Un bar de barrio que ofrece WiFi a sus clientes, un hotel de tres estrellas con sistema de reservas online y un restaurante con tarjeta de fidelización tienen algo en común que pocas veces figura en su lista de preocupaciones: los tres son responsables del tratamiento de datos personales bajo el Reglamento (UE) 2016/679, conocido como RGPD, y bajo la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Que el negocio sea pequeño no exime de las obligaciones; que el sector sea «de trato directo» tampoco. La Agencia Española de Protección de Datos (AEPD) ha sancionado en los últimos años a establecimientos hosteleros por cámaras mal orientadas, formularios de reserva sin cláusula informativa y ficheros de clientes sin medidas de seguridad básicas.
Este artículo explica, con casos de uso reales del sector, qué datos trata la hostelería, qué obligaciones impone la normativa y cuándo es conveniente contar con un DPO externo que garantice el cumplimiento sin saturar al responsable del negocio.
¿Qué datos personales trata un establecimiento hostelero?
La hostelería recoge más datos de los que parece a primera vista. Identificarlos es el primer paso para gestionarlos correctamente.
Reservas y check-in
Los hoteles, casas rurales y apartamentos turísticos están obligados por la normativa de seguridad ciudadana (Ley Orgánica 4/2015 y Real Decreto 933/2021, en vigor desde el 2 de enero de 2023) a registrar y comunicar al Ministerio del Interior los datos de todos los viajeros mayores de 14 años: nombre y apellidos, tipo y número de documento, fecha de nacimiento, sexo, país de residencia y fecha de entrada. Este registro se comunica en plazo máximo de 24 horas a través del sistema SES.HOSPEDAJES. Cada fichero de partes de viajeros es también un fichero de datos personales que exige política de conservación y acceso controlado.
Sistemas de reservas online
Formularios en la web del hotel o del restaurante, plataformas de reserva de terceros (TheFork, Booking.com, etc.) y correos electrónicos de confirmación generan registros con nombre, email, teléfono y, frecuentemente, preferencias dietéticas o alergias. Estos últimos son datos de salud, categoría especial según el artículo 9 del RGPD, que exige base jurídica reforzada (consentimiento explícito o necesidad contractual con garantías) y medidas de seguridad adicionales.
Videovigilancia
Las cámaras de seguridad en accesos, salas y aparcamientos capturan imágenes que son datos personales. La AEPD ha publicado una Guía sobre el uso de videocámaras para seguridad y otras finalidades (actualizada en 2023) que establece, entre otros requisitos: zona de captación mínima (solo el perímetro propio, no la vía pública salvo excepciones tasadas), distintivo informativo visible, y conservación máxima de 30 días salvo requerimiento judicial. Varias sanciones recientes del organismo —algunas superando los 5.000 € para pequeños negocios— provienen de cámaras que apuntaban a la calle o de imágenes conservadas durante meses sin justificación.
WiFi para clientes
El acceso a Internet mediante portal cautivo implica, como mínimo, el registro de la dirección MAC del dispositivo y, si se pide registro, del email o teléfono del usuario. Conforme al artículo 13 del RGPD, el establecimiento debe informar al usuario en el momento de la recogida: quién es el responsable, con qué finalidad se guardan los datos y durante cuánto tiempo. Omitir este aviso en el portal de conexión es una infracción tipificada.
Tarjetas y programas de fidelización
Cadenas hoteleras y restaurantes de cierto volumen mantienen bases de datos de clientes con historial de consumo, preferencias de habitación y patrones de visita. Cuando estos datos se cruzan con perfiles para enviar ofertas comerciales, la base jurídica más habitual es el interés legítimo (artículo 6.1.f RGPD), siempre que se haya realizado el correspondiente test de ponderación y el cliente pueda oponerse con facilidad. El envío de comunicaciones comerciales sin base jurídica es, además, infracción de la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI).
Relaciones laborales
Nóminas, contratos, partes de baja, imágenes de cámaras en zonas de trabajo, control horario digital: el hostelero es también responsable de los datos de sus empleados. Las obligaciones laborales en materia de protección de datos son amplias e incluyen informar a los trabajadores del uso de sistemas de control (artículos 87-90 LOPDGDD).
Obligaciones concretas del RGPD para hostelería
La normativa no distingue sectores: las obligaciones son las mismas para un hotel de 200 habitaciones que para un bar con diez mesas, aunque la intensidad y complejidad de su aplicación práctica varía.
| Obligación | En qué consiste | Aplica a |
|---|---|---|
| Registro de actividades de tratamiento (RAT) | Documento interno que lista todos los tratamientos: finalidad, categorías de datos, destinatarios, plazos de conservación, medidas de seguridad. Obligatorio para organizaciones con más de 250 empleados o que traten datos de riesgo (categorías especiales, gran escala). | Hoteles medianos y grandes, cadenas; recomendable para cualquiera |
| Cláusulas informativas | Avisos en formularios de reserva, en la web (aviso legal + política de privacidad), en el mostrador de recepción y en el portal WiFi. Deben cumplir el artículo 13 RGPD. | Todo establecimiento con recogida de datos |
| Contratos con encargados del tratamiento | Acuerdos formales con proveedores que acceden a datos (plataformas de reserva, gestoría, software de TPV en la nube, empresa de mantenimiento de cámaras). Art. 28 RGPD. | Todo responsable que externalice tratamientos |
| Distintivos de videovigilancia | Carteles visibles en zonas vigiladas con información básica (responsable, finalidad, derechos). Modelo disponible en la web de la AEPD. | Cualquier establecimiento con cámaras |
| Política de conservación y borrado | Definir cuánto tiempo se guardan cada tipo de datos y garantizar su borrado o anonimización cuando ya no son necesarios. | Todo establecimiento |
| Procedimiento de atención de derechos | Canal para que clientes y empleados ejerzan sus derechos ARCO+ (acceso, rectificación, supresión, oposición, portabilidad, limitación). Respuesta en un mes (prorrogable a dos). | Todo establecimiento |
| Evaluación de Impacto (EIPD) | Análisis formal de riesgos obligatorio cuando el tratamiento «pueda entrañar un alto riesgo». La videovigilancia a gran escala o el tratamiento masivo de datos de salud (alergias) pueden exigirla. | Hoteles con videovigilancia extensiva, grandes cadenas |
| Designación de DPO | Obligatoria cuando el tratamiento principal implica observación sistemática a gran escala de personas en espacios públicos, o datos especiales a gran escala. Recomendable para cadenas hoteleras. | Grandes cadenas; recomendable en medianas |
Sanciones de la AEPD al sector hostelero: casos reales
No es teoría. La AEPD publica todas sus resoluciones y muchas afectan directamente al sector.
Cámaras que graban la vía pública
En varias resoluciones, la AEPD ha sancionado a establecimientos de hostelería por instalar cámaras orientadas hacia la acera o la calle, captando imágenes de personas ajenas al negocio sin base jurídica. El argumento «es para la seguridad del local» no justifica la captación fuera del perímetro propio. Las sanciones en estos casos oscilan, para pequeños negocios, entre 300 y 3.000 €, aunque el importe puede ser mayor si hay reincidencia o falta de colaboración.
Envíos comerciales sin consentimiento
Restaurantes que recogen el email de clientes durante una reserva y después los añaden a una lista de newsletter sin consentimiento específico han recibido apercibimientos y sanciones. El consentimiento para la gestión de la reserva no autoriza el envío de publicidad: son finalidades distintas que requieren bases jurídicas independientes.
Acceso no autorizado a datos de empleados
En entornos hoteleros con alta rotación de personal, el acceso a datos de nóminas y expedientes por parte de mandos no autorizados o el uso de sistemas compartidos sin control de acceso han generado incidentes de seguridad. El artículo 32 RGPD obliga a adoptar medidas técnicas y organizativas apropiadas, lo que incluye control de accesos basado en roles.
¿Cuándo es obligatorio designar un DPO en hostelería?
El artículo 37 del RGPD establece tres supuestos de designación obligatoria de Delegado de Protección de Datos (DPO): autoridades u organismos públicos, organizaciones cuya actividad principal implique observación sistemática a gran escala, y organizaciones que traten datos especiales a gran escala. En la hostelería, la obligación formal no suele concurrir salvo en grandes cadenas con sistemas de videovigilancia masiva o con tratamiento extensivo de datos de salud.
Sin embargo, la designación voluntaria de un DPO externo es una práctica cada vez más extendida en el sector, especialmente en hoteles medianos y restaurantes con varias ubicaciones, por tres razones prácticas:
- Complejidad creciente: el número de tratamientos, proveedores y canales digitales hace que la gestión del cumplimiento sea demasiado técnica para gestionarla sin especialistas.
- Interlocución con la AEPD: tener un DPO designado y comunicado a la autoridad de control mejora la posición del establecimiento ante cualquier inspección o reclamación.
- Coste contenido: un DPO externo puede dar servicio a varios establecimientos en modalidad de servicio compartido, lo que hace el coste asumible incluso para negocios de tamaño medio.
Casos de uso concretos: cómo aplica el RGPD en la práctica hostelera
Hotel urbano con 80 habitaciones
Un hotel de esta escala gestiona a diario: partes de viajeros comunicados a Interior (SES.HOSPEDAJES), reservas directas vía web y a través de OTAs (Booking.com, Expedia), datos de tarjeta de crédito como garantía (normalmente a través de pasarela certificada PCI-DSS, que no exime de la responsabilidad RGPD), cámaras en recepción, aparcamiento y pasillos, y datos de empleados. El registro de actividades de tratamiento identificará al menos ocho o diez tratamientos distintos. La relación con Booking.com exige un acuerdo de encargado del tratamiento; la política de cámaras necesita una guía interna y los carteles reglamentarios; los formularios web deben incluir cláusula informativa completa. Un DPO externo con dedicación mensual de unas pocas horas puede mantener todo esto al día.
Cadena de restaurantes con tarjeta de fidelización
Una cadena con ocho locales que gestiona una tarjeta de puntos acumula un perfil completo de cada cliente: frecuencia de visita, consumo medio, preferencias (bebida sin alcohol, menú vegano), datos de contacto. Este tratamiento puede acercarse al concepto de «elaboración de perfiles» del artículo 4.4 RGPD, lo que exige mayor diligencia en la base jurídica y en la información al usuario. El programa de fidelización debe tener su propio apartado en la política de privacidad, con explicación clara del uso que se dará a los datos y del período de conservación tras la baja.
Bar con WiFi gratuito
Es el caso aparentemente más simple, pero también el más frecuentemente incumplido. Si el portal de conexión pide el email del cliente, ese email es un dato personal y su recogida exige informar al usuario. Si el correo se va a usar para enviar ofertas, se necesita además consentimiento explícito (opt-in activo, no una casilla premarcada). La cookie de sesión del portal también puede caer bajo la Ley de Cookies (transposición de la Directiva ePrivacy), aunque el alcance práctico depende de la implementación técnica.
Alojamiento rural con libro de reclamaciones digital
Las hojas de reclamaciones digitales, cada vez más frecuentes en comunidades autónomas que han regulado el canal telemático, recogen datos del reclamante y del empleado implicado. Estos datos tienen una finalidad específica (gestión de la reclamación y eventual revisión por la administración autonómica de consumo) y no pueden reutilizarse para otros fines. Gestionarlos correctamente exige informar al cliente en el momento de la reclamación y conservar el expediente el tiempo que marque la normativa sectorial.
La doble vía normativa: RGPD y LOPDGDD
El RGPD es directamente aplicable en España desde el 25 de mayo de 2018. La LOPDGDD (Ley Orgánica 3/2018) lo desarrolla y adapta al ordenamiento español, añadiendo reglas específicas en materias como videovigilancia laboral (art. 89), control del uso de dispositivos digitales (art. 87), geolocalización de trabajadores (art. 90) y sistemas de información de denuncias internas (art. 24, ahora complementado por la Ley 2/2023 del canal de denuncias). Para la hostelería, los artículos 89 y 90 de la LOPDGDD son especialmente relevantes si se usan cámaras o GPS en la flota de reparto de un servicio de catering.
Además, el Real Decreto 933/2021 sobre obligaciones de registro documental e información de personas físicas que realizan actividades de hospedaje o alquiler de vehículos a motor incorpora obligaciones específicas para el sector que se superponen —sin contradicción— con las del RGPD. El cumplimiento de ambas normativas de forma simultánea requiere coherencia en los plazos de conservación: Interior puede exigir que los partes de viajeros se conserven durante tres años, mientras que el RGPD obliga a no guardarlos más tiempo del estrictamente necesario. La solución es documentar ambas obligaciones en el RAT y aplicar el plazo más largo cuando exista obligación legal que lo justifique.
Pasos para regularizar la protección de datos en tu establecimiento
La regularización no requiere meses ni recursos desproporcionados. En la mayoría de establecimientos hosteleros medianos, un proceso estructurado permite alcanzar un nivel de cumplimiento razonable en pocas semanas:
- Inventario de tratamientos: listar todos los puntos donde se recogen o procesan datos (formularios, reservas, cámaras, WiFi, TPV, nóminas, etc.).
- Base jurídica por tratamiento: identificar si cada tratamiento se apoya en contrato, interés legítimo, obligación legal o consentimiento, y documentarlo.
- Cláusulas informativas: redactar o actualizar los textos de información en formularios, web y puntos de recogida físicos.
- Contratos con encargados: revisar acuerdos con plataformas de reserva, software de gestión, empresa de vigilancia y gestoría, e incorporar las cláusulas del artículo 28 RGPD donde falten.
- Política de videovigilancia: comprobar ángulos de cámara, instalar carteles reglamentarios y fijar política de conservación de 30 días máximo.
- Formación al personal: el equipo de recepción, sala y cocina que maneja datos necesita conocer los procedimientos básicos: cómo atender una solicitud de derechos, qué hacer ante una brecha de seguridad.
- Revisión periódica: el RGPD no es un proyecto puntual; los tratamientos cambian (nueva app de reservas, nuevo proveedor de WiFi) y la documentación debe actualizarse.
Preguntas frecuentes
¿Un restaurante pequeño tiene las mismas obligaciones RGPD que un gran hotel?
Las obligaciones formales son las mismas en cuanto a principios, bases jurídicas e información a los interesados. Lo que varía es la escala y, por tanto, el esfuerzo de implementación. Un restaurante con cuatro empleados y sin sistemas de fidelización ni videovigilancia tiene pocos tratamientos que gestionar; un hotel con cien habitaciones y múltiples canales digitales tiene una casuística mucho más amplia. En ambos casos, las infracciones son sancionables, pero la AEPD tiene en cuenta el tamaño y la capacidad económica del infractor a la hora de graduar las sanciones (artículo 83.2.k RGPD).
¿Puedo guardar los datos de reserva de clientes indefinidamente para futuras campañas?
No. El principio de limitación del plazo de conservación (artículo 5.1.e RGPD) obliga a conservar los datos solo durante el tiempo necesario para la finalidad que los justifica. Una vez finalizada la estancia y extinguidas las posibles reclamaciones civiles o fiscales (generalmente cuatro o cinco años según el tipo de dato), los datos deben suprimirse o anonimizarse. El uso de datos de reservas pasadas para envíos comerciales requiere, además, una base jurídica específica independiente de la reserva original.
¿Necesito consentimiento para instalar cámaras en mi local?
No exactamente: la base jurídica para la videovigilancia en establecimientos abiertos al público suele ser el interés legítimo del responsable (seguridad de personas y bienes), no el consentimiento. Lo que sí es obligatorio es informar a clientes y trabajadores mediante los distintivos reglamentarios. La captación de imágenes de empleados con fines de control laboral tiene requisitos adicionales bajo el artículo 89 de la LOPDGDD: el empresario debe informar previamente a los trabajadores o a sus representantes.
¿Qué ocurre si sufro una brecha de seguridad (hackeo de la base de datos de clientes)?
El artículo 33 del RGPD impone la obligación de notificar la brecha a la AEPD en un plazo máximo de 72 horas desde que el responsable tenga conocimiento de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los afectados. Si la brecha entraña alto riesgo para los interesados, también deben ser informados ellos directamente (artículo 34). La falta de notificación en plazo es una infracción grave. Contar con un protocolo de gestión de incidentes documentado —y con un DPO externo que lo active— reduce significativamente el riesgo de incumplir este plazo.