Jorge Morell (Términos y condiciones): «Solo un tercio de las PYMES españolas se ha adaptado debidamente al RGPD».

Jorge Morell Ramos es el fundador de la consultoría sobre Derecho tecnológico y Legaltech Términos y condiciones. Lleva más de 10 años prestando servicios legales, tanto en el sector público como privado, en materia de Derecho Tecnológico.


Creó Legaltechies, una de las primeras consultoras nacionales especializadas en el estudio e implementación de Legaltech, responsable del primer mapa sobre la Legaltech española. También fue co-organizador del primer congreso sobre Legaltech en España en 2017 y creador de Jade, uno de los primeros proyectos Legaltech de código abierto a nivel mundial. Actualmente, entre otros medios y publicaciones, escribe y colabora en el blog sobre innovación legal de Abogacía Española.

¿Cómo ha sido la implantación del RGPD en el sector hotelero? ¿Y en general?

En general, solo un tercio de las PYMES españolas se ha adaptado debidamente al RGPD. De hecho, solo el 14% de las páginas visitadas por los usuarios españoles cumplen en materia de cookies, según las nuevas normas del Reglamento General de Protección de Datos.
En el sector hotelero no tenemos datos concretos, pero lo normal es que estén en una línea similar.

¿Cuál ha sido el principal cambio que ha implicado el RGPD?

El principal cambio del Reglamento General de Protección de Datos seguramente sea que el responsable de los datos no solo debe cumplir la ley sino que también debe demostrar que la cumple. A todo ello, se suman cambios como la desaparición del consentimiento tácito, la aparición de la figura del delegado de protección de datos o la gestión de las brechas de seguridad, entre otros.

¿Cree que se ha estado haciendo uso responsable de la información y los datos de usuarios/clientes?

En general sí, pero es cierto que algunos servicios muy especializados en la gestión de información personal, como por ejemplo Facebook, han explotado en exceso esos datos en favor de su modelo de negocio y en perjuicio de los usuarios.

¿Los establecimientos hoteleros están al día en cuanto a protección de datos?

La mayoría de ellos sí, o al menos están realizando esfuerzos para adaptarse adecuadamente. En todo caso, en algunas materias el margen de mejora es todavía grande (por ejemplo, en la gestión de las cookies o el envío de comunicaciones comerciales).

¿Cómo tiene que adaptarse un hotel al RGPD? ¿Qué es lo primero que tiene que hacer un alojamiento?

Lo primero que debe tener en cuenta un establecimiento hotelero es desde dónde llegan los datos personales que recopila. Por ejemplo, a través de sus clientes, de las redes sociales, de la página web o mediante los boletines de noticias que envía. Una vez que tenga claro el origen y el tipo de datos personales que recopila, será más sencillo comenzar a la adaptarse a la normativa aplicable.

¿Alguna recomendación para hoteleros en cuanto a la protección de datos?

Prestar atención al origen de sus clientes, ya que muchos de ellos no serán de ciudadanos españoles y por tanto hará falta adaptar la información proporcionada en materia de protección de datos más allá del castellano. De ese modo, el hotel debe ser claro y transparente sobre el uso que hace de la información personal en tantos idiomas como sus clientes necesiten.

¿Qué sanciones legales supone su incumplimiento?

Uno de los cambios importantes introducidos por el Reglamento General de Protección de Datos es el relativo a las sanciones económicas, que ahora ascienden hasta los 20 millones de euros o un 4% de la facturación anual de la empresa, en función del caso y la gravedad de la sanción.

De todos modos, también existe una figura llamada apercibimiento, aplicada en aquellos casos donde el responsable de los datos comete su primera infracción, la misma no tiene una gravedad extrema y se aplican las medidas adecuadas para corregir la situación. En el supuesto del apercibimiento, se da un toque de atención, pero no se sancione económicamente.

En todo caso, recordar que para acogerse al apercibimiento es importante que el hotel como mínimo haya hecho el esfuerzo necesario por adaptarse debidamente a la normativa.

¿Cómo puede garantizar un hotel seguridad de datos a sus huéspedes?

Por ejemplo, adoptando las medidas de seguridad recomendadas por las agencias de protección de datos, como puedan ser la anonimización o el cifrado de las bases de datos creadas. Es decir, guardar la información personal en una “jaula” a la que únicamente tenga acceso el hotel.

En la era de la digitalización en la que vivimos, ¿es posible hacer una gestión datos inteligente y ética al mismo tiempo?

Es posible y debería ser lo recomendable. Ahora bien, no es sencillo e implica aunar el cumplimiento de la norma y la visión de negocio de la empresa. Para ello definitivamente ayudará tener un conocimiento amplio de la normativa aplicable y el sector de negocio en el que se opera.