La Información de identificación personal (PII) son los datos que pueden identificar a una persona física, directa o indirectamente; bajo el Artículo 4(1) del RGPD se denominan datos personales y están sujetos a estrictas obligaciones de tratamiento.
La Personally Identifiable Information, a menudo abreviada como PII, es cualquier información que pueda usarse por sí sola o combinada con otros datos para identificar a una persona concreta. Bajo la legislación de la UE, el término equivalente es "datos personales", definidos en el Artículo 4(1) del RGPD como "toda información sobre una persona física identificada o identificable". Una persona identificable es aquella a la que se puede reconocer directamente, por ejemplo por el nombre, o indirectamente por referencia a un identificador como una dirección de correo electrónico, un número de teléfono, una dirección IP, un identificador de cookie, datos de localización o una combinación de atributos contextuales. En hostelería, incluso un número de habitación combinado con una fecha de estancia puede constituir PII porque señala a un único huésped.
Un hotel típico maneja una amplia gama de PII en su hotel tech stack: nombre y datos de contacto del motor de reservas, escaneos de pasaporte en el check-in, metadatos de pago en el PMS, preferencias dietéticas en el sistema de F&B, direcciones IP en la analítica web y contenido de mensajes en el canal de WhatsApp. Cada sistema es un punto potencial de riesgo y debe regirse por una política de retención clara, controles de acceso y un registro de actividades de tratamiento. Las propiedades que integran herramientas de CRM también suelen necesitar mapear el propósito del tratamiento para comunicaciones de marketing frente a las de servicio.
El error más habitual de los hoteles es tratar la PII como una lista estática. La identificabilidad es contextual: una preferencia de café es inocua por sí sola, pero combinada con un número de habitación y una fecha se convierte en PII. La implicación práctica es que cualquier conjunto de datos operativo, incluidas las transcripciones de chat y los resúmenes generados por IA, debe tratarse como si contuviera datos personales salvo que se demuestre lo contrario. Las buenas prácticas de seguridad de datos asumen sensibilidad por defecto e imponen la minimización a lo largo del guest journey.
Viqal trata la PII del huésped estrictamente bajo las instrucciones del hotel, en línea con el Artículo 28 del RGPD. La plataforma aplica minimización de datos, acceso basado en roles en la bandeja de entrada de equipo, cifrado en tránsito y en reposo, y ventanas de retención configurables para el historial de chat. Se ofrece un data processing agreement estándar a todos los clientes, formalizando la relación responsable-encargado y cubriendo la divulgación de subencargados, las medidas de seguridad y los plazos de notificación de brechas.
Por sí solo, un número de habitación no es un dato personal. Sin embargo, combinado con una fecha de estancia o el nombre del huésped, señala a una persona concreta y, por tanto, califica como PII. La naturaleza contextual de la identificabilidad implica que los hoteles deben tratar por defecto las combinaciones de habitación-estancia como datos personales en el sentido del Artículo 4(1) del RGPD.
Bajo el RGPD, las direcciones IP dinámicas se consideran datos personales cuando el responsable, posiblemente con la ayuda de un tercero como un proveedor de servicios de internet, puede identificar al usuario que hay detrás de ellas. El Tribunal de Justicia de la Unión Europea lo confirmó en la sentencia Breyer. Por tanto, los hoteles deben registrar y conservar las direcciones IP con el mismo cuidado que el resto de datos personales.
Los datos seudonimizados, en los que el identificador se sustituye por un token, siguen siendo datos personales bajo el RGPD si la identidad original puede reconstruirse utilizando información adicional. Solo los datos completamente anonimizados, en los que la reidentificación ya no es razonablemente posible, quedan fuera del ámbito del reglamento.
El RGPD no fija un periodo de conservación concreto; los datos no deben conservarse más tiempo del necesario para la finalidad original. Los hoteles suelen alinear la conservación con obligaciones legales como las leyes fiscales o de registro policial, y a continuación borran o anonimizan. Se exige un calendario de conservación documentado como parte del registro de actividades de tratamiento.
Sí. El número de teléfono, el contenido del mensaje y los metadatos intercambiados en WhatsApp son datos personales. Los hoteles que utilizan la WhatsApp Business Platform deben reflejarlo en su aviso de privacidad, en la evaluación de la base jurídica y en los acuerdos de tratamiento de datos con su BSP y cualquier plataforma de mensajería como Viqal.
Viqal aplica acceso basado en roles, cifrado en tránsito y en reposo, retención de datos configurable y trata los datos estrictamente conforme a las instrucciones documentadas del hotel, en línea con el Artículo 28 del RGPD. Hay disponible un data processing agreement para todos los clientes.
-min.avif)
