Riesgos en la ciberseguridad y privacidad de datos personales en las empresas turísticas.
La importancia que la ciberseguridad y la privacidad los datos tienen en la actualidad para las empresas está fuera de toda discusión. Casos recientes han puesto en evidencia que una brecha de seguridad en los sistemas de información de una compañía puede tener incalculables perjuicios económicos y mermar la confianza del cliente, un intangible vital para el buen funcionamiento del negocio.
Este escenario urge a las empresas que traten con datos sensibles de clientes a abordar el reto desde dos perspectivas: la seguridad en la privacidad de los datos personales y la prevención contra ataques cibernéticos. La naturaleza de las empresas turísticas, cuya base de negocio reside en el trato continuo con personas físicas, les hace especialmente vulnerables a los riegos derivados de la privacidad y la ciberseguridad.
La protección de los datos personales.
El 25 de mayo de este año deberá ser definitivamente aplicado por todas las empresas el Reglamento General de Protección de Datos diseñado en el marco de la Unión Europea, de obligado cumplimiento por todos los Estados miembros.
Se impone un deber de información para con los clientes, titulares del derecho a saber, entre otras cosas, los fines del tratamiento de sus datos, los destinatarios, las posibles consecuencias de no ceder los datos, el derecho a retirar el consentimiento, a presentar una reclamación, la identidad y datos del contacto del responsable de esos datos o los plazos de conservación de los datos.
De ahí que la normativa incida especialmente en algunos aspectos que deben tener en cuenta las empresas respecto a los datos personales, más aún si, como el caso de las empresas turísticas, su negocio se basa en tratar diariamente con clientes de diferentes partes del mundo:
- Ámbito extraterritorial: con que el tratamiento de los datos se dirija a personas que están en la Unión Europea, el Reglamento General de Protección de Datos ya resultará de aplicación.
- Legitimación para el tratamiento de los datos: Deberá comunicarse al cliente, de forma expresa, la cobertura legal y la finalidad concreta del tratamiento de sus datos personales.
- Derechos ARCO (acceso, rectificación, cancelación y oposición): A los ya previstos, se suman ahora el de supresión, el denominado “derecho al olvido”, la portabilidad de los datos y la limitación de tratamiento.
- Figura del DPO (Data Protection Officer): Perfil directivo que debe conseguir implementar el modelo de cumplimiento, que ahora sustituye a las normas tasadas. Supone un cambio de cultura en las organizaciones.
La ciberseguridad en la empresa.
Cuando nos referimos a la ciberseguridad en la empresa hablamos del conjunto de procedimientos, estrategias y herramientas que permiten garantizar la integridad, disponibilidad y confidencialidad de la información de una entidad. La ciberdelincuencia, generalmente a través de los denominados hackers, supone una amenaza que, convertida en ataque real, requiere la actuación de los sistemas de defensa de la compañía, en los que el empleado constituye un papel fundamental.
Pueden surgir diferentes amenazas cibernéticas, como es robo de datos personales mediante la suplantación de identidad (phishing), infección de los sistemas informáticos por programas dañinos (ransomware), fugas de informaciones o el control de dispositivos por control remoto (botnet), con todo lo que ello implica para una empresa del sector turístico.
En concreto, existen cinco riesgos importantes respecto a la privacidad que pueden afectar a los hoteles y apartamentos turísticos:
- Videovigilancia por seguridad: Hay que diferenciar dos supuestos: las cámaras que toman imágenes en tiempo real, pero no graban, y las que sí graban. En el primer caso, la toma de imágenes en tiempo real, cuyo tratamiento se debe hacer en base a la Ley Orgánica de Protección de Datos (LOPD), requiere el deber de informar, pero no de inscribirlo en ficheros. Mientras que en el segundo caso, cuando las cámaras dejen registradas las imágenes (nunca en lugares como el spa o el gimnasio), deberá respetarse el principio de proporcionalidad del Tribunal Constitucional: que la medida pueda conseguir el objetivo propuesto (juicio de idoneidad); que no exista otra medida más moderada para su consecución (juicio de necesidad) y si la medida es equilibrada y proporcionada (juicio de proporcionalidad en sentido estricto). En cualquier caso, la aplicación de estos principios es de suma relevancia, ya que la instalación de estos sistemas de seguridad debe ser a consecuencia de que se hayan producido en repetidas y numerosas ocasiones determinadas conductas violentas.
- Entrega de Currículums en recepción: Supone un riesgo en materia de LOPD para el hotel, que le puede acarrear cuantiosas multas si no se gestiona adecuadamente. En este sentido, para los hoteles existen dos obligaciones principales: informar expresamente al candidato de que su currículum será almacenado e informarle de sus derechos de acceso, rectificación, cancelación u oposición al tratamiento de datos y poner a su disposición los medios para ejercer dichos derechos. Sea como fuere, la empresa no debería aceptar ningún currículo si el candidato no firma el documento de consentimiento para el tratamiento de sus datos personales.
- Información sensible: Como, por ejemplo, alergias e intolerancias alimentarias, que requieren medidas de seguridad superiores al nivel básico al tratarse de datos sobre la salud del cliente. También las preferencias alimentarias, que pueden incluir referencias a sentimientos religiosos. No obstante, la aplicación de este régimen de protección de datos se mitiga por la excepción de que los datos personales sensibles recabados sean accidentales respecto a la finalidad principal del tratamiento de esos datos. En cualquier caso, estos datos se deben borrar al final de cada estancia o requerir el consentimiento expreso si es cliente habitual.
- Personal en prácticas: La personas en prácticas que desempeñen funciones dentro del hotel deberán firmar una cláusula o documento de confidencialidad la empresa, en materia de protección de datos, es responsable de las acciones tanto de sus empleados actuales como de aquellos que ya no forman parte de la plantilla. Y esto incluye, por supuesto, a los alumnos en prácticas, pues la normativa vigente indica que los acuerdos de confidencialidad deben ser suscritos por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.
- Wifi del hotel: Es, para el 94% de los usuarios del hotel, el servicio más importante del establecimiento. Por ello se deben seguir una serie de normas estrictas respecto a los datos personales. En primer lugar, en virtud de la Ley General de Telecomunicaciones (LGT) existe el deber de identificar a los usuarios, al tiempo que esta identificación debe cumplir con la LOPD. Hay un riesgo evidente en las redes abiertas, aquellas que no exigen ninguna contraseña y por tanto no están cifradas. Muchos hoteles suelen ofertarlos en sus zonas comunes, como la recepción, la piscina, el restaurante… Pero hay que tener en cuenta que estas redes no identifican a usuarios (por lo que incumple la LGT), no protege el tráfico entre usuarios de la red y permite el acceso de expertos al disco duro del hotel con toda la información que contenga. Para evitar estos riesgos, la solución es una «capa de servicios» que restrinja las conexiones, evite el acceso al router o a la IP del establecimiento y bloquee el tráfico entre usuarios red wifi entre sí. En cualquier caso, se debe advetir al usuario de la red de las medidas de seguridad que debe adoptar.
Cuando la empresa detecte un riesgo alto de que puedan verse afectados los derechos y libertades de los titulares de los datos y no sea un esfuerzo desproporcionado, deberá comunicarse a la autoridad de dicho control la incidencia observada dentro de las 72 horas siguientes.
Implementar el plan de privacidad de la compañía.
Vistas las numerosas amenazas a las que una empresa del sector turístico, que trata cotidianamente con datos personales sensibles, es necesario tener en cuenta los elementos clave para diseñar un plan preventivo de privacidad que evite o mitigue los posibles riesgos.
Este plan de privacidad debería comenzar con una auditoría, en la que se realice de forma rigurosa un análisis y evaluación de riesgos posibles para la empresa (robo de datos de clientes, interceptación de redes wifi en el hotel…). Después se debe realizar un mapa de riesgos, que detalle las consecuencias, el impacto y la probabilidad de que esos riesgos puedan suceder. A partir de ahí se puede elaborar el programa de cumplimiento, hecho a medida para las necesidades de la empresa, que prevenga el riesgo de daños y pruebe su eficacia mediante controles.
Una vez diseñado el plan preventivo, es necesaria su implementación, donde tendrán papeles decisivos la formación (sobre todo a los empleados) y la figura del responsable del tratamiento de datos como canalizador de incidencias. A partir de ahí se debe elaborar un modelo de respuesta, que deberá detallar las acciones a emprender en caso de fallo de seguridad. Y por último, la revisión del programa de cumplimiento, consistente en hacer una monitorización efectiva de los datos y de los procesos establecidos.
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados