Los datos de sus clientes son el bien más preciado de cualquier empresa que busca aumentar sus ingresos, pues permiten conocer mejor los intereses y necesidades del usuario y aumentar, así, las oportunidades de venta.
Muchos no tienen claro si la LOPD, en España, o la RGPD, en Europa, afecta a la hostelería; sin embargo, la realidad es que no hay sector de mercado que escape de su ámbito de aplicación.
En este artículo analizamos cómo aplica la Ley Oficial de Protección de Datos al sector hostelero y cómo debe un restaurante ajustarse a esta normativa.
¿Qué es la LOPD o Ley Orgánica de Protección de Datos en España?
La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales constituye un derecho fundamental de todas las personas respecto a terceros donde se explicita su total potestad de control en el uso que se hace de sus datos personales.
Este control permite evitar que terceros (empresas, entidades o incluso otras personas) dispongan de información privada sobre la persona y su intimidad que pueda, además, atentar a sus derechos fundamentales y libertades públicas.
En España, existen dos normativas que regulan el tratamiento de datos personales:
- RGPD. Entró en vigor en 2016 y aplica a todo el territorio europeo.
- LOPDGDD. Su ámbito de aplicación es únicamente nacional (España) y no existe significativa diferencia respecto a la RGPD europea, por lo que cumplir la LOPDGDD implica cumplir la RGPD.
La actual Ley Oficial de Protección de Datos (LOPDGDD) sustituye a la anterior, registrada como LOPD y aprobada en España en 1999. En este artículo utilizaremos las siglas LOPD y LOPDGDD indistintamente para referirnos a la ley actualizada y actualmente en vigor.
¿Para qué sirve la ley de protección de datos?
El objeto de la Ley de Protección de Datos es otorgar el derecho fundamental de las personas físicas a la protección de sus datos personales y garantizar los derechos digitales de toda la ciudadanía.
Constantemente estamos expuestos al intercambio de datos con empresas y terceros, ya sea de forma digital o de forma presencial en la adquisición de un producto o servicio. Es por ello que resulta una ley fundamental para la protección de los derechos humanos.
¿Afecta la LOPDGDD o RGPD a la hostelería?
Situaciones de lo más cotidianas, como conceder nuestros datos de contacto a un restaurante para reservar una mesa, es un ejemplo de cómo afecta la Ley Orgánica de Protección de Datos a la hostelería.
Puede parecer una nimiedad sin importancia, pero lo cierto es que compartir cualquier dato de carácter personal sin conocimiento y consentimiento explícito por parte del titular es una forma de incumplimiento de la ley.
Cumplir con la LOPD en un negocio hostelero
Para evitar situaciones que, aunque pasen desapercibidas, puedan comprometer el cumplimiento legal de la normativa hostelera, el restaurante debe aplicar los siguientes puntos en el tratamiento de los datos del cliente.
Consentimiento explícito del titular
Antes de empezar, es imprescindible asegurarse de contar con el consentimiento expreso del cliente (titular de los datos) para poder recopilarlos y posteriormente usarlos, informándole previamente para qué se usará esa información.
Registro de actividades de tratamiento
Entre las obligaciones del RGPD y la LOPD en el sector hostelero se incluye llevar un Registro de Actividades de Tratamiento, que, entre otras funciones, sirve para acreditar la conformidad del negocio con la normativa de protección de datos.
Mantener un registro de actividades de tratamiento es obligatorio cuando el negocio de restauración tiene más de 250 trabajadores o cuando, independientemente del número de trabajadores, se trata con datos personales de forma recurrente o con datos de categorías especiales (que se contemplan en el artículo 9 del RGPD).
El Registro de las Actividades de Tratamiento debe ser lo más detallado posible. En el caso de un negocio hostelero, debe justificarse por qué se recogen los siguientes tipos de datos y cuál es la finalidad de su uso.
- Clientes que, con el propósito de mejorar su experiencia en el establecimiento, conceden su uso.
- Los datos personales de los empleados.
- Proveedores de equipamiento, maquinaria y servicios que demanda el establecimiento para desarrollar su actividad,
- Toda información que recoge el sistema de videovigilancia es confidencial sin el consentimiento previo del titular y el responsable del tratamiento de sus datos.
- Usuarios que han navegado por la web del establecimiento y han cedido sus datos con consentimiento.
Seguridad, evaluación y control de riesgos
En el desarrollo de un plan APPCC para hostelería debemos tener en cuenta la aplicación de la normativa vigente respecto a seguridad, como es el caso de la LOPD y la RGPD.
Una de las obligaciones de la normativa de protección de datos para hostelería es informar a los clientes, titulares de los datos, de:
- Cuál es la persona que se hará responsable de su tratamiento. Su nombre e identificación.
- La razón o razones legítimas por las que solicitamos el uso de sus datos
- La finalidad del tratamiento de sus datos.
- Cómo puede ejercitar sus derechos fundamentales. Estos son los derechos llamados ARCO (por el acrónimo de Acceso, Rectificación, Cancelación y Oposición), el derecho de limitación de los datos y el derecho a la portabilidad de los datos.
Además, el diseño de nuestro árbol de decisiones APPCC debe contemplar cómo actuar frente a brechas de seguridad (de las que habrá que informar a su titular inmediatamente) y el sistema de recogida de datos a través de la página web o canales online del establecimiento.
FAQ. Preguntas frecuentes sobre la LOPD en hostelería
¿Qué sectores están obligados a cumplir la LOPD?
Según la LOPD y el RGPD, están obligados a cumplir la normativa de protección de datos de carácter personal entidades tanto de carácter público como privado, independientemente de su sector de mercado: pymes, grandes empresas, autónomos y organismos públicos.
¿Cuándo no se aplica la LOPD?
LA LOPD para personas físicas no se aplica en dos casos: cuando el ejercicio de los datos recogidos se ciñe exclusivamente a actividades personales o domésticas, y cuando el titular de los datos ha fallecido.
¿Qué pasa si un restaurante incumple la LOPD?
Si un restaurante incumple la LOPD podría incurrir en una infracción grave, con multas entre los 60.101 (en los casos considerados leves) hasta los 600.000 euros, en las infracciones consideradas de mayor gravedad.