Los establecimientos de hostelería también manejan datos personales en el desempeño de su actividad, por esta razón están obligados a cumplir con la normativa vigente en protección de datos.
¿Están los negocios de hostelería obligados a cumplir con la Protección de Datos?
Siempre que se tratan datos personales, existe la obligación de cumplir con la protección de datos; por lo tanto los negocios hosteleros, como campings, restaurantes, bares, chiringuitos, albergues, hoteles, o casas rurales (por citar algunos), están obligados a cumplir con la normativa vigente en la materia.
Hay que tener en cuenta que este tipo de negocios manejan de manera habitual datos personales de sus clientes, empleados y también, en ocasiones de sus proveedores o aquellos profesionales que contraten para llevar a cabo algún trabajo en concreto.
Siempre que se maneje información personal que pueda servir para identificar a una persona, se debe cumplir con lo que dice la ley de protección de datos.
¿Qué tipos de datos personales se tratan en la hostelería?
Los datos personales que se tratan normalmente en los establecimientos de hostelería son:
- Nombres, apellidos y direcciones de los clientes
- Datos del TPV
- Datos identificativos de los empleados
- Datos contenidos en curriculums de candidatos
- Datos obtenidos en páginas web o redes sociales del negocio
- Registros de las cámaras de videovigilancia instaladas en el establecimiento (imágenes).
Sanciones por no cumplir con la normativa protección de datos en la hostelería
No cumplir con la normativa de protección de datos puede acarrear sanciones importantes, que se gradúan en función de su gravedad. La LOPDGDD nos remite en esta materia al RGPD, donde encontramos infracciones graves e infracciones muy graves (determinadas por los artículos en los que se contemplen).
Así, la cuantía de las sanciones es:
- Para infracciones graves: multas administrativas que pueden alcanzar los 10 millones de euros o, en caso de empresas, el 2% de la facturación.
- Para infracciones muy graves: multas administrativas que pueden alcanzar los 20 millones de euros o, en caso de empresas, el 4% de la facturación.
Pasos para ajustar tu negocio de hostelería al RGPD/LOPD
A continuación veremos los pasos esenciales y básicos para cumplir con el RGPD y la LOPD en hostelería:
a) Registro de Actividades de Tratamiento
Como hemos visto, entre las novedades que introdujo el RGPD, está la de llevar un registro de actividades de tratamiento, si bien solo las empresas con más de 250 empleados o que traten datos de los considerados categorías especiales o que pueden suponer un riesgo para los derechos y libertades de los clientes, deben llevar a cabo este registro.
El registro de actividades debe contener información sobre los datos personales que se recogen, el tipo de tratamiento, la finalidad del tratamiento, la legitimación para ello, las categorías de datos, la cesión y transferencias internacionales y el tiempo de conservación de los datos. Así como la identificación tanto del responsable de tratamiento como del encargado y del DPO (si hay).
El registro de actividades de tratamiento debe mantenerse siempre actualizado y estar disponible si lo solicita la AEPD para su revisión.
b) Análisis de Riesgos
Con carácter previo a realizar ninguna actividad de tratamiento, es necesario llevar a cabo un análisis de los riesgos en función de los datos personales que se van a tratar, puesto que no todos suponen los mismos peligros para los interesados.
Este análisis de riesgos servirá para determinar las medidas de seguridad que sea necesario implantar para evitar brechas de seguridad.
c) Evaluación de Impacto
Si los datos personales que se van a tratar son considerados de especial riesgo para los derechos fundamentales y libertades de los interesados, aparte del análisis de riesgos, es necesario llevar a cabo una evaluación de impacto, que también irá encaminada a diseñar las medidas de seguridad necesarias para evitar filtraciones o qué protocolo se debe seguir en caso de que se produzca una brecha de seguridad.
d) Documento de Seguridad
Actualmente el registro de actividades de tratamiento recoge prácticamente todo lo relacionado con el tratamiento de datos personales, desde las propias actividades de tratamiento, pasando por el tipo de datos recogidos, las categorías hasta las medidas de seguridad, incluida la identificación de responsable, encargado y DPO.
En cualquier caso, es posible llevar también un documento de seguridad donde esta información se recoja de manera más concisa y resumida, donde, además, se pueden añadir los sistemas que se emplean para el tratamiento de datos o un registro de incidencias.
e) Formación
Para poder llevar a cabo el cumplimiento de la normativa de protección de datos en una casa rural, en un hotel, un albergue o un restaurante, se debe contar con formación específica en la materia (no es obligatorio, pero sí altamente recomendable).
Establecimientos pequeños o con pocos empleados pueden no necesitar personal específico, salvo que vayan a tratar con datos de categorías especiales (como puede ser en un balneario, donde es posible que se traten datos relacionados con la salud de los clientes), pero negocios más grandes, como cadenas hoteleras o franquicias de restauración, sin duda necesitarán contar con personal con conocimientos concretos en materia de protección de datos, para asegurarse de que cumplen con la ley.
Habrá casos en los que será incluso necesario contratar un servicio externo de protección de datos (como una consultoría o una asesoría que cuenten con personal especializado en ello).
g) Información a los propietarios de los datos
Siempre habrá que informar a los interesados (clientes) de:
- Nombre del responsable del tratamiento
- La legitimación para la recogida y tratamiento de los datos
- El uso o finalidad para la que se recogen los datos
- Si se cederán a terceros
- Dónde y cómo pueden ejercer sus derechos ARCO
Esta información debe ser accesible de forma sencilla para los interesados y ser clara y comprensible.
h) Plazo de conservación de los datos
El plazo máximo para la conservación de los datos personales que se recogen, depende de la finalidad para la que son recogidos, así como de otras leyes (por ejemplo, una factura de hotel debe conservarse al menos durante 5 años desde su fecha de emisión, según la normativa de Hacienda).
En cualquier caso, si es posible establecer un período de conservación y señalar cuándo se suprimirán los datos personales almacenados, se debe hacer constar en el registro de actividades de tratamiento.
i) Auditorías periódicas
Las auditorías de protección de datos no son obligatorias, sin embargo, el RGPD exige poder demostrar que se cumple con la ley de protección de datos, por tanto, someter al establecimiento hostelero a auditorías periódicas nos ayudará a poder demostrar que cumplimos con las exigencias tanto del RGPD como de la LOPDGDD.
Las auditorías de protección de datos es recomendable que las hagan agentes externos a la empresa o el negocio, para asegurar la objetividad del proceso. Estas auditorías evaluarán las medidas y niveles de seguridad, así como el correcto tratamiento de los datos en función de su finalidad y legitimación.
De ellas, obtendremos un informe del que podremos extraer conclusiones respecto a la necesidad de mejorar nuestras medidas de seguridad o si debemos implantar otras nuevas. Además, estos informes servirán también para demostrar ante las autoridades competentes nuestro cumplimiento de la ley.
j) Cámaras de videovigilancia
Es muy probable que tu negocio de hostelería tenga instaladas cámaras de videovigilancia. Si es así, debes tener en cuenta que se las considera otro tipo de tratamiento de datos personales, en este caso la imagen de las personas, por lo que debes hacer su propio registro de actividades.
Además, deberás avisar, mediante la colocación de cartelería visible, de la presencia de cámaras de seguridad. Así mismo, no podrás grabar la vía pública o propiedades de terceros, es decir, las cámaras de videovigilancia de tu negocio hostelero solo pueden apuntar a su interior.
k) Otras obligaciones a cumplir en materia de protección de datos:
- Llevar un registro de actividades de tratamiento.
- Firma de contratos con terceros cuando se vayan a ceder datos personales (por ejemplo, si las nóminas de nuestros empleados las lleva una gestoría externa).
- Si nuestro negocio tiene una página web, especialmente si se puede emplear para realizar y pagar reservas, incluir los textos web legales correspondientes (política de privacidad, aviso legal y uso de cookies).
- Solicitar el consentimiento expreso en toda ocasión en la que necesitamos recoger y tratar datos personas. Este consentimiento siempre tiene que ser una acción por parte del interesado (como por ejemplo marcar un cuadro de check en un formulario online).
- Realizar el análisis de riesgo y la EIPD con carácter previo al tratamiento de datos personales.
- Informar a los interesados de dónde y cómo pueden ejercer sus derechos ARCO.
- En caso de brechas de seguridad, se debe avisar en un plazo máximo de 72 horas a la AEPD. Además, también se debe informar en el menor tiempo posible a los interesados cuyos datos hayan podido verse afectados por dicha brecha.
- En los supuestos en los que sea necesario, nombrar un DPO.
¿Necesitas ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/