Protección de datos en hostelería

Guía 2021

Los establecimientos de hostelería también manejan datos personales en el desempeño de su actividad, por esta razón están obligados a cumplir con la normativa vigente en protección de datos. En esta entrada explicaremos los aspectos fundamentales para cumplir con la ley de protección de datos en la hostelería.

¿Están los negocios de hostelería obligados a cumplir con la Protección de Datos?

Siempre que se tratan datos personales, existe la obligación de cumplir con la protección de datos; por lo tanto los negocios hosteleros, como restaurantes, hoteles, bares, albergues o casas rurales (por citar algunos), están obligados a cumplir con la normativa vigente en la materia.

ley protección de datos hostelería
Hay que tener en cuenta que este tipo de negocios manejan de manera habitual datos personales de sus clientes, empleados y también, en ocasiones de sus proveedores o aquellos profesionales que contraten para llevar a cabo algún trabajo en concreto).

Siempre que se maneje información personal que pueda servir para identificar a una persona, se debe cumplir con lo que dice la ley de protección de datos.

¿Qué tipos de datos personales se tratan en la hostelería?

Los datos personales que se tratan normalmente en los establecimientos de hostelería son:

  • Nombres, apellidos y direcciones de los clientes
  • Datos del TPV
  • Datos identificativos de los empleados
  • Datos contenidos en curriculums de candidatos
  • Datos obtenidos en páginas web o redes sociales del negocio
  • Registros de las cámaras de videovigilancia instaladas en el establecimiento (imágenes)

Normativa de Protección de Datos aplicable a la hostelería

Actualmente, la normativa de protección de datos aplicable a la hostelería la encontramos en la Ley Orgánica de Protección de Datos (LOPD) y en el Reglamento General de Protección de Datos (RGPD).

LOPD para hostelería

La LOPD o LOPDGDD (garantías de derechos digitales) recoge y traspone el Reglamento europeo de protección de datos a la ley española, de manera que cumplir con este es cumplir con esta Ley.

H3 RGPD para hostelería

El RGPD entró en vigor en mayo de 2018 y trajo varias novedades a la normativa de protección de datos, reduciendo en parte los trámites burocráticos que eran antes necesarios para cumplir con la ley.

Entre las novedades que se introdujeron que a día de hoy son obligatorias para cumplir con la ley de protección de datos en un hotel, un bar o cualquier establecimiento hostelero, tenemos las siguientes:

  • Consentimiento expreso e inequívoco de los interesados para el uso y tratamiento de sus datos.
  • Se sustituye la obligación de inscribir ficheros de tratamiento en el Registro de Protección de Datos por llevar un registro de actividades de tratamiento interno.
  • Se deben incluir cláusulas informativas sobre la finalidad del tratamiento, el tiempo de conservación y si se cederán datos a terceros (identificando a estos últimos). La información debe ser fácil de localizar y clara.
  • En caso de que se traten datos considerados de categorías especiales (aquellos que pueden suponer un riesgo para los derechos y libertades de los interesados), será necesario contar con un delegado de protección de datos (DPO).
  • Aparte del análisis de riesgos que siempre debemos llevar a cabo al comenzar un nuevo tratamiento de datos, si estos datos están especialmente protegidos o entrañan riesgos para los derechos y libertades de los interesados, será necesario realizar una evaluación de impacto (EIPD).
  • Es posible adherirse a códigos de conducta y certificados dentro del sector de actividad, que acrediten que se cumple con la normativa.
  • A los derechos ARCO (acceso, rectificación, cancelación y oposición) se suman dos derechos más:
    • Derecho de limitación de los datos
    • Derecho a la portabilidad de los datos

Sanciones por no cumplir con la normativa protección de datos en la hostelería

No cumplir con la normativa de protección de datos puede acarrear sanciones importantes, que se gradúan en función de su gravedad. La LOPDGDD nos remite en esta materia al RGPD, donde encontramos infracciones graves e infracciones muy graves (determinadas por los artículos en los que se contemplen).

Así, la cuantía de las sanciones es:

  • Para infracciones graves: multas administrativas que pueden alcanzar los 10 millones de euros o, en caso de empresas, el 2% de la facturación.
  • Para infracciones muy graves: multas administrativas que pueden alcanzar los 20 millones de euros o, en caso de empresas, el 4% de la facturación.

El organismo sancionador en España es la AEPD (Agencia Española de Protección de Datos).

Los hosteleros deben cumplir con la LOPDGDD

Solicita varios presupuestos

 

Pasos para ajustar tu negocio de hostelería al RGPD/LOPD

A continuación veremos los pasos esenciales y básicos para cumplir con el RGPD y la LOPD en hostelería; estos pasos te servirán tanto para cumplir con la protección de datos en un bar como para un hotel, una casa rural o un restaurante.

ley protección de datos hostelería

Registro de Actividades de Tratamiento

Como hemos visto, entre las novedades que introdujo el RGPD, está la de llevar un registro de actividades de tratamiento, si bien solo las empresas con más de 250 empleados o que traten datos de los considerados categorías especiales o que pueden suponer un riesgo para los derechos y libertades de los clientes, deben llevar a cabo este registro.

El registro de actividades debe contener información sobre los datos personales que se recogen, el tipo de tratamiento, la finalidad del tratamiento, la legitimación para ello, las categorías de datos, la cesión y transferencias internacionales y el tiempo de conservación de los datos. Así como la identificación tanto del responsable de tratamiento como del encargado y del DPO (si hay).

El registro de actividades de tratamiento debe mantenerse siempre actualizado y estar disponible si lo solicita la AEPD para su revisión.

Análisis de Riesgos

Con carácter previo a realizar ninguna actividad de tratamiento, es necesario llevar a cabo un análisis de los riesgos en función de los datos personales que se van a tratar, puesto que no todos suponen los mismos peligros para los interesados (por ejemplo, una base de datos con direcciones de email entraña menos peligros en caso de filtración que una base de datos con historiales clínicos).

Este análisis de riesgos servirá para determinar las medidas de seguridad que sea necesario implantar para evitar brechas de seguridad.

Evaluación de Impacto

Si los datos personales que se van a tratar son considerados de especial riesgo para los derechos fundamentales y libertades de los interesados, aparte del análisis de riesgos, es necesario llevar a cabo una evaluación de impacto, que también irá encaminada a diseñar las medidas de seguridad necesarias para evitar filtraciones o qué protocolo se debe seguir en caso de que se produzca una brecha de seguridad.

Documento de Seguridad

Actualmente el registro de actividades de tratamiento recoge prácticamente todo lo relacionado con el tratamiento de datos personales, desde las propias actividades de tratamiento, pasando por el tipo de datos recogidos, las categorías hasta las medidas de seguridad, incluida la identificación de responsable, encargado y DPO.

En cualquier caso, es posible llevar también un documento de seguridad donde esta información se recoja de manera más concisa y resumida, donde, además, se pueden añadir los sistemas que se emplean para el tratamiento de datos o un registro de incidencias.

Formación

Para poder llevar a cabo el cumplimiento de la normativa de protección de datos en una casa rural, en un hotel, un albergue o un restaurante, se debe contar con formación específica en la materia (no es obligatorio, pero sí altamente recomendable).

Establecimientos pequeños o con pocos empleados pueden no necesitar personal específico, salvo que vayan a tratar con datos de categorías especiales (como puede ser en un balneario, donde es posible que se traten datos relacionados con la salud de los clientes), pero negocios más grandes, como cadenas hoteleras o franquicias de restauración, sin duda necesitarán contar con personal con conocimientos concretos en materia de protección de datos, para asegurarse de que cumplen con la ley.

Habrá casos en los que será incluso necesario contratar un servicio externo de protección de datos (como una consultoría o una asesoría que cuenten con personal especializado en ello).

Información a los propietarios de los datos

Siempre habrá que informar a los interesados (clientes) de:

  • Nombre del responsable del tratamiento
  • La legitimación para la recogida y tratamiento de los datos
  • El uso o finalidad para la que se recogen los datos
  • Si se cederán a terceros
  • Dónde y cómo pueden ejercer sus derechos ARCO

Esta información debe ser accesible de forma sencilla para los interesados y ser clara y comprensible.

Plazo de conservación de los datos

Ni el RGPD ni la LOPDGDD especifican un plazo máximo para la conservación de los datos personales que se recogen, sino que en muchos casos depende de la finalidad para la que son recogidos, así como de otras leyes (por ejemplo, una factura de hotel debe conservarse al menos durante 5 años desde su fecha de emisión, según la normativa de Hacienda).

En cualquier caso, si es posible establecer un período de conservación y señalar cuándo se suprimirán los datos personales almacenados, se debe hacer constar en el registro de actividades de tratamiento.

Auditorías periódicas

Las auditorías de protección de datos no son obligatorias, sin embargo, el RGPD exige poder demostrar que se cumple con la ley de protección de datos, por tanto, someter al establecimiento hostelero a auditorías periódicas nos ayudará a poder demostrar que cumplimos con las exigencias tanto del RGPD como de la LOPDGDD.

Las auditorías de protección de datos es recomendable que las hagan agentes externos a la empresa o el negocio, para asegurar la objetividad del proceso. Estas auditorías evaluarán las medidas y niveles de seguridad, así como el correcto tratamiento de los datos en función de su finalidad y legitimación.

De ellas, obtendremos un informe del que podremos extraer conclusiones respecto a la necesidad de mejorar nuestras medidas de seguridad o si debemos implantar otras nuevas. Además, estos informes servirán también para demostrar ante las autoridades competentes nuestro cumplimiento de la ley.

Cámaras de videovigilancia

Es muy probable que tu negocio de hostelería tenga instaladas cámaras de videovigilancia. Si es así, debes tener en cuenta que se las considera otro tipo de tratamiento de datos personales, en este caso la imagen de las personas, por lo que debes hacer su propio registro de actividades.

Además, deberás avisar, mediante la colocación de cartelería visible, de la presencia de cámaras de seguridad. Así mismo, no podrás grabar la vía pública o propiedades de terceros, es decir, las cámaras de videovigilancia de tu negocio hostelero solo pueden apuntar a su interior.

Nuevas obligaciones para la hostelería con el RGPD/LOPDGDD

¿Cómo afecta el nuevo reglamento de protección de datos a los hoteles, restaurantes, casas rurales, bares y resto de negocios de hostelería?

Ya lo hemos adelantado cuando hablamos más arriba del RGPD, pero aparte de las ya citadas, los negocios o establecimientos de hostelerías deben cumplir también con las siguientes obligaciones:

  • Llevar un registro de actividades de tratamiento.
  • Firma de contratos con terceros cuando se vayan a ceder datos personales (por ejemplo, si las nóminas de nuestros empleados las lleva una gestoría externa).
  • Si nuestro negocio tiene una página web, especialmente si se puede emplear para realizar y pagar reservas, incluir los textos web legales correspondientes (política de privacidad, aviso legal y uso de cookies).
  • Solicitar el consentimiento expreso en toda ocasión en la que necesitamos recoger y tratar datos personas. Este consentimiento siempre tiene que ser una acción por parte del interesado (como por ejemplo marcar un cuadro de check en un formulario online).
  • Realizar el análisis de riesgo y la EIPD con carácter previo al tratamiento de datos personales.
  • Informar a los interesados de dónde y cómo pueden ejercer sus derechos ARCO.
  • En caso de brechas de seguridad, se debe avisar en un plazo máximo de 72 horas a la AEPD. Además, también se debe informar en el menor tiempo posible a los interesados cuyos datos hayan podido verse afectados por dicha brecha.
  • En los supuestos en los que sea necesario, nombrar un DPO.

¿Tienes un restaurante, un bar o un hotel y necesitas ayuda para ajustar tu actividad a la LOPD y RGPD? Compara las Tarifas de los mejores profesionales del sector

Como ha quedado claro a lo largo de esta entrada, los establecimientos o negocios hosteleros manejan y tratan datos de carácter personal, por lo que están obligados a cumplir con la normativa de protección de datos. Sin embargo, puede ser una tarea compleja, que exige el conocimiento de las leyes que la regulan, así como de las herramientas para llevarla a cabo, por estas razones, es mejor contratar un servicio externo para ajustar tu actividad de hostelería a la LOPD y el RGPD.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.