RGPD para hostelería: reservas, wifi y cámaras

·

Un negocio de hostelería trata datos en reservas, pagos, wifi, cámaras, marketing, personal y, en alojamientos, registros legales de huéspedes. Cada finalidad necesita su propia base, información, acceso y plazo. Cumplir una obligación de registro no autoriza a copiar documentos completos, reutilizar datos para publicidad ni conservarlos indefinidamente.

Mapa de tratamientos

Antes de entrar en el detalle de cada tratamiento, conviene tener claro el mapa completo: un negocio de hostelería maneja, de forma habitual, estas actividades:

Cada actividad debe registrarse con su finalidad, base legitimadora, datos tratados, destinatarios, plazo de conservación y medidas de seguridad aplicadas.

Reservas

En el proceso de reserva solo debe recogerse lo necesario: nombre, contacto, fecha, número de personas y observaciones pertinentes para prestar el servicio. No deben anotarse valoraciones ofensivas sobre el cliente ni datos sensibles que no resulten relevantes.

Si la plataforma de reservas reutiliza los datos para sus propios fines, hay que definir con claridad los roles de cada parte y garantizar la transparencia frente al cliente. Las reservas canceladas no deben conservarse indefinidamente con fines de marketing.

Datos de hospedaje

El Real Decreto 933/2021 establece qué datos deben recogerse y comunicarse en las actividades de hospedaje. La AEPD ha aclarado que esta obligación de registro no implica, por sí sola, solicitar una copia completa del documento de identidad cuando no resulta necesaria.

El procedimiento debe:

No debe fotografiarse el documento de identidad de forma sistemática por simple comodidad operativa.

Wifi para clientes

El acceso wifi puede generar identificadores como la dirección MAC, la IP, el tipo de dispositivo o el historial de navegación, según la configuración empleada. Es necesario definir la finalidad del tratamiento —acceso, seguridad o cumplimiento normativo— y evitar cualquier analítica oculta.

Controles recomendados:

El acceso wifi básico no debe condicionarse a la aceptación de comunicaciones de marketing cuando esta no resulta necesaria para el servicio.

Videovigilancia

La imagen es un dato personal. Las cámaras deben responder a una finalidad de seguridad y cumplir los principios de necesidad y proporcionalidad.

La grabación de sonido es una medida más intrusiva y, por norma general, debe evitarse salvo justificación excepcional.

Cámaras y personal

Cuando las cámaras también se utilizan para control laboral, se aplica el deber de información específico y el principio de proporcionalidad. No debe diseñarse una vigilancia continua del rendimiento ni ocultarse cámaras que forman parte del sistema ordinario.

La representación laboral debe participar en el proceso cuando así proceda.

Marketing

Reservar una mesa o una habitación no implica aceptar publicidad. El marketing necesita una base legitimadora adecuada, información clara y un mecanismo de oposición sencillo.

Conviene separar:

Las listas de contactos deben depurarse periódicamente y debe registrarse el origen de cada dato. Comprar bases de datos sin garantías suficientes genera un riesgo real de incumplimiento.

Imágenes y redes

Publicar imágenes de clientes o de personal en redes sociales constituye una finalidad distinta a la del resto de tratamientos. Cuando se base en el consentimiento, este debe ser específico por canal y revocable en cualquier momento. En eventos, hay que informar previamente y ofrecer alternativas razonables a quien no quiera aparecer.

Una persona en segundo plano puede seguir siendo identificable. No todo lo que ocurre en un local es libremente publicable.

Alergias y salud

Las alergias pueden constituir datos de salud. Debe recogerse solo lo necesario para prestar el servicio, limitar el acceso a esa información al personal de cocina y de sala, y eliminarla cuando deje de ser necesaria.

Esta información no debe utilizarse para segmentación comercial. Las notas correspondientes deben ser objetivas y estar protegidas de forma segura.

Personal

Los tratamientos vinculados al personal incluyen:

Debe informarse a los trabajadores, limitar los accesos a cada tipo de información y evitar el uso de datos biométricos por simple comodidad. Los datos de salud deben mantenerse separados y solo comunicarse las conclusiones estrictamente necesarias.

Proveedores

Reservas, PMS, TPV, delivery, marketing, wifi, cámaras, nóminas y servicios en la nube pueden actuar como encargados del tratamiento o como responsables independientes, según el caso.

Conviene revisar:

Que la plataforma sea conocida en el sector no exime de esta diligencia.

Pagos

No deben almacenarse datos de tarjeta fuera de los sistemas autorizados para ello. Hay que limitar el acceso a esta información, utilizar proveedores de pago adecuados y mantener separados los datos de pago de los de marketing.

Los justificantes de pago contienen información personal y deben conservarse conforme a la finalidad fiscal y a la gestión de posibles reclamaciones.

Conservación

No existe un plazo único para todos los tratamientos: cada categoría de datos sigue su propio criterio de conservación.

Categoría Criterio
Reservas Servicio y reclamaciones
Facturas Obligaciones fiscales
Hospedaje Normativa específica de hospedaje
Wifi Seguridad y necesidad
Cámaras Régimen de videovigilancia
Marketing Hasta la oposición o el fin de la base legitimadora
Personal Obligaciones laborales y de responsabilidad

Al finalizar el uso ordinario de los datos puede proceder su bloqueo, en lugar de la supresión inmediata.

Derechos

Debe existir un canal para ejercer los derechos de acceso, rectificación, supresión, limitación y oposición. La identidad de quien solicita debe verificarse de forma proporcionada y la respuesta debe darse dentro de plazo.

En el caso de las cámaras, debe protegerse a los terceros que puedan aparecer en las grabaciones. En el hospedaje, la supresión puede verse limitada por la existencia de una obligación legal de conservación.

Brechas

Los casos más habituales en hostelería incluyen:

El procedimiento ante una brecha debe contener el incidente, evaluarlo, registrarlo y decidir si procede notificación a la autoridad de control o a los afectados. El proveedor implicado debe avisar sin dilación.

Plan de 30 días

Semana 1

Inventario de tratamientos, asignación de responsables y revisión de proveedores.

Semana 2

Información a los interesados, definición de bases legitimadoras y revisión de contratos.

Semana 3

Revisión de accesos, conservación, cámaras y wifi.

Semana 4

Formación del equipo, procedimiento de brecha y prueba del ejercicio de derechos.

Errores frecuentes

  1. Copiar el DNI completo del huésped.
  2. Usar los datos de reserva para marketing sin base adecuada.
  3. Vincular el wifi a la aceptación de publicidad.
  4. Instalar cámaras con grabación de audio.
  5. Captar vía pública de forma excesiva.
  6. Compartir cuentas de acceso al PMS entre el personal.
  7. Guardar los datos de alergias de forma indefinida.
  8. No revisar los contratos de las plataformas utilizadas.
  9. Publicar imágenes de clientes o personal sin base legitimadora.
  10. No contar con un procedimiento de gestión de brechas.

Checklist

Preguntas frecuentes

¿Puede copiarse el DNI del huésped?

La obligación de registro en hospedajes no autoriza, por sí sola, a conservar una copia completa del documento de identidad. La AEPD ha advertido sobre la necesidad de aplicar el principio de minimización de datos.

¿Puedo usar el teléfono de la reserva para enviar promociones?

No de forma automática. Debe existir una base legitimadora adecuada para el envío de marketing y ofrecer un mecanismo de oposición sencillo.

¿Cuánto tiempo se conservan las grabaciones de las cámaras?

Con carácter general, el régimen de videovigilancia establece un máximo habitual de un mes, salvo conservación por incidente conforme a la normativa aplicable.

¿Puede pedirse un correo electrónico para dar acceso al wifi?

Solo si resulta necesario y se cuenta con una base legitimadora e información adecuada. No debe imponerse la aceptación de marketing como condición para acceder al wifi.

Summum Consultoría puede revisar, en un negocio de hostelería, los procesos de reservas, hospedaje, cámaras, proveedores y conservación de datos. El servicio de DPO externo ayuda a mantener actualizado el mapa de tratamientos y a responder ante las autoridades, mientras que el servicio de adecuación de videovigilancia a la RGPD resuelve específicamente la instalación y el régimen de las cámaras.