Microlab Hard S.L.

El Tribunal de Justicia de la Unión Europea (TJUE) ha sancionado a la Agencia de Asilo de la Unión Europea (EUAA), institución perteneciente a la propia Unión, por una infracción del Reglamento General de Protección de Datos (RGPD).

Los hechos que motivaron la sanción fueron una serie de transferencias internacionales de datos que realizó esta Agencia sin cumplir las garantías necesarias para garantizar la seguridad de los datos, según detalla el citado Tribunal.

En el marco del RGPD, las transferencias internacionales de datos se refieren al proceso mediante el cual los datos personales de los ciudadanos de la Unión Europea (UE) se envían fuera del Espacio Económico Europeo (EEE), incluyendo países que no cuentan con un nivel de protección de datos equivalente al europeo. Estas transferencias son comunes en un mundo globalizado donde las organizaciones operan más allá de las fronteras, pero requieren de estrictas garantías para salvaguardar la privacidad de los individuos.

¿Qué constituye una transferencia internacional de datos?

Cualquier movimiento de datos personales hacia un país tercero (fuera del EEE) o a una organización internacional se considera una transferencia internacional según el RGPD. Estas transferencias pueden ocurrir, por ejemplo, cuando una empresa con sede en Europa utiliza servicios en la nube alojados en Estados Unidos o comparte datos con una filial en Asia.

Requisitos para garantizar la conformidad con el RGPD

El RGPD establece que estas transferencias solo pueden realizarse si se implementan las siguientes garantías:

1. Decisión de adecuación: La Comisión Europea evalúa si el país receptor ofrece un nivel de protección de datos equivalente al de la UE. Si se emite una decisión de adecuación, las transferencias pueden realizarse sin requisitos adicionales. Países como Japón, Suiza y el Reino Unido cuentan con estas decisiones.
2. Cláusulas contractuales tipo (CCT): En ausencia de una decisión de adecuación, las partes involucradas pueden usar estas cláusulas estándar, aprobadas por la Comisión Europea, para garantizar la protección de los datos transferidos.
3. Normas corporativas vinculantes (NCV): Aplicadas principalmente dentro de grupos empresariales multinacionales, estas normas internas establecen principios y procedimientos para proteger los datos personales transferidos fuera del EEE.
4. Garantías específicas: Las transferencias también pueden basarse en acuerdos entre países, mecanismos de certificación o códigos de conducta aprobados por las autoridades de protección de datos.
5. Consentimiento explícito: En algunos casos excepcionales, las transferencias pueden realizarse con el consentimiento explícito e informado del interesado, siempre que se le haya advertido de los posibles riesgos.

Consecuencias de no cumplir con el RGPD

Si bien las entidades públicas no son castigadas con multas económicas en caso de resultar sancionadas, las organizaciones privadas que no cumplen con estas disposiciones enfrentan sanciones significativas, que pueden alcanzar hasta el 4% de su facturación anual global o 20 millones de euros, dependiendo de cuál sea mayor. Además, la falta de cumplimiento puede generar desconfianza entre los usuarios y deteriorar la reputación de las organizaciones implicadas.

El cumplimiento del Reglamento General de Protección de Datos (RGPD) es esencial para todas las organizaciones que manejan datos personales de ciudadanos de la Unión Europea, especialmente cuando se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE). Como se demostró en el caso de la Agencia de Asilo de la Unión Europea, las transferencias sin las garantías adecuadas pueden resultar en sanciones significativas. Por ello, las empresas deben asegurarse de cumplir con los estrictos requisitos establecidos por el RGPD, como las cláusulas contractuales tipo, las decisiones de adecuación o el consentimiento explícito de los interesados.

En Microlab, comprendemos la complejidad de la protección de datos, especialmente en lo que respecta a las transferencias internacionales. Ofrecemos soluciones personalizadas que ayudan a las empresas a cumplir con la normativa vigente y a garantizar la seguridad de los datos personales. Si necesitas asesoramiento sobre cómo implementar medidas adecuadas para cumplir con el RGPD, no dudes en ponerte en contacto con nosotros. Estamos aquí para ayudarte a proteger los datos más valiosos y evitar riesgos legales.

Una comunidad de propietarios ha sido sancionada por la AEPD tras compartir datos personales de vecinos sin su consentimiento, vulnerando el RGPD.

Hechos que motivaron la sanción

Los hechos denunciados ocurrieron en febrero de 2024, cuando la administradora de una comunidad de propietarios compartió con todos los vecinos una sentencia judicial en la que la comunidad era parte demandada y algunos propietarios demandantes, sin eliminar de la sentencia los datos personales. Meses después, la misma administradora envió a todos los propietarios un escrito dirigido al presidente y firmado por diecisiete vecinos, en el que figuraban los números de identificación (NIF) y firmas manuscritas de estos.

Dos de los comuneros afectados por estos hechos denunciaron a la comunidad de propietarios ante la Agencia Española de Protección de Datos (AEPD) por compartir de forma indebida datos personales suyos hasta en dos ocasiones, lo que afectó a su derecho a la privacidad.

Vulneración del principio de minimización de datos

Si bien la administradora defendió que la cesión de estos datos estaba legitimada en el cumplimiento de las relaciones jurídicas y obligaciones legales de la comunidad, la AEPD concluyó que la comunicación de ciertos datos de los interesados (en particular, el NIF y la firma manuscrita) no eran necesaria para la finalidad del tratamiento.

Se hace necesario recordar que el RGPD consagra el principio de minimización de datos, por el cual los datos tratados deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Según afirma la AEPD en su resolución, los hechos descritos infringieron este principio, lo que derivó en una sanción de 1.000 euros.

Esta resolución pone de manifiesto que la protección de datos personales es una responsabilidad clave para las comunidades de propietarios, especialmente desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y su desarrollo en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Tratamiento de los datos de los comuneros

Las comunidades de propietarios deben tratar los datos personales de los comuneros de manera legítima y limitada a los fines necesarios para su gestión. Esto incluye:

• Base jurídica del tratamiento:
  El tratamiento de los datos se justifica generalmente por el cumplimiento de obligaciones legales o contractuales, como la gestión de las cuotas de la comunidad, convocatorias de juntas o el envío de actas.
• Cumplimiento de los principios del tratamiento:
  Los datos de los comuneros deben tratarse cumpliendo los principios que rigen el RGPD, como el principio de exactitud, de integridad y de confidencialidad.
• Registro de actividades de tratamiento:
  Las comunidades deben llevar un registro de actividades de tratamiento, donde se detallen los datos tratados, su finalidad, la base jurídica y las medidas de seguridad aplicadas.
• Deber de información:
  Es obligatorio informar a los comuneros sobre cómo se tratan sus datos mediante una política de privacidad accesible, que puede incluirse en los estatutos, en convocatorias o en la web de la comunidad si existe.
• Gestión de derechos de los interesados:
  Los comuneros tienen derecho a acceder, rectificar, suprimir o limitar el tratamiento de sus datos. La comunidad debe establecer procedimientos para atender estas solicitudes dentro de los plazos establecidos por la normativa.

La relación entre la gestión de comunidades de propietarios y la protección de datos es crucial, especialmente a la luz de las regulaciones actuales, como el RGPD. Las comunidades deben integrar la protección de datos en sus procedimientos internos, asegurando que se gestionen de forma adecuada y conforme a la ley. No solo es fundamental para evitar sanciones como la que ha ocurrido en este caso, sino también para preservar la confianza de los comuneros y promover una gestión responsable y ética de la información.

En Microlab, comprendemos la relevancia de cumplir con las normativas de protección de datos en comunidades de propietarios. Ofrecemos soluciones adaptadas para garantizar que el tratamiento de los datos personales se realice de manera correcta y conforme a la legislación vigente. Si necesitas asesoramiento o apoyo en la implementación de políticas de protección de datos, no dudes en contactarnos.

La protección de datos personales es un tema crucial en todos los sectores, pero en la industria hotelera cobra una relevancia aún mayor debido al volumen de datos que manejan a diario. Desde las reservas online hasta la información recogida durante el check-in, los hoteles gestionan datos personales de sus huéspedes que deben ser protegidos conforme a la normativa vigente en España y la Unión Europea.

En Microlab, analizamos las principales obligaciones en torno a la protección de datos en hoteles, para que puedas asegurar que tu hotel cumple con la normativa y brinda confianza a sus clientes.

¿Por qué es importante la protección de datos en hoteles?

Los hoteles recogen una gran cantidad de datos personales, entre los que se incluyen:

• Datos identificativos: como nombre, apellidos, dirección, teléfono o email.
• Datos financieros: como las tarjetas de crédito.
• Datos de salud: como los requerimientos de personas con movilidad reducida o alergias alimentarias.

El uso adecuado y la protección de estos datos no solo es un requerimiento legal, sino también un factor esencial para mantener la confianza de los huéspedes. Si un hotel no cumple con las normativas de protección de datos, puede enfrentarse a sanciones económicas severas y perder la reputación entre sus clientes.

Normativa en España sobre protección de datos

En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la normativa principal que regula la protección de datos, adaptada al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), que establece las directrices para el tratamiento de datos personales en toda la Unión Europea.

Principales obligaciones para los hoteles según la LOPDGDD y el RGPD

1. Finalidad legítima del tratamiento: Los datos solo pueden ser utilizados para los fines específicos para los que fueron recogidos, como la gestión de reservas, la facturación o la mejora de los servicios del hotel. Además, deberán ser utilizados para el cumplimiento de las obligaciones legales del hotel, como la comunicación de los datos de los viajeros a las fuerzas y cuerpos de seguridad o el registro de viajeros. En ningún caso se podrán utilizar para otros fines sin el consentimiento previo del huésped.
2. Principio de minimización de datos: El hotel debe asegurarse de que solo se recogen los datos necesarios para cumplir con el propósito que se persigue. Por ejemplo, no es necesario pedir datos sensibles si no son relevantes para el servicio que se va a prestar.
3. Derechos de los usuarios: Los huéspedes tienen una serie de derechos en relación con sus datos personales, entre ellos el derecho a acceder, rectificar, suprimir o limitar el tratamiento de sus datos. Los hoteles deben facilitar el ejercicio de estos derechos de manera sencilla y clara.
4. Protección de los datos mediante medidas técnicas y organizativas: Es obligatorio implementar medidas de seguridad adecuadas para proteger los datos personales frente a accesos no autorizados, alteraciones, divulgación o destrucción accidental. Esto incluye, por ejemplo, cifrar los datos sensibles y establecer controles de acceso en las bases de datos.
5. Notificación de brechas de seguridad: En caso de que se produzca una violación de seguridad que comprometa los datos personales, el hotel tiene la obligación de notificar la brecha a la autoridad competente, en este caso la Agencia Española de Protección de Datos (AEPD), dentro de las 72 horas siguientes a su detección.
6. Contratos con proveedores (encargados del tratamiento): Cuando el hotel contrate a terceros para tratar los datos en su nombre (por ejemplo, proveedores de software de gestión de reservas o sistemas de pago), debe asegurarse de que esos proveedores cumplen con la normativa de protección de datos mediante un contrato que lo garantice.

Pasos prácticos para cumplir con la normativa de protección de datos

Para asegurar que se cumple con la normativa en materia de protección de datos en hoteles, puedes seguir estos pasos prácticos:

1. Auditar los procesos de recogida y tratamiento de datos: Revisa cómo y qué tipo de datos personales se recogen en tu hotel, cómo se almacenan, cómo se protegen y quién tiene acceso a ellos.
2. Actualizar las políticas de privacidad: Asegúrate de que tu política de privacidad esté clara, actualizada y disponible para los huéspedes en todos los puntos de contacto, desde el sitio web del hotel hasta el registro en el hotel.
3. Formación del personal: Capacita a todo el personal que maneja datos personales sobre las obligaciones legales y cómo tratar los datos de manera segura.
4. Implementar medidas de seguridad tecnológicas: Utiliza sistemas de encriptación, autentificación y otras tecnologías de seguridad para proteger los datos personales de los huéspedes.
5. Designar un delegado de protección de datos (DPO): Aunque no todos los hoteles están obligados a tener un delegado de protección de datos, puede ser recomendable contar con uno para gestionar adecuadamente las obligaciones legales y la protección de la información.
6. Revisar contratos con proveedores y subcontratistas: Verifica que todos los proveedores que manejan datos personales a través de tu hotel estén alineados con las normativas de protección de datos.

Cumplir con la normativa de protección de datos en hoteles no solo es una obligación legal, sino también una oportunidad para fortalecer la confianza de tus huéspedes y diferenciarte como un establecimiento responsable y seguro. La implementación de buenas prácticas en el tratamiento de datos personales no solo evita sanciones económicas, sino que también mejora la experiencia del cliente y su seguridad.

Si deseas obtener más información o necesitas ayuda para garantizar que tu hotel cumpla con la normativa de protección de datos, en Microlab somos expertos en ciberseguridad y protección de datos. Contamos con soluciones personalizadas para que tu establecimiento gestione la información de manera segura y conforme a la legislación vigente.

¡Contáctanos hoy mismo! Nuestro equipo de profesionales está listo para ayudarte a proteger los datos de tus huéspedes y asegurar el cumplimiento normativo de tu hotel. No dejes que la seguridad de la información sea un problema, haz que sea una prioridad.