El nuevo marco europeo de datos transforma el papel de los hoteles en la economía digital. El ‘Data Act’ devuelve a los establecimientos el control sobre la información generada por sus sistemas conectados y abre oportunidades para innovar, optimizar costes y reforzar su competitividad.
Los hoteles se encuentran en el epicentro de una economía de datos cuyas reglas acaban de cambiar. El 22 de diciembre de 2023 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2023/2854 sobre normas armonizadas para un acceso justo a los datos y su utilización, conocido como Reglamento de Datos o Data Act que, salvo alguna excepción, es de obligado cumplimiento desde el pasado mes de septiembre de 2025. Se trata de una norma diferente al archiconocido Reglamento General de Protección de Datos (RGPD) y, como veremos, introduce un marco legal que transforma de manera sustancial la forma en que los datos, tanto personales como no personales, se generan, comparten y explotan. Ello afecta de forma importante al sector hotelero y turístico, inmerso en un proceso de proliferación de dispositivos conectados -desde cerraduras inteligentes hasta sensores de climatización y plataformas de gestión hotelera (PMS)-.
El Data Act establece nuevos derechos y obligaciones para hoteles, proveedores tecnológicos y clientes, y exige una adaptación contractual y operativa que debe acometerse en coordinación con la normativa de protección de datos personales (RGPD).
¿Qué es el Reglamento Europeo de Datos (‘Data Act’)?
El Data Act tiene como objetivo principal regular el acceso y la utilización de datos personales y no personales en la Unión Europea, con especial énfasis en la equidad, la transparencia y la interoperabilidad.
Este reglamento modifica y complementa normativas previas, como el Reglamento de Gobernanza de Datos (DGA) y el Reglamento General de Protección de Datos (RGPD), para crear un entorno regulatorio coherente y adaptado a los retos de la economía digital.
A la fecha de publicación de esta entrada, el Data Act se encuentra en fase de modificación por la Comisión Europea, con el objetivo, entre otras modificaciones, de integrar en su articulado la regulación del DGA.
¿Cómo puede impactar el ‘Data Act’ en el sector hotelero y turístico?
Desde el punto de vista de negocio y, en particular, en el sector hotelero, el Data Act da lugar a dos potenciales oportunidades en las que cada operador debería profundizar en detalle:
- Dispositivos conectados (IoT): El Data Act otorga a los usuarios de productos y servicios conectados (hoteles y clientes) el derecho de acceder a los datos generados por esos productos y servicios, como cerraduras inteligentes, sensores de ocupación, etc.
Este derecho de acceso tiene una implicación directa y muy relevante para los hoteles, ya que los proveedores tecnológicos que suministran estos dispositivos o sistemas estarán obligados a facilitar dicho acceso y no podrán imponer restricciones injustificadas. Para los hoteles, esto significa recuperar el control sobre datos que, hasta ahora, quedaban en manos, y a la discreción, del fabricante o del proveedor de software.
- Espacios de datos: El Data Act fomenta la creación de espacios de datos sectoriales y transversales. Se trata de entornos regulados donde distintos actores de un mismo sector pueden compartir datos bajo criterios de gobernanza, calidad e interoperabilidad.
Para el sector hotelero, implica la oportunidad de compartir datos (por ejemplo, consumo energético, ocupación, movilidad interna) para benchmarking, certificaciones ecológicas o innovación en servicios. La decisión de impulsar un espacio de datos sectorial propio, o adherirse a uno ya existente, dependerá de factores como la gobernanza del espacio, los estándares de interoperabilidad exigidos y la calidad de los datos disponibles.
Asimismo, se establecen normas para facilitar el cambio de proveedor de servicios cloud, evitando el bloqueo por parte de los proveedores y garantizando la portabilidad de los datos, lo que es especialmente relevante para hoteles que utilizan sistemas de gestión en la nube.
En este sentido, es necesario revisar y adaptar los contratos con proveedores tecnológicos y de servicios cloud para reflejar los nuevos derechos de acceso, portabilidad y seguridad de los datos. El Data Act exige que los contratos sean justos, especialmente en relaciones B2B con pymes, y prevé la elaboración de modelos contractuales por la Comisión Europea.
Relación con el RGPD y otras normativas
Es importante subrayar que el Data Act no sustituye al RGPD, sino que lo complementa. Los datos personales siguen sujetos a las exigencias de protección, legitimación, transparencia y derechos de los interesados. El Data Act regula principalmente los datos no personales y su compartición/interoperabilidad, pero exige que las empresas documenten y separen claramente ambos tipos de datos en sus sistemas y contratos.
Esta convivencia normativa exige una gestión integrada y coordinada. Los hoteles deben establecer mapas de datos claros que identifiquen qué información está sujeta al RGPD y cuál queda bajo el ámbito del Data Act, así como adoptar las medidas técnicas y organizativas necesarias para evitar la reidentificación indebida de personas físicas a partir de datos aparentemente anónimos.
Ejemplo práctico: el hotel que recupera el control de sus datos personales
Para ilustrar las implicaciones reales del Data Act, imaginemos el caso de un hotel urbano de gama media-alta que cuenta con un sistema de gestión (PMS) en la nube, habitaciones equipadas con termostatos, sensores IoT para el control de climatización y consumo energético, y cerraduras electrónicas gestionadas por un tercer proveedor de tecnología.
Hasta ahora, todos los datos generados por estos sistemas (patrones de ocupación por habitación, consumo energético por planta, franjas horarias de mayor demanda de climatización) quedaban almacenados en los servidores del proveedor tecnológico, quien tenía el control efectivo sobre ellos. El hotel los veía de forma parcial, a través de dashboards limitados y sin posibilidad real de exportarlos o integrarlos en otras herramientas de análisis.
Con el Data Act, esta situación cambia. El hotel tendrá derecho a acceder a todos esos datos en un formato interoperable y el proveedor estará obligado a facilitarlos de forma gratuita, sin demora indebida y sin imponer condiciones desproporcionadas. Asimismo, el hotel tendrá derecho a solicitar al proveedor que comparta estos datos directamente con un tercero de su elección (por ejemplo, una plataforma de análisis energético). El hotel podrá entonces:
- Optimizar su eficiencia energética integrando los datos de los sensores con su sistema de gestión de instalaciones, identificando consumos anómalos y reduciendo costes operativos.
- Incorporarse a un espacio de datos hotelero sectorial para realizar comparativas con otros establecimientos de su categoría y destino, obteniendo inteligencia de mercado valiosa para su estrategia operativa.
- Cambiar de proveedor tecnológico sin perder el histórico de datos, gracias a las normas de portabilidad que el Data Act impone al proveedor saliente.
Este escenario de oportunidades no está exento de riesgos. Una incorrecta definición de roles y responsabilidades en la gestión de datos, especialmente cuando en el dato conviven dimensiones personales (comportamiento del huésped) y no personales (consumo energético por habitación), puede derivar en sanciones administrativas por parte de la Agencia Española de Protección de Datos u otros organismos competentes, así como en reclamaciones judiciales por parte de proveedores o clientes.
Es esencial, por tanto, definir con precisión en los contratos con proveedores tecnológicos la titularidad de los datos, los derechos de acceso de cada parte, las obligaciones en materia de notificación de brechas de seguridad y las condiciones de portabilidad al término de la relación contractual.
Para afrontar con garantías este nuevo marco normativo, los hoteles deberían considerar las siguientes actuaciones prioritarias:
- Revisar y actualizar los contratos con proveedores de tecnología (PMS, IoT, domótica, cloud) para incorporar los derechos de acceso, portabilidad y seguridad de datos que exige el Data Act. La Comisión Europea ha publicado ya un proyecto de recomendación sobre modelo de cláusulas contractuales (Model Contractual Terms) y cláusulas contractuales estándar para contratos de servicios en la nube, que servirán de referencia práctica para que los hoteles negocien con sus proveedores tecnológicos en condiciones equilibradas.
- Elaborar planes de cumplimiento normativo conjunto entre propietarios y gestores del establecimiento, delimitando claramente las responsabilidades de cada parte.
- Informar transparentemente a los clientes sobre el uso de los datos generados durante su estancia, en coherencia con las obligaciones del RGPD.
- Garantizar la ciberseguridad y la trazabilidad de los accesos a los sistemas de datos, especialmente cuando intervienen múltiples proveedores con acceso a información sensible del establecimiento.
En resumen, el Data Act no es una norma más. Para el sector hotelero, representa una oportunidad real de recuperar el control sobre un activo estratégico -el dato- que durante años ha estado en manos de terceros. Aprovecharla exigirá preparación jurídica, tecnológica y operativa. Los hoteles que se adelanten en este proceso estarán mejor posicionados para competir en un entorno donde los datos son, cada vez más, el verdadero diferenciador competitivo.
