Un negocio de hostelería trata datos en reservas, pagos, wifi, cámaras, marketing, personal y, en alojamientos, registros legales de huéspedes. Cada finalidad necesita su propia base, información, acceso y plazo. Cumplir una obligación de registro no autoriza a copiar documentos completos, reutilizar datos para publicidad ni conservarlos indefinidamente.
Mapa de tratamientos
Antes de entrar en el detalle de cada tratamiento, conviene tener claro el mapa completo: un negocio de hostelería maneja, de forma habitual, estas actividades:
- Reservas y lista de espera
- Facturación y pagos
- Programas de fidelización
- Pedidos a domicilio
- Wifi de clientes
- Videovigilancia
- Eventos e imágenes
- Marketing
- Alérgenos y necesidades especiales
- Personal y turnos
- Proveedores
- Hospedaje, cuando exista
Cada actividad debe registrarse con su finalidad, base legitimadora, datos tratados, destinatarios, plazo de conservación y medidas de seguridad aplicadas.
Reservas
En el proceso de reserva solo debe recogerse lo necesario: nombre, contacto, fecha, número de personas y observaciones pertinentes para prestar el servicio. No deben anotarse valoraciones ofensivas sobre el cliente ni datos sensibles que no resulten relevantes.
Si la plataforma de reservas reutiliza los datos para sus propios fines, hay que definir con claridad los roles de cada parte y garantizar la transparencia frente al cliente. Las reservas canceladas no deben conservarse indefinidamente con fines de marketing.
Datos de hospedaje
El Real Decreto 933/2021 establece qué datos deben recogerse y comunicarse en las actividades de hospedaje. La AEPD ha aclarado que esta obligación de registro no implica, por sí sola, solicitar una copia completa del documento de identidad cuando no resulta necesaria.
El procedimiento debe:
- Recoger solo los campos exigidos por la normativa
- Verificar la identidad de forma proporcionada
- Informar al huésped
- Limitar los accesos a la información recogida
- Transmitir los datos por el canal autorizado
- Conservarlos según la normativa específica
- Evitar copias adicionales
No debe fotografiarse el documento de identidad de forma sistemática por simple comodidad operativa.
Wifi para clientes
El acceso wifi puede generar identificadores como la dirección MAC, la IP, el tipo de dispositivo o el historial de navegación, según la configuración empleada. Es necesario definir la finalidad del tratamiento —acceso, seguridad o cumplimiento normativo— y evitar cualquier analítica oculta.
Controles recomendados:
- Red separada de los sistemas internos del negocio
- Información accesible sobre el tratamiento
- Logs mínimos y con un plazo de conservación definido
- Proveedor contratado adecuadamente
- Portal de acceso seguro
- No solicitar datos excesivos
- Protección frente a accesos no autorizados
El acceso wifi básico no debe condicionarse a la aceptación de comunicaciones de marketing cuando esta no resulta necesaria para el servicio.
Videovigilancia
La imagen es un dato personal. Las cámaras deben responder a una finalidad de seguridad y cumplir los principios de necesidad y proporcionalidad.
- Ubicación que limite la captación de vía pública y zonas ajenas al negocio
- Prohibición expresa en aseos, vestuarios y zonas íntimas
- Cartel informativo visible
- Información completa disponible para quien la solicite
- Acceso restringido a las grabaciones
- Conservación general máxima según el régimen aplicable, normalmente un mes salvo que exista un incidente
- Extracción de imágenes solo para hechos concretos
- Contrato con la empresa de seguridad cuando proceda
La grabación de sonido es una medida más intrusiva y, por norma general, debe evitarse salvo justificación excepcional.
Cámaras y personal
Cuando las cámaras también se utilizan para control laboral, se aplica el deber de información específico y el principio de proporcionalidad. No debe diseñarse una vigilancia continua del rendimiento ni ocultarse cámaras que forman parte del sistema ordinario.
La representación laboral debe participar en el proceso cuando así proceda.
Marketing
Reservar una mesa o una habitación no implica aceptar publicidad. El marketing necesita una base legitimadora adecuada, información clara y un mecanismo de oposición sencillo.
Conviene separar:
- Comunicaciones de servicio
- Encuestas
- Fidelización
- Promociones
- Perfiles
Las listas de contactos deben depurarse periódicamente y debe registrarse el origen de cada dato. Comprar bases de datos sin garantías suficientes genera un riesgo real de incumplimiento.
Imágenes y redes
Publicar imágenes de clientes o de personal en redes sociales constituye una finalidad distinta a la del resto de tratamientos. Cuando se base en el consentimiento, este debe ser específico por canal y revocable en cualquier momento. En eventos, hay que informar previamente y ofrecer alternativas razonables a quien no quiera aparecer.
Una persona en segundo plano puede seguir siendo identificable. No todo lo que ocurre en un local es libremente publicable.
Alergias y salud
Las alergias pueden constituir datos de salud. Debe recogerse solo lo necesario para prestar el servicio, limitar el acceso a esa información al personal de cocina y de sala, y eliminarla cuando deje de ser necesaria.
Esta información no debe utilizarse para segmentación comercial. Las notas correspondientes deben ser objetivas y estar protegidas de forma segura.
Personal
Los tratamientos vinculados al personal incluyen:
- Contratos y nóminas
- Turnos
- Fichaje
- Salud laboral
- Cámaras
- Dispositivos
- Candidatos
Debe informarse a los trabajadores, limitar los accesos a cada tipo de información y evitar el uso de datos biométricos por simple comodidad. Los datos de salud deben mantenerse separados y solo comunicarse las conclusiones estrictamente necesarias.
Proveedores
Reservas, PMS, TPV, delivery, marketing, wifi, cámaras, nóminas y servicios en la nube pueden actuar como encargados del tratamiento o como responsables independientes, según el caso.
Conviene revisar:
- El rol que ocupa cada proveedor
- El contrato firmado
- Los subencargados que intervienen
- Las medidas de seguridad aplicadas
- Las transferencias de datos que realiza
- El plazo de conservación que aplica
- La posibilidad de exportar los datos
- El procedimiento ante incidentes
- Las condiciones de salida del servicio
Que la plataforma sea conocida en el sector no exime de esta diligencia.
Pagos
No deben almacenarse datos de tarjeta fuera de los sistemas autorizados para ello. Hay que limitar el acceso a esta información, utilizar proveedores de pago adecuados y mantener separados los datos de pago de los de marketing.
Los justificantes de pago contienen información personal y deben conservarse conforme a la finalidad fiscal y a la gestión de posibles reclamaciones.
Conservación
No existe un plazo único para todos los tratamientos: cada categoría de datos sigue su propio criterio de conservación.
| Categoría | Criterio |
|---|---|
| Reservas | Servicio y reclamaciones |
| Facturas | Obligaciones fiscales |
| Hospedaje | Normativa específica de hospedaje |
| Wifi | Seguridad y necesidad |
| Cámaras | Régimen de videovigilancia |
| Marketing | Hasta la oposición o el fin de la base legitimadora |
| Personal | Obligaciones laborales y de responsabilidad |
Al finalizar el uso ordinario de los datos puede proceder su bloqueo, en lugar de la supresión inmediata.
Derechos
Debe existir un canal para ejercer los derechos de acceso, rectificación, supresión, limitación y oposición. La identidad de quien solicita debe verificarse de forma proporcionada y la respuesta debe darse dentro de plazo.
En el caso de las cámaras, debe protegerse a los terceros que puedan aparecer en las grabaciones. En el hospedaje, la supresión puede verse limitada por la existencia de una obligación legal de conservación.
Brechas
Los casos más habituales en hostelería incluyen:
- Lista de reservas expuesta
- TPV comprometido
- Correo enviado a destinatarios visibles entre sí
- Copia de DNI filtrada
- Cámara accesible desde internet
- Dispositivo perdido
- Proveedor atacado
El procedimiento ante una brecha debe contener el incidente, evaluarlo, registrarlo y decidir si procede notificación a la autoridad de control o a los afectados. El proveedor implicado debe avisar sin dilación.
Plan de 30 días
Semana 1
Inventario de tratamientos, asignación de responsables y revisión de proveedores.
Semana 2
Información a los interesados, definición de bases legitimadoras y revisión de contratos.
Semana 3
Revisión de accesos, conservación, cámaras y wifi.
Semana 4
Formación del equipo, procedimiento de brecha y prueba del ejercicio de derechos.
Errores frecuentes
- Copiar el DNI completo del huésped.
- Usar los datos de reserva para marketing sin base adecuada.
- Vincular el wifi a la aceptación de publicidad.
- Instalar cámaras con grabación de audio.
- Captar vía pública de forma excesiva.
- Compartir cuentas de acceso al PMS entre el personal.
- Guardar los datos de alergias de forma indefinida.
- No revisar los contratos de las plataformas utilizadas.
- Publicar imágenes de clientes o personal sin base legitimadora.
- No contar con un procedimiento de gestión de brechas.
Checklist
- Tratamientos inventariados.
- Datos de hospedaje reducidos al mínimo necesario.
- Reservas y marketing tratados de forma separada.
- Wifi aislado e informado adecuadamente.
- Cámaras proporcionales a la finalidad de seguridad.
- Alergias con acceso restringido.
- Personal informado de los tratamientos que le afectan.
- Proveedores con contrato de encargo o de responsabilidad definido.
- Conservación definida por categoría de datos.
- Derechos y procedimiento de brechas probados.
Preguntas frecuentes
¿Puede copiarse el DNI del huésped?
La obligación de registro en hospedajes no autoriza, por sí sola, a conservar una copia completa del documento de identidad. La AEPD ha advertido sobre la necesidad de aplicar el principio de minimización de datos.
¿Puedo usar el teléfono de la reserva para enviar promociones?
No de forma automática. Debe existir una base legitimadora adecuada para el envío de marketing y ofrecer un mecanismo de oposición sencillo.
¿Cuánto tiempo se conservan las grabaciones de las cámaras?
Con carácter general, el régimen de videovigilancia establece un máximo habitual de un mes, salvo conservación por incidente conforme a la normativa aplicable.
¿Puede pedirse un correo electrónico para dar acceso al wifi?
Solo si resulta necesario y se cuenta con una base legitimadora e información adecuada. No debe imponerse la aceptación de marketing como condición para acceder al wifi.
Summum Consultoría puede revisar, en un negocio de hostelería, los procesos de reservas, hospedaje, cámaras, proveedores y conservación de datos. El servicio de DPO externo ayuda a mantener actualizado el mapa de tratamientos y a responder ante las autoridades, mientras que el servicio de adecuación de videovigilancia a la RGPD resuelve específicamente la instalación y el régimen de las cámaras.