Prostay
Reserve una demostración
Hotel Technology & Innovation

Conservación de los datos de los huéspedes y el derecho al olvido: el RGPD para los hoteles en 2026

La mayoría de los hoteles recopilan datos de los huéspedes y luego nunca los borran: copias escaneadas de pasaportes de 2019, datos de tarjetas en hojas de cálculo, listas de marketing para las que nadie ha dado su consentimiento. El RGPD considera todo ello un riesgo, ya que el principio de limitación de la conservación establece que solo se pueden conservar los datos mientras sean necesarios, y el derecho de supresión permite a los huéspedes solicitar que se borren sus datos. A continuación se detalla lo que exige el RGPD en materia de conservación de datos, un calendario específico para cada tipo de dato, cuándo se puede denegar la solicitud y un plan de limpieza de 30 días.

Mika Takahashi
Mika TakahashiEquipo editorial

Publicado 21 jun 2026

24 min de lectura

A cel-shaded editorial side-angle desk scene at eye level: an open laptop displays a guest data retention schedule table with data categories and countdown timers, with one row highlighted and a red 'Erase guest data' confirmation dialog open over a guest profile, while beside the laptop sit a small wall calendar with dates circled, a slim paper shredder with a strip of shredded paper, and a printed sheet titled retention policy with several lines ticked, illustrating that a hotel must delete guest personal data once its lawful retention period ends, all rendered in the warm cream, taupe, sage, terracotta and deep navy palette.

Por qué los hoteles acumulan datos sin darse cuenta

Entra en la trastienda de casi cualquier hotel independiente y haz una pregunta: ¿qué datos personales guardáis de los huéspedes y cuándo se borra cada uno de ellos? La primera parte suele recibir una respuesta segura. La segunda parte provoca una mirada de desconcierto. Los hoteles son extraordinariamente buenos recopilando datos de los huéspedes y, casi sin excepción, muy malos eliminándolos. Hay escaneos de pasaportes de 2019 almacenados en una unidad compartida, una hoja de cálculo con los datos de las tarjetas de crédito que alguien creó para un grupo de turistas en autobús hace tres veranos, una lista de marketing con diez mil direcciones de personas de las que nadie puede demostrar que hayan dado su consentimiento para nada, y un sistema de reservas que contiene el historial completo de estancias de todos los huéspedes que han cruzado alguna vez el umbral del hotel. Nada de esto se conservó con mala intención. Se ha ido acumulando porque borrar datos requiere una decisión deliberada, mientras que conservarlos no requiere ninguna.

Según el Reglamento General de Protección de Datos (RGPD), esa acumulación no es neutra. Es un riesgo cada vez mayor. El principio de limitación del almacenamiento del RGPD establece que solo puedes conservar los datos personales durante el tiempo que realmente los necesites, y el derecho de supresión otorga a cada huésped la posibilidad de pedirte que elimines lo que tienes almacenado. Los datos que se encuentran en tu sistema de gestión hotelera, tu CRM, tu herramienta de correo electrónico y esas hojas de cálculo olvidadas no son un activo que se revalorice silenciosamente; son un riesgo que se agrava. Cada registro adicional y cada año más suponen más información que se puede perder en una filtración, más datos que pueden salir a la luz en una solicitud de acceso y más cuestiones sobre las que puede preguntar una autoridad reguladora. Este artículo está dirigido al operador, no al abogado: qué exige realmente el RGPD en materia de conservación, cómo elaborar un calendario que especifique cada tipo de datos y su plazo de supresión, cuándo puedes rechazar una solicitud de supresión y un plan de 30 días para limpiar el alijo.

Una breve nota de sinceridad antes de entrar en detalles. Escribo para Prostay, y nuestro equipo desarrolla software de gestión inmobiliaria y pagos para hoteles, por lo que una breve sección hacia el final es más una aclaración que un consejo. Todo lo demás aquí es independiente del proveedor y se aplica independientemente de los sistemas que utilices. Y una advertencia importante: se trata de una guía operativa, no de asesoramiento jurídico. El RGPD es interpretado por los reguladores nacionales con sus propias directrices, los plazos de conservación los establece la legislación fiscal y mercantil de tu país, y un caso realmente complejo merece la intervención de un abogado especializado en protección de datos. El objetivo aquí es llevarte de «lo guardamos todo para siempre» a una postura defendible, por escrito y aplicada que cubra la gran mayoría de lo que un hotel realmente conserva.

Lo que el RGPD exige realmente en materia de conservación

Lo frustrante para los operadores que desean una norma única es que el RGPD se niega deliberadamente a ofrecerla. No dice «conserva los datos de los huéspedes durante X años». En su lugar, establece principios y deja que los detalles se deriven de ellos. Dos principios cubren prácticamente todo lo relacionado con la conservación de datos y, una vez que los comprendes, la aparente vaguedad se convierte en algo que realmente puedes poner en práctica.

El principio de limitación del almacenamiento

La limitación del almacenamiento es el principio del RGPD según el cual los datos personales deben conservarse de forma que permitan la identificación de las personas durante un plazo no superior al necesario para los fines para los que se tratan. En términos sencillos: solo puedes conservar los datos mientras los necesites realmente para el motivo por el que los recopilaste. Una vez que ese motivo haya desaparecido y no se aplique ninguna otra base legal, debes eliminarlos o anonimizarlos para que ya no puedan vincularse a una persona. Este principio es la respuesta directa a la conservación «por si acaso». Conservar los datos de un huésped de forma indefinida porque podrían ser útiles algún día es precisamente lo que prohíbe la limitación del almacenamiento, ya que «podrían ser útiles» no es una finalidad definida con una fecha de finalización.

Por eso, la unidad de análisis adecuada no es el hotel en su conjunto, sino cada finalidad. Los datos que has recopilado para tramitar una reserva tienen una finalidad que finaliza en un plazo definido tras la estancia. Los datos que se conservan a efectos fiscales tienen una finalidad que finaliza cuando expira el plazo legal de conservación. Los datos que se conservan con fines de marketing tienen una finalidad que dura solo mientras se mantenga el consentimiento. Cada finalidad tiene su propio plazo, y la limitación del almacenamiento establece que hay que dejar de conservarlos cuando ese plazo expire.

La base jurídica determina cuánto tiempo se conservan

La idea complementaria es la base jurídica: la razón legal por la que se te permite tratar un dato concreto en primer lugar. La base en la que te apoyas determina en gran medida cuánto tiempo puedes conservar los datos, ya que la conservación está vinculada a la finalidad que respalda dicha base. Hay tres fundamentos que abarcan la mayor parte de los datos hoteleros. El contrato cubre lo necesario para proporcionar la estancia que el huésped ha reservado. La obligación legal abarca lo que una ley específica te obliga a conservar, siendo los registros fiscales y contables el caso más evidente. El consentimiento abarca aquello a lo que el huésped ha dado su consentimiento de forma activa, siendo el marketing el principal ejemplo, y solo dura hasta que lo retire.

La consecuencia práctica es que a la pregunta «¿cuánto tiempo conservamos los datos de los huéspedes?» hay diferentes respuestas según el tipo de datos, y la base jurídica indica cuál es la correcta. Los registros de reservas y facturación se rigen en gran medida por la obligación legal, por lo que su plazo viene determinado por la legislación fiscal nacional, que suele ser de seis a diez años. Los datos de marketing se rigen por el consentimiento, por lo que su plazo finaliza cuando el huésped se da de baja o cuando entra en vigor tu política de inactividad. Una nota operativa que un responsable haya redactado sobre un huésped problemático se rige, en el mejor de los casos, por el interés legítimo, por lo que debería tener una vigencia breve. Si aciertas con la base jurídica para cada categoría, el plazo de conservación se definirá casi por sí solo.

Elaboración de un calendario de conservación de datos de huéspedes

Lo más útil que puede hacer un hotel para cumplir con el RGPD es también lo menos glamuroso: elaborar un calendario de conservación. Un calendario de conservación es una tabla sencilla que enumera todas las categorías de datos personales que se conservan, la base jurídica para su conservación, la finalidad, el plazo tras el cual se eliminan y dónde se almacenan. No es un tratado jurídico; uno bueno cabe en dos páginas. Su valor radica en que convierte una obligación vaga en un conjunto de normas concretas y exigibles, y es el primer documento que te pedirá la autoridad reguladora si alguna vez llama a tu puerta.

A guest data retention schedule shown as a clean table with five columns labelled data category, lawful basis, purpose, retention period, and where it lives, with rows for booking data kept a short window after checkout under contract, invoices kept six to ten years under legal obligation, payment card data marked none because it is tokenized, marketing data kept while consent stands, ID scans deleted after the registration period, and CCTV kept days to weeks, with a small clock and a delete icon at the end of each row.
Un plan de conservación convierte una obligación vaga en una norma concreta para cada tipo de datos. Este es el documento que el regulador solicita en primer lugar.

La disciplina que supone redactarlo es lo que saca a la luz los problemas. No se puede rellenar el campo «dónde se almacenan» sin descubrir la hoja de cálculo en la unidad compartida y la exportación que alguien se envió por correo electrónico a sí mismo. No se puede rellenar el campo «período de conservación» sin decidir, de una vez por todas, cuánto tiempo se conserva realmente el contacto de marketing que no ha abierto un correo electrónico en tres años. El calendario obliga a tomar las decisiones que se han estado posponiendo con el «ya nos ocuparemos de eso más adelante», y una vez redactado, se convierte en la norma que siguen todo el equipo y tus sistemas.

Retención por categoría de datos

A continuación se muestra cómo suelen desglosarse las principales categorías en un hotel. Considéralas como un marco de partida razonable, no como una verdad absoluta, ya que la legislación nacional y tus circunstancias específicas pueden modificar las cifras.

  • Datos de reservas (nombre, datos de contacto, fechas de estancia, preferencias): necesarios durante la estancia y poco después de la misma, según lo estipulado en el contrato. Un enfoque habitual consiste en conservar los datos de las reservas activas durante un plazo definido tras la salida, para gestionar posibles disputas, reembolsos y seguimientos, y posteriormente eliminarlos o archivarlos; todo aquello que haya pasado a formar parte de una factura se traslada al plazo de conservación de los registros financieros que se indica a continuación.
  • Registros financieros y de facturación (facturas, confirmaciones de pago, folio): se rigen por obligaciones legales, por lo que el plazo lo establecen la legislación fiscal y mercantil; suele ser de seis a diez años (diez en Alemania y Francia, y entre seis y siete en el resto de países). Por lo general, no se pueden eliminar antes de tiempo, ni siquiera previa solicitud.
  • Datos de tarjetas de pago: el objetivo es conservar lo menos posible durante el menor tiempo posible; lo ideal sería no conservar nada, ya que la tokenización a través de tu proveedor de pagos elimina por completo el número de tarjeta de tus sistemas. Más información al respecto a continuación.
  • Datos de marketing (direcciones de correo electrónico, preferencias, registros de consentimiento): se conservan en virtud del consentimiento, por lo que solo se retienen mientras este siga vigente. Establece una regla de inactividad, por ejemplo, eliminando o solicitando de nuevo el permiso a los contactos que no hayan interactuado en un plazo de entre 24 y 36 meses, y respeta inmediatamente las bajas.
  • Documentos de identidad (escaneos de pasaporte o documento de identidad, cuando la ley exija el registro): un tema delicado que se aborda más adelante; consérvalos solo durante el tiempo que exija la ley específica de registro de huéspedes y, a continuación, elimínalos, en lugar de acumular los escaneos indefinidamente.
  • Grabaciones de CCTV y registros de acceso: por defecto, deben conservarse durante un breve periodo, a menudo de unos días a unas pocas semanas, a menos que un incidente específico justifique su conservación.
  • Notas operativas y comentarios de texto libre: la categoría más arriesgada y menos regulada; manténlas breves, objetivas y de corta duración, y nunca registres nada que no quisieras que leyera el huésped.

El derecho de supresión y sus límites

El derecho de supresión, a menudo denominado «derecho al olvido», permite a una persona solicitarte que elimines los datos personales que tienes sobre ella. En el caso de los hoteles, suele llegar en forma de correo electrónico: un antiguo huésped, o alguien que en su día se suscribió a tu lista de correo, te pide que elimines sus datos. El instinto es tratar esto como una disyuntiva binaria: o se borra todo o se rechaza la solicitud, pero ambos instintos son erróneos. La respuesta correcta es más precisa, y hacerlo bien te protege en ambos sentidos.

A decision flow diagram for handling a guest erasure request: it starts with request received, then verify identity, then locate the data across PMS, CRM, email, and spreadsheets, then a branch asking is there a legal obligation to keep this; data with no remaining lawful basis flows to a delete now box, data covered by a tax or registration law flows to a retain until its legal clock expires box, and both paths converge on respond to the guest within one month explaining what was erased and what was kept and why.
Una solicitud de supresión no es como pulsar un simple botón de «eliminar». Se elimina lo que se puede, se conserva solo lo que exige la ley y se explica ambas cosas.

Este derecho se aplica con mayor claridad cuando ya no existe una base legal para conservar los datos. Si alguien retira su consentimiento para recibir comunicaciones de marketing, la base para conservar su perfil de marketing desaparece y debes eliminarlo. Si la finalidad para la que se recopilaron los datos ha finalizado y nada más justifica su conservación, se aplica lo mismo. Pero este derecho no es un botón de eliminación universal. Cuando siga existiendo otra base legal, en particular una obligación legal de conservar determinados registros, puedes, y a veces debes, conservar esos datos específicos, y el derecho de supresión no prevalece sobre ello. El arte consiste en separar los datos que ahora debes eliminar del conjunto limitado que estás legalmente obligado a conservar.

Lo que no puedes hacer es ignorar la solicitud o dejarla en suspenso. El RGPD te concede un mes para responder, y la respuesta debe informar a la persona de lo que has hecho: qué has suprimido, qué has conservado y el fundamento jurídico de cualquier conservación. Decir «Hemos eliminado tus datos» cuando, en realidad, has conservado las facturas por motivos fiscales es tanto falso como inútil; «Te hemos dado de baja de todas las comunicaciones de marketing y hemos eliminado tu perfil de huésped, y estamos obligados a conservar tus facturas de reserva durante varios años en virtud de la legislación fiscal, tras lo cual también se eliminarán» es la respuesta honesta y conforme a la normativa. Documenta la solicitud y tu respuesta, sea cual sea esta.

Cuándo puede negarse: retenciones legales y excepciones

Dado que el derecho al olvido no es absoluto, es necesario conocer las situaciones en las que la conservación de datos es legítima, para no eliminar ni conservar datos en exceso. Hay varias excepciones relevantes para los hoteles.

La más importante es la obligación legal. La legislación fiscal y contable de todos los países de la UE exige que se conserven los registros financieros, incluidas las facturas relacionadas con la estancia de un huésped, durante un número determinado de años. Esa obligación prevalece sobre una solicitud de supresi��n de esos datos concretos. Un huésped puede pedirte que le olvides, y debes olvidar todo lo que puedas olvidar, pero la factura se conserva hasta que expire el plazo legal. La misma lógica se aplica a cualquier registro que una ley específica te obligue a conservar, como los datos de registro de huéspedes cuando la legislación local lo exija durante un período determinado.

Una segunda excepción es la formulación, el ejercicio o la defensa de reclamaciones legales. Si te encuentras en una disputa con un huésped, o la prevés razonablemente, , una devolución de cargo, una reclamación por daños personales o una factura impagada, puedes conservar los datos relevantes para dicha reclamación hasta que se resuelva, ya que los necesitas para defenderte. Esto no es una licencia para conservar todo para siempre imaginando disputas hipotéticas; se trata de una excepción limitada a disputas reales. La norma consiste en aplicar una retención legal específica a los registros pertinentes y liberarlos, es decir, eliminarlos, una vez que el asunto se haya cerrado.

El hilo conductor que une todo esto es la especificidad. Una excepción te permite conservar los datos concretos que abarca, mientras dure la excepción, y nada más. No es una razón para conservar todo el perfil del huésped de forma indefinida. Cuando invoques una excepción en respuesta a una solicitud de supresión, conserva solo los datos que justifique, elimina el resto y anota el motivo.

Pasaportes, documentos de identidad y datos de categorías especiales

Los documentos de identidad merecen una sección propia porque los hoteles los manejan constantemente y, a menudo, los gestionan de forma inadecuada. En muchos países, la ley exige a los hoteles que registren a los huéspedes y, en ocasiones, que verifiquen su identidad, lo cual constituye una razón legítima para solicitar el pasaporte o el documento de identidad al hacer el registro de entrada. Sin embargo, esto no es, por sí solo, motivo para escanearlo y conservar la imagen para siempre. Ambas cosas se confunden habitualmente: un establecimiento que está obligado a registrar ciertos datos de registro empieza a fotografiar todos los pasaportes y a almacenar las imágenes de forma indefinida por seguridad, lo que crea un gran almacén de datos sensibles y atractivo para los atacantes que la ley nunca exigió.

El enfoque adecuado consiste en separar lo que la ley exige que se registre de lo que se decide conservar. Registra los campos específicos que exige la ley de registro de huéspedes de tu jurisdicción, consérvalos únicamente durante el plazo que especifique la ley y, a continuación, elimínalos. Si escaneas o fotografías un documento de identidad, trata esa imagen como datos de alto riesgo: restringe quién puede verla, almacénala cifrada y elimínala tan pronto como se haya cumplido el propósito del registro, en lugar de dejar que los escaneos se acumulen en una carpeta. En cuanto a los aspectos prácticos del registro de huéspedes y las obligaciones de notificación a la policía en concreto, lo tratamos en detalle en nuestra guía sobre el registro de huéspedes y la notificación a la policía; la cuestión de la conservación aquí es más específica: recopila lo mínimo que establece la ley, consérvalo durante el tiempo mínimo que permite la ley y elimínalo según lo previsto.

Ten cuidado también con los datos que entran en categorías especiales, es decir, los tipos sensibles que el RGPD protege de forma más estricta, como la información sanitaria. Si un huésped menciona una alergia grave o una necesidad de accesibilidad, es posible que en tus notas se incluyan datos relacionados con la salud. Puede que los necesites para atender bien al huésped, pero requieren un cuidado especial: consérvalos solo mientras sean útiles para las estancias de ese huésped, restringe el acceso y no dejes que permanezcan en campos de texto libre mucho tiempo después de que hayan dejado de ser relevantes.

Datos de pago: el problema de conservación más fácil de resolver

De todos los quebraderos de cabeza relacionados con la conservación de datos, los datos de las tarjetas de pago son los que tienen la solución más clara, y muchos hoteles aún no la han adoptado. La costumbre de antaño era almacenar los números de las tarjetas: capturarlos en un formulario de reserva, guardarlos en los archivos para el cargo por no presentarse o los gastos adicionales, anotarlos en un resguardo. Cada número de tarjeta que almacenas supone un riesgo de retención, una obligación según la normativa PCI y una brecha de seguridad a la espera de producirse. La solución moderna consiste en no almacenarlos en absoluto.

La tokenización, que ofrece cualquier plataforma de pago competente, sustituye el número de tarjeta por un token sin significado que resulta inútil para un ladrón y que se almacena en el proveedor de pagos, no en tus sistemas. Aún así, puedes cobrar el cargo por no presentarse, registrar los gastos adicionales y procesar el depósito, ya que el token autoriza el cargo a través del proveedor, pero los datos reales de la tarjeta nunca se almacenan en tu PMS, en tu hoja de cálculo ni en tu archivador. Esa única decisión arquitectónica elimina toda una categoría de riesgo de retención: no hay nada confidencial que conservar, por lo que no hay nada que borrar, nada que pueda ser objeto de una filtración y mucho menos que demostrar ante un auditor. El uso de una capa de pago integrada como Prostay Pay, que tokeniza de forma predeterminada, significa que los datos de las tarjetas se minimizan por diseño en lugar de gestionarse mediante políticas, lo cual siempre es la posición más sólida.

Si todavía conservas números de tarjetas en cualquier lugar, en papel, en una hoja de cálculo, en un correo electrónico o en un antiguo sistema de reservas, , ese es el aspecto de máxima prioridad en cualquier limpieza de datos almacenados, por delante de casi todo lo demás. Se trata de los datos más atractivos para los atacantes, los más estrictamente regulados y los que resulta más evidente que no es necesario conservar una vez que se dispone de la tokenización. La medida más rápida que la mayoría de los hoteles pueden tomar en materia de RGPD y seguridad es localizar todos los números de tarjeta almacenados y eliminar la práctica que los generó.

Listas de marketing, consentimiento y el riesgo oculto

Los datos de marketing son el ámbito en el que las buenas intenciones generan un riesgo de combustión lenta. Un hotel crea una lista de correo electrónico a lo largo de los años a partir de formularios de reserva, registros en la red wifi, concursos o casillas de suscripción a boletines informativos, y rara vez vuelve a comprobar si cada contacto dio realmente su consentimiento, si dicho consentimiento fue específico e informado y si sigue vigente. El resultado es una lista extensa de procedencia poco clara, precisamente lo que convierte una queja rutinaria en un problema normativo.

La disciplina de conservación de datos con fines de marketing se basa en el consentimiento. Solo puedes conservar y utilizar datos de marketing mientras cuentes con un consentimiento válido, lo que significa que el contacto se ha suscrito de forma activa, sabía a qué estaba dando su consentimiento y puede retirarlo con la misma facilidad con la que lo dio. De ello se derivan dos reglas. En primer lugar, respeta las bajas de forma inmediata y completa: cuando alguien se dé de baja, deja de enviarle correos electrónicos y elimínalo de la lista activa, conservando como máximo un registro mínimo de supresión para no volver a añadirlo accidentalmente. En segundo lugar, gestiona la inactividad. Un contacto que no haya abierto ni hecho clic en dos o tres años es un contacto cuyo consentimiento ha caducado y cuyos datos tienes pocas razones para conservar; una política sensata le solicitará de nuevo el permiso una vez y lo eliminará si no responde.

Esto puede parecer contradictorio para los operadores que equiparan una lista más grande con un mayor alcance, pero una lista extensa de contactos sin consentimiento, inactivos y posiblemente almacenados de forma inadecuada no es un activo; es un lastre que genera malos resultados y un alto riesgo. Una lista más reducida de personas que realmente quieren saber de ti ofrece mejores resultados y apenas conlleva riesgos en relación con el RGPD. Depurar la lista es tanto una medida de cumplimiento normativo como una mejora de marketing, una combinación poco habitual que merece la pena aprovechar.

Las OTA, los gestores de canales y quién elimina qué

Los datos de los huéspedes no llegan por una única vía, lo que complica su conservación. Una reserva puede proceder de tu página web directa, de Booking.com o Expedia, a través de un gestor de canales, de una agencia de viajes o por teléfono. Una suposición habitual y peligrosa es que, si la reserva se ha realizado a través de una OTA, esta es la propietaria de los datos y su eliminación resuelve la tuya. No es así.

En la mayoría de las relaciones con las OTA, tanto la plataforma como el hotel actúan como responsables del tratamiento de sus propias copias de los datos de los huéspedes. La OTA es responsable de los datos que se encuentran en sus sistemas y de gestionar su supresión en ellos; tú eres responsable de la copia que llega a los tuyos. Cuando una reserva de Booking.com llega a tu PMS a través de tu gestor de canales, el registro permanente que requiere una política de conservación y un proceso de supresión es el que ahora se encuentra en tu entorno. El gestor de canales suele ser un conducto, un encargado del tratamiento que traslada los datos, pero la copia del PMS es tuya y debes gestionarla.

Las conclusiones prácticas son concretas. No puedes señalar a una OTA y dar por resuelta una solicitud de supresión; debes tramitarla en tus propios sistemas, independientemente de cómo haya llegado la reserva. Debes saber, para cada plataforma que utilices, quién es el responsable del tratamiento y quién el encargado del tratamiento de cada dato, tal y como se establece en las condiciones de tratamiento de datos que aceptaste y que rara vez lees. Y tu calendario de conservación debe abarcar todas las copias de los datos de los huéspedes en tu entorno, no solo las de tu canal directo, porque a un organismo regulador o a un huésped que presente una reclamación no le importará que los datos procedieran originalmente de otro lugar.

La mecánica: supresión en el PMS, el CRM, el correo electrónico y las copias de seguridad

Saber qué eliminar es la mitad del camino; eliminarlo realmente en la maraña de sistemas de un hotel real es la otra mitad, y ahí es donde mueren las buenas intenciones. Los datos de los huéspedes rara vez se encuentran en un solo lugar. Están en el PMS, en el CRM o en la herramienta de perfiles de huéspedes, en la plataforma de marketing por correo electrónico, en las hojas de cálculo, en la bandeja de entrada donde alguien reenvió una reserva y en las copias de seguridad que hay detrás de todo ello. Una política de conservación que solo elimine los datos del PMS deja copias en todas partes.

Empieza por identificar dónde se encuentran realmente los datos, el mismo ejercicio que exige el calendario de retención. Para cada sistema, averigua cómo funciona la eliminación: ¿tiene el PMS alguna forma de eliminar o anonimizar el perfil de un huésped?, ¿la herramienta de correo electrónico elimina realmente un contacto o simplemente lo oculta?, ¿puedes purgar las hojas de cálculo y dejar de crear otras nuevas? El objetivo es establecer una ruta de eliminación definida para cada lugar donde se almacenen los datos de los huéspedes, de modo que, cuando expire un plazo de conservación o se reciba una solicitud de supresión, puedas actuar en todas partes, no solo en el sistema más obvio.

Las copias de seguridad son la cuestión en la que todo el mundo se queda atascado, y la postura de los reguladores es pragmática. Se espera que elimines los datos de los sistemas activos y en funcionamiento sin demora. En cuanto a las copias de seguridad, se espera que los datos caduquen siguiendo una rotación normal y documentada, y que no restaures los datos borrados para volver a utilizarlos en los sistemas activos. Por lo general, no se espera que se revisen todas las copias de seguridad históricas para eliminar quirúrgicamente los datos de un huésped en el momento en que lo solicite. Hay dos aspectos que hacen que esto sea defendible: unas copias de seguridad con una rotación razonable que sobrescriba los datos antiguos en lugar de conservarlos para siempre, y un proceso de restauración que vuelva a aplicar los borrados para que una recuperación no resucite silenciosamente los registros eliminados. Una copia de seguridad que nunca se sobrescribe es en sí misma un fallo de limitación de almacenamiento, por lo que la solución consiste, en parte, simplemente en contar con una política de retención de copias de seguridad real.

Cuando no sea posible eliminar los datos fácilmente, la anonimización es la alternativa aceptada. Si deseas conservar estadísticas agregadas, tendencias de ocupación o medias de duración de la estancia, puedes eliminar de los datos cualquier elemento que identifique a una persona y conservar las cifras anonimizadas, que quedan fuera del ámbito de aplicación del RGPD porque ya no son datos personales. Si se hace correctamente, esto te permite conservar la información empresarial sin asumir la responsabilidad.

Gestión de una solicitud de acceso o supresión

Cuando un huésped ejerce sus derechos, la propia solicitud se rige por unas normas, y gestionarla sin problemas consiste principalmente en tener un proceso preparado antes de que llegue la primera. Las dos solicitudes más habituales son la de acceso, en la que el huésped desea una copia de los datos que tienes sobre él, y la de supresión, en la que solicita que se eliminen. Ambas siguen el mismo plazo de un mes y los mismos pasos básicos.

En primer lugar, hay que reconocer la solicitud. No es necesario que se presente mediante un formulario ni que utilice lenguaje jurídico; un correo electrónico que diga «por favor, envíenme toda la información que tengan sobre mí» o «borren mis datos» es válido, y el plazo comienza a contar desde el momento en que se recibe. Asegúrate de que el personal de recepción y de reservas sepa que debe remitir estas solicitudes a la persona responsable de la protección de datos, en lugar de ignorarlas o gestionarlas incorrectamente. En segundo lugar, verifica la identidad de forma proporcionada. Debes asegurarte de que estás tratando con la persona real antes de entregar o eliminar datos, pero no debes exigir pruebas excesivas; por lo general, basta con confirmar que la persona controla la dirección de correo electrónico o la referencia de la reserva que figura en el expediente. Exigir demasiados datos de identificación es, en sí mismo, un problema de recopilación de datos.

En tercer lugar, actúa en todos los sistemas, utilizando el mapa y las rutas de supresión indicadas anteriormente, y aplica la lógica de la retención legal: en caso de supresión, elimina todo aquello para lo que ya no tengas una base legal para conservar; conserva únicamente lo que la ley obligue a conservar; y, en caso de solicitud de acceso, recopila una copia completa que incluya los lugares que se suelen pasar por alto. En cuarto lugar, responde en el plazo de un mes, por escrito, explicando qué has hecho y, en el caso de los datos conservados, por qué. Lleva un registro sencillo de las solicitudes y respuestas. Nada de esto resulta difícil una vez que existe el proceso; los fallos se deben a la falta de un proceso, por lo que la primera solicitud provoca pánico, incumplimiento de plazos y, o bien una eliminación excesiva, o bien una negativa rotunda, cualquiera de las cuales puede convertir una solicitud menor en una reclamación.

Un plan de limpieza de la retención de datos en 30 días

No hace falta un año ni un consultor para pasar de «lo guardamos todo» a una posición defendible. Un mes dedicado a esta tarea, dirigido por alguien con autoridad para tomar decisiones, permite a un hotel independiente típico recorrer la mayor parte del camino.

Días 1 a 7: localiza los datos. Identifica todos los lugares donde se almacenan los datos personales de los huéspedes: PMS, CRM o perfiles de huéspedes, herramientas de marketing por correo electrónico, hojas de cálculo, unidades compartidas, bandejas de entrada, el antiguo sistema que nadie ha dado de baja, archivos en papel. Sé implacable con los rincones olvidados, porque ahí es donde se esconde el mayor riesgo. Señala inmediatamente cualquier número de tarjeta almacenado y cualquier escaneo independiente de pasaporte o documento de identidad; esos son tus objetivos de máxima prioridad.

Días 8 a 14: elabora el calendario. Elabora el calendario de conservación: para cada categoría de datos, registra la base legal, la finalidad, el plazo de conservación, basado en tu legislación fiscal y de registro nacional para los datos exigidos por ley, y dónde se almacenan. Establece tu norma de inactividad en materia de marketing y los plazos para las grabaciones de CCTV y las notas. Este documento es la columna vertebral de todo lo demás.

Días 15 a 21: soluciona los riesgos más graves. Elimina los datos de tarjetas almacenados pasando a pagos tokenizados y destruyendo cualquier número de tarjeta en papel o en hojas de cálculo. Elimina o protege adecuadamente los escaneos de documentos de identidad independientes. Depura la lista de marketing: atiende todas las solicitudes de baja pendientes y elimina o vuelve a solicitar el permiso a los contactos que lleven mucho tiempo inactivos. Estas tres acciones eliminan la mayor parte del riesgo real.

Días 22 a 28: establece los procesos. Define la ruta de eliminación para cada sistema, de modo que los plazos de conservación puedan aplicarse realmente; lo ideal es automatizar todo lo que sea posible. Redacta un procedimiento de una página para gestionar las solicitudes de acceso y supresión, incluyendo quién es el responsable, cómo se verifica la identidad y el plazo de un mes. Informa al personal de recepción y de reservas para que las solicitudes se canalicen correctamente y no se pierdan. Comprueba que la rotación de tus copias de seguridad sea limitada y esté documentada.

Días 29 a 30: documenta y programa la revisión. Guarda el calendario de retención y el procedimiento de solicitud en un lugar accesible para el equipo; registra lo que has eliminado, lo cual constituye una prueba útil de buena fe si alguna vez lo solicita un organismo regulador, y marca una fecha periódica en el calendario, trimestralmente o dos veces al año, para hacer cumplir el calendario y volver a depurar los datos. La conservación de documentos no es un proyecto puntual; es un hábito, y el recordatorio del calendario es lo que evita que se vuelva a acumular el exceso de documentación.

Dónde encaja Prostay, de forma breve y sincera

Aclaración: escribo para Prostay, empresa que desarrolla un sistema de gestión hotelera y una plataforma de pagos integrada para hoteles, por lo que esta sección refleja mis intereses y no constituye un consejo imparcial. El punto honesto y útil es concreto. Gran parte del problema de la retención es de carácter arquitectónico, y los sistemas adecuados hacen que la vía que cumple con la normativa sea la predeterminada. Un PMS que te permita eliminar o anonimizar un perfil de huésped de forma limpia, en lugar de dejar los datos dispersos e imposibles de borrar, hace que tanto la retención programada como las solicitudes de supresión sean mucho más fáciles de cumplir. Y los sistemas de pago que utilizan tokens de forma predeterminada, como hace Prostay Pay, eliminan por completo los datos de las tarjetas de tu entorno, lo que elimina toda una categoría de riesgo de retención y de violación de datos antes incluso de que redactes una sola política.

Nada de esto es exclusivo de nosotros, y tampoco es el objetivo del artículo. Muchos proveedores modernos de PMS y de pagos gestionan bien este tema, y la elección adecuada depende de tu infraestructura y de tu país. La prueba realmente útil es la que se plantea en este artículo: ¿pueden tus sistemas borrar lo que indica tu calendario de borrado?, ¿minimizan desde el principio los datos sensibles que almacenas? y ¿puedes dar respuesta a una solicitud de borrado en todos ellos en el plazo de un mes? Si los tuyos pueden, el proveedor apenas importa. Si no pueden, esa es la brecha que hay que cerrar, ya sea con nosotros o con cualquier otro. Compra y configura pensando en el cumplimiento por defecto, no en una casilla de verificación de una lista de características.

Preguntas frecuentes

Respuestas a las cinco preguntas más frecuentes de los operadores hoteleros sobre la conservación de datos según el RGPD y el derecho al olvido, basadas en cómo se aplica esto en un establecimiento real y no en el texto del reglamento.

FAQ

Preguntas frecuentes

  • ¿Durante cuánto tiempo puede un hotel conservar los datos de sus huéspedes según el RGPD?
    El RGPD no establece un plazo concreto, lo cual resulta frustrante para los operadores que buscan una norma única. En su lugar, establece que solo se pueden conservar los datos personales durante el tiempo que sean necesarios para la finalidad para la que se recopilaron, más cualquier plazo que exija una ley específica. En la práctica, esto significa que cada tipo de dato tiene su propio plazo de conservación. Los datos de reservas y facturas suelen conservarse durante el plazo establecido por la normativa fiscal y contable de tu país, que suele oscilar entre 6 y 10 años (10 en Alemania y Francia, alrededor de 6 en gran parte de Europa y 7 en algunos países). Los datos de marketing solo se conservan mientras el consentimiento del huésped siga vigente, es decir, hasta que se dé de baja o quede inactivo según la política establecida. Las notas operativas, las grabaciones de videovigilancia y los registros de acceso deben conservarse durante un periodo breve, a menudo días o semanas. El enfoque correcto no consiste en preguntarse «¿cuánto tiempo permite el RGPD?» como una cifra única, sino en elaborar un calendario de conservación que especifique cada categoría de datos de los huéspedes, su base legal y el plazo concreto tras el cual se eliminan, y luego aplicar efectivamente dicho calendario. La infracción que preocupa a las autoridades reguladoras es conservar todo para siempre «por si acaso», algo que el principio de limitación del almacenamiento prohíbe directamente.
  • Si un antiguo huésped nos pide que eliminemos sus datos, ¿tenemos que hacerlo siempre?
    No, y dar por sentado que debes hacerlo puede suponer el incumplimiento de otras leyes. El derecho al olvido es sólido, pero no absoluto. Debes borrar los datos cuando ya no tengas un motivo legítimo para conservarlos; por ejemplo, los datos de marketing tras la retirada del consentimiento. Sin embargo, puedes, y a veces debes, denegar la solicitud, total o parcialmente, cuando otra obligación legal te exija conservar datos específicos. El ejemplo más claro son los registros financieros: si la legislación fiscal te obliga a conservar la factura de una estancia durante diez años, no puedes borrar esa factura solo porque el huésped te lo pida, y debes explicárselo. Por lo tanto, la respuesta correcta a una solicitud de supresión no es un «sí» o un «no» instintivo; consiste en borrar todo aquello para lo que ya no exista una base legal que justifique su conservación, conservar únicamente los datos específicos que la ley te obliga a mantener (y solo durante ese plazo), informar al huésped de lo que has borrado y lo que has conservado, así como el motivo, y hacerlo en el plazo de un mes. Una respuesta genérica del tipo «lo hemos borrado todo» puede suponer un incumplimiento tan grave como ignorar la solicitud.
  • ¿Tenemos que eliminar también los datos de los huéspedes de nuestras copias de seguridad?
    Esta es la cuestión que plantea más dificultades a la mayoría de los hoteles, y la postura de las autoridades reguladoras es pragmática más que absoluta. Se espera que se borren los datos de los sistemas activos y en funcionamiento sin demora, y que se cuente con un proceso definido para que los datos también se eliminen de las copias de seguridad de forma habitual, normalmente cuando dicha copia de seguridad caduca y se sobrescribe según su ciclo estándar. Por lo general, no se espera que se abran todas las cintas de copia de seguridad históricas para eliminar quirúrgicamente los datos de un huésped el mismo día. Lo que hay que hacer son dos cosas: garantizar que los datos no se restauren de una copia de seguridad para volver a utilizarlos en el sistema activo tras su eliminación, y disponer de un sistema de rotación de copias de seguridad razonable y documentado, de modo que no se conserven datos personales de forma indefinida. Una copia de seguridad que nunca se sobrescribe es, en sí misma, un problema de limitación de almacenamiento. Documenta tu política de retención de copias de seguridad y tu proceso de exclusión de restauraciones, y podrás defender este enfoque; si te basas en copias de seguridad que conservas para siempre, no podrás hacerlo.
  • Utilizamos Booking.com y un gestor de canales. ¿A quién le corresponde borrar los datos de los huéspedes?
    Cada parte es responsable de los datos que figuran en sus propios sistemas, y el error radica en dar por sentado que la eliminación realizada por la OTA afecta también a los tuyos. Cuando un huésped realiza una reserva a través de una OTA, tanto la OTA como el hotel suelen actuar como responsables del tratamiento de sus respectivas copias de los datos. La OTA gestiona la supresión dentro de su plataforma; tú debes gestionarla dentro de la tuya: el PMS, tu CRM, tu herramienta de correo electrónico, tus hojas de cálculo y cualquier exportación. El gestor de canales suele ser un conducto que transfiere la reserva a tu PMS, por lo que la copia permanente que requiere una política de conservación es la que llega a tus sistemas. En la práctica, esto significa que no puedes limitarte a señalar a Booking.com y dar el asunto por zanjado. Necesitas tu propio calendario de retención y tu propio proceso de supresión para cada copia de los datos de los huéspedes que llega a tu entorno, independientemente del canal por el que haya llegado. También implica revisar tus condiciones de tratamiento de datos con cada plataforma para saber quién es el responsable del tratamiento y quién es el encargado del tratamiento de cada dato.
  • ¿Es realmente más seguro reducir al mínimo los datos que conservamos que conservarlos con fines de marketing?
    Casi siempre, sí, y este es el cambio estratégico que merece la pena llevar a cabo. Cada categoría adicional de datos personales que conserves, y cada año más que los mantengas, supone un mayor riesgo de sufrir una filtración, más trabajo a la hora de gestionar una solicitud de acceso o supresión, y más cuestiones que la autoridad reguladora pueda cuestionar, frente a una esperanza, a menudo vaga, de obtener un valor de marketing futuro. La minimización de datos, recoger solo lo necesario y eliminarlo según lo previsto, es tanto un principio del RGPD como, sencillamente, una buena gestión del riesgo. Los datos que se ganan su existencia, el perfil de marketing consentido por un huésped, el historial de fidelización que utiliza activamente, la factura que exige la legislación fiscal, tienen una razón clara de ser. Los datos que no la tienen, la copia escaneada del pasaporte que nunca has borrado, la década de direcciones de correo electrónico inactivas, los números de tarjeta en una vieja hoja de cálculo, son un puro lastre. Los establecimientos que gestionan bien el RGPD no son los que tienen las bases de datos más grandes, sino los que conservan la menor cantidad de datos durante el menor tiempo justificable y pueden demostrarlo. Menos datos significan menos riesgo, y los pagos tokenizados, junto con un calendario de conservación real, te acercan en gran medida a ese objetivo.
Sigue leyendo

Prueba Prostay

Gestiona tu hotel en la plataforma sobre la que escribimos.

Importa los datos y los flujos de tu equipo. Te mostraremos una configuración Prostay equivalente sobre tus últimos 30 días.

Solicitar una demoExplorar el PMS

Sobre este artículo

Categoría: Hotel Technology & Innovation. Publicado el 21 jun 2026 por Mika Takahashi.