• Resumen ejecutivo

El HOTEL RURAL RINCÓN DE TELLO ofrece a sus huéspedes y visitantes un servicio de acceso gratuito a Internet mediante red WiFi a través de un portal cautivo con usuario y contraseña individuales.

Este servicio implica el tratamiento de datos personales (correo electrónico, número de teléfono y dirección MAC del dispositivo), por lo que se aplica el Reglamento (UE) 2016/679 (RGPD), la LOPDGDD, la Ley 34/2002 (LSSI) y, en lo que proceda, la Ley 11/2022 General de Telecomunicaciones.

Esta política:

• Informa de forma transparente y por capas (primera capa en el portal cautivo y segunda capa en este documento).
• Define las finalidades, bases jurídicas, plazos de conservación, medidas de seguridad, condiciones de uso y derechos de los usuarios.
• Aclara el papel del hotel como responsable del tratamiento y, en su caso, de los proveedores tecnológicos como encargados.

El uso del servicio WiFi exige la lectura y aceptación de estas condiciones y de la política de privacidad asociada.

1. Objeto y ámbito de aplicación

• 1.1. El objeto de esta política es regular:
  • El uso de la red WiFi de cortesía ofrecida por el HOTEL RURAL RINCÓN DE TELLO a huéspedes y visitantes.
  • El tratamiento de los datos personales obtenidos a través del portal cautivo.
• 1.2. Esta política se aplica a todos los usuarios que se conecten a la red WiFi del hotel, independientemente de que se alojen o sean visitantes puntuales (por ejemplo, asistentes a eventos, clientes del restaurante, etc.).

2. Responsable del tratamiento y datos de contacto

Nombre comercial: HOTEL RURAL RINCÓN DE TELLO
Denominación social: TELLO Y IVU ESPJ
NIF: E10597987
Domicilio social: C/ CHIQUITA 20, 02636 VILLALGORDO DEL JÚCAR (ALBACETE)
Teléfono: 967 455 141
E-mail: rincondetello@gmail.com

3. Descripción del servicio WiFi

• 3.1. El HOTEL RURAL RINCÓN DE TELLO pone a disposición de sus clientes y visitantes un servicio de acceso a Internet mediante red WiFi, gratuito, limitado en el tiempo (máximo 3 horas por sesión) y ofrecido a través de un portal cautivo que requiere autenticación.
• 3.2. El acceso se realiza con usuario y contraseña individuales vinculados a la identidad de la persona usuaria mediante su dirección de correo electrónico y/o número de teléfono.
• 3.3. El servicio se presta exclusivamente en las instalaciones del hotel, con carácter de cortesía y sin garantía de disponibilidad continua, velocidad mínima o idoneidad para usos específicos.

• Finalidades del tratamiento y bases jurídicas

• 4.1. Finalidades principales

a) Proporcionar acceso a Internet a través de la red WiFi del hotel

• • Gestionar el alta del usuario en el portal cautivo.
  • Autenticar al usuario y permitir el acceso a Internet durante un máximo de 3 horas por sesión.
  • Gestionar incidencias técnicas y operativas relacionadas con la conexión.

Base jurídica:

• Ejecución de una relación contractual o de medidas precontractuales a petición del interesado (art. 6.1.b RGPD): prestación del servicio WiFi solicitado por el usuario.

b) Garantizar la seguridad de la red y prevenir usos fraudulentos o ilícitos

• Registro de accesos, direcciones IP asignadas, identificación del dispositivo (dirección MAC) y trazabilidad de la sesión.
• Detección de abusos, accesos no autorizados, malware, uso contrario a esta política o a la normativa.

Base jurídica:

• Interés legítimo del hotel en proteger la seguridad de sus redes, servicios y usuarios, así como en prevenir y perseguir usos fraudulentos o ilícitos (art. 6.1.f RGPD), ponderado frente a los derechos del usuario.

c) Cumplimiento de obligaciones legales

• Atender requerimientos de autoridades competentes (policía, juzgados, autoridades de protección de datos, etc.).
• Cumplir la normativa en materia de protección de datos, servicios de la sociedad de la información y, en lo que proceda, de telecomunicaciones.

Base jurídica:

• Cumplimiento de obligaciones legales aplicables al responsable (art. 6.1.c RGPD).

4.2. Finalidades adicionales (opcional – marketing)

Si el hotel desea usar el correo electrónico y/o el teléfono para comunicaciones comerciales (por ejemplo, ofertas, newsletter):

d) Envío de comunicaciones comerciales sobre productos y servicios del hotel

• Remisión de ofertas, promociones y noticias relacionadas con el hotel, por medios electrónicos (correo electrónico, SMS, mensajería).

Base jurídica:

• Consentimiento expreso del usuario (art. 6.1.a RGPD y art. 21 LSSI), recabado mediante casilla específica no pre-marcada en el portal cautivo.

El usuario podrá retirar su consentimiento en cualquier momento sin efectos retroactivos.

5. Información al usuario (art. 13 RGPD y art. 11 LOPDGDD)

5.1. Sistema de información por capas

El hotel cumple el deber de información mediante:

• Primera capa (resumen): mostrada en el portal cautivo antes del registro/uso, con:
  • Identidad del responsable.
  • Finalidad principal del tratamiento (gestión del acceso WiFi y seguridad).
  • Base jurídica resumida.
  • Información sobre la posibilidad de ejercer derechos.
  • Enlace a la política completa (segunda capa).
• Segunda capa (información ampliada): esta política, accesible desde el portal cautivo y en la web del hotel o en la recepción, con todo el contenido exigido por los arts. 13 RGPD y 11 LOPDGDD.

5.2. Contenido de la información

Esta política incluye, de forma clara y accesible:

• Identidad y datos de contacto del responsable y, en su caso, del DPO.
• Finalidades y bases jurídicas del tratamiento.
• Intereses legítimos cuando proceda.
• Destinatarios o categorías de destinatarios.
• Existencia de transferencias internacionales (si las hubiera).
• Plazos o criterios de conservación.
• Derechos de los interesados y cómo ejercerlos.
• Derecho a presentar reclamación ante la AEPD.
• Carácter obligatorio u opcional de los datos y consecuencias de no facilitarlos.
• Existencia de decisiones automatizadas, si las hubiera (no aplicables en este caso).

6. Datos tratados y origen

6.1. Datos obtenidos directamente del usuario:

• Datos de identificación digital:
  • Dirección de correo electrónico.
  • Número de teléfono móvil (para envío de credenciales o códigos de verificación, si se usa SMS).
• Datos técnicos de conexión:
  • Dirección MAC del dispositivo.
  • Identificador de usuario en el portal cautivo.
  • Fecha, hora de inicio y fin de la sesión.
  • Dirección IP asignada durante la sesión.

La dirección MAC y los identificadores del dispositivo se consideran datos personales en la medida en que permiten identificar o hacer identificable a un usuario, tal y como destacan las guías de la AEPD sobre tecnologías WiFi.

6.2. Datos derivados del uso del servicio:

• Registros de tráfico a nivel de metadatos (logs técnicos) necesarios para el funcionamiento y seguridad de la red (p.ej., volumen de datos, puertos utilizados, intentos de acceso no autorizados).
• El hotel no accede al contenido de las comunicaciones (páginas concretas, mensajes, archivos), salvo que se trate de información accesible de forma general en la propia red del hotel (por ejemplo, página de bienvenida del portal cautivo).

7. Destinatarios, encargados del tratamiento y transferencias

7.1. Encargados del tratamiento

El hotel puede contar con proveedores tecnológicos que actúen como encargados del tratamiento, por ejemplo:

• Proveedor del portal cautivo.
• Proveedor de la infraestructura de red WiFi.
• Proveedor de servicios de alojamiento de servidores o nube.

Con todos ellos se suscriben contratos de encargo de tratamiento conforme al art. 28 RGPD, incluyendo: objeto, duración, naturaleza y fines del tratamiento, tipo de datos, categorías de interesados, obligaciones de confidencialidad, seguridad y subencargados.

7.2. Comunicación de datos a terceros

Los datos podrán ser comunicados a:

• Autoridades competentes (fuerzas y cuerpos de seguridad, autoridades judiciales o administrativas, autoridades de protección de datos), cuando exista obligación legal (p.ej. en el marco de investigaciones de delitos informáticos).

No se cederán datos a terceros para fines comerciales propios de estos, salvo obligación legal o consentimiento expreso del usuario.

7.3. Transferencias internacionales de datos

Si alguno de los proveedores (portal cautivo, alojamiento, etc.) se encuentra fuera del Espacio Económico Europeo o utiliza infraestructuras en terceros países, el hotel garantizará que existen garantías adecuadas (por ejemplo, decisiones de adecuación de la Comisión Europea o cláusulas contractuales tipo).

Si no hay transferencias internacionales, debe indicarse expresamente:

“No se realizan transferencias internacionales de datos.”

8. Plazos de conservación y criterios de anonimización

8.1. Datos de registro y autenticación (email, teléfono, credenciales de acceso):

• Se conservarán durante el tiempo necesario para la prestación del servicio y, posteriormente, durante un máximo de 12 meses para la atención de incidencias técnicas, reclamaciones, responsabilidades legales y seguridad de la red, sobre la base del interés legítimo del hotel.

8.2. Logs de conexión (MAC, IP, hora de conexión y desconexión, identificador de usuario):

• Se conservarán durante un plazo máximo de 12 meses desde la fecha de cada sesión, salvo que deban conservarse bloqueados durante un plazo superior por la existencia de una investigación, procedimiento administrativo, judicial o requerimiento de una autoridad competente.

8.3. Datos para comunicaciones comerciales (cuando haya consentimiento):

• Se conservarán mientras el usuario no retire su consentimiento y, una vez revocado, se mantendrán bloqueados durante los plazos de prescripción de posibles responsabilidades (con carácter general, 3 años para infracciones en materia de protección de datos).

8.4. Anonimización / seudonimización

Transcurridos los plazos anteriores:

• Se procederá a la supresión de los datos o a su anonimización irreversible, de modo que ya no sea posible identificar a las personas (por ejemplo, mediante agregación estadística o hash irreversible de direcciones MAC).

9. Medidas técnicas y organizativas de seguridad

El hotel aplicará medidas de seguridad adecuadas al riesgo, de acuerdo con el RGPD, la LOPDGDD y la guía de la AEPD sobre obligaciones de los responsables.

Entre otras, se contemplan:

9.1. Seguridad de la red WiFi

• Uso de protocolos de cifrado robustos (por ejemplo, WPA2/WPA3) siempre que sea técnicamente posible.
• Segmentación de la red de invitados respecto de las redes internas del hotel.
• Limitación de duración de la sesión (3 horas) y, en su caso, de ancho de banda y número de dispositivos por usuario.
• Actualización regular de firmware y parches de seguridad de puntos de acceso y controladores.

9.2. Autenticación y control de acceso

• Autenticación mediante credenciales únicas (usuario/contraseña, código enviado por email/SMS, etc.).
• Política de perfiles y permisos para el personal del hotel y proveedores con acceso a los sistemas de gestión del WiFi.
• Acceso restringido a los logs y datos personales a personal autorizado y sujeto a deber de confidencialidad.

9.3. Protección de la información

• Cifrado de comunicaciones entre los sistemas del portal cautivo y los servidores que almacenan los datos (por ejemplo, HTTPS / TLS).
• Almacenamiento de los datos en sistemas protegidos con mecanismos de control de acceso lógico, registro de accesos y copias de seguridad.
• Registro de eventos de seguridad relevantes (intentos de acceso no autorizado, fallos reiterados de autenticación, etc.).

9.4. Gestión del riesgo y cumplimiento

• Realización de análisis de riesgos específicos del tratamiento asociado a la red WiFi y revisión periódica de las medidas adoptadas.
• Formación y concienciación del personal del hotel con acceso a estos datos.
• Procedimientos internos para la gestión de derechos, incidentes de seguridad y requisitos regulatorios.

10. Condiciones de uso del servicio WiFi

10.1. Aceptación de las condiciones

El acceso y uso de la red WiFi implica la aceptación expresa de estas condiciones y de la política de protección de datos. Si el usuario no las acepta, no podrá utilizar el servicio.

10.2. Uso permitido y responsable

El usuario se compromete a:

• Utilizar el servicio conforme a la ley, la buena fe, la moral y el orden público.
• Hacer un uso responsable, evitando un consumo abusivo de ancho de banda que degrade el servicio a otros usuarios.
• Mantener la confidencialidad de sus credenciales de acceso y no facilitarlas a terceros.

10.3. Usos prohibidos

Queda prohibido utilizar la red WiFi del hotel para, entre otros:

• Realizar actividades ilícitas, contrarias a la normativa aplicable o a los derechos de terceros (p. ej. infracción de derechos de propiedad intelectual, distribución de contenidos ilícitos, delitos informáticos).
• Intentar acceder sin autorización a sistemas, redes o datos de terceros (hacking, escaneo de puertos, etc.).
• Enviar comunicaciones comerciales no solicitadas (spam), malware o cualquier tipo de código malicioso.
• Vulnerar la privacidad de otros usuarios o interceptar comunicaciones ajenas.

10.4. Limitaciones de responsabilidad del hotel

De acuerdo con la LSSI, el hotel actúa como proveedor de acceso (servicio de intermediación) y, en general, no será responsable del contenido de las comunicaciones transmitidas por los usuarios, siempre que no tenga un papel activo en su generación, selección o modificación.

En particular, el hotel:

• No garantiza la disponibilidad, continuidad, velocidad o calidad del servicio.
• No se hace responsable de daños derivados de:
  • Interrupciones del servicio (mantenimiento, averías, incidencias de red o fuerza mayor).
  • Pérdida de información, daños en dispositivos o infecciones de malware que se produzcan en los equipos del usuario.

Sin perjuicio de lo anterior, el hotel colaborará con las autoridades cuando sea legalmente requerido.

10.5. Seguridad de los dispositivos del usuario

El usuario es responsable de:

• Mantener sus dispositivos actualizados y protegidos (antivirus, firewall, etc.).
• No desactivar medidas de seguridad esenciales al conectarse a la red WiFi.

10.6. Desconexión y suspensión del servicio

• La conexión se interrumpirá automáticamente transcurridas 3 horas por sesión, debiendo el usuario volver a autenticarse si desea continuar.
• El hotel podrá suspender o bloquear el acceso de un usuario en caso de:
  • Uso contrario a esta política o a la legislación vigente.
  • Actividades que comprometan la seguridad o el funcionamiento de la red.
  • Incumplimiento reiterado de las condiciones de uso.

11. Derechos de los usuarios

El usuario puede ejercitar, en los casos y con el alcance que establece el RGPD, los siguientes derechos:

• Acceso: obtener confirmación de si se tratan sus datos y acceder a ellos.
• Rectificación: solicitar la modificación de datos inexactos o incompletos.
• Supresión: pedir la eliminación de sus datos cuando ya no sean necesarios o en otros supuestos legalmente previstos.
• Limitación del tratamiento: solicitar la limitación del tratamiento en ciertos supuestos.
• Oposición: oponerse a determinados tratamientos basados en el interés legítimo.
• Portabilidad: recibir sus datos en un formato estructurado y transmitirlos a otro responsable, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
• Retirada del consentimiento: cuando el tratamiento se base en el consentimiento (p.ej. comunicaciones comerciales), sin afectar a la licitud previa.

11.1. Canales para el ejercicio de derechos

Los derechos podrán ejercerse mediante:

• Nombre comercial: HOTEL RURAL RINCÓN DE TELLO
  Denominación social: TELLO Y IVU ESPJ
  NIF: E10597987
  Domicilio social: C/ CHIQUITA 20, 02636 VILLALGORDO DEL JÚCAR (ALBACETE)
  Teléfono: 967 455 141
  E-mail: rincondetello@gmail.com

• En su caso, formulario específico en la web del hotel o en la recepción.

Deberá indicarse el derecho que se desea ejercitar y acompañar copia de documento identificativo (o mecanismo equivalente) para verificar la identidad.

11.2. Reclamaciones ante la autoridad de control

El usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento de sus datos vulnera la normativa aplicable:

• Web: www.aepd.es

12. Gestión de brechas de seguridad y incidentes

12.1. Definición de brecha de seguridad

Se considera brecha de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales tratados en relación con el servicio WiFi, o la comunicación o acceso no autorizados a dichos datos.

12.2. Procedimiento interno

El hotel dispone de procedimientos internos para:

• Detectar y registrar incidentes de seguridad.
• Evaluar la naturaleza, gravedad y alcance de la brecha.
• Adoptar medidas correctoras y de mitigación.
• Documentar la brecha y las decisiones adoptadas.

12.3. Notificación a la AEPD y a los usuarios

Cuando la brecha de seguridad suponga un riesgo para los derechos y libertades de los usuarios, el hotel:

• Notificará la brecha a la AEPD, en los términos y plazos previstos por el RGPD (art. 33).
• Informará a los usuarios afectados cuando sea probable que la brecha entrañe un alto riesgo para sus derechos y libertades (art. 34 RGPD), indicando:
  • Naturaleza de la brecha.
  • Posibles consecuencias.
  • Medidas adoptadas o propuestas para remediarla.
  • Recomendaciones para que el usuario pueda protegerse.

13. Actualización de la política

El hotel podrá actualizar esta política para:

• Adaptarla a cambios normativos o criterios interpretativos de las autoridades.
• Incorporar mejoras o cambios en el servicio de WiFi.

Las versiones actualizadas se publicarán en la web del hotel, indicando la fecha de la última actualización.
Fecha de la última actualización 10/11/2025