Protección de Datos para Hostelería

El sector de la hostelería puede englobar la prestación de servicios tanto de alojamiento como de restauración. En hoteles y alojamientos turísticos se tratan claramente grandes cantidades de datos personales, muchas veces derivados de las obligaciones legales de registro y comunicación a las autoridades, y no únicamente para la prestación del servicio. En cambio, en el sector de la restauración muchas veces no se es consciente de la importancia del cumplimiento de la normativa de protección de datos y de las grandes cantidades de datos personales que se tratan a diario.

En este artículo sobre la protección de datos para hostelería pretendemos esclarecer muchos aspectos a tener en cuenta para cumplir con los requisitos que establece la normativa, especialmente en el caso del tratamiento de datos efectuado por bares y restaurantes.

Ley de Protección de Datos en Hostelería

La normativa que regula la protección de datos aplicable al sector de la hostelería es el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

  • Reglamento General de Protección de Datos (RGPD): es el marco general europeo en materia de protección de datos. Los establecimientos de hostelería que recaben información que contenga datos personales de ciudadanos europeos o estén establecidos en el territorio de la Unión Europea deben cumplir con el RGPD. Es de obligado cumplimiento desde el 25 de mayo de 2018, momento en el cual los preceptos de la antigua Ley Orgánica de Protección de Datos (LOPD) que contradecían la norma europea quedaron invalidados. Entre ellos es importante destacar que el consentimiento tácito ya no será suficiente para tratar la información proporcionada por el interesado, ahora es necesario obtener el consentimiento expreso para cumplir con la normativa.
  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD): desarrolla a nivel nacional lo dispuesto por el RGPD y deroga la antigua LOPD. La obtención de datos personales por los establecimientos de hostelería debe realizarse cumpliendo con lo establecido en esta norma pudiendo incurrir en importantes sanciones que pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio anual.
Implantación

Cómo implantar la LOPD para la Hostelería

La normativa de protección de datos afecta al sector de la hostelería estableciendo unas obligaciones que se deben cumplir para garantizar la seguridad en el tratamiento de datos personales y la aplicación del derecho fundamental a la protección de datos. Todo establecimiento de hostelería, incluyendo bares y restaurantes entre otras muchas obligaciones deben tener en cuenta los siguientes aspectos:

Registro de Actividades de Tratamiento

Toda empresa que tenga un personal de más de 250 empleados o realice tratamientos de datos de salud (los clientes en bares y restaurantes aportan información sobre alergias y medicamentos) debe realizar un Registro de Actividades de Tratamiento (RAT).

El registro debe contener información sobre el responsable del tratamiento, incluyendo sus datos de contacto, así como del corresponsable y del delegado de protección de datos en caso de que estuviera designado. Además, incluirá información sobre la finalidad del tratamiento, los datos personales recogidos, la base de legitimación, las cesiones de datos, las transferencias internacionales y el plazo de conservación.

Análisis de Riesgos

Deben realizarse análisis de riesgos para determinar las medidas de seguridad necesarias para cada tratamiento que se pretenda realizar. Ciertos datos personales como los datos de salud requieren de una especial protección pues su divulgación o supresión puede acarrear un alto riesgo para el interesado.

Evaluación de Impacto

Si tras realizar el análisis de riesgos detectamos que alguno de los tratamientos puede entrañar un alto riesgo para los derechos y libertades de los interesados es obligatorio realizar una Evaluación de Impacto de las operaciones de tratamiento en la protección de datos personales.

Brechas de seguridad

Las medidas de seguridad encaminadas a proteger los datos personales no son infalibles y puede que en ocasiones se produzca violaciones de seguridad que afecten a la confidencialidad, integridad y disponibilidad de la información. Estas brechas de seguridad deben notificarse en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos mediante un informe que valorará si entraña un alto riesgo para los derechos y libertades de los interesados, en cuyo caso deberá notificarse a los afectados.

Formación

La formación del personal en materia de protección de datos no es obligatoria, pero es altamente recomendable para cumplir efectivamente con la normativa de protección de datos, especialmente si tramos con datos de salud que como hemos señalado anteriormente requieren de medidas particulares, siendo la información sobre las alergias de los clientes un dato bastante común a tratar en bares y restaurantes.

Auditorías

El principio de responsabilidad proactiva del RGPD requiere que el responsable de tratamiento tome las medidas adecuadas para garantizar que se cumple con seguridad el derecho a la protección de datos y que pueda demostrar a su vez que el tratamiento se realiza como dispone la normativa. Por ello es aconsejable que las empresas del sector de la hostelería realicen auditorías de protección de datos a través de un auditor externo que en su informe destacará los aspectos a mejorar para el correcto cumplimiento de la normativa.

Adaptación

Adaptación de bares y restaurantes a la ley de protección de datos

Las obligaciones expuestas anteriormente son generales para todo el sector de la hostelería, pero aquellos que traten con datos personales en bares y restaurantes deberán tener en cuenta diariamente ciertos aspectos para cumplir correctamente con la normativa:

  • Deber de información: Cuando recabamos datos personales debemos informar o al menos tener a disposición del interesado ciertos datos que cumplan con el deber de información del responsable del tratamiento. Entre ellos debemos informar de los datos identificativos y de contacto del responsable, la finalidad del tratamiento, los derechos del interesado incluyendo la forma de ejercerlos y ante quién reclamar, las posibles cesiones de la información obtenida y los plazos de conservación.
  • Contratos de encargado de tratamiento: Deben firmarse contratos de encargado de tratamiento con todos los proveedores que traten datos personales por cuenta del responsable de tratamiento. Un caso muy común en el sector de la hostelería es el reparto a domicilio cuando se realiza mediante una empresa de reparto externa, puesto que tratan datos personales como nombres, apellidos, direcciones y en ocasiones números de tarjeta de los clientes del establecimiento.
  • Cámaras de vigilancia: Cuando se realice un tratamiento de datos personales se debe cumplir con las disposiciones del RGPD, entre ellas el deber de información del artículo 12. En el caso del uso de cámaras de vigilancia la LOPD establece que este deber de información se hará efectivo mediante la colocación de un dispositivo informativo como carteles situados en superficies visibles.
  • El cartel debe ser suficientemente visible con un tamaño adecuado al espacio donde opera el sistema de videovigilancia. No es necesario colocarlos debajo de las cámaras de vigilancia, pero sí debe estar ubicado en zonas donde el sujeto pueda percibirlos con facilidad y a la entrada de cada zona de acceso.
Sanciones

Sanciones por no cumplir con la ley de protección de datos en el sector hostelero 

Las sanciones por incumplimiento de la normativa de protección de datos varían en función de la gravedad de la infracción, siendo:

  • Leves: Multa de hasta 40.000€
  • Graves: Multa de 40.001€ hasta 300.000€
  • Muy graves: Multa 300.001€ hasta 20.000.000€ o el 4% de la facturación anual.

Preguntas Frecuentes

Habitualmente en el sector de la hostelería surgen ciertas dudas que se repiten con frecuencia y que deben ser clarificadas para mayor seguridad de aquellos que tratan habitualmente con información que contenga datos personales como aquellos que regentan un bar o un restaurante.

Todos los restaurantes que traten con datos personales deben cumplir con la normativa de protección de datos, por lo que siempre que se obtenga información como nombres y apellidos de nuestros clientes seremos sujetos obligados y será necesario implantar las disposiciones de la LOPD.

el tráfico diario como pueden ser sus nombres, apellidos, direcciones e incluso datos de salud como alergias e intolerancias, pero también se recogen multitud de datos personales por otros medios:

  • Terminal de Punto de Venta (TPV): La Agencia Española de Protección de Datos considera los datos de las tarjetas como datos personales.
  • Empleados: Datos identificativos y de contacto que permitan cumplir con las obligaciones de control laboral, el pago de los salarios, la formación, e incluso datos de salud para la gestión de la prevención de riesgos laborales y las altas y las bajas del personal.
  • Candidatos: Tanto en ofertas de empleo publicadas por el establecimiento como curriculums esporádicos entregados por candidatos a un futuro empleo se tratan datos personales.
  • Web: Los datos personales recogidos por la página web de la empresa o en sus redes sociales deben cumplir con obligaciones añadidas para garantizar la seguridad del tratamiento.
  • Cámaras de vigilancia: La captación de imágenes mediante videovigilancia es un tratamiento de datos personales que tiene una normativa específica, la cual impide que se enfoquen a la vía pública y requiere de la colocación de carteles informativos que adviertan sobre su uso.

En la normativa que regula específicamente la protección de datos no se establece el plazo de conservación de los datos personales de los clientes, para ello en función del tipo de dato y el documento en el que se contiene debemos acudir a la normativa específica.

Para la mayoría de los tratamientos se establece un plazo de conservación de 4 a 5 años al que en la práctica añadimos un año más para mayor seguridad, garantizando que cumplimos con el mínimo permitido. Este plazo de conservación se determinará en el momento de elaboración del Registro de Actividades de Tratamiento.

Suscribete a nuestra Newsletter