TecnoHotel REPORTAJE MAIRA HERNÁNDEZ. PROJECT MANAGER IT COMPLIANCE & SECURITY DE ANYHELP INTERNATIONAL
«La comunicación de datos de clientes y su tratamiento exige el consentimiento previo»
C
UANDO se pone en marcha un hotel, ¿cuál es el primer paso para asegurar la confidencialidad de la información? —Antes de iniciar la recogida y tratamiento de datos personales, la LOPD exige que se adopten todas las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de estos datos, así como evitar su alteración, pérdida o acceso no autorizado. Es de gran importancia recalcar que, en caso de que el hotel esté tratando datos de salud –como puede ser acondicionar una habitación o un servicio para una persona con minusvalía–, estaría tratando datos de nivel alto y debería adoptar todas las medidas en su nivel superior. Al considerarse derechos personalísimos y merecedores de especial protección, a estos datos sanitarios se les aplica la totalidad de requerimientos de la LOPD y del Reglamento 1720/2007, de Desarrollo de la LOPD (RDLOPD). —¿Qué diferencias existen entre la normativa que rige la seguridad de la información en un hotel y la que rige otros centros en los que se maneja otro tipo de información personal? —El marco legal es el mismo para todas las empresas, independientemente del tamaño, número de profesionales o volumen de negocio. El criterio que se aplica a la TecnoHotel 44 - septiembre/octubre 2009
hora de determinar estas medidas es el tipo de datos que trata cada uno. En función de esta información, se aplicarán medidas de seguridad básicas (datos identificativos), de nivel medio (infracciones administrativas/penales, de solvencia patrimonial y crédito, ficheros de entidades financieras, etc.) o alto (donde se encuentran los datos sanitarios). Existen otro tipo de datos también incluidos en el nivel alto de protección, como la ideología, afiliación sindical, religión, creencias, origen racial y vida sexual, que sólo pueden ser recabados, tratados y cedidos cuando lo dis-
ponga la ley o el afectado lo consienta expresamente. Por ello, antes de abordar las medidas y procedimientos exigibles en cada caso, las empresas y organismos públicos deberán analizar con detenimiento el tipo de datos que van a manejar. —¿Qué proceso debe seguir la información personal recogida en el check-in desde la salida del cliente del hotel? —El artículo 4 de la LOPD establece que los datos de carácter personal sólo se podrán recoger y someter a dicho tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con
En caso de que el hotel maneje datos sanitarios para acondicionar una habitación o un servicio para personas con minusvalías, estaría tratando datos de nivel alto, por lo que debería adoptar todas las medidas de protección en su nivel superior.