A raíz de COVID, los problemas como el cumplimiento de GDPR cayeron por la cintura. Si bien no es un tema tan popular, sigue siendo importante que todos los hoteleros comprendan los conceptos básicos sobre la Ley de privacidad de la UE.
¿Cumple su hotel con el Reglamento General de Protección de Datos, más conocido como RGPD? Tal vez haya realizado una implementación importante para que su hotel cumpla con los requisitos. O tal vez se ha resistido al costo de un proyecto de este tipo y ha adoptado el enfoque de "cruzar los dedos" de que su marca más pequeña no será objeto de auditorías de cumplimiento.
Donde sea que aterrice en ese espectro, el riesgo de incumplimiento de GDPR para su hotel es relativamente alto. Se han presentado 281.000 casos a los reguladores en el primer año de GDPR, y las empresas se arriesgan a una multa máxima de 20 millones de euros o el 4% de los ingresos anuales, lo que sea mayor. Y en julio de 2019, los riesgos de incumplimiento para los hoteles se pusieron de manifiesto con una multa récord de 125 millones de USD cobrada a Marriott por una importante filtración de datos conforme a la normativa. ¡El daño de relaciones públicas solo es probablemente más costoso que la multa!
Para una industria que agrupa y comparte datos a través de sitios web, administradores de canales y motores de reservas de terceros, GDPR ha sido un dolor enorme. También ha sido increíblemente costoso, con Forbes estimando el costo global del cumplimiento en más de 9 mil millones de dólares. ¡Y eso es solo para las empresas más grandes! Las pequeñas y medianas empresas están invirtiendo una gran cantidad de tiempo y dinero en el cumplimiento.
A pesar de esta inversión, la regulación simplemente no ha funcionado como se diseñó. Es una iniciativa bien intencionada que se ha ejecutado horriblemente. En este breve manual básico sobre el RGPD para principiantes, exploraremos cómo empezó fuerte y dónde salió mal, y le daremos una lista completa de verificación del RGPD para hoteles para que pueda cumplir sin arruinarse.
¿Qué es la Ley de Protección de Datos (RGPD)?
GDPR, que significa Reglamento General de Protección de Datos , entró en vigor en la UE el 25 de mayo de 2018. La aprobación de la Ley estuvo marcada por un marcado conflicto entre quienes creen en el papel del gobierno en la protección de la privacidad de los consumidores a través de la regulación. y los que creen que debe prevalecer el libre mercado.
GDPR proporciona "la protección de las personas físicas con respecto al procesamiento de datos personales y a la libre circulación de dichos datos". Como una revisión importante de cómo se espera que las empresas procesen, manejen y almacenen datos, GDPR también les dio a las personas un control más granular sobre sus datos.
Según el RGPD, los datos se refieren tanto a datos personales, como nombres, direcciones IP o cualquier cosa que pueda usarse para identificar a una persona, como a datos personales confidenciales, como material genético, opiniones políticas, orientación sexual y similares.
Cualquier organización que actúe como controlador o procesador de datos personales está cubierta por el RGPD. Un controlador de datos es la entidad que determina cómo se utilizan los datos para que se inicie el proceso, mientras que el procesador de datos es cualquier entidad que no es un empleado del controlador de datos que procesa los datos en nombre del controlador.
Para los hoteles, esta distinción es importante, ya que pueden actuar como "controladores" de los datos (es decir, reservas directas), mientras que sus proveedores son vistos como "procesadores" de los datos (es decir, reservas realizadas en plataformas de terceros). A menos que se rija de otro modo por un contrato, el controlador de datos es responsable de cualquier cumplimiento de GDPR.
Ante una posible multa de hasta 25 millones de euros o el 4% de los ingresos, los hoteles deben poner al huésped en el centro de todas las estrategias de protección de datos. Cubriremos eso más adelante en nuestra lista de verificación de GDPR del hotel.
Lista de verificación del RGPD para hoteles
Para lograr que su hotel cumpla con los requisitos, así como mantener ese cumplimiento a lo largo del tiempo, se requiere un enfoque reflexivo y holístico. Deberá pensar detenidamente cómo se comparten los datos entre los sistemas internos, así como también cómo esos datos fluyen hacia adelante y hacia atrás desde los sistemas de terceros que no están directamente bajo su control.
Dado que el RGPD pone la responsabilidad en su hotel como controlador de datos, es fundamental que comprenda cómo fluyen los datos en cada momento. Aquí hay una lista de verificación de GDR para hoteles:
Auditoría. Realice un análisis para revisar los procesos internos, los contratos con los proveedores, las bases de datos existentes y cómo fluyen los datos entre los sistemas. Debe comprender qué información posee y quién tiene acceso a ella. Esta claridad debe informar todo lo que hagas a partir de ahora.
Comunicar. Pregunte a los proveedores existentes por sus políticas de cumplimiento de datos. Debemos tener una idea clara de cómo interactúan los datos de su hotel con sus sistemas e identificar cualquier vulnerabilidad o proveedores mal informados. Después de hablar con sus proveedores existentes, puede ser el momento de evaluar otras opciones. Cuando trabaja con un proveedor que cumple con el RGPD, como el GMS (CRM) de TravelClick , el motor de reservas de iHotelier o un creador de sitios web de hoteles , elimina el estrés del cumplimiento sin mover un dedo. El cumplimiento está integrado en el producto para que tenga más tranquilidad.
Plan. Una vez que tenga su auditoría y su pila tecnológica actualizada, el siguiente paso es crear un plan para la gobernanza. Desea un marco para administrar datos, incluidas políticas y procesos para eliminar posibles brechas en la forma en que su hotel maneja los datos de los huéspedes. Necesitará roles y responsabilidades claramente definidos para el personal, como asignar la responsabilidad de manejar las solicitudes de datos entrantes de los consumidores. También querrá crear un plan de acción de violación de datos paso a paso para promulgar en caso de un incidente, piratería o violación relacionada con los datos.
Ejecutar. ¡Ahora es el momento de trabajar el plan! Cosas que quiere asegurarse de incluir:
Consentimiento explícito: solicite a los visitantes de su sitio web que opten por las cookies, en lugar de instalarlas automáticamente y optar por no hacerlo. También deberá realizar un seguimiento de cuándo y dónde cada persona dio su consentimiento (o revocó ese consentimiento).
Política de privacidad: actualice su política de privacidad para incluir información relevante de cumplimiento de GDPR, como cómo usa los datos y cómo los usuarios pueden optar por no participar.
Recepción: asegúrese de que sus políticas de recopilación de datos en la recepción cumplan, ya que todo lo que recopile fuera de línea también debe cumplir con el RGPD.
Los datos existentes. GDPR se aplica a todos los datos personales, sin importar cuándo se capturaron. Dado que los datos también están sujetos a nuevas reglas y regulaciones, ¡debe asegurarse de que también cumplan!
Tren. El cumplimiento es tan bueno como su eslabón más débil. Al capacitar al personal para que se adhiera a estas políticas, será menos vulnerable a los problemas relacionados con el RGPD. Instruya a su personal sobre lo que puede conducir a una filtración de datos y cómo pueden ayudar a prevenirla, incluida la supervisión de las señales de alerta. Desarrolle un proceso claro para que el personal informe cualquier error u otros problemas relacionados con las quejas a la gerencia. Debe haber un ambiente sin miedo que priorice la transparencia sobre el castigo.
Mantener. El mantenimiento es mucho menos oneroso que el cumplimiento. Revise cada aspecto de su programa de protección de datos regularmente para revisar cambios inesperados o nuevos problemas de cumplimiento.
Únase a más de 100.000 ejecutivos de las principales marcas hoteleras del mundo y reciba las últimas novedades en su bandeja de entrada una vez por semana.
La Ley de Protección de Datos es una iniciativa bien intencionada...
Las intenciones detrás de la Ley de Protección de Datos eran buenas: se trataba de crear más controles para los consumidores en la era digital actual impulsada por los datos. En la mayoría de los países y regiones, las leyes de privacidad existentes se promulgaron antes de que Internet tomara el control. La regulación tenía la intención de poner las regulaciones al día con el comercio.
Para lograr este objetivo de mayor control en la era digital actual, el reglamento consagra siete derechos individuales basados en los principios básicos de protección de datos:
El derecho a ser informado. Las empresas deben especificar qué datos se recopilan, por qué se recopilan, para qué se utilizarán y cuánto tiempo se almacenarán. Las empresas también deben tener razones claras para almacenar datos durante ese período de tiempo.
El derecho de acceso. Las personas pueden acceder a los datos personales previa solicitud, en un formato de fácil lectura.
El derecho a la rectificación. Las personas pueden revisar, modificar y corregir los datos que las empresas tienen sobre ellos.
El derecho al olvido. Las personas pueden solicitar la eliminación de información sobre ellos y las empresas deben equilibrar el interés individual con el bien público al conceder las solicitudes de eliminación.
El derecho a restringir el procesamiento. Las personas tienen derecho a restringir el procesamiento de sus datos personales cuando tengan una razón particular para desear la restricción.
El derecho a la portabilidad de los datos. Las personas tienen derecho a transferir sus datos personales si así lo solicitan.
El derecho a oponerse. Las empresas deben obtener el consentimiento de las personas de manera explícita y ofrecer la opción de retirar ese consentimiento, al mismo tiempo que lo rastrean en una ubicación centralizada. Las personas también tienen derecho a protestar las decisiones tomadas por algoritmos automatizados.
Incluso con beneficios tan fuertes para el control individual sobre sus datos y cómo se usan, la iniciativa también tuvo algunas consecuencias no deseadas.
...Con muchas consecuencias no deseadas
Hubo algunas consecuencias no deseadas significativas de GDR; a saber, cómo las realidades del cumplimiento se filtraron en la economía de hacer negocios en Europa y afianzaron aún más el poder de Big Tech:
Big Tech es el mayor beneficiario.
Las marcas con los rastreadores de datos más utilizados ganaron cuota de mercado gracias al RGPD. A medida que las empresas más pequeñas se adaptaron a la nueva ley, perdieron frente a las que tenían más recursos. Un estudio de Ghostery mostró una caída del 20% en el alcance del sitio web para los 50 principales proveedores de tecnología publicitaria que no eran Google o Facebook. GDPR parece haber puesto más poder en manos de los ya dominantes.
La complejidad genera confusión, y una ganancia inesperada para los abogados.
La ley en sí es demasiado complicada tanto para los individuos como para las empresas. Dado que muchas empresas gastan al menos el 40% de sus presupuestos de cumplimiento en asesoramiento legal, los abogados son realmente los únicos que obtienen una victoria general.
Reducción de la competitividad europea y menos puestos de trabajo.
La ley de la complejidad tuvo un tremendo impacto en las nuevas empresas de la región, con un estudio que encontró "una disminución de $ 3.38 millones en los dólares agregados recaudados por las empresas de la UE por estado por categoría de la industria del crudo por semana, una reducción del 17.6% en el número de ofertas de empresas semanales , y una disminución del 39,6 % en la cantidad recaudada en una transacción promedio luego de la implementación del RGPD?. La pérdida de esa inversión generó entre 3.604 y 29.819 puestos de trabajo en Europa.
Nuevos riesgos de fusión.
Como lo demuestra la multa récord de Marriott relacionada con las prácticas de Starwood, los hoteles que adquieren otros hoteles asumen cualquier riesgo relacionado con GDR. Como tal, los acuerdos se están desmoronando, con el 55% de una encuesta de Merrill Corp diciendo que habían trabajado en acuerdos que se desmoronaron debido a preocupaciones sobre las políticas de protección de datos de una empresa objetivo y el cumplimiento de GDPR.
Coste del cumplimiento para los hoteles.
La industria hotelera se ve especialmente afectada por el RGPD, ya que los hoteles, incluso en los lugares más remotos, deben considerar el cumplimiento. El costo de retener el asesoramiento y la implementación de sistemas es elevado. El cumplimiento de GDPR requiere la colaboración entre proveedores y empleados en TI, ciberseguridad, análisis forense digital y diseño de sistemas. Con tanto por hacer, las marcas más importantes tienen una gran ventaja, ya que pueden utilizar sus economías de escala para reducir el costo total de implementación.
A pesar de estas consecuencias no deseadas, el RGPD sigue siendo un problema importante para los hoteles. Al equilibrar los requisitos de cumplimiento con un enfoque estratégico, los hoteles de todos los tamaños pueden crear un marco que sea asequible y eficaz.
Al mirar hacia GDPR, tenga en cuenta que los hoteles son responsables de cómo los proveedores recopilan e interactúan con los datos. Cada punto de contacto debe cumplir con las normas o corre el riesgo de recibir multas. Por lo tanto, debe verificar que sus proveedores estén informados y sean proactivos sobre GDPR para hoteles. De lo contrario, no importa cuánta preparación haga de su parte, dejará su hotel expuesto a vulnerabilidades, y a las consecuencias financieras y de relaciones públicas de no cumplir y tener algo como una violación de datos.
