la lopd en el sector hotelero - belt.es · la realidad es que aunque en su mayoría muchos hoteles...
TRANSCRIPT
La LOPD en el sector hoteleroEstudio de concienciación y conocimiento en los profesionales del sector
Toni Martín-Avila (IT360.es), Ferrán Rebollo (SGPD), Mario Arauzo (ITsencial)
Toni Martín ÁvilaConsultor y Auditor en Seguridad de la información y Calidad TIC.CISA. ISO 27001, ISO 20000 Lead Auditor.Director en IT360.es, formador en doITsmart.es. linkedin.com/tonimartinavila twitter @tonimartinavila
Ferrán RebolloConsultor y auditor en LOPD.Director en SGPD. ferranrebollo.wordpress.comtwitter @rebollosgpd
Mario ArauzoConsultor y auditor en Gestión de servicios TI y Seguridad de la información, ISO 27001-ISO 20000 Lead Auditor. ITIL v3 CertifiedDirector en ITsencial.com, formador en doITsmart.eshttp://es.linkedin.com/in/marioarauzo
| 3 || 2 |
Autores
| 3 || 2 |
1. ¿Por qué este estudio? 4
2. Ficha técnica 8
3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10
4. Resultado del estudio 14
5. Recomendaciones y Buenas prácticas 36
Índice
Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL. Publicado en septiembre de 2011.Diseño y maquetación: David MolinaGráficas: Toni Martín AvilaPortada: www.boston.com (licencia Creative Commons)
La protección de datos de carácter
personal es un derecho fundamental
reconocido en la Constitución Española que
atribuye al titular del derecho la facultad de
tratar y almacenar sus datos y a disponer y
decidir sobre los mismos. La Ley Orgánica de
Protección de Datos (LOPD) y su Reglamento
de Desarrollo (RDLOPD) concretan y
desarrollan este derecho. A nivel europeo, la
Directiva Europea 95/46 CE del Parlamento
Europeo y del Consejo reconoce la protección
de las personas físicas en lo que respecta
al tratamiento de datos personales. La
normativa sobre protección de datos responde
a la necesidad de proteger todos los datos de
carácter personal, para que no sean utilizados
de forma inadecuada, ni tratados o cedidos
a terceros sin consentimiento inequívoco del
titular. En este contexto, se entiende por dato
de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables1” (art. 3 LOPD).
La regulación ofrece a los ciudadanos las
garantías y mecanismos necesarios para
proteger sus datos personales y controlar el
uso que se realiza de los mismos. De cara
a garantizar la protección del derecho, se
establecen obligaciones para toda persona
física o jurídica que posea ficheros con datos
personales.
¿Por qué este estudio?
| 5 || 4 |
Las empresas, en su calidad de agentes que
manejan y tratan datos de carácter personal,
están obligadas a garantizar el derecho
fundamental a la protección de los datos
personales de que disponen. La normativa
no contempla excepciones por tamaño,
facturación o sector de actividad, cualquier
empresa, por tanto, está incluida en el ámbito
de aplicación de la legislación, siempre que
trate o almacen datos de carácter personal
por su propia gestión o por encargo de servicio
de otra empresa.
De este modo, es necesario que las
organizaciones, independientemente de
sus dimensiones establezcan una serie
de medidas jurídicas y organizativas que
garanticen el correcto tratamiento de
los datos que son recogidos de clientes,
proveedores, colaboradores, empleados, o
cualquier otro dato de carácter personal que
manejen. El nivel de exigencia en cuanto al
cumplimiento de la LOPD es el mismo para
todas las empresas, sin que se establezcan
criterios distintos dependiendo de si es una
gran empresa o una microempresa. ...
| 5 || 4 |
La aplicación de la legislación en el sector
hotelero es a menudo complicada de
gestionar, principalmente por ser éste
un negocio enfocado directamente en las
personas y donde el cliente “duerme en casa
del propietario del servicio”. La implantación
de la Ley en los establecimientos hoteleros
es de sobra muy extendida, según datos de la
AEPD de la memoria de 2010 existen 81.554
ficheros registrados en los sectores de
Turismo y Hostelería, un 30.07% mas sobre
el 2009.
“| 7 || 6 |
““
La realidad es que aunque en su mayoría muchos hoteles han declarado los ficheros ante la Agencia Española de Protección de Datos (www.agpd.es), la percepción y conocimiento de los profesionales de la misma es otra historia. Seis años después del PLAN DE INSPECCIÓN DE OFICIO A CADENAS HOTELERAS que realizó la Agencia, hemos querido comprobar de la mano directamente de los profesionales cual es su opinión y conocimiento de la misma, cuales son los problemas y riesgos que conocen y si de alguna manera les ha reportado beneficios.
Este estudio no pretende ser una evaluación del estado de cumplimiento de la Ley en el sector, únicamente está enfocado en la concienciación y conocimiento de los profesionales, como paso relevante al cumplimiento de una obligación legal.
| 7 || 6 |
Este estudio se realizó entre Junio
2010 y septiembre de 2011
mediante un cuestionario on-line anónimo
gestionado por bases de datos con control IP y
cookies para impedir duplicidad de registros.
La promoción del estudio se realizó a través
de email-marketing (800 direcciones de correo
electrónico), y distribuido por medios sociales
y los sitios web de los autores. La investigación
on-line se reforzó con 124 encuestas
telefónicas que además sirvió para enfatizar
algunas de las respuestas de los profesionales
encuestados y por entrevistas personales a
profesionales realizadas en diferentes trabajos
de consultoría y auditoría realizadas en los
propios establecimientos hoteleros.
Error típico: 6,4 %
Nivel de confianza: 95% p=q=50%
Ficha técnica del Estudio
| 8 | | 9 |
| 8 | | 9 |
“Mi cliente duerme en mi casa”. Esta
frase puede decirla, sin ningún
pudor, cualquier empresario del sector. Y es
que el sector hotelero es uno de los ejemplos
más claros del marketing relacional y directo,
lo que le hace proclive a ser muy sensible
con el tratamiento y almacenamiento de
datos personales, especialmente de sus
huéspedes, donde el trasiego de personas
es constante viniendo de hecho de multitud
de países (mercados emisores). Los hoteles
disponen además de otros servicios donde
el tratamiento de datos personales se suma
a los habituales de la administración de una
habitación y servicios. Estos son la gestión
de eventos, los programas de fidelización
e incluso servicios más personales en las
instalaciones del hotel y realizados en
ocasiones por terceros (spa, tratamientos
de alimentación, gestión del minibar, etc.).
El marketing sobre los futuros y actuales
clientes es además intenso, a través de
email marketing, en las reservas on-line e
incluso en la promoción y RRPP sobre medios
sociales, donde el hotelero y en general
el Turismo han sido unos de los primeros
sectores en entrar de lleno en el
marketing 2.0.
Los riesgos de incumplimiento de la LOPD en el sector hotelero
| 11 || 10 |
La gestión y administración de los propios
hoteles (propiedad o arrendamiento, gestión
externa o franquicia) puede traer consigo
además ciertos riesgos pues en algunas
ocasiones se pueden realizar transmisión de
datos entre sociedades mercantiles sin haber
realizado las debidas medidas que marca la
Ley (básicamente el deber de información hacia
el huésped y la contratación entre encargado
de tratamiento y el responsable del fichero), lo
que podría ser calificado como una cesión no
consentida, y por tanto sancionable por la AEPD
. Ello es importante también a nivel del ciclo
de contratación, desde touroperadores y AAVV
y las posibles salidas de información como a
receptivos u otros servicios profesionales de
terceros. Todos estos tratamientos se suman
a los informáticos, ya que en la totalidad de
los establecimientos existen sistemas de
información que mediante bases de datos
y aplicaciones informáticas incorporan
la automatización de la información. La
gestión de los datos personales se realiza
en ocasiones sobre capas superiores, por
ejemplo en cadenas hoteleras se realizan
habitualmente tratamientos de Datawarehosue
y DataMining para segmentar adecuadamente
las peculiaridades del cliente para realizar
acciones de marketing más directas,
incorporando estos datos desde el kardex a
potentes CRMs. ...| 11 || 10 |
A todo este tratamiento de datos personales
de los huéspedes, hay que añadir que el sector
dispone de movimiento de personal contratado
relevante, con contratos fijos discontinuos,
con altas y bajas constante de empleados. El
ciclo de vida de información de contratación
de empleados trae consigo algunos riesgos,
como son la no debida seguridad por ejemplo
en los currículums vitae en papel, así como
los recibidos a través del email corporativo de
la empresa, en ambos casos se debe recabar
la aceptación por parte del demandante de
empleo, en cuanto a poder ceder sus datos
incluso a los diferentes hoteles que forman
parte de la sociedad hotelera.
La formación de los empleados por ejemplo
en manipulación de alimentos que en muchos
casos se realizara través de la fundación
tripartita, y que por tanto obliga a ceder
datos de los mismos para llevar a cabo dicha
formación, implica obtener el consentimiento
de los propios empleados, para esta cesión
de datos. Tanto en el caso de los curriculums
recibidos como la formación de los
empleados, hacemos mención en recabar su
consentimiento para no ser tratado como una
cesión inconsentida, y así evitar
posibles denuncias.
| 13 || 12 |
““Hay que tener especial atención en la
instalación de cámaras de videovigilancia, no
tan solo es necesario registrar el fichero ante
la AEPD, e incluirlo en el obligado Documento
de Seguridad, sino que además es necesario
colocar carteles informativos al respecto, en
las zonas de grabación, informando a nuestros
clientes sobre sus derechos de A.R.C.O.
Según la Memoria del 2010 el incremento en
el registro de ficheros en esta materia fue
de un 79’74% acumulando un total de 8.536
ficheros frente a los 4.749 del 2009, por lo que
observamos un incremento importante. Cabe
mencionar que las sanciones efectuadas en
2010 en este concepto se han incrementado en
un 80’69% respecto a 2009
Todo ello nos anima a pensar que no sólo es necesario en el sector hotelero que la empresa cumpla la LOPD disponiendo de un documento de seguridad y los trámites de registro ante la Agencia Española de Protección de datos, sino que es sumamente importante que los profesionales de los hoteles (dirección, marketing, comercial e incluso las/los gobernantas/es y evidentemente el personal de recepción) estén concienciados debidamente, conozcan la Ley y sobre todo como cumplirla de manera ágil y específica en el ámbito de sus funciones y responsabilidades profesionales.
| 13 || 12 |
La empresa hotelera española muestra
un bajo nivel de conocimiento de
la normativa sobre protección de datos
personales, tanto de la LOPD, vigente desde
1999 (42%) como del reciente reglamento de
desarrollo (RDLOPD), en vigor desde abril de
2008 (53%). Dado que la Ley lleva en vigor casi
doce años, que su aplicación es de obligado
cumplimiento para todas las empresas con
ficheros de datos personales, y que se prevén
sanciones ante su incumplimiento, preocupa
el escaso conocimiento de la misma entre el
colectivo. De hecho, prácticamente la totalidad
de empresas manejan datos personales: el 96%
de las pymes españolas disponen de ficheros
con Datos de carácter personal (ya sea en sus
sistemas informáticos o en sus archivos en
papel) y están por tanto potencialmente sujetas
a la normativa.
Se muestran a continuación algunos datos
clave sobre el nivel de adopción de la
legislación, cuya información al completo se
añade en las 18 gráficas de estudio sobre el
mismo número de cuestiones planteadas:
• Sólo el 33% afirma haber realizado
declaración de ficheros antes la Agencia
Española de Protección de datos .
• Sólo un 6% afirma haber tenido algún
evento o incidente relativo a la protección de
datos, normalmente a través de quejas bien
Resultados del Estudio
| 15 || 14 |
clientes huéspedes o de empleados.
• Un 53% afirma no tener planes de
formación y concienciación sobre
empleados y usuarios.
• El cumplimiento no es homogéneo
entre las distintas medidas de seguridad
y procedimientos previstos en el RLOPD,
aunque el grado de cumplimiento técnico es
notablemente alto:
o Establecimientos hoteleros que
disponen de documento de seguridad:
18%
o Establecimientos hoteleros que han
realizado auditorías 8%
o Establecimientos hoteleros que han
incorporado medidas de seguridad
técnicas como las copias de seguridad y
Antivirus, 100%
o Establecimientos hoteleros que tienen
implantado control de acceso en las
aplicaciones, 21%
o Establecimientos hoteleros que tienen
implantado control de acceso en la red,
un 85%
• Ha sido relevante también conocer que
la práctica totalidad de los encuestados
que gestionan datos de terceros (por
ejemplo sociedades gestoras de hoteles)
no ha realizado ninguna acción sobre este
tratamiento (80 %), como es la elaboración
de un documento de seguridad sobre los
| 15 || 14 |
...
datos que gestionan de otros hoteles u
otros servicios sobre otras sociedades
mercantiles (incumplimiento de los articulos
82 y 88 del RLOPD 1720/2007).
• Llama también la atención el
desconocimiento de las implicaciones
legales del marketing sobre medios
sociales (15 %), situación que en futuro
cercano podría traer complicaciones en el
sector, ya que muchas empresas hoteleras
están comenzando a realizar marketing
directo a través de estos medios.
• Del estudio se ha obtenido que el 80% de
la empresa hotelera cuenta con ayuda de
asesores o empresas consultoras para el
cumplimiento de la legislación, pero un 20%
de éstas no tiene una opinión favorable
sobre el servicio recibido.
• También destaca que a pesar de que
muchos hoteles cuentan con sistemas de
gestión de la calidad, sobre las normas
ISO 9001, ISO 14001 o incluso EFQM o
ISO 27001, no existe integración alguna
con ambos sistemas, incluso un 38% de
la muestra desconocía esta posibilidad.
Mención especial que el 3% de los hoteles
encuestados cuentan con certificación de
la norma internacional ISO/IEC 27001 sobre
Gestión de la Seguridad de la Información,
norma específica sobre seguridad de los
sistemas de información.
| 17 || 16 |
““En general nos hemos encontrado que las barreras para la correcta implantación de la legislación son la falta de conocimiento sobre la misma (42 %), la negativa percepción sobre los servicios realizados por asesores especializados en la LOPD (20%) y en general la limitación de recursos (económicos, humanos y de tiempo) para ponerla correctamente en práctica. Todos estos motivos hacen percibir el coste y tiempo de implementación excesivos, y consideran que la necesidad de desviar recursos humanos del objeto principal del negocio para la implementación de la normativa no es efectivo.
| 17 || 16 |
| 19 || 18 |
| 19 || 18 |
| 21 || 20 |
| 21 || 20 |
| 23 || 22 |
| 23 || 22 |
| 25 || 24 |
| 25 || 24 |
| 27 || 26 |
| 27 || 26 |
| 29 || 28 |
| 29 || 28 |
| 31 || 30 |
| 31 || 30 |
| 33 || 32 |
| 33 || 32 |
| 35 || 34 |
| 35 || 34 |
Mantener actualizada la inscripción de los ficheros de datos de carácter personal. Mención especial tras la modificación de la Ley desde abril de 2008 donde se modificó los niveles de seguridad de los ficheros típicos de NÓMINA y GESTIÓN DEL PERSONAL.
Incluir en los impresos y formularios de recogida de datos de los huéspedes y usuarios cláusulas informativas respecto al tratamiento de datos personales (derechos ARCO), conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, página web, etc.)
Con proveedores y otras organizaciones donde se transmiten datos de huéspedes y empleados (touroperadores, AAVV, receptivos, gestorías, etc) realizar los debidos contratos de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos deben ser encaminados hacia ellos.
Recomendaciones.Buenas prácticas en LOPD
| 37 || 36 |
Colocar carteles informativos sobre el derecho a la protección de datos personales de los usuarios del hotel, que sean fácilmente visibles por éstos. Mención especial si se realizan grabaciones con videovigilancia, además en este caso NO instalarlas en lugares que vulneren la intimidad de los clientes (piscinas, aseos, vestuarios…)
Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de información. Esta acción se puede realizar en el proceso de contratación. Contar en el establecimiento hotelero con un responsable fuera de la dirección, como puede ser el jefe de recepción o el responsable comercial.
Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad que justificó el acceso, verificando en especial el cumplimiento de las medidas de seguridad sobre los ficheros que se pudiera gestionar sobre terceros.
| 37 || 36 |
Almacenar los archivos físicos de curriculums vitae en áreas seguras, cuidando de establecer contratos de encargados de tratamiento con cualquier sociedad o empresa externa que trate esta información.
Transmitir a los proveedores tecnológicos las obligaciones en material de seguridad tecnología. Tener en cuenta este factor a la hora de la contratación de los mismos.
Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura).
| 39 || 38 |
Si la organización cuenta con sistemas de gestión de la calidad y éstos son ágiles en la empresa, derivar los procedimientos e instrucciones técnicas de la LOPD al propio sistema.
Contar con asesores en la LOPD que sobre todo transmitan formación adecuada y personalizada, y de manera presencial. La LOPD no debe tratarse como un tema únicamente documental o una facility de resolver y cerrar, una de las claves es la formación presencial a los empleados del establecimiento hotelero.
Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio electrónico, incluido el realizado en medios sociales (inmails, mensajes directos).
| 39 || 38 |
Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Española de protección de datos (www.agpd.es) a través del Registro público de ficheros y de las memorias de actuaciones de la Agencia (años 2009 y 2010)
Otras Fuentes: Instituto Nacional de Tecnologías de la Comunicación (inteco.es). Artículos en Comunidad.hosteltur.com
La presente publicación pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la misma (IT360.es y SGPD). Esta obra compartida está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com . Dicho reconocimiento no podrá en ningún caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Además los autores definen una política de publicación en Internet de la presente obra de modo que no está permitido la publicación de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicación deberá realizarse sobre los sitios web orginales y las URLs específicas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
Al reutilizar o distribuir la obra, debe de dejar bien claro los términos de la licencia de la misma. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor.
Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/
| 40 |
| 40 |