Obligaciones de la Ley de Protección de Datos en hostelería

Los negocios del sector hostelero tratan en su día a día con datos personales: de clientes, proveedores, de empleados… Por tanto, se encuentran obligados a cumplir con la normativa de protección de datos.

No importa lo pequeño que sea el negocio o que sus archivos no estén informatizados. Cualquier dato que se trate, debe ser protegido. Explicamos todo lo que hay que saber para cumplir la ley de protección de datos en hostelería.

La ley de protección de datos en hostelería: la actividad online

Si el bar o el restaurante dispone de una página web o tienda online, se deberá tener en cuenta, de forma adicional, la normativa relacionada con las Cookies y de la Defensa de los Consumidores, así como la Ley de servicios de la sociedad de la información y de comercio electrónico. 

En caso de enviar a los clientes newsletters periódicamente, se debe obtener un consentimiento previo por su parte. Deberán ser claramente identificables como tales mostrando el nombre del remitente que envía la publicación. 

Además, queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Respetar la protección de datos en hostelería: análisis de riesgo

Con la entrada en vigor del Reglamento General de la Unión Europea de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales se viene a sustituir a la Ley Orgánica de Protección de Datos de 1999 y su Reglamento de desarrollo. 

Son estos nuevos textos legales en los que el hostelero se tiene que basar. Y que puede tomar como punto de partida para la elaboración de un análisis de riesgos. Este análisis debe ser previo a todo nuevo tratamiento de datos personales con la finalidad de establecer controles y medidas de seguridad adecuadas que garanticen las garantías de las personas afectadas. 

En este sentido, hay que señalar que que el Reglamento propugna un principio de responsabilidad proactiva al responsable del fichero; es decir: que es responsabilidad de quien gestiona ese fichero tomar las medidas necesarias para que se cumpla el Reglamento.

Aunque a este respecto el Reglamento no indica cuáles son las medidas técnicas u organizativas necesarias para darle cumplimiento, sí exige al hostelero tener un papel “proactivo” en el análisis y en la elección de medidas que eviten, o al menos minimicen, los riesgos. 

El registro de actividades de tratamiento

Todo negocio que trate datos de carácter personal debe elaborar un registro de actividades de tratamiento. Se trata de un documento interno que explique, detalladamente, el tratamiento y la finalidad de los datos de carácter personal que se tratarán, así como información sobre las medidas de seguridad implementadas.

Con respecto a la antigua normativa se deben tener en cuenta que desaparece la inscripción de los ficheros ante la Agencia Española de Protección de Datos y se refuerza el consentimiento del afectado. Porque desaparece la posibilidad de realizar tratamientos de datos personales basados en el “consentimiento tácito”. 

Es decir, que se deberá solicitar un consentimiento activo e inequívoco si, por ejemplo, se desea enviar comunicaciones comerciales. Esto significa que, por ejemplo, en el caso de los restaurantes con los datos obtenidos a lo largo de las reservas del año no se podrán utilizar para que éstos puedan ofrecer descuentos posteriormente o informen de promociones o descuentos vía email o SMS a los que han sido sus clientes, salvo si ha obtenido un consentimiento inequívoco de los mismos.

Con la reforma legal, también aparecen nuevos derechos como el derecho a la portabilidad de los datos o el derecho al olvido.

La figura del delegado de protección de datos

Asimismo, surge la figura del delegado de protección de datos (DPO) la cual será obligatoria en determinadas empresas. Fundamentalmente, cuando se vayan a tratar datos especialmente sensibles y/o manejen un volumen de datos a gran escala.

Por último, conviene advertir del fuerte endurecimiento del régimen sancionador en caso de incumplimiento de la normativa de protección de datos, ya que el Reglamento General de Protección incorpora la posibilidad de imponer sanciones económicas que podrían alcanzar los 20 millones de euros o el 4% de la facturación de la empresa infractora.