“¿Mi nombre? ¿Para qué y para quién?”

¿Recuerda qué día, a qué hora y cuántos minutos llamó a su casa desde la habitación del hotel en su último viaje? ¿Y la película de pago que vió o los platos y licores que degustó en su restaurante? Quizá usted no, pero es muy probable que todos estos datos, además de su DNI, tarjeta de crédito y lugar de residencia habitual figuren en la base de datos del establecimiento donde se alojó e, incluso, en la de la cadena hotelera a la que pertenece. No se trata de ninguna irregularidad, pero usted tiene derecho a saber quién custodia esos datos y qué uso va a darles.

Protección de Datos pide a los hoteles que detallen al cliente para qué usarán y a quién cederán su información.
Puede que ya haya hecho la reserva del hotel donde se alojará estas vacaciones o que incluso ya esté disfrutando de sus instalaciones. Aún así, todavía está a tiempo de poner en práctica algunas de las recomendaciones de la Agencia Española de Protección de Datos para verificar que toda la información personal que ya ha facilitado o que va a facilitar a ese establecimiento va a ser conservada y utilizada correctamente o, como mínimo, conforme a la legislación vigente.
El tema no es baladí, puesto que la última auditoría realizada por la Agencia a diversos hoteles y centrales de reserva de cuatro grandes cadenas hoteleras concluye que “existen deficiencias en el tratamiento de datos personales” por parte de estas empresas, en cuyos ficheros figuran desde el nombre y apellido, DNI o pasaporte, teléfono de contacto, duración de estancia, y tarjeta de crédito de los clientes a, en muchos casos, su consumo telefónico, de restaurante o de otrosservicios añadidos. Las deficiencias detectadas son muy diversas: desde el hecho de que se conserven sin bloquear durante largos periodos de tiempo datos de reservas canceladas, de facturas impagadas o de los consumos ya abonados de telefóno, televisión u otros servicios, al hecho de que algunas cadenas centralicen la información de todos los hoteles para clasificar a los clientes por perfiles, pasando por la falta de medidas de seguridad y de controles de acceso a las bases de datos o la tramitación sin cifrar de reservas por internet con información delicada como el número de la tarjeta de crédito y su fecha de caducidad. Con todo, el subdirector de Inspección de la Agencia de Protección de Datos, Jesús Rubí, asegura que lo más preocupante es que se ha detectado un problema “estructural” en el sector, derivado del hecho de que “el consumidor acude a un hotel amparado por una marca comercial –Melià, NH, AC, etcétera–, pero las cadenas tienen distintos sistemas de gestión de sus establecimientos y muchos son propiedad de otras empresas, de modo que el cliente da los datos en el hotel pero no siempre sabe quién es el responsable de su protección, si la empresa del hotel, la sociedad matriz de la cadena a la que pertenece, o ambas”. Rubí explica que toda la información relacionada con la estancia en el hotel (servicios utilizados, datos identificativos, etcétera) está regulada por la relación contractual con el hotel. En cambio, el acceso de la cadena a esos datos no está cubierto y, si se produce, “hay que informar al cliente y obtener su autorización”. De ahí que la Agencia de Protección de Datos haya planteado a la Confederación de Hoteles y Alojamientos Turísticos la necesidad de que, en los formularios que tienen que rellenar los clientes –ya sea en papel o en soporte electrónico–, se incluya tanto la información sobre el responsable real del fichero y su dirección como la finalidad con que se recaban los datos, su destino, qué ocurre si no se rellenan algunos, el derecho que tiene el cliente a cancelar, rectificar u oponerse al uso de esos datos, y a quienes se van a ceder (incluyendo la cesión a las Fuerzas y Cuerpos de Seguridad del Estado, que viene exigida por ley). La Agencia también recomienda diferenciar entre los datos obligatorios y los voluntarios, y pide que se incluya “una casilla que permita al usuario manifestarse sobre la cesión de sus datos, sobre la recepción de publicidad u oponerse a la realización de perfiles basados en sus preferencias”. Por lo que respecta al cliente que va a un hotel, Rubí aconseja “cerciorarse de que en el cartoncito que se rellena en recepción figura toda esta información y fijarse en quién se responsabiliza de sus datos para saber a quién acudir si luego quiere cancelarlos o rectificarlos”. Añade que quien no tomara estas precauciones en su momento, siempre está a tiempo de hacerlo, puesto que tiene derecho a saber siempre qué se ha hecho con sus datos personales. El primer paso es saber quién es la empresa responsable de los datos, para lo que puede consultar el registro público que tiene la Agencia de Protección de Datos hasta localizar a la empresa propietaria del hotel o de la cadena hotelera. Después deberá dirigirse a la dirección que facilita esa empresa para ejercer el derecho de consulta y, en el plazo de diez días, debería recibir una respuesta en la que figuren todos los datos personales que tienen sobre él y el uso que han hecho de ellos, o bien en la que le digan que en sus archivos no figura ningún dato a su nombre.