normalmente a través de quejas bien
| 14 |
15. clientes huéspedes o de empleados. técnicas como las copias de seguridad y
• Un 53% afirma no tener planes de Antivirus, 100%
formación y concienciación sobre o Establecimientos hoteleros que tienen
empleados y usuarios. implantado control de acceso en las
• El cumplimiento no es homogéneo aplicaciones, 21%
entre las distintas medidas de seguridad o Establecimientos hoteleros que tienen
y procedimientos previstos en el RLOPD, implantado control de acceso en la red,
aunque el grado de cumplimiento técnico es un 85%
notablemente alto:
o Establecimientos hoteleros que • Ha sido relevante también conocer que
disponen de documento de seguridad: la práctica totalidad de los encuestados
18% que gestionan datos de terceros (por
o Establecimientos hoteleros que han ejemplo sociedades gestoras de hoteles)
realizado auditorías 8% no ha realizado ninguna acción sobre este
o Establecimientos hoteleros que han
incorporado medidas de seguridad
tratamiento (80 %), como es la elaboración
de un documento de seguridad sobre los ...
| 15 |
16. datos que gestionan de otros hoteles u de éstas no tiene una opinión favorable
otros servicios sobre otras sociedades sobre el servicio recibido.
mercantiles (incumplimiento de los articulos • También destaca que a pesar de que
82 y 88 del RLOPD 1720/2007). muchos hoteles cuentan con sistemas de
• Llama también la atención el gestión de la calidad, sobre las normas
desconocimiento de las implicaciones ISO 9001, ISO 14001 o incluso EFQM o
legales del marketing sobre medios ISO 27001, no existe integración alguna
sociales (15 %), situación que en futuro con ambos sistemas, incluso un 38% de
cercano podría traer complicaciones en el la muestra desconocía esta posibilidad.
sector, ya que muchas empresas hoteleras Mención especial que el 3% de los hoteles
están comenzando a realizar marketing encuestados cuentan con certificación de
directo a través de estos medios. la norma internacional ISO/IEC 27001 sobre
• Del estudio se ha obtenido que el 80% de Gestión de la Seguridad de la Información,
la empresa hotelera cuenta con ayuda de norma específica sobre seguridad de los
asesores o empresas consultoras para el sistemas de información.
cumplimiento de la legislación, pero un 20%
| 16 |
17. “
En general nos hemos encontrado que las
barreras para la correcta implantación de
la legislación son la falta de conocimiento
sobre la misma (42 %), la negativa percepción
sobre los servicios realizados por asesores
especializados en la LOPD (20%) y en general
la limitación de recursos (económicos,
humanos y de tiempo) para ponerla
correctamente en práctica. Todos estos
motivos hacen percibir el coste y tiempo de
implementación excesivos, y consideran que
la necesidad de desviar recursos humanos
del objeto principal del negocio para la
implementación de la normativa no es efectivo.
| 17 |
36. Recomendaciones.
Buenas prácticas en LOPD
Mantener actualizada la inscripción de los ficheros de datos de carácter personal. Mención
especial tras la modificación de la Ley desde abril de 2008 donde se modificó los niveles de
seguridad de los ficheros típicos de NÓMINA y GESTIÓN DEL PERSONAL.
Incluir en los impresos y formularios de recogida de datos de los huéspedes y usuarios
cláusulas informativas respecto al tratamiento de datos personales (derechos ARCO),
conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en
el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, página
web, etc.)
Con proveedores y otras organizaciones donde se transmiten datos de huéspedes y
empleados (touroperadores, AAVV, receptivos, gestorías, etc) realizar los debidos contratos
de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por
la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos
deben ser encaminados hacia ellos.
| 36 |
37. Colocar carteles informativos sobre el derecho a la protección de datos personales de los
usuarios del hotel, que sean fácilmente visibles por éstos. Mención especial si se realizan
grabaciones con videovigilancia, además en este caso NO instalarlas en lugares que
vulneren la intimidad de los clientes (piscinas, aseos, vestuarios…)
Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de información.
Esta acción se puede realizar en el proceso de contratación. Contar en el establecimiento
hotelero con un responsable fuera de la dirección, como puede ser el jefe de recepción o el
responsable comercial.
Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad
que justificó el acceso, verificando en especial el cumplimiento de las medidas de seguridad
sobre los ficheros que se pudiera gestionar sobre terceros.
| 37 |
38. Almacenar los archivos físicos de curriculums vitae en áreas seguras, cuidando de
establecer contratos de encargados de tratamiento con cualquier sociedad o empresa
externa que trate esta información.
Transmitir a los proveedores tecnológicos las obligaciones en material de seguridad
tecnología. Tener en cuenta este factor a la hora de la contratación de los mismos.
Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros
de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los
datos (por ejemplo, en la recogida de la basura).
| 38 |
39. Si la organización cuenta con sistemas de gestión de la calidad y éstos son ágiles en la
empresa, derivar los procedimientos e instrucciones técnicas de la LOPD al propio sistema.
Contar con asesores en la LOPD que sobre todo transmitan formación adecuada y
personalizada, y de manera presencial. La LOPD no debe tratarse como un tema únicamente
documental o una facility de resolver y cerrar, una de las claves es la formación presencial
a los empleados del establecimiento hotelero.
Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio
electrónico, incluido el realizado en medios sociales (inmails, mensajes directos).
| 39 |
40. Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Española de protección de
datos (www.agpd.es) a través del Registro público de ficheros y de las memorias de actuaciones de la Agencia
(años 2009 y 2010)
Otras Fuentes: Instituto Nacional de Tecnologías de la Comunicación (inteco.es). Artículos en Comunidad.hosteltur.com
La presente publicación pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la
misma (IT360.es y SGPD). Esta obra compartida está bajo una licencia Reconocimiento-No comercial 2.5 España
de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las
condiciones siguientes:
• Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y
haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
. Dicho reconocimiento no podrá en ningún caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que
hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga
fines comerciales.
Además los autores definen una política de publicación en Internet de la presente obra de modo que no está permitido la publicación
de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicación deberá
realizarse sobre los sitios web orginales y las URLs específicas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
Al reutilizar o distribuir la obra, debe de dejar bien claro los términos de la licencia de la misma. Alguna de estas condiciones puede no
aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor.
Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/
| 40 |