Saltar al contenido principal
PrivacidadWeb
Ley 21.719 · Guía sectorial

Ley 21.719 para Hoteles, Hostales y Alojamiento Turístico

Los hoteles y establecimientos de alojamiento recopilan datos personales en cada reserva: identificación, datos de pago, preferencias de habitación, y en muchos casos datos de pasaporte o cédula de extranjería por obligación legal. Los sistemas de gestión hotelera (PMS) concentran una gran cantidad de datos de huéspedes que deben protegerse adecuadamente. Además, el uso de plataformas como Booking.com o Airbnb implica transferencias internacionales de datos que deben documentarse.

🟠 Riesgo MEDIO7 tipos de datos regulados

Cómo Hoteles, Hostales y Alojamiento Turístico interactúa con datos personales

Los hoteles, hostales y alojamientos turísticos concentran tres categorías de datos especialmente atractivas para atacantes: datos de identidad (pasaporte o cédula), datos de pago (tarjeta de crédito) e información de comportamiento (estadías, destinos, horarios). El sistema de gestión hotelera (PMS) es el núcleo de este universo y suele conectar con decenas de plataformas externas: Booking.com, Expedia, Airbnb, sistemas de caja, programas de fidelización. Cada integración es una transferencia internacional de datos que debe documentarse. El check-in digital —por email o aplicación— implica que datos sensibles se transmiten antes de que el huésped pise el hotel. La Ley 21.719 exige informar al titular en el momento de la recopilación, lo que en el caso de reservas online significa antes de confirmar la reserva, no en el check-in físico. Una brecha del PMS puede afectar a miles de huéspedes simultáneamente, con obligación de notificación a la APDP en 72 horas.

¿Qué datos personales trata tu hoteles, hostales y alojamiento turístico?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

Nombre, RUT o número de pasaporteDatos de tarjeta de crédito o débitoHistorial de estadías y preferenciasDatos de contacto (email, teléfono)Información de agencia de viajes intermediariaRegistro de acceso y horarios de check-in/outSolicitudes especiales (dieta, necesidades médicas)

Tu principal riesgo

⚠️

La concentración de datos de pago y de identificación de miles de huéspedes hace a los hoteles objetivo frecuente de ataques. Una brecha de datos de tarjetas de crédito puede generar responsabilidad por daños a huéspedes afectados. Multa hasta 10.000 UTM (~$700M CLP) y obligación de notificar a la APDP y a los titulares afectados sin dilaciones indebidas (Art. 14 sexies).

Obligaciones específicas para Hoteles, Hostales y Alojamiento Turístico

1

Informar al huésped en el proceso de reserva online (no solo en el check-in) sobre el tratamiento de sus datos: qué datos se recopilan, para qué finalidades (gestión de la estadía, registro legal obligatorio, programa de fidelización), con quién se comparten (plataformas de reserva, sistema de pago, autoridades) y cómo ejercer sus derechos ARCOP.

2

Documentar las transferencias internacionales de datos a plataformas de reserva (Booking.com, Expedia, Airbnb) y sistemas de pago en el RAT y la Política de Privacidad, indicando el país de destino de los datos y las garantías de protección aplicables.

3

Implementar controles de seguridad específicos para los datos de tarjetas de crédito: nunca almacenar el número completo de tarjeta en el PMS; usar tokenización o sistemas de pago PCI DSS compliance; revisar si el sistema de cobro de garantías cumple estos estándares.

4

Establecer un protocolo de notificación de brechas de seguridad documentado: definir los pasos a seguir desde la detección hasta la notificación a la APDP (máximo 72 horas), la comunicación a los huéspedes afectados y las medidas de contención.

5

Obtener consentimiento separado para el programa de fidelización y el envío de comunicaciones de marketing: el registro legal de la estadía (obligación normativa) no puede usarse como base para marketing; se requiere consentimiento explícito del huésped para esas finalidades.

Ejemplo de cumplimiento paso a paso

  1. 1

    Audita las integraciones de tu PMS

    Lista todos los sistemas conectados al software de gestión hotelera: plataformas de reserva, sistema de caja, programa de puntos, CRM de marketing, sistema de acceso a habitaciones. Para cada uno: qué datos transmite, a dónde van y si tienes contrato de encargado del tratamiento.

  2. 2

    Actualiza la Política de Privacidad para incluir transferencias internacionales

    Si usas Booking.com, Expedia, Airbnb u otras plataformas con servidores fuera de Chile, debes informarlo en tu política de privacidad. Indica el país de destino y las garantías de protección (ej. Privacy Shield o cláusulas contractuales estándar).

  3. 3

    Revisa el cumplimiento PCI DSS de tu sistema de pagos

    Nunca almacenes el número completo de tarjeta de crédito. Usa tokenización y sistemas certificados PCI DSS. Revisa que tu sistema de 'cobro de garantías' no guarde datos de tarjeta en texto plano.

  4. 4

    Documenta el RAT

    Registra: datos de reserva y check-in (base legal: ejecución de contrato + obligación legal), datos de programa de fidelización (base legal: consentimiento), datos de marketing (base legal: consentimiento). Incluye plazos de conservación y sistema de almacenamiento.

  5. 5

    Implementa el protocolo de brechas

    Define por escrito qué hacer si el PMS es atacado: quién notifica internamente, cómo se evalúa el alcance, cuándo y cómo se notifica a la APDP (dentro de 72 horas) y cómo se informa a los huéspedes afectados.

Genera los documentos que tu hoteles, hostales y alojamiento turístico necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Hoteles, Hostales y Alojamiento Turístico

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Un hotel que sufre una brecha en su sistema de reservas exponiendo datos de tarjetas de crédito e información de estadías de sus huéspedes, y no notifica a la APDP sin dilaciones indebidas (Art. 14 sexies), puede enfrentar multas de hasta 10.000 UTM (~$700M CLP) por infracción grave.

Preguntas frecuentes sobre privacidad para hoteles, hostales y alojamiento turístico

¿Estoy obligado a registrar el RUT o pasaporte de mis huéspedes?

Sí. El Reglamento de Establecimientos de Alojamiento Turístico obliga a registrar la identidad de los huéspedes. Esta obligación legal (Art. 13 letra b, Ley 21.719) justifica el tratamiento sin necesidad de consentimiento adicional para ese fin específico. Sin embargo, para otras finalidades como marketing o programas de fidelización, sí necesitas consentimiento.

¿Tengo que informar a los huéspedes sobre el uso de sus datos al hacer check-in?

Sí. El Art. 14 ter de la Ley 21.719 obliga a informar al titular al momento de recopilar sus datos. En la práctica hotelera, esto puede hacerse en el formulario de registro de ingreso o en la confirmación de reserva. Debes indicar qué datos recopilas, para qué, con quién los compartes (ej. plataformas de reserva) y cómo ejercer los derechos ARCOP.

¿El uso de Booking.com o Expedia implica transferencia internacional de datos?

Sí. Al usar plataformas de reserva con servidores en el extranjero, estás realizando una transferencia internacional de datos personales de tus huéspedes. Debes documentarla en tu RAT y en tu Política de Privacidad, indicando el país de destino y las garantías de protección aplicables.

Más recursos útiles

Hoteles, Hostales y Alojamiento Turístico

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad GratisHacer diagnóstico