¿Son las OTA encargados del tratamiento respecto de los hoteles?

agencias_viajes_hoteles_lopd

Por Ruth Benito Martín

El sector hotelero es uno de los que mejor adaptación ha encontrado ante el panorama introducido por las denominada web 2.0 y 3.0. Los usuarios planifican sus viajes gracias a las ofertas que localizan a través de Internet, buscan información en blogs especializados, hacen reservas desde el salón de su casa, incluso de último minuto, y comparten su experiencia en destino por medio de las redes sociales (hacen checkin en Foursquare, dan envidia por Instagram y Facebook, comentan por Twitter y se quejan en Tripadvisor).

Sin duda, dentro de este nuevo ecosistema de distribución hotelera, las agencias de reservas online, OTA (Online Travel Agencies), han adquirido máxima importancia para los hoteles, generándose a veces una relación de amor-odio en la que, para que la alianza finalmente funcione, ha de encontrarse el justo equilibrio en el reparto de cuota de mercado. Sin embargo, la relación jurídica existente entre ambos no siempre es fácil de definir (¿un contrato de agencia?, ¿un contrato de prestación de servicios atípico?…)

Muchos de los servicios que prestan estas plataformas online exceden de lo que es un contrato de agencia tradicional, e incluso, en algunos casos, se ofrecen con independencia de lo que pudiera opinar el hotel o cadena de hoteles. Y es que ¿quién es aquí el cliente?, ¿hacia quién se dirigen estas webs? Si atendemos a sus términos y condiciones, veremos como la mayoría pone su punto de mira en el internauta, encontrándonos, en lo que respecta a éstos, ante un contrato de adhesión a la hora de utilizar los servicios ofrecidos por estas agencias online. Sin embargo es indudable que plataformas como Booking, Atrápalo o Rumbo, entre otras, prestan sus servicios a los hoteles, como mínimo el de la gestión de reservas online (con independencia de que el hotel disponga de su propia herramienta para ello en su web), convirtiéndose así aquéllos en proveedores de estos últimos. ¿O es al revés? ¿O ambos son cliente y proveedor del otro al mismo tiempo?

Teniendo en cuenta que el usuario realiza y tramita sus reservas online directamente con las OTA, debiendo facilitarles sus datos personales, podemos preguntarnos si éstas actúan como encargados del tratamiento respecto de los hoteles. En principio eso pudiera parecer, no siendo impedimento el hecho de que los datos sean recabados de primera mano directamente a través de las webs de reservas, al igual que puede suceder, por ejemplo, con las empresas que realizan encuestas de opinión pública y estudios de mercado para terceros. Sin embargo entiendo que necesariamente se han de examinar dos elementos primordiales: de un lado la relación jurídica existente entre estas centrales de reserva online y cada hotel en concreto, y de otro la/s actividad/es que llevan a cabo estas plataformas en relación con los usuarios de las mismas y, por ende, con los datos personales que tratan.

En cuanto al primer punto, nos encontraremos que, si bien es preciso ir caso por caso, la gran mayoría de las OTA, con independencia de que las tengan o no publicadas en sus respectivas webs, proponen a los hoteles unas condiciones fijas ajustadas a su propio modelo de negocio y a sus procesos, y que suelen resultar ser de difícil modificación, sobre todo si el hotel en cuestión no es una gran cadena hotelera sino, por ejemplo, la Casa Rural de Villatortas de Abajo. Obviamente, por sí solo este argumento no es suficiente para descartar la existencia de un encargo del tratamiento, pero sí refleja el modo de funcionar y parte del modelo de negocio de la mayoría de las OTA. Por otra parte, las cláusulas contractuales pueden ayudar a aclarar la cuestión, pero no deben ser determinantes en sí mismas pues, como menciona el Grupo de Trabajo del Art. 29 en su Dictamen 1/2010 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento», “hay un número creciente de agentes que no consideran que sean ellos quienes determinan las actividades de tratamiento y, por tanto, no se sienten responsables de éstas”. En consecuencia, habrá que estar a la real naturaleza jurídica de la relación contractual existente entre ambas figuras a la que venimos refiriéndonos.

En segundo lugar, basta mirar las condiciones de uso y políticas de privacidad de las webs de estas plataformas para constatar que sus actividades comerciales en relación directa con el usuario que les aporta sus datos personales para efectuar una reserva, van más allá de la mera gestión de dicha reserva y se extienden a otros usos con otras finalidades propias (véase, por ejemplo, los apartados “¿Por qué Booking.com recopila, utiliza y comparte tus datos personales?” y “¿Cómo comparte Booking.com tus datos con terceros?” de la política de privacidad de Booking).

En definitiva, como ya ha dejado expuesto la Agencia Española de Protección de Datos en varios informes (287/2006, 545/2009 y 333/2012) para averiguar si existe un encargo del tratamiento, lo importante no es atender a la causa de dicho tratamiento sino a la “esfera de dirección, control u ordenación que el responsable pueda ejercer sobre el tratamiento de los datos de carácter personal que obran en su poder en virtud de aquella causa y que estaría enteramente vedado al encargado del tratamiento”. Se trata de ver aquí en qué circunstancias se produce el acceso a los datos por parte de la OTA y si el tratamiento que de tales datos efectúa se ciñe a la exclusiva finalidad de prestar un servicio, en este caso, al hotel y bajo las instrucciones por éste dadas. O dicho de otro modo, determinar si la agencia de reservas online está asumiendo una responsabilidad propia o bien “sólo” actúa por cuenta del hotel, en los términos recogidos por el Grupo de Trabajo del Art. 29 en su mencionado Dictamen 1/2010.

En consecuencia, en mi opinión, si, en virtud de los dos elementos que hemos mencionado antes, se deduce que la plataforma de reservas online aplica los datos recabados a sus propias finalidades, más allá de la gestión encomendada por cuenta del hotel, y decidiendo sobre el objeto y finalidad del tratamiento, estaremos ante dos responsables distintos. En caso contrario el hotel sería el responsable del fichero y la OTA la encargada del tratamiento.

Fuente de la imagen: Jan Hammerrshaug.