¿Ofreces a los huéspedes de tu hotel WiFi público o abierto? En ese caso debes saber que son tantos los riesgos asociados a estas redes, que existen dos Reglamentos (RGPD y LOPDGDD) en los que se recogen una serie de obligaciones legales para asegurar la protección de datos personales. Su incumplimiento puede suponer importantes sanciones.
En este artículo te explicamos cuáles son las obligaciones legales que debes cumplir en tu hotel, cuáles son las consecuencias por incumplimientos y cómo herramientas como un portal cautivo WiFi, entre otras medidas, pueden ser tus aliados para evitar brechas de seguridad.
WiFi público abierto: ¿Qué es?
Las redes WiFi públicas abiertas son puntos de acceso a Internet que no requieren autenticación o claves para acceder.
Estas redes se encuentran comúnmente en lugares como hoteles, cafeterías, aeropuertos o centros comerciales, brindando conexión gratuita a cualquier persona que se encuentre dentro de su alcance. Al no cifrar la información que se transmite a través de ellas no son seguras.
Te puede interesar: Normativa WiFi gratuito en empresas
Riesgos de conectarse a una red WiFi pública abierta
Aunque el WiFi público abierto ofrece comodidad y accesibilidad, también plantea riesgos significativos para la seguridad de los datos y la privacidad de los usuarios.
Para el huésped
- Intercepción de datos entre su dispositivo y el punto de acceso WiFi para utilizarlos de manera fraudulenta.
- Ataques de phishing mediante el uso de sitios web o correos electrónicos falsos con el objetivo de engañar a los usuarios para que revelen información confidencial.
- Malware y virus que pueden robar información sensible, dañar el sistema operativo del dispositivo o incluso tomar el control del mismo.
- Suplantación de identidad mediante puntos de acceso falsos con nombres similares a los de las redes legítimas.
Para el hotel
- Brechas de seguridad por las que los ciberdelincuentes acceden a la red de tu hotel y comprometen la información confidencial. A menudo se traducen en pérdidas reputacionales.
- Imposibilidad de detectar infracciones cometidas a través de tu red como la descarga o distribución de contenido pirateado, la propagación de malware o el acceso no autorizado a otros sistemas, lo que podría convertir al establecimiento en responsable de las infracciones cometidas.
- Sanciones que pueden alcanzar decenas de miles de euros o hasta el 4% de la facturación anual.
Obligaciones legales de los hoteles con su red WiFi
Cualquier tratamiento de datos personales, como es el caso del acceso a una red WiFi, debe garantizar la protección de los datos de los usuarios de forma que minimice la posibilidad de que esos riesgos se materialicen y reduzca su impacto en caso que lo hagan.
Es importante destacar que se trata de una obligación de medios y no de resultado. Es decir, si las medidas de seguridad implementadas son efectivas y se aplican debidamente, el establecimiento hotelero no será sancionado en caso de brecha de seguridad.
Normativas RGPD y LOPDGDD
Las normas que regulan esta materia en España son el RGPD y la LOPGDD. En ellas se distingue entre medidas de seguridad técnicas, que son las que se aplican sobre las redes WiFi o los propios sistemas de información, así como medidas de seguridad organizativas, que engloban las políticas de la empresa para formar a los empleados en seguridad de la información.
Medidas de seguridad técnicas
- Instalación de Hotspot, antivirus, sistemas EDR, seguridad Endpoint, firewalls o cualquier solución de seguridad que proteja los equipos y dispositivos y la red interna de la empresa.
- Protección del correo electrónico, como protocolos contra el phishing.
- Gestión de actualizaciones para solucionar vulnerabilidades.
- Cifrado de ficheros, discos duros y memorias USB.
- Protocolos y políticas de copias de seguridad.
- Gestión del borrado y destrucción de archivos y unidades externas de memoria.
- Gestión centralizada de controles de acceso y contraseñas.
- Gestión de usuarios, roles y privilegios.
Medidas de seguridad organizativas
- Planes de seguridad de la información y de tratamiento de datos.
- Creación de una normativa de ciberseguridad.
- Establecimiento de procedimientos de seguridad.
- Políticas de uso de dispositivos corporativos o BYOD (dispositivos personales de los empleados).
- Protocolos para el control de documentos y registros.
- Política para el manejo y tratamiento de información confidencial.
- Inclusión de cláusula de seguridad y confidencialidad para proveedores.
- Política de controles de acceso.
- Designación de un responsable de Seguridad de la Información y un delegado de Protección de Datos.
- Realización periódica de auditorías de seguridad y de protección de datos.
Consecuencias del incumplimiento de obligaciones
No cumplir con las obligaciones legalmente impuestas en materia de protección de datos en hoteles puede acarrear importantes multas. Estas se cuantifican en función de la gravedad de la infracción y la norma, conforme a la siguiente tabla:
LOPD | RGPD | |
Leves | Hasta 40.000 € | – |
Graves | De 40.001 € a 300.000 € | 10 millones de euros o el 2% de la facturación anual |
Muy graves | De 300.001 € a 20 millones de euros (o el 4% de la facturación anual). | 20 millones de euros o el 4% de la facturación anual |
Por ejemplo, se considera una infracción leve no publicar los datos de contacto del delegado de protección de datos.
Por su parte, se consideran infracciones graves las brechas de seguridad ocurridas por no haberse adoptado las medidas de seguridad adecuadas, así como no informar al afectado de una violación de seguridad de datos personales.
Como infracción muy grave destaca omitir el deber de informar al afectado sobre el tratamiento de sus datos personales.
Sigue aprendiendo: Una red wifi segura como plataforma de impulso para los hoteles
¿Cómo ayuda Cerium a proteger la red WiFi de tu hotel?
Cerium puede acompañarte en el proceso de proporcionar una conexión WiFi segura en tu establecimiento. Para ello, conviene implantar el Hotspot WiFi, un portal cautivo que dota a las instalaciones de la seguridad, identificación y control que precisan las comunicaciones de un hotel para cumplir con la normativa vigente. En concreto, permite:
- Detectar y notificar brechas de seguridad en menos de 72 horas, como marca la normativa.
- Evitar el acceso de dispositivos no autorizados.
- Detectar qué usuario ha cometido un delito y colaborar con las autoridades.
Además, como empresa especializada en ciberseguridad en hoteles, Cerium cuenta con una amplia variedad de servicios que ayudan a cumplir con las obligaciones legales expuestas, por ejemplo, la configuración adecuada de redes WiFi y otras medidas RGPD técnicas tales como la instalación de firewall, políticas de contraseñas seguras, VIans, protección de endpoints y sistemas antiphising entre otros.
Si todavía ofreces a los huéspedes de tu hotel WiFi público abierto y crees que es el momento de securizarlo, contáctanos a través de este formulario. ¡Estaremos encantados de ayudarte!