Durante el periodo de inspección se visitaron, tanto los servicios centrales como los hoteles más representativos de cuatro grandes cadenas hoteleras, además de centrales de reserva y empresas que prestaban algún servicio a los mismos.
Las conclusiones de esta auditoría indican que existen deficiencias en el tratamiento de datos personales, la principal de las cuales, de carácter estructural, es la confusión existente respecto a quién se responsabiliza del tratamiento de los datos de clientes y cuál es el destino final de estos datos.
Debe informarse expresamente a los clientes en el momento de recabar sus datos personales si el tratamiento de esos datos será procesado sólo por el hotel con el que se firma el contrato de alojamiento o, también, por la cadena a la que pertenece el hotel, en cuyo caso habrá de solicitarse el consentimiento del cliente.
Estas conclusiones fueron comunicadas tanto a la Confederación de Hoteles y Alojamientos Turísticos como a las entidades auditadas, sin que se haya producido observación alguna.
Para subsanar estas deficiencias se han elaborado una serie de recomendaciones, que ya han sido trasladadas al sector, entre las que se encuentran las siguientes:
- En todos los casos en los que se utiliza un formulario para recabar datos de los clientes, en soporte papel o electrónico, además de información relativa al responsable real del fichero y a su dirección, debe incluirse:
Información sobre la finalidad para la que se recaban los datos y sobre el destinatario de los mismos.
Consecuencias de la negativa a suministrar determinados datos.
Posibilidad de ejercitar derechos de acceso, cancelación, rectificación y oposición.
Información sobre cesiones a terceros, incluyendo la cesión a las Fuerzas y Cuerpos de Seguridad del Estado, la cual viene exigida por la ley.
Diferenciar los campos obligatorios de aquellos que son voluntarios, incluyendo una casilla que permita al usuario manifestarse sobre la cesión de sus datos, sobre la recepción de publicidad u oponerse a la realización de perfiles basados en sus preferencias.
- Se ha constatado que algunas cadenas hoteleras pretenden tratar de forma simultánea y centralizada todos los datos personales recabados de los clientes durante su estancia en distintos hoteles de la cadena mediante la implantación de sistemas de información denominados datawarehouse, que permite la elaboración de perfiles personales de los clientes. Se recomienda a las cadenas hoteleras que pretendan instalar estos sistemas que sólo realicen este tipo de tratamientos cuando dispongan del consentimiento del titular de los datos.
- Algunas entidades almacenan en sus ficheros información sobre el impago de deudas por parte de sus clientes. Dicha información debe reflejar con precisión si la deuda ha sido o no pagada y será accesible únicamente por los hoteles de la cadena cuya titularidad se corresponda con el responsable del fichero. Esta información, si no existe consentimiento del interesado, no se cederá a terceros aunque utilicen la misma marca comercial.
- Los datos personales relativos a reservas canceladas o a aquellas que han concluido con la estancia del cliente pueden conservarse pero siempre que se bloqueen de forma que sólo puedan utilizarse para atender posibles responsabilidades administrativas o judiciales. Transcurrido el plazo durante el que pueden exigirse estas responsabilidades deberá procederse a la supresión definitiva de los datos.