Con el aumento de la popularidad de los sistemas de almacenamiento y computación en la nube, la información que antes se almacenaba en las instalaciones se encuentra ahora en centros de datos de todo el mundo, lo que hace más difícil cumplir con la normativa de procesamiento de datos. La soberanía de datos para los hoteles se ha convertido en una parte fundamental de la estrategia de IT de un hotel. Pero, ¿qué es exactamente la soberanía de datos para los hoteles y qué significa para las empresas hoy en día?
El sector de la hostelería funciona mejor cuando dispone de una buena cantidad de datos y preferencias de los huéspedes. Un sector como el de la hostelería, que se basa en la personalización, no puede funcionar sin buenos datos. Hoy en día, la soberanía de los datos sigue siendo un concepto nuevo que es más importante que nunca, especialmente con las cantidades cada vez mayores de datos personales que se almacenan en lugares que el huésped no controla ni siquiera comprende del todo.
Nota: Shiji y el equipo de Insights no proporcionan ningún tipo de asesoramiento jurídico en este artículo. Este artículo se ofrece con fines de información general y resumen. Se anima a los lectores a que trabajen con sus responsables de privacidad y/o con sus asesores legales para determinar qué medidas de protección de datos deben tomar.
La relación entre la soberanía de los datos, la residencia y la privacidad
Los conceptos de “Soberanía“, “Residencia” y “Privacidad” están estrechamente relacionados cuando se trata de datos, pero requieren algunas aclaraciones.
Laresidencia de los datos se refiere a las empresas que deciden la ubicación geográfica donde se almacenarán sus datos. Pueden, por ejemplo, elegir un país concreto debido a su normativa favorable en materia de privacidad o a su entorno de baja fiscalidad. Por ejemplo, una empresa situada en el país “C” puede haber encontrado favorable para su negocio almacenar sus datos en el país “B”, donde puede ahorrar ciertos costes. Por lo tanto, la residencia de los datos es el país “B”.
Lasoberanía de los datos para los hoteles se refiere a que los datos almacenados están sujetos a las leyes de un país específico. Esto significa que debe respetar las regulaciones de ese país, como la privacidad y otras regulaciones (incluyendo que los datos deben ser accesibles al gobierno en caso de necesidad legal). Así, en el ejemplo anterior, los datos serían accesibles y se regirían por las normas del país “B” aunque ni la empresa ni los clientes estén ubicados allí.
Mientras que la privacidad de los datos está relacionada con la soberanía y la residencia de los datos, es de nuevo diferente en el sentido de que la privacidad es la forma en que se protegen los datos personales de un mal uso. En el ejemplo anterior, esto es bastante obvio si los datos de un ciudadano del país “A” se almacenan en el país “B” y el país “B” tiene leyes de protección de datos muy permisivas, podría plantear un problema para el ciudadano del país “A”. Por tanto, estos tres conceptos están estrechamente relacionados, pero no son lo mismo.
La soberanía de los datos controla cómo y, sobre todo, dónde se almacenan los datos de los usuarios. La idea es que los datos deben estar siempre sujetos a la legislación del país donde se recogen. Por ejemplo, si cierta información del usuario se recoge en un hotel europeo, debe prevalecer la normativa de la UE (GDPR). En el sector de la hostelería, esto es especialmente intrincado, ya que los datos de los usuarios podrían crearse fácilmente en Estados Unidos (para hacer la reserva) y almacenarse en un hotel de Europa, lo que crearía zonas grises en la interpretación del reglamento.
Aunque la normativa europea del GDPR (Reglamento General de Protección de Datos) se cita a menudo en relación con la soberanía de los datos, es importante diferenciar entre el GDPR y la pura soberanía de los datos. En general, se han introducido muchas iniciativas de soberanía de datos (incluyendo leyes de localización de datos, por ejemplo, en Rusia) para garantizar que la información personal reciba la protección adecuada independientemente de su ubicación. Esta idea se ha considerado estrechamente relacionada con los gobiernos/control (porque algunos países exigen que los datos se mantengan dentro de sus fronteras), pero podría interferir con la libre circulación de libertades o simplemente con la libre circulación de datos (un concepto arraigado en la UE).
Si los datos sobre la forma de vida de los ciudadanos de un país se almacenan en otro país donde sus libertades y protecciones son diferentes, se plantea un importante problema potencial.
El RGPD no establece requisitos de residencia de datos en sí, sino que regula las transferencias transfronterizas en general. Por ejemplo, el GDPR no prohíbe la transferencia transfronteriza. Aun así, es necesario tener una base para la transferencia y aplicar las salvaguardias adecuadas para garantizar la protección de los datos personales, independientemente del lugar donde se almacenen.
Podría decirse que el aspecto más controvertido de la soberanía de datos es que también dicta la forma en que los gobiernos pueden o no pueden acceder a la información de los usuarios. Un ejemplo típico es la Ley Patriótica: el Gobierno de Estados Unidos tiene el derecho legal de acceder a los datos que se almacenan en suelo estadounidense. Esto es similar a lo que ocurre en China, que tiene derechos sobre los datos almacenados en su territorio, y, en todos los casos, es un derecho que los gobiernos ejercen en nombre de la seguridad nacional. Esto se convierte en un problema cuando los datos de los ciudadanos de un país se almacenan en otro país, y la seguridad nacional no puede aplicarse. De ahí la necesidad de una legislación sobre la soberanía de los datos.
La soberanía de los datos, ¿un problema político?
Aunque el tema de la soberanía de los datos tiene mucho de político y de relaciones públicas, se trata sobre todo de proteger los datos de las personas y de las empresas para que no se utilicen indebidamente. Más allá de la política y la prensa, la razón por la que la soberanía de los datos es importante es que los ciudadanos y las empresas viven y operan en su país y siguen las leyes, disfrutan de las libertades y las protecciones que conlleva vivir u operar en su país.
Estas libertades y protecciones son conocidas por los ciudadanos y las empresas, que pueden operar con predicción ya que pueden acceder a sus leyes. Lo que hacen y cómo viven se ajusta en torno a Estas libertades y protecciones son conocidas por los ciudadanos y las empresas, que pueden operar con previsión ya que pueden acceder a sus leyes. Lo que hacen y cómo viven se ajusta a sus leyes locales. Pero, si los datos sobre cómo viven se almacenan en otro país donde estas libertades y protecciones son diferentes, esto plantea un problema.
Así que, más allá del aspecto político, esta cuestión es esencial tanto para las personas como para las empresas y su forma de conducir sus vidas y negocios. Esta es la verdadera razón por la que es tan importante.
Es crucial exponer esta cuestión para entender las razones que sustentan la soberanía de los datos. Se trata de mantener las libertades y las protecciones de las personas y las empresas en el lugar donde viven y hacen negocios, porque esos son los derechos, las normas y las legislaciones por las que se rigen.
Por suerte, a día de hoy, la mayoría de los principales proveedores de computación en la nube llevan incorporados sistemas para controlar dónde se procesan y almacenan los datos, aunque esto no sea necesariamente así en la tecnología hotelera.
Muchas de las preocupaciones actuales que rodean a la soberanía de los datos están relacionadas con la aplicación de las normas de privacidad y con asegurarse de que los datos almacenados en un país extranjero no sean recogidos por el gobierno del país anfitrión de la empresa sin su consentimiento. La normativa en materia de datos cambia constantemente para abordar de la mejor manera posible este tema que evoluciona rápidamente, lo que significa que no hay un manual de normas sencillo que seguir. Sin embargo, siempre se aplicará una regla: El propietario de los datos es responsable de saber con precisión dónde se almacenan sus datos, y de tomar las medidas necesarias para asegurarse de que cumplen con la legislación que regula esa ubicación.
Seguridad y privacidad de los datos en la tecnología hotelera
En nuestro sector, basado en los datos, la seguridad suele ser sinónimo de protección de los datos personales de los clientes. Las principales violaciones de datos de los últimos años han tenido que ver con la información de los huéspedes almacenada en los sistemas de gestión de la propiedad (PMS). Sin embargo, los hoteles necesitan almacenar datos personales para funcionar y, por tanto, mantener altos niveles de seguridad para proteger a sus huéspedes.
La seguridad de los datos personales es un tema especialmente importante para los requisitos de privacidad. No cumplir con todas las normativas de privacidad (como el GDPR europeo, la CCPA californiana, la LGPD brasileña o la POPI sudafricana) puede ser una amenaza, que debe ser identificada lo antes posible en el proceso de selección de soluciones tecnológicas. Garantizar que el cumplimiento del sistema sea verificado por un auditor externo y certificado -por ejemplo, con un certificado ISO/IEC 27018, el código de prácticas para la protección de la información personal identificable (PII).
Dicho esto, es innegable que los sistemas modernos tienen una ventaja cuando se trata de la protección de datos, ya que fueron creados cuando se desarrolló el GDPR y otras regulaciones similares. Los programas informáticos más antiguos pueden tener una arquitectura limitada que hace que sea mucho más difícil cumplir con la normativa de privacidad. Esto es especialmente difícil en el caso de los grandes sistemas locales porque, en casos extremos, ni siquiera se pueden aplicar medidas de seguridad, como algunas tecnologías heredadas que no admiten el cifrado.
Residencia de datos y sistemas en la nube
Para que un sistema cumpla con las principales exigencias de seguridad y privacidad, vamos a desmontar algunos mitos sobre la soberanía de los datos. Como ya hemos comentado, la idea principal de la soberanía de datos es que los datos de un cliente deben estar sujetos a las leyes del país en el que se recogen y procesan los datos. La residencia de datos de la información personal identificable es un reto mayor para las soluciones basadas en la nube en comparación con los sistemas locales no conectados. Por suerte, a día de hoy, la mayoría de los principales proveedores de computación en la nube llevan incorporados sistemas para controlar dónde se procesan y almacenan los datos, aunque esto no sea necesariamente así en la tecnología hotelera.
Por ejemplo, en el sitio web de Microsoft 365 se afirma claramente que “partimos de la base de que nuestros clientes empresariales desean que sus datos empresariales se almacenen y procesen cerca de su casa. Siempre que es posible, lo hacemos”. Así, la ubicación de los inquilinos creados con una dirección de facturación en Francia o Alemania, por ejemplo, nunca será Estados Unidos, sino la UE.
La protección de datos es ahora un estándar para las principales plataformas de computación en nube. Las implicaciones de aumentar la experiencia de los usuarios mediante la distribución de los datos trae consigo complicaciones adicionales de privacidad, soberanía y protección de datos. Las empresas hoteleras que deseen actualizar sus sistemas deberían revisar cuidadosamente las opciones de protección de datos de sus proveedores y asegurarse de que éstos utilizan plenamente estas funciones.
Amazon Web Services ofrece la posibilidad de utilizar diferentes regiones de AWS para que la aplicación pueda desplegarse en múltiples ubicaciones, como la UE, Estados Unidos, China, etc. Los clientes tienen la posibilidad de decidir en qué parte del mundo deben almacenarse sus datos (o los de sus clientes). En términos prácticos, un proveedor de tecnología hotelera puede construir un sistema de almacenamiento para cadenas globales en el que los datos de los hoteles europeos se almacenan en la UE, los datos de los hoteles estadounidenses se almacenan en Estados Unidos y los datos de los hoteles chinos se almacenan en China.
Ejemplos de privacidad de datos en la hostelería
En nuestro sector, si un hotel trabaja con un proveedor que sigue las directrices de seguridad y privacidad, podrá tener sus datos almacenados en una región determinada, según el lugar donde se encuentre la propiedad. Sin embargo, las cadenas y grupos hoteleros pueden necesitar los datos de sus huéspedes para viajar entre diferentes regiones. Un ejemplo adecuado son los programas de fidelización: los clientes fieles deben ser reconocidos en cualquier hotel de la cadena o del grupo, y deben poder comprobar sus puntos de fidelidad sin importar dónde se encuentren.
La transferencia de los datos a otra región es posible si el huésped ha aceptado explícitamente compartir sus datos más allá de la región. A continuación, en función de la normativa local, los datos pueden compartirse de forma global o con otra región. En algunos países, esto significa que debe conservarse una copia a nivel local, y en otros países, incluso dentro de la Unión Europea, la normativa difiere y debe ser verificada por profesionales.
En Europa, la propia naturaleza del servicio de estancia en un hotel permite a los establecimientos recoger y procesar datos personales de sus huéspedes: los hoteles están autorizados a procesar datos personales porque los datos son necesarios para prestar el servicio; por tanto, el consentimiento no es la única base jurídica para el procesamiento de datos. Además, a diferencia de muchas jurisdicciones asiáticas, el RGPD no exige permiso para las transferencias transfronterizas de datos dentro de una organización internacional, pero eso no significa que los datos personales puedan moverse sin ninguna salvaguarda ni base legal. El objetivo principal, por el contrario, es garantizar la protección de los datos personales allá donde vayan. El RGPD exige transparencia e informar a las personas de lo que ocurre con sus datos personales, incluyendo a dónde se transfieren y por qué.
Además, los hoteles pueden pedir abiertamente a sus huéspedes que compartan sus datos si explican en su aviso de privacidad la información personal que se copiará en el extranjero para sistemas globales, como el programa de fidelización mencionado anteriormente. Por supuesto, en este caso, los huéspedes deben estar explícitamente de acuerdo y autorizar la adhesión al programa y, por tanto, el envío de sus datos a otros lugares. Los datos agregados y anonimizados (como el índice de ocupación, la tarifa media diaria (ADR), etc.) no entran en el ámbito de aplicación del reglamento, por lo que un hotel europeo puede compartir esta información con la sede central en Estados Unidos y viceversa.
Conclusión: La soberanía de los datos es un blanco móvil
La soberanía de los datos, especialmente para los hoteles, es un concepto relativamente nuevo introducido por el auge de la computación en nube. Podemos llegar a decir que toda la idea de soberanía es la “descolonización de la nube”. Por eso, tanto los hoteles como los proveedores de tecnología deben abordar la soberanía de los datos como un objetivo móvil. La mayoría de los países están trabajando en nuevas y más estrictas regulaciones de privacidad, y la soberanía de los datos es una parte integral de estas regulaciones. En este sitio web(Data Protection Laws of the World), puede comparar las leyes de protección de datos de todo el mundo y asegurarse de que siempre cumple con ellas. Elegir a sus proveedores en función de su cumplimiento de las leyes de soberanía de datos es crucial para evitar que la valiosa información de sus clientes caiga en manos equivocadas.
Este artículo apareció originalmente en TechTalk.Travel.
