Sector hostelero

RGPD para hostelería: restaurantes, hoteles y restauración

El sector hostelero trata a diario un volumen considerable de datos personales: reservas de mesas y habitaciones, registros de viajeros obligatorios, imágenes de sistemas de videovigilancia, datos de wifi de clientes y perfiles de programas de fidelización. Cada uno de estos tratamientos tiene su propia base legal, sus obligaciones de información y sus plazos de conservación. En Summum Consultoría acompañamos a restaurantes, hoteles, cafeterías y alojamientos turísticos en la adecuación práctica al Reglamento (UE) 2016/679 y a la LOPDGDD (LO 3/2018).

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD 3/2018
Tratamientos claveReservas · registro de viajeros · videovigilancia · fidelización
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

La hostelería es uno de los sectores con mayor densidad de tratamientos de datos personales: el cliente facilita su nombre, su número de documento y su tarjeta de crédito antes incluso de cruzar la puerta. La adecuación al Reglamento (UE) 2016/679 —RGPD— en este entorno requiere identificar con precisión qué datos se recogen en cada punto del servicio, qué base de legitimación los ampara y qué información debe facilitarse al cliente. El artículo 6 del RGPD establece las bases de licitud del tratamiento: en el caso de una reserva, la base habitual es la ejecución de un contrato (art. 6.1.b); en el de una cámara de seguridad en el vestíbulo, el interés legítimo del establecimiento (art. 6.1.f) o el cumplimiento de una obligación legal pueden ser la base adecuada según las circunstancias; y en el de un programa de fidelización con comunicaciones comerciales, el consentimiento explícito del cliente (art. 6.1.a) es prácticamente siempre necesario.

El registro de viajeros es una de las obligaciones más características del sector del alojamiento. El Real Decreto 933/2021, de 26 de octubre, regula la obligación de los establecimientos de hospedaje de recoger los datos de sus huéspedes —nombre, apellidos, número de documento, fecha de nacimiento, sexo, nacionalidad y fecha de entrada— y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en un plazo máximo de veinticuatro horas. Desde la perspectiva del RGPD, este tratamiento descansa sobre el cumplimiento de una obligación legal (art. 6.1.c del RGPD), lo que exime al establecimiento de recabar consentimiento para esta finalidad concreta. No obstante, el hotel sigue obligado a informar al huésped de este tratamiento con carácter previo, a través del aviso de privacidad en el proceso de check-in, y a garantizar que los datos no se utilizan para finalidades distintas de las previstas en la norma.

La videovigilancia es otra fuente frecuente de incumplimientos en el sector hostelero. Las cámaras instaladas en el vestíbulo, el aparcamiento, la barra o las zonas comunes están sujetas al artículo 22 de la LOPDGDD, que exige colocar carteles informativos en lugar visible que adviertan de la existencia del sistema, con indicación del responsable y del modo en que los interesados pueden ejercer sus derechos. Las imágenes captadas solo pueden conservarse durante un plazo máximo de treinta días, salvo que sean necesarias para acreditar la comisión de un delito o infracción administrativa. Las cámaras orientadas hacia espacios privados de los trabajadores —vestuarios, comedores, zonas de descanso— o hacia la vía pública quedan fuera de lo que el RGPD y la LOPDGDD permiten en este contexto. Para las instalaciones orientadas al control de la actividad en cocina o sala, conviene distinguir si la finalidad es la seguridad del establecimiento o la supervisión del personal: esta última puede requerir la comunicación previa al empleado conforme al artículo 89 de la LOPDGDD.

El wifi gratuito para clientes es un tratamiento que con frecuencia se gestiona sin los mínimos documentales exigidos. Cuando el establecimiento despliega un portal cautivo que solicita nombre, correo electrónico, número de habitación u otros datos para conceder el acceso a la red, está iniciando un tratamiento de datos personales que requiere, como mínimo, el cumplimiento del deber de información del artículo 13 del RGPD antes de que el usuario facilite sus datos. Si además se utiliza esa información para enviar comunicaciones comerciales o promociones del establecimiento, la base legal pasa a ser el consentimiento informado y específico del usuario, que debe estar claramente diferenciado de la mera condición de acceso al servicio.

Los programas de fidelización y el marketing directo representan el tratamiento con mayor potencial comercial para el sector, pero también uno de los que más atención regulatoria recibe. La LOPDGDD (LO 3/2018) exige que el envío de ofertas, descuentos o newsletters cuente con el consentimiento libre, específico, informado e inequívoco del destinatario, salvo que sea un cliente previo y la comunicación se refiera a productos o servicios análogos a los ya contratados, en cuyo caso puede aplicarse la excepción de la relación contractual preexistente. En todo caso, el cliente debe poder ejercer en cualquier momento su derecho de oposición al marketing directo, y el establecimiento debe garantizar que las solicitudes se atienden sin dilación indebida. Summum Consultoría acompaña a los establecimientos hosteleros en el diseño de procesos de captación de consentimiento que sean prácticos para el negocio y conformes con las exigencias de la normativa.

El proceso de RGPD para hostelería.

El proceso · cuatro tiempos
01

Diagnóstico de tratamientos y análisis de riesgos

Realizamos un inventario completo de los tratamientos de datos del establecimiento: reservas, check-in, registro de viajeros, videovigilancia, wifi, programas de fidelización, proveedores y plataformas digitales. Para cada tratamiento identificamos la base de licitud, las categorías de datos, los destinatarios, los plazos de conservación y los riesgos para los derechos de los interesados. El resultado es el mapa de tratamientos que sirve de base para la adecuación y para el Registro de Actividades de Tratamiento exigido por el artículo 30 del RGPD.

02

Adecuación documental y contractual

Redactamos o revisamos todos los documentos de privacidad del establecimiento: avisos de privacidad para clientes en el proceso de reserva, check-in, wifi y programas de fidelización; cláusulas de protección de datos para empleados; y contratos de encargado del tratamiento con proveedores tecnológicos, plataformas de reservas, empresas de mantenimiento de sistemas y cualquier tercero que acceda a datos personales del establecimiento, conforme al artículo 28 del RGPD.

03

Videovigilancia y registro de viajeros

Auditamos el sistema de videovigilancia: posición de las cámaras, finalidad declarada, carteles informativos, plazos de conservación de imágenes y acceso a las grabaciones. Elaboramos o revisamos el procedimiento de registro de viajeros conforme al Real Decreto 933/2021, verificamos que el aviso de privacidad cubre este tratamiento y que los datos no se destinan a finalidades distintas de las previstas en la norma. Cuando se detectan incumplimientos, proponemos las medidas correctoras concretas.

04

Formación del equipo y gestión continua

Formamos al personal del establecimiento —recepcionistas, responsables de sala, encargados de reservas— en los procedimientos de atención a derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición) y en la detección y comunicación interna de incidentes de seguridad. Establecemos un canal de ejercicio de derechos y un procedimiento de respuesta en plazo conforme a los artículos 12 a 22 del RGPD. Ofrecemos revisiones periódicas para adaptar el sistema a cambios normativos o en la actividad del establecimiento.

Qué incluye

Qué incluye RGPD para hostelería.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Reservas y datos de clientes

    Adecuación del proceso de reserva —presencial, telefónica u online— a los requisitos de información del artículo 13 del RGPD: qué datos se recogen, con qué finalidad, durante cuánto tiempo y cómo puede el cliente ejercer sus derechos.

  • Registro de viajeros (RD 933/2021)

    Diseño del procedimiento de recogida y comunicación de datos de huéspedes a las Fuerzas y Cuerpos de Seguridad conforme al Real Decreto 933/2021, con integración del deber de información al viajero y garantías de que los datos no se utilizan para otras finalidades.

  • Videovigilancia y cámaras en sala y cocina

    Auditoría del sistema de cámaras: posición, finalidad, carteles informativos, plazo de conservación máximo de treinta días (art. 22 LOPDGDD) y acceso a grabaciones. Análisis diferenciado para cámaras de seguridad y cámaras de supervisión de personal (art. 89 LOPDGDD).

  • WiFi para clientes y portales cautivos

    Revisión del portal cautivo y del aviso de privacidad que debe facilitarse antes de la recogida de datos del usuario; separación entre el acceso al servicio y el consentimiento para comunicaciones comerciales.

  • Programas de fidelización y marketing directo

    Diseño del modelo de consentimiento y de la cláusula de marketing para programas de puntos, newsletters y promociones; procedimiento de ejercicio del derecho de oposición y gestión de bajas en las comunicaciones comerciales.

  • Contratos con plataformas y proveedores

    Redacción o revisión de los contratos de encargado del tratamiento (art. 28 RGPD) con plataformas de reservas online, sistemas de gestión hotelera (PMS), TPV y cualquier proveedor con acceso a datos personales del establecimiento.

Preguntas frecuentes sobre RGPD para hostelería.

¿Qué base legal ampara el tratamiento de datos en las reservas de restaurante u hotel?

La base habitual para tratar los datos recogidos en el proceso de reserva —nombre, teléfono, correo electrónico y datos de pago— es la ejecución del contrato de hospedaje o de prestación del servicio de restauración, conforme al artículo 6.1.b del RGPD. Esto significa que no es necesario recabar consentimiento explícito para gestionar la reserva, pero sí debe cumplirse con el deber de información previo del artículo 13: informar al cliente sobre quién es el responsable del tratamiento, para qué se usan sus datos, cuánto tiempo se conservan y cómo puede ejercer sus derechos de acceso, rectificación, supresión u oposición.

¿El registro de viajeros en hoteles está sujeto al RGPD?

Sí. El registro de viajeros —la recogida de datos de identidad de los huéspedes y su comunicación a las Fuerzas y Cuerpos de Seguridad— es un tratamiento de datos personales sujeto al RGPD, aunque su base de licitud sea el cumplimiento de una obligación legal (art. 6.1.c del RGPD y Real Decreto 933/2021). Esto implica que el establecimiento no necesita consentimiento para realizar el registro, pero sí debe informar al huésped de este tratamiento —generalmente mediante el aviso de privacidad en el proceso de check-in— y garantizar que los datos recogidos para el registro no se utilizan para otras finalidades como el marketing o la elaboración de perfiles de cliente.

¿Puedo instalar cámaras en la cocina o en la sala del restaurante?

Depende de la finalidad. Si las cámaras se instalan con fines de seguridad del establecimiento —vigilancia del acceso, prevención de robos—, el marco aplicable es el artículo 22 de la LOPDGDD: es necesario colocar carteles informativos en lugar visible antes de acceder a la zona vigilada, limitar la conservación de imágenes a un máximo de treinta días y restringir el acceso a las grabaciones a las personas autorizadas. Si la finalidad principal o accesoria es el control de la actividad de los empleados, el artículo 89 de la LOPDGDD exige informar previamente a los trabajadores y, cuando exista, a la representación sindical. Las cámaras no pueden apuntar a zonas de descanso, vestuarios ni espacios íntimos de los trabajadores, ni capturar de forma sistemática la vía pública.

¿El wifi gratuito para clientes genera obligaciones de protección de datos?

Sí, siempre que se recojan datos personales para el acceso. Cuando el establecimiento utiliza un portal cautivo que solicita nombre, correo electrónico u otros datos antes de dar acceso a la red, ese momento de recogida activa el deber de información del artículo 13 del RGPD: el usuario debe saber quién trata sus datos, con qué finalidad y durante cuánto tiempo. Si además se plantea usar esa información para el envío de ofertas o comunicaciones comerciales, se necesita el consentimiento explícito del usuario, que debe ser independiente y no condicionado al acceso al wifi. Proporcionar acceso a la red sin recoger datos identificativos reduce las obligaciones de cumplimiento, aunque el establecimiento puede necesitar conservar registros de conexión por razones de seguridad de la propia red.

¿Qué ocurre con los datos de clientes compartidos con plataformas de reservas como Booking.com?

Las plataformas de reservas online pueden actuar en relación con los datos de los clientes como responsables independientes del tratamiento o como responsables conjuntos junto al establecimiento, según la configuración de la relación y las finalidades perseguidas. En cualquier caso, el establecimiento hostelero debe revisar los términos de privacidad de la plataforma y, si recibe datos de clientes procedentes de ella, cumplir con el deber de información del artículo 14 del RGPD —información al interesado cuando los datos no se han obtenido directamente de él— y formalizar las relaciones contractuales adecuadas. Summum Consultoría analiza cada relación con plataformas digitales para determinar la calificación correcta y reflejarla en el Registro de Actividades de Tratamiento.

¿Qué sanciones puede aplicar la AEPD a un establecimiento hostelero por incumplir el RGPD?

El régimen sancionador del artículo 83 del RGPD establece dos tramos de multas: hasta 10 millones de euros o el 2 % del volumen de negocio anual global para infracciones relacionadas con obligaciones técnicas u organizativas, y hasta 20 millones de euros o el 4 % del volumen de negocio para infracciones de los principios del tratamiento, las bases de licitud o los derechos de los interesados. La LOPDGDD (LO 3/2018) clasifica las infracciones en leves, graves y muy graves e incorpora criterios de graduación que tienen en cuenta el tamaño de la organización y las medidas adoptadas para reducir el daño. Summum Consultoría acompaña al establecimiento en la adecuación preventiva, pero no garantiza la ausencia de procedimientos sancionadores ni sustituye la función supervisora de la AEPD.