El 99,99% de los restaurantes y hoteles tratan con datos personales de clientes, proveedores, empleados… y, por ello, se encuentran obligados a cumplir la normativa de protección de datos. Creo que sería interesante, si tienes un negocio en la hostelería, que dediques 15 minutos a leer este artículo. Después de su lectura te será más fácil adaptarte a la nueva Ley de Protección de Datos en hostelería.
En este artículo hablamos de:
- Normativas que afecta a restaurantes y hoteles
- Finalidad del RGPD
- LOPD para la hostelería
- Cómo implantar la normativa
- La mayoría de los hosteleros nos preguntan…
- ¿Es obligatorio cumplir esta ley?
- ¿Y si no tengo empleados?
- Para el cobro de mis productos uso una TPV. ¿Los datos de las tarjetas de nuestros clientes se consideran datos personales?
- ¿Es obligatorio realizar un curso de protección de datos?
- ¿Cuánto tiempo puedo conservar los datos?
- ¿Qué tengo que hacer si instalo cámaras de videovigilancia?
- Herramientas de ayuda
- Recomendaciones (mínimas) para verificar que cumplo la normativa de protección de datos
Normativas que afecta a restaurantes y hoteles
Existen dos normativas que regulan el tratamiento de datos personales:
- RGPD (Europa)
- LOPDGDD (España)
Finalidad del RGPD
El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos.
Pero hay que celebrar que trae consigo una disminución de los trámites burocráticos, por lo que si solo realizas tratamientos de datos que entrañan poco riesgo como nombre, apellidos, correo electrónico… será más sencillo y ágil cumplir con la normativa.
Pero ¡atento! con esta nueva norma, se debe adquirir un mayor compromiso con la privacidad y la gestión de los datos.
Nuevas obligaciones
En este sentido, existen una serie de obligaciones que los hosteleros han de poner en práctica para cumplir con la LOPD en hostelería.
Consentimiento
Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos.
Es decir, el cliente deberá realizar una acción afirmativa que nos permita tratar los datos, como por ejemplo poniendo un tick en una casilla o firmado un documento.
Notificación brechas de seguridad
Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
Nuevas cláusulas e información
Hay que dar mayor información al cliente.
Le debe quedar claro quién trata sus datos, como los trata y por qué los trata.
También habrá que incluir nuevas cláusulas de elección del proveedor que nos realiza un servicio, como la empresa informática o la gestoría que nos elabora las cuentas.
Si nosotros cumplimos la normativa, ellos también deberán hacerlo.
DPO
Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, como los psicólogos, los detectives privados, los colegios, etc., será obligatoria la existencia de un Delegado de Protección de Datos.
EIPD
Cuando iniciemos un nuevo tratamiento, como por ejemplo la puesta en marcha de una página web con formulario de contacto, deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él.
En ciertos casos, debido al riesgo, este análisis previo deberá tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (PIA).
Códigos de conducta y certificados
Ahora podremos sumarnos a códigos de conducta y certificados que promuevan desde nuestro sector de actividad y cumpliendo las directrices de los mismos, podremos demostrar que cumplimos la normativa.
¡Esto es muy importante!, ya que muchas empresas te solicitarán que estés al día con la normativa para trabajar contigo.
Nuevos derechos
A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le suman dos:
- derecho de limitación de los datos
- derecho a la portabilidad de los datos
LOPD para la hostelería
La Ley de Protección de Datos tiene como finalidad garantizar la protección y buen tratamiento de datos de carácter personal.
Esta queda bajo el paraguas del RGPD, así que sí lo cumples no tienes de qué preocuparte.
No obstante, en el siguiente apartado te proponemos una serie de sencillos pasos para que, como autónomo, puedas adaptar tu negocio de hostelería a la LOPDGDD.
Cómo implantar la normativa
Entendemos que emprender y montar tu propio negocio es muy duro y, que a veces, las normas pueden ser difíciles de entender o nos quitan tiempo para atender correctamente a los clientes.
Por eso, desde Grupo Atico34 recomendamos que se cuente con asesoramiento de una consultora experta en materia de privacidad para que te pueda guiar y ayudar a cumplir la normativa en protección de datos.
Pero si crees que puedes con ello, ¡adelante!
Sin embargo queremos ayudarte todo lo posible, por lo que aquí podrás encontrar unos sencillos pasos para que puedas implantar en tu negocio esta normativa.
Registro de actividades de tratamiento
Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.
Con total seguridad, serán datos o ficheros de:
- empleados
- clientes
- proveedores
- videovigilancia
- usuarios web
A continuación, se debe especificar la finalidad para qué se usan esos datos.
Este registro interno será conocido como Registro de las Actividades de Tratamiento.
Evaluar los riesgos para determinar las medidas de seguridad
Una vez identificados los tipos de datos que tratamos deberemos analizar si ello implica un riesgo para esas personas, ya que no es lo mismo tratar solo un correo electrónico que una historia clínica.
Por tanto, tenemos que establecer las medidas de seguridad que aplicaremos a los datos personales.
Como ya mencionamos con anterioridad, en ciertos casos, este análisis previo deberá tomar forma de EIPD, debido al tipo de datos tratados o el riesgo que puede suponer su tratamiento para los afectados.
Formación
El Responsable del Fichero, normalmente en el caso de los autónomos es uno mismo, deberá tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.
Así mismo, en ciertos casos, dependiendo de la actividad que realice, se deberá contratar a un Delegado de Protección de Datos.
Información a los propietarios de los datos
Es necesario informar a los afectados por el tratamiento de, al menos:
- el nombre del responsable
- la legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos
- para qué se usan
- cómo ejercitar los derechos
Plazo de conservación de los datos
Una de las novedades que nos presenta el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.
Por desgracia no existe un plazo mínimo de conservación único, sino que dependiendo de la documentación que se trate será un periodo determinado u otro.
No obstante, si deseas saber hasta cuando puedes guardar la documentación dependiendo de cuál se trate, te recomendamos que pinches en el siguiente enlace, en el cual hemos elaborado una lista con los plazos de conservación obligatoria de la documentación.
Auditorías periódicas
¡Hay que estar siempre al día!, por lo que habrá que establecer unos procedimientos por los que, ya sea nosotros o un experto externo, analice periódicamente que cumplimos con la ley y si no es así para ponerle remedio lo más rápidamente posible.
Estos informes serán revisados por el Responsable de Seguridad, que elevará las conclusiones al Responsable de Fichero para que elija las medidas correctoras necesarias.
Normalmente, ya que somos autónomos, estas dos figuras anteriores seremos nosotros mismos, así que es recomendable que un experto en la materia analice el informe.
¡Cuidado! Estos informes son muy importantes, ya que las autoridades nos los podrán pedir y nos servirán como demostración de cumplimiento de la ley.
La mayoría de los hosteleros nos preguntan…
¿Es obligatorio cumplir esta ley?
Sí, cualquier negocio (aunque estemos dados de alta como autónomos) que dentro de la actividad profesional traten datos de terceras personas deben adaptarse a la LOPDGDD.
¿Cuándo sé que trato datos de carácter personal?
Por ejemplo, siempre que se traten datos que permitan identificar a una tercera persona física, como un cliente o empleado.
Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las personas jurídicas.
¿Y si no tengo empleados?
Se debe evaluar la naturaleza del negocio y si trata datos de clientes o proveedores, de qué tipo son y si deben o no estar organizados en ficheros.
Si no existen tratamientos de datos personales no tiene que cumplir con la normativa.
Pero si tus clientes son personas particulares será muy probable que tenga que cumplir con la LOPDGDD y el RGPD.
Para el cobro de mis productos uso una TPV. ¿Los datos de las tarjetas de nuestros clientes se consideran datos personales?
La AEPD ha determinado en numerosas ocasiones que sí.
El cliente para abonar las compras que realice en mi negocio puede aportar su tarjeta, procediéndose a la lectura de la banda magnética a través de los TPV y capturándose la información necesaria para proceder a la autorización de la operación y para la impresión del ticket de compra.
El TPV determina el tipo de Tarjeta y establece comunicación con su correspondiente centro autorizador. Entre los datos que se envían a dicho centro para la aprobación de la operación, siguiendo protocolos estándar, se encuentran: número de tarjeta, comercial donde se efectúa la compra, su importe y fecha y hora de realización, no enviándose otros datos de carácter personal como el nombre y apellidos del cliente.
No obstante la AEPD considera dato personal a los datos de las tarjetas por lo que lo deberemos considerar un tratamiento más con su correspondiente fichero.
¿Y qué medidas de seguridad tengo que aplicar en estos casos?
No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tu o tus asesores expertos en protección de datos
Tú solo tendrás que encargarte de guardar los tickets en un lugar seguro y que solo tú o tus empleados tengáis acceso
¿Es obligatorio realizar un curso de protección de datos?
No, la ley no contempla la obligatoriedad de realizar ningún tipo de formación en esta materia.
¿Hacienda te obliga a realizar un curso de contabilidad? Pues la Agencia Española de Protección de Datos tampoco te obliga a realizar ningún tipo de curso.
¿Cuánto tiempo puedo conservar los datos?
Depende del tipo de documentación y los datos de carácter personal que se encuentren almacenado en ellos.
En el siguiente enlace encontrarás una lista con todos los plazos de conservación que deberás seguir.
¿Qué tengo que hacer si instalo cámaras de videovigilancia?
Se considera otro tratamiento, por tanto deberás inscribirlo como fichero ante la AEPD e informar sobre el uso de estos dispositivos de grabación.
Recomiendo que leas esta guía para instalar un sistema de videovigilancia cumpliendo la LOPD.
Herramientas de ayuda
La AEPD elaboró un software online, Facilita RGPD, pensado para que determinadas pymes puedan cumplir el nuevo reglamento más fácilmente.
Pero ¡Cuidado!, porque la propia Agencia advierte que utilizar ese programa no garantiza el pleno cumplimiento de la normativa.
Recomendaciones (mínimas) para verificar que cumplo la normativa de protección de datos
- Tener actualizada y firmada toda la documentación
- Analizar previamente al tratamiento de los riesgos que puede conllevar el mismo
- Redactar el Registro de las Actividades de Tratamiento
- Informar a los interesados del tratamiento de sus datos y derechos
¿Te ha quedado alguna duda?
Miles de hosteleros ya han acudido a nuestros abogados llamando al 91 489 64 19 para olvidarse de este asunto y estar tranquilos sabiendo que cumplen toda la normativa de protección de datos.