Bares y restaurantes
Los establecimientos de hostelería también manejan datos personales en el desempeño de su actividad, por esta razón están obligados a cumplir con la normativa vigente en protección de datos. En esta entrada explicaremos los aspectos fundamentales para cumplir con esta ley en bares y restaurantes.
¿Están los negocios hosteleros obligados a cumplir con la normativa?
Siempre que se tratan datos personales, existe la obligación de cumplir con la protección de datos; por lo tanto los negocios hosteleros, como restaurantes, hoteles, bares, albergues o casas rurales (por citar algunos), están obligados a cumplir con la normativa vigente en la materia.
Hay que tener en cuenta que este tipo de negocios manejan de manera habitual datos personales de sus clientes, empleados y también, en ocasiones de sus proveedores o aquellos profesionales que contraten para llevar a cabo algún trabajo en concreto).
Siempre que se maneje información personal que pueda servir para identificar a una persona, se debe cumplir con lo que dice la ley de protección de datos.
¿Qué tipos de datos personales se tratan en estos establecimientos?
Los datos personales que se tratan normalmente en los establecimientos de hostelería son:
- Nombres, apellidos y direcciones de los clientes
- Datos del TPV
- Datos identificativos de los empleados
- Datos contenidos en curriculums de candidatos
- Datos obtenidos en páginas web o redes sociales del negocio
- Registros de las cámaras de videovigilancia instaladas en el establecimiento (imágenes)
Normativa aplicable al sector
Actualmente, la normativa de protección de datos aplicable a la hostelería la encontramos en la Ley Orgánica de Protección de Datos (LOPD) y en el Reglamento General de Protección de Datos (RGPD).
La LOPD o LOPDGDD (garantías de derechos digitales) recoge y traspone el Reglamento europeo de protección de datos a la ley española, de manera que cumplir con este es cumplir con esta Ley.
El RGPD entró en vigor en mayo de 2018 y trajo varias novedades a la normativa de protección de datos, reduciendo en parte los trámites burocráticos que eran antes necesarios para cumplir con la ley.
Entre las novedades que se introdujeron que a día de hoy son obligatorias para cumplir con la ley de protección de datos en un hotel, un bar o cualquier establecimiento hostelero, tenemos las siguientes:
- Consentimiento expreso e inequívoco de los interesados para el uso y tratamiento de sus datos.
- Se sustituye la obligación de inscribir ficheros de tratamiento en el Registro de Protección de Datos por llevar un registro de actividades de tratamiento interno.
- Se deben incluir cláusulas informativas sobre la finalidad del tratamiento, el tiempo de conservación y si se cederán datos a terceros (identificando a estos últimos). La información debe ser fácil de localizar y clara.
- En caso de que se traten datos considerados de categorías especiales (aquellos que pueden suponer un riesgo para los derechos y libertades de los interesados), será necesario contar con un delegado de protección de datos (DPO).
- Aparte del análisis de riesgos que siempre debemos llevar a cabo al comenzar un nuevo tratamiento de datos, si estos datos están especialmente protegidos o entrañan riesgos para los derechos y libertades de los interesados, será necesario realizar una evaluación de impacto (EIPD).
- Es posible adherirse a códigos de conducta y certificados dentro del sector de actividad, que acrediten que se cumple con la normativa.
- A los derechos ARCO (acceso, rectificación, cancelación y oposición) se suman dos derechos más:
- Derecho de limitación de los datos
- Derecho a la portabilidad de los datos
Sanciones por no cumplir
No cumplir con la normativa de protección de datos puede acarrear sanciones importantes, que se gradúan en función de su gravedad. La LOPDGDD nos remite en esta materia al RGPD, donde encontramos infracciones graves e infracciones muy graves (determinadas por los artículos en los que se contemplen).
Así, la cuantía de las sanciones es:
- Para infracciones graves: multas administrativas que pueden alcanzar los 10 millones de euros o, en caso de empresas, el 2% de la facturación.
- Para infracciones muy graves: multas administrativas que pueden alcanzar los 20 millones de euros o, en caso de empresas, el 4% de la facturación.
El organismo sancionador en España es la AEPD (Agencia Española de Protección de Datos).
Los hosteleros deben cumplir con la LOPDGDD
Pasos para ajustar tu negocio a la ley
A continuación veremos los pasos esenciales y básicos para cumplir con el RGPD y la LOPD en hostelería; estos pasos te servirán tanto para cumplir con la protección de datos en un bar como para un hotel, una casa rural o un restaurante.
Registro de Actividades de Tratamiento
El registro de actividades debe contener información sobre los datos personales que se recogen, el tipo de tratamiento, la finalidad del tratamiento, la legitimación para ello, las categorías de datos, la cesión y transferencias internacionales y el tiempo de conservación de los datos. Así como la identificación tanto del responsable de tratamiento como del encargado y del DPO (si hay).
El registro de actividades de tratamiento debe mantenerse siempre actualizado y estar disponible si lo solicita la AEPD para su revisión.
Análisis de Riesgos
Con carácter previo a realizar ninguna actividad de tratamiento, es necesario llevar a cabo un análisis de los riesgos en función de los datos personales que se van a tratar, puesto que no todos suponen los mismos peligros para los interesados (por ejemplo, una base de datos con direcciones de email entraña menos peligros en caso de filtración que una base de datos con historiales clínicos).
Este análisis de riesgos servirá para determinar las medidas de seguridad que sea necesario implantar para evitar brechas de seguridad.
Evaluación de Impacto
Si los datos personales que se van a tratar son considerados de especial riesgo para los derechos fundamentales y libertades de los interesados, aparte del análisis de riesgos, es necesario llevar a cabo una evaluación de impacto, que también irá encaminada a diseñar las medidas de seguridad necesarias para evitar filtraciones o qué protocolo se debe seguir en caso de que se produzca una brecha de seguridad.
Documento de Seguridad
Actualmente el registro de actividades de tratamiento recoge prácticamente todo lo relacionado con el tratamiento de datos personales, desde las propias actividades de tratamiento, pasando por el tipo de datos recogidos, las categorías hasta las medidas de seguridad, incluida la identificación de responsable, encargado y DPO.
En cualquier caso, es posible llevar también un documento de seguridad donde esta información se recoja de manera más concisa y resumida, donde, además, se pueden añadir los sistemas que se emplean para el tratamiento de datos o un registro de incidencias.
Información a los propietarios de los datos
Siempre habrá que informar a los interesados (clientes) de:
- Nombre del responsable del tratamiento
- La legitimación para la recogida y tratamiento de los datos
- El uso o finalidad para la que se recogen los datos
- Si se cederán a terceros
- Dónde y cómo pueden ejercer sus derechos ARCO
Esta información debe ser accesible de forma sencilla para los interesados y ser clara y comprensible.
Plazo de conservación de los datos
Ni el RGPD ni la LOPDGDD especifican un plazo máximo para la conservación de los datos personales que se recogen, sino que en muchos casos depende de la finalidad para la que son recogidos, así como de otras leyes (por ejemplo, una factura de hotel debe conservarse al menos durante 5 años desde su fecha de emisión, según la normativa de Hacienda).
En cualquier caso, si es posible establecer un período de conservación y señalar cuándo se suprimirán los datos personales almacenados, se debe hacer constar en el registro de actividades de tratamiento.
Auditorías periódicas
Las auditorías de protección de datos no son obligatorias, sin embargo, el RGPD exige poder demostrar que se cumple con la ley de protección de datos, por tanto, someter al establecimiento hostelero a auditorías periódicas nos ayudará a poder demostrar que cumplimos con las exigencias tanto del RGPD como de la LOPDGDD.
Las auditorías de protección de datos es recomendable que las hagan agentes externos a la empresa o el negocio, para asegurar la objetividad del proceso. Estas auditorías evaluarán las medidas y niveles de seguridad, así como el correcto tratamiento de los datos en función de su finalidad y legitimación.
De ellas, obtendremos un informe del que podremos extraer conclusiones respecto a la necesidad de mejorar nuestras medidas de seguridad o si debemos implantar otras nuevas. Además, estos informes servirán también para demostrar ante las autoridades competentes nuestro cumplimiento de la ley.
Cámaras de videovigilancia
Es muy probable que tu negocio de hostelería tenga instaladas cámaras de videovigilancia. Si es así, debes tener en cuenta que se las considera otro tipo de tratamiento de datos personales, en este caso la imagen de las personas, por lo que debes hacer su propio registro de actividades.
Además, deberás avisar, mediante la colocación de cartelería visible, de la presencia de cámaras de seguridad. Así mismo, no podrás grabar la vía pública o propiedades de terceros, es decir, las cámaras de videovigilancia de tu negocio hostelero solo pueden apuntar a su interior.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.