Protección de datos para hostelería: Cumple LOPD-GDD y RGPD

Si tienes un bar, un restaurante, regentas un hotel rural o un camping, debes saber cómo aplicar la normativa de protección de datos en tu negocio. En este artículo repasamos los aspectos clave de la Ley de Protección de Datos para hostelería.

¿Están obligados los negocios hosteleros a cumplir la Ley de Protección de Datos?

Tanto si tienes un bar o un restaurante como si regentas un hotel rural o un camping, en el desarrollo de tu actividad tratas con datos personales, tanto de tus clientes o huéspedes como de tus empleados y puede que de algunos de tus proveedores. Por lo tanto, sí, los negocios hosteleros están obligados a cumplir con la Ley de Protección de Datos, con independencia de su naturaleza, es decir, que la normativa es de obligada aplicación para cualquier tipo de negocio de hostelería (bares, restaurantes, hoteles, hostales, albergues, campings, etc.), aunque las obligaciones y requisitos pueden ser más o menos exigentes en función del volumen y tipo de datos personales que se traten.

Accede a nuestros servicios de protección de datos para hostelería desde solo 180 euros al año.

¿Qué normativa regula la protección de datos en hostelería?

La normativa de protección de datos en hostelería comprende:

• El Reglamento General de Protección de Datos (RGPD), que es el marco legal europeo para la protección de datos, en vigor desde mayo de 2018 y de obligado cumplimiento en toda la UE y el EEE (Espacio Económico Europeo).
• La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD), que adapta el Reglamento europeo al ordenamiento jurídico español, si bien, añade y desarrolla algunos aspectos que la norma europea deja a disposición de los Estados miembros.

Por lo tanto, al cumplir la LOPD en hostelería, se está cumpliendo también con el RGPD en hostelería. E insistimos, es de aplicación la ley de protección de datos para un bar, para un restaurante, para un hotel o cualquier otro tipo de negocio de hostelería, con independencia de tu tamaño, volumen de facturación o número de trabajadores.

Aparte de estas dos normas, los negocios hosteleros que utilicen medios electrónicos para el envío de publicidad u otro tipo de comunicaciones comerciales, así como aquellos que dispongan de una página web, también deben tener en cuenta las disposiciones de la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).

Cómo implantar la LOPDGDD y el RGPD en hostelería

Para cumplir con la normativa de protección de datos en restaurantes, bares, hoteles, hostales, campings o albergues, se deben observar una serie de principios establecidos en el RGPD y citados por la LOPD, lo que en la práctica supone cumplir con una serie de obligaciones que iremos detallando en los siguientes puntos.

Así mismo, además de cumplir con estas obligaciones, los responsables del tratamiento (el negocio hostelero en cuestión) deben ser capaces de demostrar que las cumplen de manera a adecuada, es lo que se conoce como principio de accountability o responsabilidad proactiva y que supone establecer y documentar las medidas de seguridad técnicas y organizativas implementadas para garantizar la protección de datos (el RGPD y la LOPDGDD promueven un cumplimiento proactivo de la ley, no reactivo, es decir, que las medidas de seguridad deben diseñarse e implementarse desde el diseño y por defecto, con carácter previo a la realización de cualquier tratamiento de datos personales).

 

Licitud del tratamiento y deber de informar

Antes de proceder a cualquier tratamiento de datos personales, debemos asegurarnos de que contamos con una base jurídica que legitime dicho tratamiento. Las bases legitimadoras están recogidas en el artículo 6 del RGPD y en lo que respecta al tratamiento de datos en hostelería, las más habituales serán:

• El consentimiento explícito del interesado (que siempre debe implicar una acción afirmativa por parte de este, como puede ser una firma junto a un «Acepto» la política de protección de datos).
• Ejecución de un contrato o de medidas precontractuales (sería el caso de una reserva de hotel o de una reserva en un restaurante).
• Cumplimiento de una obligación legal del responsable (por ejemplo, los datos para la facturación o el registro de huéspedes).
• Interés legítimo del responsable (por ejemplo, la instalación de cámaras de videovigilancia para proteger el establecimiento).

Así mismo, ante cualquier tratamiento de datos personales que vayamos a realizar en nuestro negocio hostelero, deberemos informar de ello a los interesados (los titulares de los datos), dicha información puede suministrarse de diferentes formas y, como mínimo, debe cubrir el siguiente contenido:

• Identidad del responsable del tratamiento
• Legitimación del tratamiento
• Finalidad del tratamiento
• Plazo de conservación de los datos
• Derechos RGPD o derechos ARSULIPO del interesado y cómo ejercerlos, incluida mención a la posibilidad de reclamar ante la AEPD.

Análisis de riesgos y evaluación de impacto

Más arriba mencionamos las medidas de seguridad técnicas y organizativas para garantizar la protección de datos. Para poder decidir qué medidas de seguridad implementar, primero debemos conocer los riesgos y amenazas para los derechos y libertades fundamentales que pueden derivarse de la realización de los tratamientos de datos personales que llevaremos a cabo en nuestro negocio de hostelería.

Para ello, con carácter previo a cualquier tratamiento, llevaremos a cabo un análisis de riesgos, que nos permitirá determinar la probabilidad de que el riesgo se materialice y el nivel de impacto que tendría sobre los interesados.

Por ejemplo, si en un restaurante tenemos una lista de clientes habituales con sus correspondientes fichas, para la aplicación de descuentos o promociones especiales y está almacenada en un ordenador al que cualquier empleado puede acceder sin necesidad de contraseña, existe el riesgo que esos datos personales queden expuestos o puedan ser robados y usados para otros fines, como puede ser el envío de spam o intentos de fraude. El análisis de riesgos nos indicará las posibilidades de que eso ocurra y qué medidas son más adecuadas para evitarlo, como establecer una contraseña para acceder a esa información, limitar el número de empleados que tienen acceso al ordenador o cifrar la lista.

En cuanto a la evaluación de impacto en protección de datos, se trata también de un análisis de riesgos, que se debe llevar a cabo cuando el nivel de riesgo e impacto negativo en los derechos y libertades fundamentales de los interesados es muy elevado.

El resultado de una EIPD puede ayudarnos a implementar medidas de seguridad más eficaces o decidir no hacer el tratamiento si los perjuicios que se pueden causar son graves.

Es hostelería es recomendable hacer EIPD cuando se traten personales a gran escala y de manera sistemática, se traten datos de categorías especiales (como los relativos a la salud, como son las alergias alimentarias) o se utilizan nuevas tecnologías, como reconocimiento biométrico.

Registro de actividades de tratamiento

En el caso de que en tu negocio hostelero trates datos personales a gran escala, de manera sistemática o tengas instaladas cámaras de seguridad (o tengas más de 250 empleados), debes llevar un registro de actividades de tratamiento. Este documento, de carácter interno y por escrito (incluido el soporte digital), debe estar siempre lo más actualizado posible y ponerse a disposición de la AEPD en caso de que esta lo solicite en el proceso de una inspección o investigación.

El registro de actividades de tratamiento documenta la información relacionada con los tratamientos que se realizan en el negocio de hostelería y debe incluir la siguiente información:

• Datos identificativos del responsable del tratamiento y, en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
• Finalidad del tratamiento.
• Base legitimadora del tratamiento.
• Descripción de categorías de datos e interesados.
• Descripción de destinatarios de los datos (si los hay o se prevén).
• Transferencias internacionales de datos (si se producen).
• Plazo de conservación previsto.
• Descripción de las medidas de seguridad adoptadas.

Cabe señalar que, aunque no se esté obligado a llevar el registro de actividades, puede resultar recomendable hacerlo, puesto que permite tener un mayor control sobre los tratamientos de datos personales que se realizan en el negocio hostelero.

Acuerdo de confidencialidad

Como responsable del tratamiento en tu negocio hostelero, debes asegurarte de que los empleados con acceso a información personal de clientes, huéspedes y otros empleados cumplen con la normativa de protección de datos y siguen las directrices establecidas respecto a medidas de seguridad y protección de la privacidad.

Una forma de reforzar esa función es recurrir a los acuerdos de confidencialidad que deben firmar los empleados con acceso a datos personales. Estos acuerdos deberán incluir las consecuencias de cumplir con las políticas de protección de datos y medidas de seguridad adoptadas por el negocio.

Contratos de encargo de tratamiento

Es muy probable que para poder llevar tu negocio de hostelería e incluso ofrecer algunos tipos de servicios, debas recurrir a otras empresas o proveedores externos. Cuando esos terceros, para poder desarrollar y prestar el servicio que has contratado, necesitan tener acceso a los datos personales que manejas, es necesario formalizar con ellos un contrato de encargo de tratamiento.

En este contrato debes establecer las medidas y condiciones respecto al tratamiento de datos que llevará a cabo el encargo del tratamiento, lo que incluye también el plazo de conservación de los datos, así como qué debe hacer el encargado con ellos una vez finalizado ese plazo.

Son ejemplos de encargados de tratamiento, la gestoría que lleva las nóminas de tus empleados, el servicio de limpieza externo de tu hotel o la empresa de seguridad que supervisa tus cámaras de seguridad.

Obligaciones para página web

En el sector de hostelería, el tener una página web es cada vez más habitual, puesto que sirve para promocionar el establecimiento, pero también para poder realizar reservas online a través de ella y ofrecer a los clientes un vistazo a los servicios que se ofrecen.

Cómo ya indicamos más arriba, tener una página web implica cumplir también con LSSI-CE. De manera resumida, si tu negocio de hostelería cuenta con un sitio online, deberás asegurarte de que tienes publicados los correspondientes textos legales:

• Política de privacidad (para cumplir con el deber de informar).
• Política de cookies y aviso de cookies (para informar sobre el uso de cookies y recabar el consentimiento para su uso, respectivamente).
• Aviso legal (para informar sobre la titularidad del negocio y otros aspectos relacionados con ello).
• Adaptar al RGPD y la LOPD cualquier formulario web que uses para recabar datos.

Obligaciones para cámaras de videovigilancia

Si tienes instaladas cámaras de videovigilancia en tu establecimiento hostelero, recuerda que estas no pueden colocarse en lugares de descanso o donde se presuma privacidad, tanto para empleados como clientes, y que debes informar de la presencia y finalidad de las mismas, colocando el correspondiente cartel informativo en los accesos al establecimiento, siendo también recomendable colocarlos en zonas del interior.

Así mismo, y cómo ya señalamos, deberás incluir las cámaras de seguridad en el registro de actividades de tratamiento.

Puedes encontrar más información sobre este tema en nuestro artículo de videovigilancia y LOPD.

¿Es necesario designar un Delegado de Protección de Datos?

En el caso de negocios hosteleros de 250 o más empleados, que traten datos a gran escala y de manera sistemática o que traten datos de categorías especiales, se deberá designar un Delegado de Protección de Datos, tal y como establece el artículo 37 del RGPD.

Si bien, incluso no teniendo la obligación de designar al DPO, se recomienda hacerlo, especialmente en el caso de negocios de alojamiento o de restauración de cierto tamaño, ya que este profesional, que debe tener formación y experiencia en protección de datos, ayudará al responsable del tratamiento a llevar una mejor gestión de la protección de datos y a resolver cualquier tipo de duda al respecto.

La ley permite tanto tener un DPO interno como contratar a un Delegado de Protección de Datos externo, a través de los servicios de un profesional o de una consultoría especializada.

Auditorías periódicas

Se recomienda realizar auditorías de protección de datos periódicas, para poder evaluar el nivel de cumplimiento de la normativa, así como determinar si es necesario aplicar nuevas medidas de seguridad. Estas auditorías, que debería realizar un servicio externo, pueden hacerse cada uno o dos años y, aparte de ayudar al negocio hostelero a mejorar su cumplimiento del RGPD y la LOPD, también servirán como prueba de su responsabilidad proactiva (tal y como indicábamos más arriba).

Notificación de brechas de seguridad

En el caso de que se produzcan incidentes o brechas de seguridad que puedan afectar y exponer datos personales y como consecuencia se pueda causar algún perjuicio a los interesados, el responsable del tratamiento deberá notificar tanto a la AEPD como a los mismos interesados en un plazo no superior a 72 horas desde que se tuvo conocimiento del problema.

Sanciones si tu negocio hostelero no cumple con la ley

No cumplir la Ley de Protección de Datos en hostelería puede suponer la imposición de sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Estas sanciones pueden alcanzar cuantías realmente elevadas, ya que las multas se determinan en función de la gravedad y duración de la infracción, así como del número de interesados afectados.

Estas son las horquillas de sanciones establecidas en la LOPD:

• Infracciones leves: hasta 40.000 euros.
• Infracciones graves: de 40.000 a 300.000 euros.
• Infracciones muy graves hasta 20 millones de euros o el 4% de la facturación del último ejercicio.

¿Aplicas correctamente la normativa de protección de datos en tu negocio hostelero?

Todas las obligaciones y requisitos que hemos detallado en los apartados anteriores son de obligado cumplimiento para cualquier negocio de hostelería; ya sea en menor o mayor grado, si regentas un bar, un restaurante, un hotel o un albergue, debes cumplir sí o sí con lo expuesto a lo largo de este artículo o estarás expuesto a sanciones que bien pueden significar un duro golpe económico para tu negocio.

Ciertamente, adaptar el negocio a la normativa de protección de datos puede resultar complejo, especialmente cuando no se tienen los conocimientos o el personal con esos conocimientos para ello. Además, también consume tiempo. Por eso, estamos aquí para ayudarte.

En Grupo Atico34 nos encargamos de analizar las necesidades de tu negocio y de poner en marcha todas las medidas necesarias para que tu negocio hostelero se adapte al RGPD y la LOPDGDD.

Grupo Atico34 ayuda a tu bar, restaurante u hotel a cumplir con la Ley

Con más de 12 años de experiencia, Grupo Atico34 ha ayudado a todo tipo de negocios a adaptarse a la Ley de Protección de Datos.

Con nosotros, tendrás a tu disposición un equipo de profesionales experto en protección de datos, que se encargarán de todo lo necesario para que tu negocio hostelero cumpla con la normativa de protección de datos para hostelería. Además, encontrarás una atención personalizada, adaptada a las necesidades reales de tu negocio, y un asesoramiento continuo.

Desde una evaluación inicial, el diseño y la implementación de medidas de seguridad, la contratación de un Delegado de Protección de Datos, hasta el mantenimiento y actualización del RGPD y la LOPD, nos aseguramos de que tu negocio cumpla la ley y esté siempre al día con sus obligaciones.

Contacta con nosotros sin compromiso y descubre por qué somos la empresa líder en protección de datos.