1 Estudio Hosteltur Lopd Sector Hoteles
-
Upload
irene-gimenez-lao -
Category
Documents
-
view
225 -
download
0
description
Transcript of 1 Estudio Hosteltur Lopd Sector Hoteles
-
La LOPD en el sector hoteleroEstudio de concienciacin y conocimiento en los profesionales del sector
Toni Martn-Avila (IT360.es), Ferrn Rebollo (SGPD), Mario Arauzo (ITsencial)
-
Toni Martn vilaConsultor y Auditor en Seguridad de la informacin y Calidad TIC.CISA. ISO 27001, ISO 20000 Lead Auditor.Director en IT360.es, formador en doITsmart.es. linkedin.com/tonimartinavila twitter @tonimartinavila
Ferrn RebolloConsultor y auditor en LOPD.Director en SGPD. ferranrebollo.wordpress.comtwitter @rebollosgpd
Mario ArauzoConsultor y auditor en Gestin de servicios TI y Seguridad de la informacin, ISO 27001-ISO 20000 Lead Auditor. ITIL v3 CertifiedDirector en ITsencial.com, formador en doITsmart.eshttp://es.linkedin.com/in/marioarauzo
| 3 || 2 |
Autores
-
| 3 || 2 |
1. Por qu este estudio? 4
2. Ficha tcnica 8
3. Los riesgos de incumplimiento de la LOPD en el sector hotelero 10
4. Resultado del estudio 14
5. Recomendaciones y Buenas prcticas 36
ndice
Edita Hosteltur, IDEAS Y PUBLICIDAD DE BALEARES SL. Publicado en septiembre de 2011.Diseo y maquetacin: David MolinaGrficas: Toni Martn AvilaPortada: www.boston.com (licencia Creative Commons)
-
La proteccin de datos de carcter personal es un derecho fundamental reconocido en la Constitucin Espaola que
atribuye al titular del derecho la facultad de
tratar y almacenar sus datos y a disponer y
decidir sobre los mismos. La Ley Orgnica de
Proteccin de Datos (LOPD) y su Reglamento
de Desarrollo (RDLOPD) concretan y
desarrollan este derecho. A nivel europeo, la
Directiva Europea 95/46 CE del Parlamento
Europeo y del Consejo reconoce la proteccin
de las personas fsicas en lo que respecta
al tratamiento de datos personales. La
normativa sobre proteccin de datos responde
a la necesidad de proteger todos los datos de
carcter personal, para que no sean utilizados
de forma inadecuada, ni tratados o cedidos
a terceros sin consentimiento inequvoco del
titular. En este contexto, se entiende por dato
de carcter personal cualquier informacin
concerniente a personas fsicas identificadas o
identificables1 (art. 3 LOPD).
La regulacin ofrece a los ciudadanos las
garantas y mecanismos necesarios para
proteger sus datos personales y controlar el
uso que se realiza de los mismos. De cara
a garantizar la proteccin del derecho, se
establecen obligaciones para toda persona
fsica o jurdica que posea ficheros con datos
personales.
Por qu este estudio?
| 5 || 4 |
-
Las empresas, en su calidad de agentes que
manejan y tratan datos de carcter personal,
estn obligadas a garantizar el derecho
fundamental a la proteccin de los datos
personales de que disponen. La normativa
no contempla excepciones por tamao,
facturacin o sector de actividad, cualquier
empresa, por tanto, est incluida en el mbito
de aplicacin de la legislacin, siempre que
trate o almacen datos de carcter personal
por su propia gestin o por encargo de servicio
de otra empresa.
De este modo, es necesario que las
organizaciones, independientemente de
sus dimensiones establezcan una serie
de medidas jurdicas y organizativas que
garanticen el correcto tratamiento de
los datos que son recogidos de clientes,
proveedores, colaboradores, empleados, o
cualquier otro dato de carcter personal que
manejen. El nivel de exigencia en cuanto al
cumplimiento de la LOPD es el mismo para
todas las empresas, sin que se establezcan
criterios distintos dependiendo de si es una
gran empresa o una microempresa. ...
| 5 || 4 |
-
La aplicacin de la legislacin en el sector
hotelero es a menudo complicada de
gestionar, principalmente por ser ste
un negocio enfocado directamente en las
personas y donde el cliente duerme en casa
del propietario del servicio. La implantacin
de la Ley en los establecimientos hoteleros
es de sobra muy extendida, segn datos de la
AEPD de la memoria de 2010 existen 81.554
ficheros registrados en los sectores de
Turismo y Hostelera, un 30.07% mas sobre
el 2009.
| 7 || 6 |
-
La realidad es que aunque en su mayora
muchos hoteles han declarado los ficheros
ante la Agencia Espaola de Proteccin
de Datos (www.agpd.es), la percepcin y
conocimiento de los profesionales de la
misma es otra historia. Seis aos despus del
PLAN DE INSPECCIN DE OFICIO A CADENAS
HOTELERAS que realiz la Agencia, hemos
querido comprobar de la mano directamente
de los profesionales cual es su opinin y
conocimiento de la misma, cuales son los
problemas y riesgos que conocen y si de
alguna manera les ha reportado beneficios.
Este estudio no pretende ser una evaluacin
del estado de cumplimiento de la Ley en
el sector, nicamente est enfocado en
la concienciacin y conocimiento de los
profesionales, como paso relevante al
cumplimiento de una obligacin legal.
| 7 || 6 |
-
Este estudio se realiz entre Junio 2010 y septiembre de 2011 mediante un cuestionario on-line annimo
gestionado por bases de datos con control IP y
cookies para impedir duplicidad de registros.
La promocin del estudio se realiz a travs
de email-marketing (800 direcciones de correo
electrnico), y distribuido por medios sociales
y los sitios web de los autores. La investigacin
on-line se reforz con 124 encuestas
telefnicas que adems sirvi para enfatizar
algunas de las respuestas de los profesionales
encuestados y por entrevistas personales a
profesionales realizadas en diferentes trabajos
de consultora y auditora realizadas en los
propios establecimientos hoteleros.
Error tpico: 6,4 %
Nivel de confianza: 95% p=q=50%
Ficha tcnica del Estudio
| 8 | | 9 |
-
| 8 | | 9 |
-
Mi cliente duerme en mi casa. Esta frase puede decirla, sin ningn pudor, cualquier empresario del sector. Y es
que el sector hotelero es uno de los ejemplos
ms claros del marketing relacional y directo,
lo que le hace proclive a ser muy sensible
con el tratamiento y almacenamiento de
datos personales, especialmente de sus
huspedes, donde el trasiego de personas
es constante viniendo de hecho de multitud
de pases (mercados emisores). Los hoteles
disponen adems de otros servicios donde
el tratamiento de datos personales se suma
a los habituales de la administracin de una
habitacin y servicios. Estos son la gestin
de eventos, los programas de fidelizacin
e incluso servicios ms personales en las
instalaciones del hotel y realizados en
ocasiones por terceros (spa, tratamientos
de alimentacin, gestin del minibar, etc.).
El marketing sobre los futuros y actuales
clientes es adems intenso, a travs de
email marketing, en las reservas on-line e
incluso en la promocin y RRPP sobre medios
sociales, donde el hotelero y en general
el Turismo han sido unos de los primeros
sectores en entrar de lleno en el
marketing 2.0.
Los riesgos de incumplimiento de la LOPD en el sector hotelero
| 11 || 10 |
-
La gestin y administracin de los propios
hoteles (propiedad o arrendamiento, gestin
externa o franquicia) puede traer consigo
adems ciertos riesgos pues en algunas
ocasiones se pueden realizar transmisin de
datos entre sociedades mercantiles sin haber
realizado las debidas medidas que marca la
Ley (bsicamente el deber de informacin hacia
el husped y la contratacin entre encargado
de tratamiento y el responsable del fichero), lo
que podra ser calificado como una cesin no
consentida, y por tanto sancionable por la AEPD
. Ello es importante tambin a nivel del ciclo
de contratacin, desde touroperadores y AAVV
y las posibles salidas de informacin como a
receptivos u otros servicios profesionales de
terceros. Todos estos tratamientos se suman
a los informticos, ya que en la totalidad de
los establecimientos existen sistemas de
informacin que mediante bases de datos
y aplicaciones informticas incorporan
la automatizacin de la informacin. La
gestin de los datos personales se realiza
en ocasiones sobre capas superiores, por
ejemplo en cadenas hoteleras se realizan
habitualmente tratamientos de Datawarehosue
y DataMining para segmentar adecuadamente
las peculiaridades del cliente para realizar
acciones de marketing ms directas,
incorporando estos datos desde el kardex a
potentes CRMs. ...| 11 || 10 |
-
A todo este tratamiento de datos personales
de los huspedes, hay que aadir que el sector
dispone de movimiento de personal contratado
relevante, con contratos fijos discontinuos,
con altas y bajas constante de empleados. El
ciclo de vida de informacin de contratacin
de empleados trae consigo algunos riesgos,
como son la no debida seguridad por ejemplo
en los currculums vitae en papel, as como
los recibidos a travs del email corporativo de
la empresa, en ambos casos se debe recabar
la aceptacin por parte del demandante de
empleo, en cuanto a poder ceder sus datos
incluso a los diferentes hoteles que forman
parte de la sociedad hotelera.
La formacin de los empleados por ejemplo
en manipulacin de alimentos que en muchos
casos se realizara travs de la fundacin
tripartita, y que por tanto obliga a ceder
datos de los mismos para llevar a cabo dicha
formacin, implica obtener el consentimiento
de los propios empleados, para esta cesin
de datos. Tanto en el caso de los curriculums
recibidos como la formacin de los
empleados, hacemos mencin en recabar su
consentimiento para no ser tratado como una
cesin inconsentida, y as evitar
posibles denuncias.
| 13 || 12 |
-
Hay que tener especial atencin en la instalacin de cmaras de videovigilancia, no tan solo es necesario registrar el fichero ante la AEPD, e incluirlo en el obligado Documento de Seguridad, sino que adems es necesario colocar carteles informativos al respecto, en las zonas de grabacin, informando a nuestros clientes sobre sus derechos de A.R.C.O.
Segn la Memoria del 2010 el incremento en
el registro de ficheros en esta materia fue
de un 7974% acumulando un total de 8.536
ficheros frente a los 4.749 del 2009, por lo que
observamos un incremento importante. Cabe
mencionar que las sanciones efectuadas en
2010 en este concepto se han incrementado en
un 8069% respecto a 2009
Todo ello nos anima a pensar que no slo
es necesario en el sector hotelero que la
empresa cumpla la LOPD disponiendo de
un documento de seguridad y los trmites
de registro ante la Agencia Espaola de
Proteccin de datos, sino que es sumamente
importante que los profesionales de los
hoteles (direccin, marketing, comercial
e incluso las/los gobernantas/es y
evidentemente el personal de recepcin) estn
concienciados debidamente, conozcan la Ley
y sobre todo como cumplirla de manera gil
y especfica en el mbito de sus funciones y
responsabilidades profesionales.
| 13 || 12 |
-
La empresa hotelera espaola muestra un bajo nivel de conocimiento de la normativa sobre proteccin de datos
personales, tanto de la LOPD, vigente desde
1999 (42%) como del reciente reglamento de
desarrollo (RDLOPD), en vigor desde abril de
2008 (53%). Dado que la Ley lleva en vigor casi
doce aos, que su aplicacin es de obligado
cumplimiento para todas las empresas con
ficheros de datos personales, y que se prevn
sanciones ante su incumplimiento, preocupa
el escaso conocimiento de la misma entre el
colectivo. De hecho, prcticamente la totalidad
de empresas manejan datos personales: el 96%
de las pymes espaolas disponen de ficheros
con Datos de carcter personal (ya sea en sus
sistemas informticos o en sus archivos en
papel) y estn por tanto potencialmente sujetas
a la normativa.
Se muestran a continuacin algunos datos
clave sobre el nivel de adopcin de la
legislacin, cuya informacin al completo se
aade en las 18 grficas de estudio sobre el
mismo nmero de cuestiones planteadas:
Slo el 33% afirma haber realizado
declaracin de ficheros antes la Agencia
Espaola de Proteccin de datos .
Slo un 6% afirma haber tenido algn
evento o incidente relativo a la proteccin de
datos, normalmente a travs de quejas bien
Resultados del Estudio
| 15 || 14 |
-
clientes huspedes o de empleados.
Un 53% afirma no tener planes de
formacin y concienciacin sobre
empleados y usuarios.
El cumplimiento no es homogneo
entre las distintas medidas de seguridad
y procedimientos previstos en el RLOPD,
aunque el grado de cumplimiento tcnico es
notablemente alto:
o Establecimientos hoteleros que
disponen de documento de seguridad:
18%
o Establecimientos hoteleros que han
realizado auditoras 8%
o Establecimientos hoteleros que han
incorporado medidas de seguridad
tcnicas como las copias de seguridad y
Antivirus, 100%
o Establecimientos hoteleros que tienen
implantado control de acceso en las
aplicaciones, 21%
o Establecimientos hoteleros que tienen
implantado control de acceso en la red,
un 85%
Ha sido relevante tambin conocer que
la prctica totalidad de los encuestados
que gestionan datos de terceros (por
ejemplo sociedades gestoras de hoteles)
no ha realizado ninguna accin sobre este
tratamiento (80 %), como es la elaboracin
de un documento de seguridad sobre los
| 15 || 14 |
...
-
datos que gestionan de otros hoteles u
otros servicios sobre otras sociedades
mercantiles (incumplimiento de los articulos
82 y 88 del RLOPD 1720/2007).
Llama tambin la atencin el
desconocimiento de las implicaciones
legales del marketing sobre medios
sociales (15 %), situacin que en futuro
cercano podra traer complicaciones en el
sector, ya que muchas empresas hoteleras
estn comenzando a realizar marketing
directo a travs de estos medios.
Del estudio se ha obtenido que el 80% de
la empresa hotelera cuenta con ayuda de
asesores o empresas consultoras para el
cumplimiento de la legislacin, pero un 20%
de stas no tiene una opinin favorable
sobre el servicio recibido.
Tambin destaca que a pesar de que
muchos hoteles cuentan con sistemas de
gestin de la calidad, sobre las normas
ISO 9001, ISO 14001 o incluso EFQM o
ISO 27001, no existe integracin alguna
con ambos sistemas, incluso un 38% de
la muestra desconoca esta posibilidad.
Mencin especial que el 3% de los hoteles
encuestados cuentan con certificacin de
la norma internacional ISO/IEC 27001 sobre
Gestin de la Seguridad de la Informacin,
norma especfica sobre seguridad de los
sistemas de informacin.
| 17 || 16 |
-
En general nos hemos encontrado que las barreras para la correcta implantacin de la legislacin son la falta de conocimiento sobre la misma (42 %), la negativa percepcin sobre los servicios realizados por asesores especializados en la LOPD (20%) y en general la limitacin de recursos (econmicos, humanos y de tiempo) para ponerla
correctamente en prctica. Todos estos
motivos hacen percibir el coste y tiempo de
implementacin excesivos, y consideran que
la necesidad de desviar recursos humanos
del objeto principal del negocio para la
implementacin de la normativa no es efectivo.
| 17 || 16 |
-
| 19 || 18 |
-
| 19 || 18 |
-
| 21 || 20 |
-
| 21 || 20 |
-
| 23 || 22 |
-
| 23 || 22 |
-
| 25 || 24 |
-
| 25 || 24 |
-
| 27 || 26 |
-
| 27 || 26 |
-
| 29 || 28 |
-
| 29 || 28 |
-
| 31 || 30 |
-
| 31 || 30 |
-
| 33 || 32 |
-
| 33 || 32 |
-
| 35 || 34 |
-
| 35 || 34 |
-
Mantener actualizada la inscripcin de los ficheros de datos de carcter personal. Mencin especial tras la modificacin de la Ley desde abril de 2008 donde se modific los niveles de seguridad de los ficheros tpicos de NMINA y GESTIN DEL PERSONAL.
Incluir en los impresos y formularios de recogida de datos de los huspedes y usuarios clusulas informativas respecto al tratamiento de datos personales (derechos ARCO), conforme al artculo 5 de la LOPD, y adaptarlas en cada formulario en funcin del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (kardex, pgina web, etc.)
Con proveedores y otras organizaciones donde se transmiten datos de huspedes y empleados (touroperadores, AAVV, receptivos, gestoras, etc) realizar los debidos contratos de Confidencialidad segun rige el Art. 13 de la LOPD. Estos terceros son identificados por la Ley como Encargados de Tratamiento y diversas medidas de seguridad y procedimientos deben ser encaminados hacia ellos.
Recomendaciones.Buenas prcticas en LOPD
| 37 || 36 |
-
Colocar carteles informativos sobre el derecho a la proteccin de datos personales de los usuarios del hotel, que sean fcilmente visibles por stos. Mencin especial si se realizan grabaciones con videovigilancia, adems en este caso NO instalarlas en lugares que vulneren la intimidad de los clientes (piscinas, aseos, vestuarios)
Transmitir las obligaciones y responsabilidades a los usuarios de sistemas de informacin. Esta accin se puede realizar en el proceso de contratacin. Contar en el establecimiento hotelero con un responsable fuera de la direccin, como puede ser el jefe de recepcin o el responsable comercial.
Realizar auditoras para verificar si el personal autorizado utiliza los datos para la finalidad que justific el acceso, verificando en especial el cumplimiento de las medidas de seguridad sobre los ficheros que se pudiera gestionar sobre terceros.
| 37 || 36 |
-
Almacenar los archivos fsicos de curriculums vitae en reas seguras, cuidando de establecer contratos de encargados de tratamiento con cualquier sociedad o empresa externa que trate esta informacin.
Transmitir a los proveedores tecnolgicos las obligaciones en material de seguridad tecnologa. Tener en cuenta este factor a la hora de la contratacin de los mismos.
Informar al personal de limpieza y otros proveedores que pudieran tener acceso a ficheros de datos personales en papel, sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura).
| 39 || 38 |
-
Si la organizacin cuenta con sistemas de gestin de la calidad y stos son giles en la empresa, derivar los procedimientos e instrucciones tcnicas de la LOPD al propio sistema.
Contar con asesores en la LOPD que sobre todo transmitan formacin adecuada y personalizada, y de manera presencial. La LOPD no debe tratarse como un tema nicamente documental o una facility de resolver y cerrar, una de las claves es la formacin presencial a los empleados del establecimiento hotelero.
Aplicar los derechos ARCO en el marketing directo realizado sobre cualquier medio electrnico, incluido el realizado en medios sociales (inmails, mensajes directos).
| 39 || 38 |
-
Algunos de los datos mostrados en este estudio han sido consultados a la Agencia Espaola de proteccin de datos (www.agpd.es) a travs del Registro pblico de ficheros y de las memorias de actuaciones de la Agencia (aos 2009 y 2010)
Otras Fuentes: Instituto Nacional de Tecnologas de la Comunicacin (inteco.es). Artculos en Comunidad.hosteltur.com
La presente publicacin pertenece a Hosteltur (IDEAS Y PUBLICIDAD DE BALEARES S.L.) y a los autores de la misma (IT360.es y SGPD). Esta obra compartida est bajo una licencia Reconocimiento-No comercial 2.5 Espaa de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes:
Reconocimiento: El contenido de este estudio se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a Ios autores como a sus sitios web: www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com . Dicho reconocimiento no podr en ningn caso sugerir que cualquiera de los autores presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Adems los autores definen una poltica de publicacin en Internet de la presente obra de modo que no est permitido la publicacin de la misma en otros sistios web diferentes a los autores. Si se desea, por tanto, realizar enlaces de descarga de la publicacin deber realizarse sobre los sitios web orginales y las URLs especficas sobre www.hosteltur.com, www.IT360.es, ferranrebollo.wordpress.com
Al reutilizar o distribuir la obra, debe de dejar bien claro los trminos de la licencia de la misma. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso expreso de los autores como titular de los derechos de autor.
Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/
| 40 |
-
| 40 |