Hace unos días, me tocó realizar la Auditoría en materia de protección de datos en un hotel de Benidorm. A parte de unos pequeños problemillas ya solventados, todo marcha razonablemente bien. En todo caso, para fomentar la concienciación del personal del hotel, la Dirección decidió que se recordara, a través de una breve charla, los aspectos más relevantes de la LOPD. Y ahí voy yo, recordando algunos aspectos del consentimiento, el cumplimiento del deber de información, la importancia de las copias de seguridad, los controles de acceso etc.
En el turno de preguntas (que ha habido muchas), el personal de Recepción me planteó una duda a la que no he sido capaz de contestar. Se trata del espinoso tema de la cesión de datos.
Conviene recordar que, tal y como reza el art. 3.i) LOPD, se entiende por cesión de datos «toda revelación de datos realizada a una persona distinta del interesado«. Para no tener problemas, la cesión sólo se puede realizar con el consentimiento del interesado o en los casos previstos en el art. 11 LOPD.
Las personas mayores
El personal de Recepción me contaba que, en muchos casos, reciben llamadas de personas mayores que dicen: «Mi hijo me ha hecho la reserva en su hotel por Interné y quería confirmar que está todo en orden«. Desde el hotel, para asegurarse que de estar proporcionando datos personales al interesado y no a un tercero no autorizado, preguntan por el número de la reserva.
Los clientes mayores insisten en que eso de Interné no lo entienden mucho y que, en el mejor de los casos, tienen el DNI a mano, para confirmar su identidad. También hay casos en los que la reserva la hecho el hijo de su amiga María, que es muy moderno y tiene ordenador y que no se sabe el DNI de Doña María.
¿Qué debe hacer el hotel? ¿Confirmar la reserva? ¿Decirle a la señora que esos datos no se pueden dar por teléfono? ¿Arriesgarse a incurrir en una infracción grave prevista en el art. 44.3.k) LOPD (cesión de datos sin consentimiento)?
Evidentemente, con buena paz de la privacidad y arriesgándose, el hotel confirma las reservas hechas por Doña María y acompañantes, sin la posibilidad real de verificar si, al otro lado del teléfono, está el interesado o un tercero. Tampoco los intentos de decirles: «Les llamamos en 5 minutos al teléfono de contacto que aparece en la reserva» tienen mucha aceptación por parte de Doña María que, cándidamente, te contesta: «Si yo ya estoy aquí, ¿por qué me tiene que llamar Usted en 5 minutos? Me espero, que todavía no ha empezado Saber Vivir»
Conclusiones
La legislación en materia de protección de datos está pensada para las personas que entienden el valor de la privacidad, olvidándose de colectivos numerosos que no atienden a razones, que no se quieren perder el programa de recetas y que eso de la LOPD es un rollo.
Soluciones
En el hotel, tenemos el icono de Santa Tecla a la que somos muy devotos y a la que nos encomendamos para no ser sancionados por una cesión de datos sin consentimiento.
Rafael Varela Tabares
Hola Amedeo.
Muy real el caso que nos comentas, que en ocasiones nos compromete a tomar decisiones o acciones que están en el límite de lo normativo. No obstante soy de los que piensan que desde el buen conocimiento de lo que hacemos y aplicando el sentido común y la debida prudencia será difícil hacer las cosas mal.
Lo demás en rozar lo paranoico.
Gracias, un saludo, Rafa Varela
Amedeo Maturo
Gracias por el comentario, se agradece la comprensión por parte de compañeros que se encuentran en la misma situación. En el caso del cliente en cuestión, hacen todo lo posible para cumplir con la legislación vigente. Honestamente, más no se puede hacer, ni siquiera con n DPO en plantilla…