Marco legal aplicable
| Regulación | Ámbito | Multas máximas |
|---|---|---|
| GDPR (EU) | Datos ciudadanos UE | €20M o 4% facturación |
| CCPA (California) | Residentes California | $7,500 por violación |
| LOPD-GDD (España) | Territorio español | €20M o 4% facturación |
| Lei 13.709 (Brasil) | Datos brasileños | 2% facturación (max R$50M) |
Datos tratados en hoteles
Identificación:
Nombre, DNI/pasaporte
Dirección, teléfono
Nombre, DNI/pasaporte
Dirección, teléfono
Reserva:
Fechas, preferencias
Método pago, facturación
Fechas, preferencias
Método pago, facturación
Estancia:
Consumos, servicios
Incidencias, requests
Consumos, servicios
Incidencias, requests
Marketing:
Email, comportamiento
Segmentación, preferencias
Email, comportamiento
Segmentación, preferencias
Bases de legitimación
- Ejecución contrato: Datos necesarios para reserva y estancia
- Obligación legal: Libro registro viajeros, facturación
- Interés legítimo: Seguridad, prevención fraude
- Consentimiento: Newsletter, ofertas personalizadas
Derechos de huéspedes
| Derecho | Descripción | Plazo respuesta |
|---|---|---|
| Acceso | Copia datos personales tratados | 30 días |
| Rectificación | Corrección datos inexactos | 30 días |
| Supresión | "Derecho al olvido" (con límites) | 30 días |
| Portabilidad | Exportar datos formato estructurado | 30 días |
Gestión de consentimientos
Características consentimiento válido GDPR:
- Libre, específico, informado e inequívoco
- Fácil retirar como otorgar
- Separado de otros términos contractuales
- Granular por finalidades
Auditoría de datos
Inventario requerido:
• Qué datos se recogen y dónde
• Base legal para cada tratamiento
• Tiempo de conservación
• Transferencias internacionales
• Medidas seguridad implementadas
• Qué datos se recogen y dónde
• Base legal para cada tratamiento
• Tiempo de conservación
• Transferencias internacionales
• Medidas seguridad implementadas
Políticas retención
| Tipo dato | Retención mínima | Retención máxima |
|---|---|---|
| Libro registro | 6 años (España) | 6 años |
| Facturación | 4-7 años fiscal | 7 años |
| Marketing (sin consentimiento) | N/A | Inmediata supresión |
| CCTV seguridad | 1 mes | 1 mes (salvo incidencia) |
Medidas técnicas y organizativas
- Cifrado: Datos en tránsito (HTTPS/TLS) y reposo (AES-256)
- Control acceso: Autenticación multi-factor, roles granulares
- Pseudonimización: IDs aleatorios en lugar de datos identificativos
- Backups seguros: Cifrados, acceso controlado, retención limitada
Notificación brechas seguridad
72 horas:
Notificar autoridad
protección datos
Notificar autoridad
protección datos
Sin demora:
Informar afectados
si alto riesgo
Informar afectados
si alto riesgo
Documentar:
Registro interno
todas las brechas
Registro interno
todas las brechas
Evaluar:
Impacto y medidas
correctivas
Impacto y medidas
correctivas
Gestión terceros y vendors
Contratos DPA (Data Processing Agreement) obligatorios con:
- PMS cloud, channel managers
- Plataformas email marketing
- Pasarelas pago, servicios BI
- Cualquier proveedor que acceda a datos personales
Caso: Sanción GDPR hotel
Hotel 4* (€2M facturación):
• Cámaras CCTV sin información adecuada
• Base legal incorrecta para marketing
• No atendió derechos acceso/supresión
Sanción: €45,000 + auditoría anual obligatoria
• Cámaras CCTV sin información adecuada
• Base legal incorrecta para marketing
• No atendió derechos acceso/supresión
Sanción: €45,000 + auditoría anual obligatoria
Herramientas compliance
| Función | Herramienta | Coste/mes |
|---|---|---|
| Consent management | OneTrust, Cookiebot | €100-500 |
| Data mapping | Privado, DataGrail | €200-800 |
| Rights management | TrustArc, Secure Privacy | €150-400 |
| Policy generator | Termly, Iubenda | €30-100 |
Checklist compliance básico
- Política privacidad actualizada y accesible
- Avisos legales en formularios de recogida
- Procedimiento atención derechos GDPR
- DPAs firmados con todos los proveedores
- Registro actividades tratamiento actualizado
- Plan respuesta brechas de seguridad
- Formación staff en protección datos