cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
PBarcenas
Retired

El sector hotelero es uno de los más afectados por el nuevo reglamento de protección de datos (GDPR). Los hoteles en México y Latinoamérica también se ven afectados por esta nueva regulación. Los hoteles que maneje datos personales de ciudadanos europeos tienen que considerar el tratamiento adecuado de los datos personales, en función a lo estipulado en el nuevo reglamento GDPR/RGPD.

 

¿Qué es GDPR?

El GDPR es un reglamento de la Unión Europea (EU) que tiene como finalidad estandarizar las regulaciones para la protección de datos en todos los países miembros. También expande la protección de sus ciudadanos al incluir nuevos derechos que aplicarán en cualquier entidad –incluso en aquellas que están fuera de la UE–, además de controlar o procesar cualquier dato que se pueda utilizar directa o indirectamente para identificar a una persona.

Por un lado, el GDPR estandariza la legislación de protección de datos para todas las naciones que son miembros de la Unión Europea (UE) para simplificar de manera potencial sus iniciativas de cumplimiento.

Cumplir con GDPR en su hotel se vuelve crítico para dar confianza a sus usuarios al garantizar un tratamiento adecuado de sus datos personales, cumpliendo con el nuevo reglamento. También y no menos importante, el evitar tener multas por falta de cumplimiento de hasta 20M€ o hasta el 4% de los ingresos de su empresa.

Esto nos lleva a plantearnos las siguientes preguntas:

¿Su hotel ofrece servicios de hospedaje a ciudadanos Europeos?

¿Realiza actividades de marketing para promover los servicios de su hotel con ciudadanos Europeos?

Sí la respuesta es sí, en ambas preguntas, entonces tiene que considerar obtener el consentimiento de sus prospectos y clientes para utilizar sus datos con fines de comercialización y especificar qué tipo de datos estará utilizando.

El cumplimiento de GDPR en su hotel será una iniciativa compleja de colaboración que abarca personas, procesos, tecnología y datos, específicamente cualquier dato que directa o indirectamente identifique a un interesado que resida en la UE. En MEGA con nuestra solución de HOPEX GDPR estamos listos para ayudarle.

A continuación le compartimos 6 Pasos para cumplir con GDPR por diseño.

6 Pasos para cumplir con GDPR por diseño

Tome la delantera en el cumplimiento del GDPR siguiendo seis pasos. Revise las estrategias efectivas para evaluar sus necesidades de cumplimiento y enfóquese en identificar y priorizar el procesamiento de las actividades. Conozca tácticas nuevas para remediar el incumplimiento, al sacar provecho del modelado de procesos de negocios. Vea cómo demostrar el cumplimiento a sus ejecutivos y autoridades de supervisión con documentación detallada y las capacidades de informes.

6 Pasos para cumplir con GDPR por diseño_MEGA HOPEX.jpg

 

1. Realice la evaluación inicial

Los requisitos del GDPR son extensos y requieren de la colaboración multifuncional de los miembros de cada faceta del hotel, desde marketing y ventas, del área legal y de recursos humanos hasta seguridad y TI. Los encargados del cumplimiento en conjunto son responsables de la planeación y ejecución de las actividades regulatorias. Sin embargo, para que sean realmente eficaces en sus actividades, no sólo tienen que entablar relación uno con el otro en este contexto, también deben trabajar para inculcar una cultura de “primero es la privacidad de datos” dentro de su organización.

  • La evaluación preliminar del impacto del GDPR incluye las siguientes actividades:
  • Identificar todos los datos, aplicaciones asociadas y almacenamiento.
  • Identificar PII que directa o indirectamente identifique a un interesado
  • Determinar a la autoridad que controla y/o procesa PII
  • Identificar los procesos de negocios que utilizan PII
  • Identificar a las personas que interactúan con PII

 

Además, las evaluaciones preliminares deben contener un inventario de datos jerarquizado y categorizado, que hará más sencillo identificar PII crítica en los procesos de negocios y entender las interacciones entre datos y personas.

 

2. Identifique sus prioridades de cumplimiento

El GDPR pretende regular los ciclos de vida de los datos y requiere que los negocios no sólo conozcan qué datos tienen, también por qué los tienen y cómo cuidarlos. Por lo tanto, el inventario de datos tiene que ser más que una lista de datos controlados y/o procesados por su negocio o por terceros asociados. También tiene que reflejar la necesidad y el uso de los datos. La categorización y el mapeo de datos de personas, procesos y tecnología ayudan a evaluar el uso; mientras que la jerarquización de datos (donde la prioridad se basa en la sensibilidad) ayuda a evaluar la necesidad. Cuando ambos procesos son comparados, se conocen las interacciones de PII más crítica. Este paso es esencial en sus esfuerzos para seguir evaluando sus necesidades de cumplimiento.

 

3. Complete una evaluación de Impacto

La Evaluación de Impacto de la Privacidad de Datos (DPIA por sus siglas en inglés) es un componente fundamental del GDPR. La regulación pide que se realice una evaluación de impacto a cualquier proceso que esté en riesgo de violar los derechos de privacidad del interesado. Idealmente, la evaluación se completa de manera previa a la implementación de los procesos, lo que permite a los negocios mitigar cualquier riesgo identificado. En muchos casos, una autoridad regulatoria pedirá este documento obligatorio. El informe incluiría las actividades de procesamiento de datos que impactan de manera potencial los derechos y las libertades de los interesados.

Un informe de DPIA debe contener lo siguiente:

  • Descripción de los procesos, sus operaciones y propósitos.
  • Evaluación del impacto de los derechos y libertades de los interesados.
  • Las medidas tomadas para mitigar este impacto, que incluyen los mecanismos usados para asegurar la protección de datos personales.

 

4. Implemente un Plan de Corrección

Con un plan de corrección preparado, usted puede empezar la ejecución. Uno de los elementos de su plan de corrección será el análisis de procesos de negocios y necesitará asegurar todos los procesos que estén identificados por controlar o procesar PII. Es importante que esto se haga sin impactar negativamente al negocio y mapear las actualizaciones es un medio efectivo para descubrir dependencias y evitar costos innecesarios.

Uno de los objetivos del GDPR es asegurar los ciclos de vida de PII y el otro es extender los derechos de la privacidad de datos de los interesados. Cada uno de los derechos (al acceso, al olvido y a la portabilidad) requerirá nuevos procesos de negocios que les den soporte.

Un software especializado como HOPEX puede ayudarlo a diseñar, modelar y comunicar procesos nuevos y actualizados. Cuando estos cambios también incorporan sistemas de TI, su negocio puede organizar operaciones para entregar productos y servicios de “cumplimiento por diseño” sin sacrificar la agilidad del negocio. La habilidad de dar soporte completo al continuo cambio del negocio sin impactar en el cumplimiento es apremiante en la era digital.

 

5. De seguimiento a incidentes

El artículo 33 del GDPR exige al controlador notificar a una autoridad supervisora sobre una violación de datos personales dentro de las primeras 72 horas del descubrimiento, a menos que la violación tenga pocas posibilidades de infringir los derechos de privacidad de los interesados. Por lo tanto, monitorear las actividades de procesamiento de datos y la supervisión de incidentes—donde un incidente directa o indirectamente genere un incumplimiento o una violación a los datos—serán esfuerzos de cumplimiento para cada negocio.

El GDPR pone gran énfasis en demostrar de manera completa e integral que se cumplieron todos los requisitos para la protección de datos. Una autoridad supervisora podrá pedir al DPO o a otro de los responsables del cumplimiento que le proporcionen, a veces en un corto plazo de entrega, información específica que demuestre el cumplimiento.

La información requerida puede incluir:

  • Un registro de actividades del procesamiento de PII
  • Un registro de filtración de datos
  • Una DPIA detallada sobre actividades de procesamiento de alto riesgo
  • Detalles contractuales entre su organización y proveedores que procesen y /o controlen datos en su representación.

El GDPR está aquí para quedarse y no discrimina el tamaño, la industria o los ingresos.

¿Ha planeado detalladamente su plan de trabajo?, ¿Sabe cuánta información tiene disponible y qué información necesita recolectar y evaluar? y ¿Qué hay de los riesgos?.

Con HOPEX GDPR podemos darle el soporte a sus esfuerzos de cumplimiento a corto y a largo plazo. Para conocer más sobre nuestras herramientas de cumplimiento GDPR, visite nuestro sitio web

Si quiere conocer más acerca de los 6 pasos, descarga el "White paper 6 Pasos para Cumplir con GDPR por Diseño".