Lista de verificación RGPD para hoteles boutique (2026)
Lista de verificación RGPD para hoteles de 20-80 habitaciones: mapeo de datos, DPAs, notificación de brechas en 72h, retención y consentimiento de cookies.
Un hotel de 34 habitaciones en Múnich recibió un martes por la mañana una solicitud de acceso a datos de un huésped. El correo electrónico incluía la frase “conforme al artículo 15.” El director del hotel no sabía en cuál de sus nueve sistemas se almacenaban los datos de los huéspedes, no tenía una política de retención documentada ni un Contrato de Tratamiento de Datos (DPA) firmado con su gestor de canales. Tenía 30 días para responder. El coste en honorarios jurídicos fue de aproximadamente 3.400 euros, para una solicitud que una auditoría de cumplimiento de 90 minutos habría convertido en rutina.
El cumplimiento del RGPD en un hotel pequeño no consiste en crear un departamento legal. Se trata de comprender cinco obligaciones concretas, mapear el flujo de datos y tener respuestas documentadas antes de que un huésped pregunte. Esta guía cubre exactamente eso: para un establecimiento de 20-80 habitaciones, sin la factura de consultoría de 5.000 euros.
Aviso legal: Este artículo proporciona únicamente orientación operativa. No constituye asesoramiento jurídico. Cada establecimiento tiene circunstancias distintas; para casos específicos, consulte con un abogado especializado en protección de datos o un DPO certificado.
Qué exige realmente el RGPD de un hotel de 30 habitaciones
La normativa puede parecer intimidante. En la práctica, para un hotel pequeño se reduce a cinco obligaciones:
1. Base jurídica para cada actividad de tratamiento. Necesita un motivo legal documentado para cada categoría de datos de huéspedes que recopila. La mayoría de los datos operativos (nombre, detalles de reserva, datos de pago) están cubiertos por la ejecución de un contrato conforme al art. 6(1)(b). Los correos de marketing requieren consentimiento explícito según el art. 6(1)(a).
2. Inventario y mapeo de datos. Debe poder indicar: qué datos tiene, dónde están almacenados, quién tiene acceso, cuánto tiempo los conserva y con quién los comparte. Esto es su Registro de Actividades de Tratamiento (RAT), requerido por el art. 30. No tiene que ser elaborado; con una hoja de cálculo es suficiente.
3. Contratos de Tratamiento de Datos (DPA) con cada encargado del tratamiento. Conforme al art. 28 del RGPD, cualquier tercero que trate datos personales en su nombre necesita un DPA firmado. Esto incluye su proveedor de PMS, gestor de canales, plataforma de email, proveedor de WiFi, motor de reservas y procesador de pagos.
4. Notificación de brechas en 72 horas. Si los datos personales se ven comprometidos y la brecha tiene “probabilidad de suponer un riesgo para los derechos y libertades de las personas físicas,” debe notificarlo a la autoridad de supervisión nacional en un plazo de 72 horas conforme al art. 33 del RGPD. En España, la autoridad competente es la Agencia Española de Protección de Datos (AEPD). Incumplir este plazo es en sí mismo una infracción.
5. Responder a las solicitudes de los interesados en 30 días. Los huéspedes pueden solicitar acceso a sus datos (art. 15), rectificación (art. 16), supresión (art. 17) o portabilidad (art. 20). Dispone de un mes natural desde la fecha de recepción para responder.
Según el GDPR Enforcement Tracker, autoridades de protección de datos de 15 países han impuesto 83 sanciones en el sector hotelero y de alojamiento por un total de aproximadamente 22,6 millones de euros. España es el país más activo, con el 50% de todas las sanciones en el sector.
El inventario de datos de huéspedes: dónde se encuentran realmente
Un hotel típico de 40 habitaciones trata datos de huéspedes en al menos ocho sistemas:
| Sistema | Datos almacenados | ¿Se requiere DPA? |
|---|---|---|
| Sistema de Gestión de Propiedad (PMS) | Nombres, fechas, preferencias, tokens de pago, notas | Sí |
| Gestor de canales | Datos de reservas de OTAs (Booking.com, Expedia) | Sí |
| Motor de reservas | Datos de reservas directas, datos de tarjeta | Sí |
| Herramienta de email marketing | Correos electrónicos, registros de consentimiento, tasas de apertura | Sí |
| Procesador de pagos | Datos de tarjeta (tokenizados), historial de transacciones | Sí |
| Portal cautivo WiFi | Correo electrónico, ID de dispositivo, registros de sesión | Sí |
| Cámaras de seguridad (CCTV) | Grabaciones de vídeo de huéspedes en zonas comunes | Sí |
| Plataforma de reseñas | Reseñas públicas, respuestas de gestión | Responsable conjunto |
La videovigilancia merece atención especial. Según el informe de GDPR Enforcement Tracker para el sector hotelero, la videovigilancia representa aproximadamente dos tercios de todas las sanciones en el sector. Infracciones comunes: cámaras que cubren áreas de personal sin aviso, retención de grabaciones más tiempo del necesario, falta de señalización informando a los huéspedes.
Para una visión completa de cómo su PMS se conecta con el resto de su pila tecnológica, consulte la guía de tecnología para hoteles boutique.
Nota sobre la legislación española: Además del RGPD, en España se aplica la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que complementa y adapta el RGPD al ordenamiento jurídico español. También existe la obligación de inscripción en el Registro de Viajeros del Ministerio del Interior para los establecimientos hoteleros, que genera sus propias obligaciones de retención de datos de huéspedes.
Cómo gestionar en la práctica una solicitud de supresión de datos
Respuesta corta: tiene un mes y debe eliminar los datos de cada sistema conservando lo que exige la ley.
Los pasos prácticos, en orden:
Paso 1: Verificar la identidad. Antes de actuar, confirme que la solicitud proviene del huésped real. Pida confirmación del número de reserva o la dirección de correo electrónico utilizada al reservar.
Paso 2: Delimitar el alcance de la solicitud. ¿Quiere el huésped que se elimine todo o solo los datos de marketing? La mayoría de las solicitudes de supresión se deben a correos de marketing continuos tras la estancia. Aclare esto antes de actuar.
Paso 3: Verificar las obligaciones de retención. Algunos datos no pueden eliminarse aunque el huésped lo solicite. Los registros fiscales (facturas de estancia) deben conservarse durante el período legalmente exigido. En España, la Ley General Tributaria establece un plazo de 4 años para la prescripción de obligaciones tributarias, aunque es habitual conservar la documentación 6 años por prudencia. Los datos del Registro de Viajeros tienen sus propias obligaciones de retención según la normativa del Ministerio del Interior.
Paso 4: Eliminar de todos los sistemas. Recorra cada sistema en su inventario: PMS, herramienta de email, registros WiFi, correspondencia en plataforma de reseñas.
Paso 5: Documentar la respuesta. Según el art. 17 del RGPD, debe responder en un mes y confirmar qué se eliminó y qué se conservó (y por qué). Guarde este registro durante al menos tres años.
Tiempo realista para un hotel de 40 habitaciones que ha mapeado sus datos: unas tres horas de trabajo.
La regla de notificación en 72 horas: qué cuenta como brecha de seguridad
El enfoque erróneo: decidir internamente que un incidente menor “probablemente no importa” y omitir la notificación. Esto falla según el art. 33 del RGPD, que establece el umbral de notificación en “probable que suponga un riesgo para los derechos y libertades de las personas físicas”, un listón mucho más bajo que “consideramos que es grave.”
El enfoque correcto es un protocolo de respuesta a brechas documentado con un plazo de decisión interna de 24 horas, no de 72. Necesita las primeras 24 horas para evaluar la gravedad, y las 48 horas restantes para redactar y enviar la notificación si se requiere.
Escenarios prácticos en que empieza a correr el plazo de 72 horas:
Escenario 1: Un portátil con correos de huéspedes es robado de la recepción. Aunque estuviera protegido con contraseña, una lista de correo de huéspedes sin cifrar en un dispositivo perdido cumple el umbral de notificación.
Escenario 2: Un empleado hace clic en un enlace de phishing y el atacante accede a la cuenta de correo durante 20 minutos. Si la cuenta contenía confirmaciones de reserva de huéspedes, se trata de una brecha de datos personales.
Escenario 3: Se descubre un dispositivo de skimming en un terminal de pago. Esto activa tanto la notificación del RGPD (a la AEPD) como los procedimientos de incidentes PCI DSS.
Los aspectos técnicos de la respuesta a brechas se tratan en detalle en la guía de ciberseguridad y protección de datos del hotel.
Políticas de retención: cuánto tiempo debe (y no debe) conservar los datos
El RGPD no establece plazos fijos de retención. Exige que usted los establezca, los documente y los aplique realmente.
En España, los hoteles están sujetos a múltiples obligaciones de retención superpuestas:
Registros contables y fiscales: La Agencia Tributaria española (AEAT) exige conservar la documentación fiscal durante 4 años desde la última declaración (plazo de prescripción). Sin embargo, la práctica habitual es conservarlos 6 años por seguridad.
Registro de Viajeros: La normativa del Ministerio del Interior obliga a los establecimientos hoteleros a registrar los datos de los viajeros y comunicarlos a las Fuerzas de Seguridad. Las obligaciones de retención dependen de la comunidad autónoma.
Grabaciones CCTV: La AEPD recomienda un máximo de 30 días para la videovigilancia general en zonas comunes del hotel.
Tabla de retención práctica para un hotel de 40 habitaciones:
| Tipo de dato | Período de retención | Base jurídica | Método de eliminación |
|---|---|---|---|
| Facturas/folios de huéspedes | 6 años (ES) | Obligación fiscal | Archivo programado |
| Perfiles de huéspedes (post-estancia) | 2 años (luego anonimizar) | Interés legítimo | Auto-borrado en PMS |
| Lista de email marketing | Activa + 3 años tras baja | Consentimiento | Herramienta de borrado ESP |
| Grabaciones CCTV | 30 días máx. | Interés legítimo | Auto-sobrescritura |
| Registro de viajeros | Según normativa local | Obligación legal | Según lo prescrito |
| Registros de brechas | Mínimo 3 años | Obligación de documentación | Eliminación segura |
DPAs con sus proveedores de tecnología
Un Contrato de Tratamiento de Datos es un contrato jurídicamente vinculante que especifica cómo un proveedor trata los datos personales en su nombre. El art. 28 del RGPD lo exige con cada proveedor que maneje datos de huéspedes.
La mayoría de los hoteles boutique no tienen ningún DPA firmado. Los proveedores casi con certeza los tienen; el hotel simplemente nunca los firmó.
Dónde encontrarlos:
Proveedores de PMS: Cloudbeds incluye un DPA en sus condiciones estándar, accesible desde la configuración de cuenta. Mews facilita un DPA a petición a través de su equipo legal. Little Hotelier y RoomRaccoon tienen condiciones de tratamiento de datos en sus contratos de servicio.
Plataformas de comunicación con huéspedes: Si utiliza Duve, Akia, Canary Technologies, Guestivo o herramientas similares, compruebe su sitio web en busca de un enlace al DPA o solicítelo al equipo de soporte. Estas plataformas gestionan datos de huéspedes previos a la llegada y el check-in digital.
Email marketing: Mailchimp, Brevo y Klaviyo ofrecen DPA de autoservicio en la configuración de la cuenta.
Herramientas de consentimiento cookie: Termly y OneTrust incluyen plantillas de DPA en su plataforma de cumplimiento. Termly comienza desde unos 10 USD/mes.
Durante una migración de PMS, sus obligaciones DPA se transfieren al nuevo proveedor. La guía de migración de PMS hotelero cubre los pasos prácticos de la transferencia de datos.
Consentimiento de cookies, analítica y su sitio web
Tras TCF 2.2, el “consentimiento implícito” por continuar navegando no es válido bajo el RGPD. Un banner de cookies conforme debe:
- Aparecer antes de que se establezcan cookies no esenciales
- Ofrecer botones de Aceptar y Rechazar igualmente prominentes
- Proporcionar consentimiento granular por finalidad (analítica, publicidad, personalización)
- Permitir retirar el consentimiento con la misma facilidad que se otorgó
Un hotel croata fue multado con 45.000 euros por la autoridad croata de protección de datos específicamente por tratamiento ilícito mediante cookies sin consentimiento válido.
Herramientas prácticas: CookieYes (desde unos 10 USD/mes) y Cookiebot (desde unos 10 USD/mes) escanean automáticamente su sitio, generan un banner conforme y producen una política de cookies.
Un repaso RGPD de 5 días para un hotel de 40 habitaciones
| Día | Tarea | Tiempo estimado |
|---|---|---|
| Día 1 | Inventario de datos: listar cada sistema, los datos que almacena y quién tiene acceso | 2-3 horas |
| Día 2 | Revisión de DPAs: localizar, revisar y firmar DPAs con todos los encargados del tratamiento | 2-4 horas |
| Día 3 | Política de retención: establecer plazos para cada categoría de datos, documentar | 1-2 horas |
| Día 4 | Protocolo de brechas: documento de una página con el responsable de decisiones, el contacto de la autoridad, la plantilla de notificación | 1 hora |
| Día 5 | Flujo DSR + banner de cookies: crear plantilla de respuesta para solicitudes de acceso/supresión; instalar herramienta de consentimiento cookie conforme | 2-3 horas |
Total: aproximadamente 8-13 horas de trabajo para una persona.
Preguntas frecuentes
¿Cuánto tiempo tengo para responder a una Solicitud de Acceso del Interesado (SAR)? Un mes natural desde la fecha de recepción de la solicitud, conforme al art. 12 del RGPD. Puede ampliar dos meses adicionales si la solicitud es compleja, pero debe informar al huésped de la ampliación en el primer mes.
¿Se aplica el RGPD a nuestro hotel si estamos fuera de la UE? Sí, si trata datos personales de residentes en la UE. El RGPD tiene alcance extraterritorial según el art. 3. Si su hotel aparece en OTAs accesibles en la UE o acepta reservas de residentes en la UE, el RGPD se aplica.
¿Qué multas reciben realmente los hoteles pequeños? Según el informe de CMS Law sobre RGPD en el sector hotelero, la mayoría de las multas en el sector se sitúan entre 5.000 y 50.000 euros para pequeños establecimientos. España es el país con más sanciones en el sector hotelero europeo; la AEPD es activa y ha sancionado a hoteles individuales por infracciones de videovigilancia y tratamiento ilícito de datos.
¿Somos corresponsables del tratamiento junto con las OTAs como Booking.com? Es complejo. El Comité Europeo de Protección de Datos (CEPD) ha emitido orientación indicando que hoteles y OTAs pueden ser corresponsables en determinadas actividades de tratamiento. Booking.com tiene sus propias condiciones de tratamiento de datos para hoteles; revíselas detenidamente, ya que comparte responsabilidad por los datos recopilados a través de la plataforma OTA.
¿Cubre el RGPD también los datos de los empleados? Sí. Los datos personales de los empleados están sujetos al RGPD igual que los datos de los huéspedes. En España, la LOPDGDD añade requisitos específicos en materia de relaciones laborales que van más allá del RGPD.
¿Qué pasa si un huésped solicita la supresión de datos que estoy obligado a conservar por ley? Puede rechazar la supresión para esa categoría de datos específica, citando la obligación legal. Debe informar al huésped por escrito de la base jurídica concreta para la retención. Suprima todo lo que no esté obligado a conservar.
La mayoría de los hoteles pequeños nunca recibirán una multa. El motivo práctico para cumplir es que cuando un huésped escala el asunto, quiere tener la respuesta en 48 horas, no en una espiral de pánico.
Escrito por Maciej Dudziak
Temas