La

LOPD
en
el
sector
hotelero
Estudio de concienciacin y conocimiento en los profesionales del sector

Toni Martn-Avila (IT360.es), Ferrn Rebollo (SGPD), Mario Arauzo (ITsencial)

Autores
Toni Martn vila
Consultor y Auditor en Seguridad de la informacin y Calidad TIC.
CISA. ISO 27001, ISO 20000 Lead Auditor.
Director en IT360.es, formador en doITsmart.es.
linkedin.com/tonimartinavila
twitter @tonimartinavila
Ferrn Rebollo
Consultor y auditor en LOPD.
Director en SGPD.
ferranrebollo.wordpress.com
twitter @rebollosgpd
Mario Arauzo
Consultor y auditor en Gestin de servicios TI y Seguridad de la informacin,
ISO 27001-ISO 20000 Lead Auditor. ITIL v3 Certified
Director en ITsencial.com, formador en doITsmart.es
http://es.linkedin.com/in/marioarauzo
| 2 |

ndice
1. Por qu este estudio?

2. Ficha tcnica

3. Los riesgos de incumplimiento de la LOPD en el sector hotelero

10

4. Resultado del estudio

14

5. Recomendaciones y Buenas prcticas

36

Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL.

Publicado en septiembre de 2011.
Diseo y maquetacin: David Molina
Grficas: Toni Martn Avila
Portada: www.boston.com (licencia Creative Commons)

| 3 |

Por qu este estudio?

La

proteccin de datos de carcter

de forma inadecuada, ni tratados o cedidos

personal es un derecho fundamental

a terceros sin consentimiento inequvoco del

reconocido en la Constitucin Espaola que

titular. En este contexto, se entiende por dato

atribuye al titular del derecho la facultad de

de carcter personal cualquier informacin

tratar y almacenar sus datos y a disponer y

concerniente a personas fsicas identificadas o

identificables1 (art. 3 LOPD).

decidir sobre los mismos. La Ley Orgnica de

Proteccin de Datos (LOPD) y su Reglamento
de Desarrollo (RDLOPD) concretan y

La regulacin ofrece a los ciudadanos las

desarrollan este derecho. A nivel europeo, la

garantas y mecanismos necesarios para

Directiva Europea 95/46 CE del Parlamento

proteger sus datos personales y controlar el

Europeo y del Consejo reconoce la proteccin

uso que se realiza de los mismos. De cara

de las personas fsicas en lo que respecta

a garantizar la proteccin del derecho, se

al tratamiento de datos personales. La

establecen obligaciones para toda persona

normativa sobre proteccin de datos responde

fsica o jurdica que posea ficheros con datos

a la necesidad de proteger todos los datos de

personales.

carcter personal, para que no sean utilizados

| 4 |

Las empresas, en su calidad de agentes que

De este modo, es necesario que las

manejan y tratan datos de carcter personal,

organizaciones, independientemente de

estn obligadas a garantizar el derecho

sus dimensiones establezcan una serie

fundamental a la proteccin de los datos

de medidas jurdicas y organizativas que

personales de que disponen. La normativa

garanticen el correcto tratamiento de

no contempla excepciones por tamao,

los datos que son recogidos de clientes,

facturacin o sector de actividad, cualquier

proveedores, colaboradores, empleados, o

empresa, por tanto, est incluida en el mbito

cualquier otro dato de carcter personal que

de aplicacin de la legislacin, siempre que

manejen. El nivel de exigencia en cuanto al

trate o almacen datos de carcter personal

cumplimiento de la LOPD es el mismo para

por su propia gestin o por encargo de servicio

todas las empresas, sin que se establezcan

de otra empresa.

criterios distintos dependiendo de si es una

gran empresa o una microempresa.

| 5 |

...

La aplicacin de la legislacin en el sector

hotelero es a menudo complicada de
gestionar, principalmente por ser ste
un negocio enfocado directamente en las
personas y donde el cliente duerme en casa
del propietario del servicio. La implantacin
de la Ley en los establecimientos hoteleros
es de sobra muy extendida, segn datos de la
AEPD de la memoria de 2010 existen 81.554
ficheros registrados en los sectores de
Turismo y Hostelera, un 30.07% mas sobre
el 2009.

| 6 |

La realidad es que aunque en su mayora

muchos hoteles han declarado los ficheros
ante la Agencia Espaola de Proteccin
de Datos (www.agpd.es), la percepcin y
conocimiento de los profesionales de la
misma es otra historia. Seis aos despus del
PLAN DE INSPECCIN DE OFICIO A CADENAS
HOTELERAS que realiz la Agencia, hemos
querido comprobar de la mano directamente
de los profesionales cual es su opinin y
conocimiento de la misma, cuales son los
problemas y riesgos que conocen y si de
alguna manera les ha reportado beneficios.

Este estudio no pretende ser una evaluacin

del estado de cumplimiento de la Ley en
el sector, nicamente est enfocado en
la concienciacin y conocimiento de los
profesionales, como paso relevante al
cumplimiento de una obligacin legal.

| 7 |

Ficha tcnica del Estudio

Este

estudio se realiz entre Junio

2010 y septiembre de 2011

mediante un cuestionario on-line annimo

gestionado por bases de datos con control IP y
cookies para impedir duplicidad de registros.
La promocin del estudio se realiz a travs
de email-marketing (800 direcciones de correo
electrnico), y distribuido por medios sociales
y los sitios web de los autores. La investigacin
on-line se reforz con 124 encuestas
telefnicas que adems sirvi para enfatizar
algunas de las respuestas de los profesionales
encuestados y por entrevistas personales a
profesionales realizadas en diferentes trabajos
de consultora y auditora realizadas en los

Error tpico: 6,4 %

propios establecimientos hoteleros.

Nivel de confianza: 95% p=q=50%

| 8 |

| 9 |

Los riesgos de incumplimiento de la LOPD

en el sector hotelero

Mi

cliente duerme en mi casa. Esta

frase puede decirla, sin ningn
pudor, cualquier empresario del sector. Y es
que el sector hotelero es uno de los ejemplos
ms claros del marketing relacional y directo,
lo que le hace proclive a ser muy sensible
con el tratamiento y almacenamiento de
datos personales, especialmente de sus
huspedes, donde el trasiego de personas
es constante viniendo de hecho de multitud
de pases (mercados emisores). Los hoteles
disponen adems de otros servicios donde
el tratamiento de datos personales se suma
a los habituales de la administracin de una
habitacin y servicios. Estos son la gestin
de eventos, los programas de fidelizacin

e incluso servicios ms personales en las

instalaciones del hotel y realizados en
ocasiones por terceros (spa, tratamientos
de alimentacin, gestin del minibar, etc.).
El marketing sobre los futuros y actuales
clientes es adems intenso, a travs de
email marketing, en las reservas on-line e
incluso en la promocin y RRPP sobre medios
sociales, donde el hotelero y en general
el Turismo han sido unos de los primeros
sectores en entrar de lleno en el
marketing 2.0.

| 10 |

La gestin y administracin de los propios

terceros. Todos estos tratamientos se suman

hoteles (propiedad o arrendamiento, gestin

a los informticos, ya que en la totalidad de

externa o franquicia) puede traer consigo

los establecimientos existen sistemas de

adems ciertos riesgos pues en algunas

informacin que mediante bases de datos

ocasiones se pueden realizar transmisin de

y aplicaciones informticas incorporan

datos entre sociedades mercantiles sin haber

la automatizacin de la informacin. La

realizado las debidas medidas que marca la

gestin de los datos personales se realiza

Ley (bsicamente el deber de informacin hacia

en ocasiones sobre capas superiores, por

el husped y la contratacin entre encargado

ejemplo en cadenas hoteleras se realizan

de tratamiento y el responsable del fichero), lo

habitualmente tratamientos de Datawarehosue

que podra ser calificado como una cesin no

y DataMining para segmentar adecuadamente

consentida, y por tanto sancionable por la AEPD

las peculiaridades del cliente para realizar

. Ello es importante tambin a nivel del ciclo

acciones de marketing ms directas,

de contratacin, desde touroperadores y AAVV

incorporando estos datos desde el kardex a

y las posibles salidas de informacin como a

potentes CRMs.

receptivos u otros servicios profesionales de

| 11 |

...

A todo este tratamiento de datos personales

La formacin de los empleados por ejemplo

de los huspedes, hay que aadir que el sector

en manipulacin de alimentos que en muchos

dispone de movimiento de personal contratado

casos se realizara travs de la fundacin

relevante, con contratos fijos discontinuos,

tripartita, y que por tanto obliga a ceder

con altas y bajas constante de empleados. El

datos de los mismos para llevar a cabo dicha

ciclo de vida de informacin de contratacin

formacin, implica obtener el consentimiento

de empleados trae consigo algunos riesgos,

de los propios empleados, para esta cesin

como son la no debida seguridad por ejemplo

de datos. Tanto en el caso de los curriculums

en los currculums vitae en papel, as como

recibidos como la formacin de los

los recibidos a travs del email corporativo de

empleados, hacemos mencin en recabar su

la empresa, en ambos casos se debe recabar

consentimiento para no ser tratado como una

la aceptacin por parte del demandante de

cesin inconsentida, y as evitar

empleo, en cuanto a poder ceder sus datos

posibles denuncias.

incluso a los diferentes hoteles que forman

parte de la sociedad hotelera.

| 12 |

Todo ello nos anima a pensar que no slo

es necesario en el sector hotelero que la
empresa cumpla la LOPD disponiendo de
un documento de seguridad y los trmites
de registro ante la Agencia Espaola de
Proteccin de datos, sino que es sumamente
importante que los profesionales de los
hoteles (direccin, marketing, comercial
e incluso las/los gobernantas/es y
evidentemente el personal de recepcin) estn
concienciados debidamente, conozcan la Ley
y sobre todo como cumplirla de manera gil
y especfica en el mbito de sus funciones y
responsabilidades profesionales.

instalacin de cmaras de videovigilancia, no

tan solo es necesario registrar el fichero ante

la AEPD, e incluirlo en el obligado Documento

de Seguridad, sino que adems es necesario
colocar carteles informativos al respecto, en

las zonas de grabacin, informando a nuestros

clientes sobre sus derechos de A.R.C.O.

Segn la Memoria del 2010 el incremento en

el registro de ficheros en esta materia fue

de un 7974% acumulando un total de 8.536

ficheros frente a los 4.749 del 2009, por lo que

observamos un incremento importante. Cabe
mencionar que las sanciones efectuadas en
2010 en este concepto se han incrementado en
un 8069% respecto a 2009
| 13 |

Hay que tener especial atencin en la

Resultados del Estudio

La

empresa hotelera espaola muestra

sistemas informticos o en sus archivos en

un bajo nivel de conocimiento de

papel) y estn por tanto potencialmente sujetas

la normativa sobre proteccin de datos

a la normativa.

personales, tanto de la LOPD, vigente desde

1999 (42%) como del reciente reglamento de

Se muestran a continuacin algunos datos

desarrollo (RDLOPD), en vigor desde abril de

clave sobre el nivel de adopcin de la

2008 (53%). Dado que la Ley lleva en vigor casi

legislacin, cuya informacin al completo se

doce aos, que su aplicacin es de obligado

aade en las 18 grficas de estudio sobre el

cumplimiento para todas las empresas con

mismo nmero de cuestiones planteadas:

ficheros de datos personales, y que se prevn

sanciones ante su incumplimiento, preocupa

Slo el 33% afirma haber realizado

el escaso conocimiento de la misma entre el

declaracin de ficheros antes la Agencia

colectivo. De hecho, prcticamente la totalidad

Espaola de Proteccin de datos .

de empresas manejan datos personales: el 96%

Slo un 6% afirma haber tenido algn

de las pymes espaolas disponen de ficheros

evento o incidente relativo a la proteccin de

con Datos de carcter personal (ya sea en sus

datos, normalmente a travs de quejas bien

| 14 |

clientes huspedes o de empleados.

tcnicas como las copias de seguridad y

Un 53% afirma no tener planes de

Antivirus, 100%

formacin y concienciacin sobre

o Establecimientos hoteleros que tienen

empleados y usuarios.

implantado control de acceso en las

El cumplimiento no es homogneo

aplicaciones, 21%

entre las distintas medidas de seguridad

o Establecimientos hoteleros que tienen

y procedimientos previstos en el RLOPD,

implantado control de acceso en la red,

aunque el grado de cumplimiento tcnico es

un 85%

notablemente alto:
o Establecimientos hoteleros que

Ha sido relevante tambin conocer que

disponen de documento de seguridad:

la prctica totalidad de los encuestados

18%

que gestionan datos de terceros (por

o Establecimientos hoteleros que han

ejemplo sociedades gestoras de hoteles)

realizado auditoras 8%

no ha realizado ninguna accin sobre este

o Establecimientos hoteleros que han

tratamiento (80 %), como es la elaboracin

incorporado medidas de seguridad

de un documento de seguridad sobre los

| 15 |

...

datos que gestionan de otros hoteles u

de stas no tiene una opinin favorable

otros servicios sobre otras sociedades

sobre el servicio recibido.

mercantiles (incumplimiento de los articulos

Tambin destaca que a pesar de que

82 y 88 del RLOPD 1720/2007).

muchos hoteles cuentan con sistemas de

Llama tambin la atencin el

gestin de la calidad, sobre las normas

desconocimiento de las implicaciones

ISO 9001, ISO 14001 o incluso EFQM o

legales del marketing sobre medios

ISO 27001, no existe integracin alguna

sociales (15 %), situacin que en futuro

con ambos sistemas, incluso un 38% de

cercano podra traer complicaciones en el

la muestra desconoca esta posibilidad.

sector, ya que muchas empresas hoteleras

Mencin especial que el 3% de los hoteles

estn comenzando a realizar marketing

encuestados cuentan con certificacin de

directo a travs de estos medios.

la norma internacional ISO/IEC 27001 sobre

Del estudio se ha obtenido que el 80% de

Gestin de la Seguridad de la Informacin,

la empresa hotelera cuenta con ayuda de

norma especfica sobre seguridad de los

asesores o empresas consultoras para el

sistemas de informacin.

cumplimiento de la legislacin, pero un 20%

| 16 |

En general nos hemos encontrado que las

barreras para la correcta implantacin de
la legislacin son la falta de conocimiento
sobre la misma (42 %), la negativa percepcin
sobre los servicios realizados por asesores
especializados en la LOPD (20%) y en general
la limitacin de recursos (econmicos,
humanos y de tiempo) para ponerla
correctamente en prctica. Todos estos
motivos hacen percibir el coste y tiempo de
implementacin excesivos, y consideran que
la necesidad de desviar recursos humanos
del objeto principal del negocio para la
implementacin de la normativa no es efectivo.

| 17 |

| 18 |

| 19 |

| 20 |

| 21 |

| 22 |

| 23 |

| 24 |

| 25 |

| 26 |

| 27 |

| 28 |

| 29 |

| 30 |

| 31 |

| 32 |

| 33 |

| 34 |

| 35 |

Recomendaciones.
Buenas prcticas en LOPD
Mantener actualizada la inscripcin de los ficheros de datos de carcter personal. Mencin
especial tras la modificacin de la Ley desde abril de 2008 donde se modific los niveles de
seguridad de los ficheros tpicos de NMINA y GESTIN DEL PERSONAL.

Incluir en los impresos y formularios de recogida de datos de los huspedes y usuarios

clusulas informativas respecto al tratamiento de datos personales (derechos ARCO),
conforme al artculo 5 de la LOPD, y adaptarlas en cada formulario en funcin del fichero en
el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, pgina
web, etc.)
Con proveedores y otras organizaciones donde se transmiten datos de huspedes y
empleados (touroperadores, AAVV, receptivos, gestoras, etc) realizar los debidos contratos
de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por
la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos
deben ser encaminados hacia ellos.

| 36 |

Colocar carteles informativos sobre el derecho a la proteccin de datos personales de los

usuarios del hotel, que sean fcilmente visibles por stos. Mencin especial si se realizan
grabaciones con videovigilancia, adems en este caso NO instalarlas en lugares que
vulneren la intimidad de los clientes (piscinas, aseos, vestuarios)

Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de informacin.

Esta accin se puede realizar en el proceso de contratacin. Contar en el establecimiento
hotelero con un responsable fuera de la direccin, como puede ser el jefe de recepcin o el
responsable comercial.

Realizar auditoras para verificar si el personal autorizado utiliza los datos para la finalidad
que justific el acceso, verificando en especial el cumplimiento de las medidas de seguridad
sobre los ficheros que se pudiera gestionar sobre terceros.

| 37 |

Almacenar los archivos fsicos de curriculums vitae en reas seguras, cuidando de

establecer contratos de encargados de tratamiento con cualquier sociedad o empresa
externa que trate esta informacin.

Transmitir a los proveedores tecnolgicos las obligaciones en material de seguridad

tecnologa. Tener en cuenta este factor a la hora de la contratacin de los mismos.

Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros
de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los
datos (por ejemplo, en la recogida de la basura).

| 38 |

Si la organizacin cuenta con sistemas de gestin de la calidad y stos son giles en la

empresa, derivar los procedimientos e instrucciones tcnicas de la LOPD al propio sistema.

Contar con asesores en la LOPD que sobre todo transmitan formacin adecuada y
personalizada, y de manera presencial. La LOPD no debe tratarse como un tema nicamente
documental o una facility de resolver y cerrar, una de las claves es la formacin presencial
a los empleados del establecimiento hotelero.

Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio
electrnico, incluido el realizado en medios sociales (inmails, mensajes directos).

| 39 |

Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Espaola de proteccin de
datos (www.agpd.es) a travs del Registro pblico de ficheros y de las memorias de actuaciones de la Agencia
(aos 2009 y 2010)

Otras Fuentes: Instituto Nacional de Tecnologas de la Comunicacin (inteco.es). Artculos en Comunidad.hosteltur.com

La presente publicacin pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la
misma (IT360.es y SGPD). Esta obra compartida est bajo una licencia Reconocimiento-No comercial 2.5 Espaa
de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar pblicamente esta obra bajo las
condiciones siguientes:
Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y
haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
. Dicho reconocimiento no podr en ningn caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que
hace de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga
fines comerciales.
Adems los autores definen una poltica de publicacin en Internet de la presente obra de modo que no est permitido la publicacin
de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicacin deber
realizarse sobre los sitios web orginales y las URLs especficas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
Al reutilizar o distribuir la obra, debe de dejar bien claro los trminos de la licencia de la misma. Alguna de estas condiciones puede no
aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor.
Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/
| 40 |