UNA MIRADA AL TRATAMIENTO DE LOS DATOS PERSONALES DENTRO DE LAS ORGANIZACIONES HOTELERAS.

Toda organización que capture información personal de cualquier persona en Colombia tiene la obligación que cumplir tanto con la Ley de habeas Data como la de Protección de Datos Personales y, los Hoteles no son la excepción; adicional a que recogen datos de empleados, proveedores o de sistemas de video vigilancia localizados dentro de sus instalaciones, los hoteles almacenan extensa información de clientes durante la prestación de servicios; en tal sentido, casi la totalidad de actividades realizadas en un Hotel involucran procesamiento de datos personales.

Por ejemplo, la reserva de una habitación conlleva: capturar nombres, apellidos, identificación, fecha de nacimiento, teléfono, tarjeta de crédito o débito, tiempo de estadía, preferencias alimenticias, etc., en el registro de alojamiento no solo se requerirá lo que se pidió el proceso de reserva, sino que, se solicitará la entrega de los datos personales de los acompañantes, además de digitalizar la firma del titular a cargo del pago de los servicios entregados. A lo anterior sumemos que para la prestación de cualquier servicio, sea que éste se cargue o no a la cuenta del titular, siempre se realizará una anotación en la hoja de estadía de los huéspedes tal como sucede con un servicio de habitación,  el de bar, restaurante o  lavandería, siendo a veces necesario registrar datos más reservados como sería el estado de salud del huésped para atender cualquier emergencia, o tal vez los tipos de alergias o debilidades que una persona tiene frente a algún alimento, ello para poder excluirlo de las preparaciones que diariamente se le realizan.  

 No debemos dejar a un lado el tratamiento de datos que ocurre como consecuencia de las relaciones con terceros; pues,  todos los hoteles intercambian información con las agencias de viajes y turismo, con las empresas de transporte de huéspedes a nivel local, e incluso con las mismas aerolíneas, y qué decir del tratamiento combinado de datos que se hace con las empresas informáticas que almacenan, validan y procesan los datos de los clientes, teniendo en muchas ocasiones acceso privilegiado cuando se realizan procesos específicos.

¿Sabemos cómo y cuándo es recopilada nuestra información personal?

Realizar esa gran cantidad actividades mientras se mantiene un impecable manejo de los datos y una seguridad eficaz es una tarea compleja que además de necesitar una correcta planeación, ejecución y un constante seguimiento, requiere de un verdadero compromiso por parte de la organización, cosa que a veces no se obtiene porque se piensa que conlleva altos costos, o porque implica cambios en los procesos. De todas maneras, la adaptación de la operación de los hoteles centrada en la protección total de los datos es una obligación que, si se ejecuta correctamente, garantizará la ejecución de tareas en forma limpia, libre de tropiezos y sin contratiempos.

En esta instancia es importante recordar el desafortunado incidente que le aconteció a la reconocida cadena de hoteles Marriot quien se vio envuelta en un proceso sancionatorio con una multa cercana a 125 Millones de dólares, ello a raíz de un pequeño descuido en sus procesos de seguridad que condujo a que los datos de tarjetas de crédito y de pasaportes de innumerables clientes fueran pirateados por cibercriminales. Y aquí alguien tal vez podría decir: ese es un problema que compete netamente al área de seguridad informática, sin embargo, al observar el análisis que el Juez expone en su resolución se puede encontrar la raíz del problema, la cual no es otra que la falta de control y seguimiento; pues, los sistemas fueron vulnerados continuamente durante cuatro años, tiempo durante el cual ningún funcionario se dio cuenta de lo que pasaba.

Y es con lo anterior que se puede concluir que la Protección de Datos Personales va más allá de disponer de simples medidas de seguridad, y más bien envuelve actuar con responsabilidad, garantizando que todas las medidas que se planeen se ejecuten en forma precisa, oportuna, y que todas las labores programadas se realicen de forma diligente.

Entre las recomendaciones más adecuadas para las organizaciones hoteleras que están intentando adaptar sus procesos a la Ley se tienen:

• 1-Deben asegurarse de entender todas las tareas que involucran tratamiento de datos personales, comprendiendo qué se hace cada una de ellas, cómo circulan los datos y cuándo intervienen los mismos dentro la operación del hotel (registro, almacenamiento y uso), de esa manera podrán planear de manera efectiva la adecuación.
• 2- Deben conocer a fondo toda la reglamentación de protección de datos y asignar un funcionario como líder de la adaptación organizacional.
• 3- La implementación de cambios ajustados a una Ley determinada puede generar ciertos temores; pues, la idea es que no existan errores y que no se vaya a incurrir en faltas que deriven en una posible sanción; por lo tanto, es importante solicitar ayuda a una compañía especializada en protección de datos personales, preferiblemente que cuente con un software de gestión que asista al líder asignado en la adaptación de los procesos, así este podrá desarrollar sus tareas en forma sistemática.
• 4- Se debe mantener una disposición al cambio y al mejoramiento de la gestión.
• 5- Por último, se recomienda iniciar la implementación y no parar durante el proceso. La mayoría de las resoluciones sancionatorias de la SIC son producto una gestión incompleta que no cumple con todos los requisitos; y con esto se recuerda que el objetivo no es disponer de algunos documentos que demuestren que se tiene conocimiento de la ley, sino contar con un sistema de gestión orientado a resultados que muestra respeto por la protección de datos personales y defiende en todo momento los derechos de los titulares de la información.