jueves, 20 de agosto de 2015

#SummerPost: Aspectos de la aplicación de la LOPD en hoteles: El Informe 0033 /2014


Hola de nuevo!

A finales de agosto ya habrá algun@s que habréis disfrutado de unos merecidos días de descanso, otr@s tenéis ya un pie fuera de la ofi y otro casi en el avión y los hay que aún están pensando a dónde ir. Estés en el grupo que estés, muy probablemente hayas elegido un hotel para descansar esos días, por lo que este post igual te hace pensar y reflexionar acerca de la cantidad de datos que maneja un hotel de sus clientes y la forma de gestionarlos. 

Siempre he dicho que la web de la AEPD es un "must" si quieres dedicarte a esto de la LOPD, ya que puedes encontrar muchos documentos interesantes para guiarte en el interesante camino de la normativa. En este caso, me voy a remitir al Informe 33/2014 que se publica en respuesta a una consulta hecha por, suponemos, un establecimiento hotelero, y que podéis consultar si pincháis aquí

Hotel, Recepción, Hall De Entrada



Bien, vamos a ver los aspectos más importantes que recoge este informe:

1) Es obvio que "el rey" de los ficheros que puede tener un Hotel es el socorrido fichero "Clientes". En este caso, la entidad consultante "avisa" de que dentro de ese fichero "Clientes" puede haber datos sobre alergias, fobias, preferencias alimenticias que puedan relacionar al cliente con alguna religión,o ejercicio de un cargo público que indica afiliación sindical o política. Claro, si lo pensamos friamente, la cantidad de datos que puede tener un hotel de sus clientes puede ser bastante larga, y motivada por causas diversas: desde peticiones especiales de comida derivadas de unas creencias religiosas o de una serie de alergias o restricciones alimentarias hasta solicitudes de habitaciones adaptadas en función de diversidades funcionales determinadas. En todos estos casos vemos que el fichero de Clientes de un establecimiento hotelero puede tener más información de la que puede tener otro tipo de negocio.
La AEPD aunque considera que en principio este tipo de datos "extra" pueden estar sujetos a las medidas de seguridad de nivel alto, finalmente considera que pueden sujetarse a la excepción prevista en el art.81.5.b del Reglamento que permite la aplicación de las medidas de nivel básico siempre que estos datos "extra" no tengan relación con la finalidad última del tratamiento. Excepciones como esta suelen ser bastante frecuentes a la hora de establecer las medidas de seguridad aplicables a un determinado fichero; por ejemplo, algo parecido podemos encontrar en los ficheros de nóminas de algunas empresas que contienen, también de forma incidental, datos sobre la afiliación sindical del empleado (porque destine una parte de su nómina al sindicato "x"), aunque quizás esta previsión encajaría mejor en el "apartado a" de dicho artículo del Reglamento. 


Hotel, Cama, Limpia, Ordenado, Relajarse



2) Siguiendo las peculiaridades de los "datos extra", la AEPD recuerda en el informe la vital importancia que cobra en estos casos el Principio de Proporcionalidad recogido en el art.4 de la LOPD, estableciendo que "aquéllos datos facilitados por el cliente, que no vayan a ser utilizados por el consultante para prestarle una atención especial teniendo en cuenta los mismos, constituirán datos excesivos por lo que no procede su conservación". Pensemos por ejemplo en lo innecesario que resulta para un hotel que sólo ofrece alojamiento y excluye de su oferta cualquier servicio de comida saber que el cliente que se aloja en la habitación 14 es celíaco. En este caso, este "dato extra" no va a ser usado por el Hotel para nada, ya que el cliente no puede disfrutar de un servicio de desayuno que el hotel no presta; el único servicio que se le ofrece es el de alojamiento y para ello al hotel no le es imprescindible saber que el cliente es celíaco.
Caso diferente es si en realidad sí que este dato se va a usar (pensemos en el mismo hotel pero ahora con servicio de comidas); en este caso, el principio que "entra como titular y no se queda en el banquillo" es el de Conservación, por lo que el uso que dará el hotel a este dato extra estará justificado mientras el cliente celíaco esté alojado en sus instalaciones y disfrute de las comidas que le ofrece el hotel; en cuanto el cliente finalice su estancia, este dato debe ser cancelado de inmediato. Y ojo, si es un cliente habitual, el informe también es muy claro: estableciendo que será "preciso un nuevo consentimiento específico del cliente para la conservación de los datos en sus ficheros con posterioridad". Este consentimiento deberá ser expreso y por escrito, ya que le tocará al Hotel probarlo en caso de tener problemas y no dejan de ser datos que hacen expresa referencia a la salud, como bien recuerda el informe. 

Servicio, Instalación, Signo, Símbolo



3) Otro aspecto curioso del informe alude a la cesión de datos que se produciría en caso de que se revelara el número de habitación de un cliente a otra persona; el informe es muy claro: en principio, entraría en juego el art.11 de la LOPD y necesitaríamos tener el consentimiento del cliente para ceder su número de habitación a un tercero, pero como toda regla tiene su excepción, esta necesidad del consentimiento no sería tal en los casos que puedan encajar con las excepciones que da la propia LOPD y que podemos encontrar en el art.11.2 de la misma. 

Llave De La Habitación De Hotel, Clave



Y hasta aquí llega mi #summerpost de hoy; espero que os haya resultado curioso e interesante y que seais cuidadosos... ¡tanto si recogéis datos de clientes, como si sois clientes!


Maldivas, Ile, Playa, Sun, Holiday