Cualquier establecimiento hostelero trata datos personales desde el momento en que alguien hace una reserva. La mayoría lo sabe. Lo que no siempre saben es cuántos tipos de datos distintos están gestionando, bajo qué base legal amparan cada tratamiento y qué consecuencias tiene hacerlo mal. El Reglamento General de Protección de Datos no distingue entre una gran cadena hotelera y un restaurante familiar: las obligaciones son las mismas, y las sanciones también.
Qué datos personales trata la hostelería (y por qué es más de lo que parece)
Un hotel o restaurante no solo gestiona nombres y correos electrónicos. El mapa de datos del sector es más amplio de lo que muchos responsables de establecimiento asumen.
Un sector con más datos de los que parece
Las reservas online y el check-in generan datos de contacto, preferencias y fechas de estancia. Los pagos incluyen datos bancarios y de tarjeta. Los programas de fidelización construyen perfiles de comportamiento del cliente a lo largo del tiempo. Las cámaras de seguridad capturan imágenes de clientes y empleados. El wifi público registra dispositivos y, en muchos casos, hábitos de navegación. Las anotaciones sobre alergias o intolerancias son datos de salud, una categoría especialmente protegida. Las reseñas y valoraciones pueden contener datos identificables. Y si el establecimiento tiene servicios para familias, también tratará datos de menores. Cada uno de estos tratamientos tiene su propia base legal, su propio plazo de conservación y sus propios requisitos de documentación.
Bases legales para el tratamiento de datos en hostelería
El RGPD no exige consentimiento para todo. Exige que cada tratamiento tenga una base legal válida y que el responsable pueda acreditarla. En hostelería se aplican principalmente tres: ejecución de contrato, obligación legal e interés legítimo, además del consentimiento cuando no aplica ninguna de las anteriores.
Cuando aplica cada base y cómo documentarla
Reservas online y check-in
Nombre, contacto, fechas de estancia, preferencias de habitación, número de personas.
Datos de pago
Número de tarjeta, titular, datos bancarios, historial de transacciones.
Cámaras de seguridad
Imágenes de clientes, empleados y espacios comunes del establecimiento.
Wifi público
Datos de registro para acceso a red: nombre, correo, dispositivo, historial de navegación.
Loyalty schemes
Historial de estancias, preferencias, puntos acumulados, comunicaciones comerciales.
Datos de salud: alergias e intolerancias
Información sobre alergias alimentarias, intolerancias o condiciones médicas relevantes para el servicio.
Reseñas y valoraciones
Opiniones publicadas por clientes en plataformas propias o externas con datos identificables.
Datos de menores de edad
Información de acompañantes menores en reservas, actividades o servicios del establecimiento.
Obligaciones concretas del establecimiento hostelero bajo el RGPD
Conocer las bases legales es el punto de partida, pero el RGPD impone obligaciones adicionales que todo establecimiento debe tener operativas.
Registro de actividades de tratamiento
Todo responsable del tratamiento debe mantener un registro actualizado de todas las actividades de tratamiento que realiza: qué datos, con qué finalidad, bajo qué base legal, durante cuánto tiempo y con qué medidas de seguridad. Este documento no se envía a ningún organismo, pero debe estar disponible ante una inspección de la AEPD.
Política de privacidad visible e información al cliente
La información sobre el tratamiento de datos debe estar accesible antes de que el cliente facilite sus datos, tanto en el canal online como en el físico. Un cartel junto al formulario de check-in o una cláusula en el pie del formulario de reserva no son opcionales.
Contratos con proveedores que accedan a datos
Cualquier proveedor que acceda a datos personales del establecimiento, desde una plataforma de reservas hasta una empresa de gestión de cámaras, debe firmar un contrato de encargado de tratamiento que regule el uso de esos datos. Sin ese contrato, la responsabilidad recae íntegramente sobre el establecimiento.
Cámaras de seguridad, wifi y datos de menores: los puntos calientes del sector
Tres tratamientos concentran la mayor parte de las sanciones y los requerimientos de la AEPD en hostelería.
Videovigilancia
Las cámaras de seguridad requieren cartel informativo visible en cada zona grabada, conservación máxima de 30 días salvo requerimiento judicial, y prohibición absoluta de instalación en aseos, vestuarios o zonas de descanso de empleados. Grabar sin cartel o conservar imágenes más allá del plazo legal son dos de las infracciones más frecuentes del sector.
Wifi público y datos de menores
El registro para acceso a wifi solo puede usarse para ese fin. Reutilizar esos datos para enviar comunicaciones comerciales sin consentimiento separado es una infracción habitual y fácilmente detectable. En cuanto a los menores, cualquier imagen publicada en redes sociales o materiales del establecimiento requiere autorización escrita individualizada de los tutores legales, independientemente del canal o del uso previsto.
Sanciones RGPD en hostelería: casos reales y cuantías
The AEPD ha emitido resoluciones sancionadoras contra establecimientos hosteleros por videovigilancia sin cartel informativo, uso indebido de datos de wifi para marketing, ausencia de política de privacidad en formularios de reserva y tratamiento inadecuado de datos de salud. Las cuantías varían según la gravedad: las infracciones leves pueden resolverse con apercibimiento, las graves conllevan multas de hasta 300.000 euros y las muy graves pueden llegar a 20 millones de euros o el 4% de la facturación anual global. La responsabilidad civil ante una reacción adversa o una brecha de seguridad añade un riesgo adicional que las pólizas estándar del sector no siempre cubren.
Formación del personal en protección de datos: quién debe recibirla y qué incluir
La protección de datos no es solo responsabilidad del propietario o del departamento jurídico. Cada persona que accede a datos personales en el establecimiento tiene obligaciones concretas.
Niveles de formación según el acceso a datos
El personal de recepción y reservas necesita formación sobre información al cliente, gestión de solicitudes de derechos y tratamiento de datos de pago. El personal de sala requiere formación específica en datos de salud y protocolo ante consultas sobre alergias. El personal de cocina debe conocer los límites del uso y conservación de la información sobre intolerancias. La dirección necesita una visión global del cumplimiento: registro de actividades, gestión de brechas y relación con proveedores. Desde el catálogo de Educa.Pro es posible acceder a training en protección de datos adaptada al sector hostelero, con contenidos diferenciados por perfil y opciones de bonificación a través de FUNDAE.
El RGPD no pide perfección: pide evidencia de que el establecimiento toma en serio su cumplimiento. Un registro actualizado, personal formado y proveedores bien contratados son, en la mayoría de los casos, suficiente para demostrar que la organización ha actuado con diligencia.