Hace unas semanas llegó a mi bandeja de entrada un mail de una cliente con responsabilidad en un negocio hotelero. Hasta aquí, todo funciona correctamente. Sin embargo, esta cuestión me inquietó por dos motivos: Por su dificultad y por la falta de certeza que se puede arrojar en este asunto. La cuestión fue la siguiente: en materia de protección de datos, ¿qué relación existe entre las Agencias de Viajes Online (OTAs) y los negocios hoteleros? ¿Ambos son corresponsables? ¿o hablamos de responsables y encargados?
Las agencias de viajes online y los hoteles
La consulta de la cliente tenía toda la lógica del mundo. Ellos no comparten ni fines ni medios con las OTAs. Son agentes independientes que gestionan unos datos en cadena. Por ello, son corresponsables. Y por si fuera poco, tenía como soporte una serie de ejemplos del Dictamen 1/2010 sobre los conceptos de ‘responsable del tratamiento’ y ‘encargado del tratamiento’.
Vamos a arrojar un poco más de luz acerca de las relaciones entre OTAs y negocios hoteleros desde el punto de vista del nuevo Reglamento General de Protección de Datos.
Los responsables, los corresponsables y los encargados del tratamiento
El nuevo RGPD refuerza los conceptos de responsable, corresponsable y encargado del tratamiento de datos de carácter personal. Y empleo ‘refuerza’, porque estos conceptos ya existían previamente. Aunque en la práctica española no eran conocidos. Distinguir estos roles es de vital importancia para formalizar documentalmente la relación entre los distintos agentes.
El responsable del tratamiento es aquella persona física, jurídica o cualquier otra entidad que solo o conjuntamente determina los fines y los medios del tratamiento de datos personales. Esto es, decide para qué se usan los datos y el cómo se tratan. Cuando este responsable no lo hace ‘solo’ (lo hace ‘conjuntamente’ con otra persona), nos encontramos con el concepto de corresponsables.
A destacar de lo anterior:
- El verbo ‘determinar’ apunta a una absoluta capacidad de decisión e influencia en la elección de los fines y medios del tratamiento de datos personales.
- Los fines son, conforme a la R.A.E. el objeto o motivo con que se ejecuta algo. En el caso de los negocios hoteleros, para prestar alojamiento.
- Los medios por su parte son los instrumentos que se utilizan para alcanzar dichos fines. Estos pueden ser técnicos -una plataforma-, pero también pueden consistir en elegir qué datos se tratarán o durante cuánto tiempo.
¿Y quiénes son los encargados? Los encargados son aquellas personas físicas, jurídicas o cualquier otro organismo que tratan los datos por cuenta del responsable. Por cuenta, o por ‘encargo de’. Se constituye, de un modo u otro, un mandato en el que el responsable establece los términos –fines y medios- y el encargado ejecuta conforme a las instrucciones de aquel.
La relación entre las OTAs y los negocios hoteleros
Establece el Dictamen 1/2010 sobre los conceptos de ‘responsable del tratamiento’ y ‘encargado del tratamiento’ que ‘la pregunta crucial que se plantea por tanto es hasta qué nivel de detalle debe determinar una persona los fines y medios para que se la considere responsable del tratamiento. Y de forma correlativa a ello, cuál es el margen de maniobra que la Directiva le otorga al encargado del tratamiento de datos’.
Pues bien, de eso vamos a encargarnos en este epígrafe: de estudiar el grado de decisión que tienen los hoteles respecto de los datos que son facilitados por Booking, Destinia, Hoteles, etc. No obstante lo anterior, y por la relevancia en el mercado que tiene, nos centraremos en Booking como referente en nuestro estudio.
Como aviso previo, adelantar que ya el citado dictamen utiliza dos ejemplos -ejemplos número 7 y 8- de agencias de viajes y su relación con aerolíneas y hoteles. Sin embargo, como jurista, en este artículo cuestiono las afirmaciones que en ellos se hacen, ya que estos ejemplos califican a los tres agentes intervinientes como ‘Corresponsables del tratamiento’ de estos datos conforme al artículo 26 RGPD. Cuestión que, desde mi humilde punto de vista, es imprecisa y obedece más bien a una agencia de viajes tradicional que a una OTA.
Booking y el negocio hotelero: corresponsables del tratamiento
La primera opción ante la que nos encontramos es si la relación entre OTA y negocio hotelero es de corresponsables. Esto es, cada uno es responsable de los datos que recopilan a través de la plataforma de Booking. Cuestión esta afirmada en el citado Dictamen, si bien es cierto que se pide ‘un estudio específico de cada asunto’.
Esta opción, como consultaba el cliente, es ciertamente viable debido a las características de estas relaciones:
- Booking y los negocios hoteleros hacen uso de una plataforma conjunta (medios) para llegar a los clientes. Lo hacen de forma conjunta a través de Booking.com, plataforma a través de la cual se formalizan las reservas. Comparten, en cierto modo, medios.
- En Join.Booking.com encontramos el espacio para que los negocios hoteleros se unan a Booking como ‘Socios-Colaboradores’. Trabajan juntos a través de una Extranet por lo que, al menos, se habilita al negocio hotelero una pequeña participación en esta plataforma.
- Cada entidad tiene sus propios fines del tratamiento de datos. El negocio hotelero destina los datos al alojamiento, y Booking a gestionar la reserva de este alojamiento. Es más, se autodefine como un ‘servicio de intermediación’ en el que el interesado establece una relación directa con el negocio hotelero.
- Estos fines propios los establece Booking en su política de privacidad y el de gestionar la reserva es solo uno de los muchos que tienen.
Booking y el negocio hotelero: responsable y encargado respectivamente
No obstante lo anterior, existen más argumentos de peso para considerar que la relación Booking – Negocio hotelero es la existente entre un responsable – encargado. Entre otros:
- Como adelantábamos, la definición amplia de ‘medios’ incluye además de los instrumentos técnicos –plataforma de Booking-, qué datos serán tratados y durante cuánto tiempo. Booking no permite al negocio hotelero obtener más datos de los que la OTA consienta. Esta última solo habilita al negocio a informar sobre sus prestaciones, instalaciones, servicios y ofertas. De hecho, he simulado 10 reservas y en todas ellas se solicitan los mismos datos.
- Relacionado con el punto anterior, Booking tiene sus propios fines. Si. Pero también elige los fines de los negocios hoteleros. Los datos a tratar son para que el cliente se aloje en estos lugares. No cabe, por tanto, ni enviar comunicaciones comerciales, promociones, ofertas, remitir datos a otras empresas del grupo, estudios de mercado, etc. Será posteriormente cuando el cliente llega al mostrador del hotel cuando este pueda rellenar una hoja para consentir comunicaciones comerciales. Cuestión esta que, de ser responsable el negocio hotelero vendría aceptada con la reserva inicial por el interesado.
- Al reservar en Booking, solo aceptas las condiciones de la reserva (normas del negocio hotelero); las condiciones generales y la política de privacidad de Booking. En ningún momento se ofrece la posibilidad de aceptar la política de privacidad del negocio hotelero.
- La política de privacidad de Booking que muestra a sus clientes no es clara respecto a este punto. En el apartado ‘¿Cómo comparte Booking.com tus datos con terceras partes?’, Booking especifica que transfiere los datos al negocio hotelero. Pero también se extrae que es Booking quien mantiene una posición dominante y establece las reglas de cómo se gestionará la reserva de alojamiento. Es, en toda regla, una instrucción de cara al negocio hotelero, quien debe adherirse a esta forma de trabajo y a las condiciones de Booking.
Como véis, se trataría, desde mi punto de vista, de una transferencia de datos y la relación entre Booking y los negocios hoteleros debería estar regida por un contrato. Un contrato en el que Booking deja claro al negocio hotelero los datos que se les remitirá y las instrucciones de uso, pues de lo contrario no estarían controlando debidamente el uso de estos datos.
Una tercera opción: Booking como encargado del tratamiento
Una tercera opción existente es que Booking sea el encargado del tratamiento mientras que el responsable es el negocio hotelero. No es descartable esta opción en otras OTAs puesto que estas recogen datos y los tratan (transfiriéndolos) por encargo del negocio hotelero. Es este negocio hotelero quien dicta a la OTA qué datos necesita para llevar a cabo la reserva del alojamiento, y la OTA es una mera gestora de reservas que trabaja a comisión.
Sin embargo, en el caso de Booking –supongo que por sus dimensiones empresariales y su notoriedad- y de otras OTAs semejantes, es esta quien establece qué datos se recogen y se exige, únicamente, que acepten su propia política de privacidad sin informar al interesado de la política de privacidad del teórico responsable que sería el negocio hotelero.
Conclusiones
Atendiendo a la esfera de control que se tiene sobre los datos que el interesado vierte en la plataforma de Booking, en mi opinión nos encontramos en una relación de Responsable – Encargado de Booking con el negocio hotelero respectivamente. Bien definido por la AEPD, se trata de analizar la ‘esfera de dirección, control u ordenación que el responsable pueda ejercer sobre el tratamiento de los datos de carácter personal que obran en su poder en virtud de aquella causa y que estaría enteramente vedado al encargado del tratamiento’.
Conforme a lo anterior, el control, la dirección y la ordenación están dictados de forma unilateral por Booking y es el negocio hotelero quien se adhiere a esta plataforma sin influenciar ni afectar en modo alguno en los fines y en el medio de tratamiento de los datos.
Tanto Booking como el resto de OTAs deberían hacer esfuerzos para regularizar su situación con respecto los negocios hoteleros. Establecer un contrato con los estos últimos en el que queden claras las posiciones puede ayudar a esclarecer este tema que tantas sombras arroja. Actualmente, y sea cual sea la posición de cada uno de estos agentes, ninguno cumple la normativa.
- En el caso de ser corresponsables, el negocio hotelero no informa de la política de privacidad del hotel.
- En el caso de que Booking fuese responsable, cumple con su información de informar de su política de privacidad pero no establece contratos con los negocios hoteleros estableciendo instrucciones de tratamiento.
- En el caso de que Booking fuese encargado, no informa tampoco de la política de privacidad del negocio hotelero responsable del tratamiento.