Contenido
Con el ambiente todavía removido con la polémica por el uso indebido de datos por parte de Facebook, las autoridades europeas han anunciado que a partir del 25 de mayo entrará en vigor el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Bajo esta nueva normativa, toda empresa o negocio que maneje datos de ciudadanos europeos deberá llevar un control de los mismos y mantener al tanto de forma más detallada a los usuarios acerca de qué información se conoce de ellos.
¿Qué es la GDPR (o RGPD) y por qué afecta a tu hotel?
La GDPR realmente entró en vigor el 24 de mayo de 2016, pero pasará a ser de obligado cumplimiento a partir del próximo 25 de mayo. Este cambio persigue una mayor concienciación por parte de las empresas de las responsabilidades y obligaciones que supone trabajar con los datos de los usuarios, que deben estar conformes con la cesión de estos.
En este sentido, los hoteles forman parte de ese núcleo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adscribirse a la nueva normativa. Para asegurar un debido cumplimiento de esta, hay que tener en cuenta una serie de preguntas y cuestiones que facilitarán la tarea. Lily Mcllwain, directora de contenido de Triptease, las detalla en su artículo para eHotelier:
Lo primero: realizar un mapa de datos
Lo primero que habría que hacer de cara a esta nueva normativa sería tener claro a qué cantidad y qué tipo de datos nos enfrentamos en las jornadas de trabajo. Realizando una auditoría y creando al mismo tiempo una especie de mapa de datos podríamos determinar: ¿Cuáles son los datos que recopilamos? ¿Por qué los necesitamos? ¿Para qué los queremos? ¿Cuál es la política de retención de esos datos?
Se trata de un proceso lento y complicado que requiere la participación de todo el equipo, pero una vez realizado, desde el hotel se podrá entender exactamente cómo la GDPR afectará al negocio y de qué forma habría que adaptarse.
«Para poder hacer operativo el GDPR, debemos incorporarlo en la forma en la que la organización hace negocios en general», asegura Samantha Simms, abogada de derecho de la información y fundadora de The Information Collective. «El cumplimiento de GDPR no debe ser independiente; es una pieza que debe formar parte del ADN de la empresa», añade.
¿Con quién compartimos esos datos?
El sector hotelero se relaciona constantemente con terceros, como las OTAs y las agencias de viaje online, que también disponen de algunos de los datos de los usuarios. Así que, además del mapa de datos, deberías tener presente una lista de estas empresas externas con las que se tiene contacto y asegurar que también cumplan la normativa próximamente obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.
“Por ejemplo, cuando un cliente introduce información en Booking.com, algunos de estos detalles se envían automáticamente al hotel”, explica Samantha. “En este caso el viajero no interactúa con el hotel hasta que llega al mostrador para registrarse. Por lo que como hotel, debes asegurarte de que al mismo tiempo que Booking.com recopila información, le haya quedado claro al cliente que esa información irá directamente al hotel y estará bajo la política de privacidad del hotel”, puntualiza.
Actualiza tu política de privacidad
Después de haber hecho todo lo anterior, sería idóneo revisar la política de privacidad del hotel y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos. ¿Dónde se utilizan esos datos? ¿Se está haciendo bajo consentimiento? ¿Tiene fines comerciales? Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, habría que asegurarse de que esta nueva versión se publique en la web.
Incluye al cliente en la estrategia de comunicación
Uno de los fines principales de GDPR es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que comuniques cualquier cambio que vayas a realizar al entrar en vigor la nueva normativa. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
Plan de respuesta ante incidentes
En el caso de que se dé una situación de ciberataque o infracción por parte del hotel, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. En algunos casos, hay un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
Cabe destacar que, aunque no se tolerará infracciones intencionadas de la ley, habrá cierto margen de maniobra si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
¿Qué pueden pedir los clientes?
Este reglamento recoge y reconoce, entre otros, el derecho al olvido y al acceso. Con el primero, los clientes podrán pedir al hotel que sus datos personales sean eliminados cuando ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Con el segundo, el huésped podrá requerir que se le confirme si sus datos se están procesando, dónde y con qué propósito.
