Todas las empresas que prestan servicios dependen de sus clientes para el crecimiento de su negocio, y la industria hotelera no es la excepción; allí hay una constante interrelación de los actores del negocio (huéspedes, visitantes, empleados y terceros que prestan servicios personalizados), lo que ocasiona un enorme flujo de información de datos personales producto de una relación de dependencia y de confianza. Así las cosas, la administración de datos personales tiene que realizarse con mucho cuidado y en forma rigurosa, esto debido a que es la misma relación de confianza la que puede llevar a afectaciones del titular y a un consecuente perjuicio del hotel.
La información personal recopilada en el ejercicio del negocio se debe procesar, almacenar y asociar con los servicios de una manera tal que garantice el cumplimiento de la Ley de Protección de Datos 1581, los decretos relacionados, las normas establecidas por la Superintendencia de Industria y Comercio y las expectativas de los huéspedes, empleados y contratistas, quienes esperan que sus datos se mantengan seguros en un ambiente de confidencialidad.
Un hotel genera innumerables registros, en especial los relacionados con pagos tanto en efectivo como con tarjeta de crédito, además lleva notas de ingreso y salida de huéspedes, invitados, visitantes, domicilios, compras a terceros de bienes y servicios, además de grabaciones de CCTV en corredores, áreas públicas y de acceso común; sin embargo: ¿Se procesa adecuadamente toda esa información?, ¿Se conoce cuánto tiempo deberá permanecer tal información en manos de la administración del hotel?
Es sabido que el almacenamiento de datos personales debe cumplir con una finalidad acorde a las normas legales vigentes, por lo tanto cuando la finalidad prevista finaliza las bases de datos que corresponden a esa finalidad tienen que ser borradas en forma segura, pero desafortunadamente eso no siempre ocurre y muchas veces los datos personales quedan a merced de la suerte. Y es que el robo de identidad en Colombia se ha acrecentado debido a que datos personales no se resguardan adecuadamente por lo que se pueden usar con destinos fraudulentos, y es eso lo que prueba la vulnerabilidad de los sistemas de seguridad y de disposición de datos en las organizaciones actuales.
En el caso de los hoteles pequeños, que son muchas veces atendidos por personal con poco entrenamiento, se puede encontrar las minutas que contienen registros manuales de ingreso de cada huésped simplemente botadas en la basura debido a que se llegó al final del libro, pero ¿cuál es el contenido de dichas minutas? pues un número de cédula de ciudadanía, el nombre completo de un ciudadano, la ciudad y dirección de procedencia, su número telefónico y su correo electrónico, información privada que es suficiente para favorecer una suplantación a través de una cédula falsa. Así entonces, será esa mala disposición de los registros la que podrá afectar negativamente al huésped y consecuentemente al hotel, todo por no manejar responsablemente los datos personales que entregaron de buena fe los titulares.
La Ley PDP establece que toda organización requiere de un responsable del tratamiento de datos personales para que vele por el cumplimiento de la Ley, y sin importar si es el propietario o el gerente, éste debe atender los detalles y las responsabilidades a él exigidas. Bajo ese concepto, todo sitio de hospedaje debe tener un responsable de datos personales debidamente entrenado y con capacidad de supervisar la gestión de las personas involucradas en la captura, almacenamiento, consulta, corrección y/o eliminación de la información. Este responsable desarrollará políticas, notificaciones, avisos de privacidad, y creará la conciencia necesaria en la empresa y entre los empleados para que en adelante se puedan ejecutar con precisión los procesos relacionados, cumpliendo hasta el más mínimo detalle de la norma, y minimizando las brechas en administración y seguridad.
Ahora bien, los datos de los huéspedes no solo se obtienen en forma directa al hacer el check-in en el hotel, sino que indirectamente a través de una agencia o call center de reservas, por lo tanto el responsable del tratamiento también deberá asegurar que cuando un tercero recopile los datos obtenga el debido consentimiento del titular el cual autoriza que sus datos personales se procesen de la manera en que el agente de reservas o el call center le ha informado. Este consentimiento o autorización debe ser catalogado y almacenado adecuadamente de manera que permita su consulta en cualquier momento.
Otros procesos que se deben vigilar son el registro de invitados, el cual muchas veces se usa para obtener en forma activa el consentimiento del procesamiento de los datos y para obtener información relevante que permita personalizar el servicio y las preferencias de los huéspedes en términos de habitaciones, espacios libres de humo, alimentación y servicios personales; estos últimos datos deben ser proporcionados en forma libre por el huésped, dejando constancia de ello y de que se informó al titular la finalidad y el ciclo de vida de los mismos. Los datos personales personalizados siempre existirán y serán valiosos para los hoteles dado que permiten mejorar y personalizar los servicios además de servir como herramienta de estrategia y marketing.
Concluyendo, en un hotel debe existir un responsable de datos personales quien debe tener conocimiento de las actividades a realizar y quien debe implementar un conjunto de medidas para evitar el procesamiento no autorizado, la pérdida accidental y la destrucción o el daño de los datos personales que posee. Son los propietarios y gerentes de hoteles los que deben tener en cuenta el tipo de información que tienen, el daño que podría resultar del uso indebido de esa información, y la necesidad de nombrar a un responsable para que se ocupe de realizar las tareas pertinentes.
La información personal que recauda un hotel es confidencial, más aún cuando muchos de los datos generados corresponden a pagos con tarjetas de crédito, por tanto el hotel deberá mantener la privacidad, prevenir la divulgación no autorizada, destruir información cuando sea necesario y en general proteger los datos personales bajo su custodia. Se recomienda tener mucho cuidado con la disposición de la información cuando ya no se necesita, usar preferiblemente dispositivos trituradores de residuos, teniendo especial cuidado con discos duros, memorias USB o elementos de almacenamiento electrónico en vista que si no se destruyen adecuadamente existirá una posibilidad de lectura.
