Educa.Pro Blog

RGPD en hostelería: qué datos recopilan los hoteles y restaurantes y cómo gestionarlos legalmente

July 15, 2026 - Educa.Pro editorial team
RGPD en hostelería: qué datos recopilan los hoteles y restaurantes y cómo gestionarlos legalmente

Cualquier establecimiento hostelero trata datos personales desde el momento en que alguien hace una reserva. La mayoría lo sabe. Lo que no siempre saben es cuántos tipos de datos distintos están gestionando, bajo qué base legal amparan cada tratamiento y qué consecuencias tiene hacerlo mal. El Reglamento General de Protección de Datos no distingue entre una gran cadena hotelera y un restaurante familiar: las obligaciones son las mismas, y las sanciones también.

Qué datos personales trata la hostelería (y por qué es más de lo que parece)

Un hotel o restaurante no solo gestiona nombres y correos electrónicos. El mapa de datos del sector es más amplio de lo que muchos responsables de establecimiento asumen.

Un sector con más datos de los que parece

Las reservas online y el check-in generan datos de contacto, preferencias y fechas de estancia. Los pagos incluyen datos bancarios y de tarjeta. Los programas de fidelización construyen perfiles de comportamiento del cliente a lo largo del tiempo. Las cámaras de seguridad capturan imágenes de clientes y empleados. El wifi público registra dispositivos y, en muchos casos, hábitos de navegación. Las anotaciones sobre alergias o intolerancias son datos de salud, una categoría especialmente protegida. Las reseñas y valoraciones pueden contener datos identificables. Y si el establecimiento tiene servicios para familias, también tratará datos de menores. Cada uno de estos tratamientos tiene su propia base legal, su propio plazo de conservación y sus propios requisitos de documentación.

Bases legales para el tratamiento de datos en hostelería

El RGPD no exige consentimiento para todo. Exige que cada tratamiento tenga una base legal válida y que el responsable pueda acreditarla. En hostelería se aplican principalmente tres: ejecución de contrato, obligación legal e interés legítimo, además del consentimiento cuando no aplica ninguna de las anteriores.

Cuando aplica cada base y cómo documentarla

Bases legales RGPD en hostelería: qué aplica y cómo documentarlo

Selecciona el tipo de tratamiento de datos para ver la base legal, cómo documentarla y el riesgo de incumplimiento

📋 Reservas online
💳 Datos de pago
📷 Cámaras de seguridad
📶 Wifi público
Loyalty schemes
🌾 Datos de salud (alergias)
Reseñas y valoraciones
👶 Datos de menores
☝️ Selecciona un tipo de tratamiento para ver la base legal aplicable
📋

Reservas online y check-in

Nombre, contacto, fechas de estancia, preferencias de habitación, número de personas.

Base legal: Ejecución de contrato (art. 6.1.b RGPD)
Por qué aplica
El tratamiento es necesario para prestar el servicio contratado. No se necesita consentimiento adicional.
Cómo documentarlo
Política de privacidad accesible antes de la reserva, cláusula informativa en formulario de check-in.
Plazo de conservación
Mínimo 5 años por obligaciones fiscales y mercantiles.
Error frecuente
Solicitar consentimiento cuando ya existe base contractual: genera confusión y no añade protección.
✅ Tratamiento de bajo riesgo si la información al cliente es clara y el plazo de conservación está definido.
💳

Datos de pago

Número de tarjeta, titular, datos bancarios, historial de transacciones.

Base legal: Ejecución de contrato (art. 6.1.b RGPD)
Por qué aplica
Necesario para completar el pago del servicio. Los datos de tarjeta se rigen además por PCI DSS.
Cómo documentarlo
Pasarela de pago certificada, nunca almacenar datos de tarjeta en sistemas propios sin certificación PCI.
Plazo de conservación
El estrictamente necesario para el servicio y las obligaciones legales (5 años fiscal).
Error frecuente
Guardar datos de tarjeta en hojas de Excel o sistemas no seguros: infracción grave.
⚠️ Alto riesgo. Las brechas de seguridad en datos de pago son de notificación obligatoria a la AEPD en 72 horas.
📷

Cámaras de seguridad

Imágenes de clientes, empleados y espacios comunes del establecimiento.

Base legal: Interés legítimo (art. 6.1.f RGPD)
Por qué aplica
La seguridad del establecimiento es un interés legítimo reconocido, siempre que sea proporcional.
Cómo documentarlo
Cartel informativo visible en zona grabada, registro de actividad de tratamiento, plazo de conservación máximo 30 días.
Zonas prohibidas
Aseos, vestuarios, zonas de descanso de empleados. La captación en estas zonas es infracción muy grave.
Error frecuente
No colocar cartel o conservar imágenes más de 30 días sin motivo legal que lo justifique.
⚠️ La AEPD ha sancionado establecimientos por ausencia de cartel y por conservación indebida de imágenes.
📶

Wifi público

Datos de registro para acceso a red: nombre, correo, dispositivo, historial de navegación.

Base legal: Consentimiento (art. 6.1.a RGPD)
Por qué aplica
El usuario decide libremente conectarse y facilitar sus datos para acceder al servicio.
Cómo documentarlo
Portal cautivo con casilla de aceptación de política de privacidad, no marcada por defecto.
Límite de uso
Los datos captados solo pueden usarse para el servicio de wifi, no para marketing sin consentimiento expreso adicional.
Error frecuente
Usar el correo capturado en wifi para enviar newsletters sin consentimiento específico para ese fin.
⚠️ El uso de datos de wifi para marketing sin consentimiento separado es una de las infracciones más detectadas en el sector.

Loyalty schemes

Historial de estancias, preferencias, puntos acumulados, comunicaciones comerciales.

Base legal: Consentimiento + Contrato (arts. 6.1.a y 6.1.b RGPD)
Por qué aplica
La gestión de puntos es contractual; el envío de comunicaciones comerciales requiere consentimiento explícito.
Cómo documentarlo
Formulario de alta con doble capa informativa: datos del programa (contrato) y comunicaciones (consentimiento separado).
Derecho de baja
El cliente puede retirar el consentimiento a comunicaciones sin perder su condición de miembro del programa.
Error frecuente
Condicionar la inscripción al programa a la aceptación de comunicaciones comerciales: no es consentimiento libre.
✅ Correcto si se separan claramente las dos bases legales y se garantiza el derecho a retirar el consentimiento comercial.
🌾

Datos de salud: alergias e intolerancias

Información sobre alergias alimentarias, intolerancias o condiciones médicas relevantes para el servicio.

Base legal: Consentimiento explícito (art. 9.2.a RGPD) — Categoría especial
Por qué aplica
Los datos de salud son categoría especial bajo el RGPD y requieren consentimiento explícito, no tácito.
Cómo documentarlo
Declaración firmada o casilla específica con información sobre el uso exclusivo para gestión del servicio alimentario.
Límite de uso
Solo pueden usarse para la prestación del servicio. No pueden compartirse con terceros ni usarse con otros fines.
Error frecuente
Anotar alergias en sistemas compartidos sin control de acceso o conservarlas más allá de la estancia.
⚠️ Máximo riesgo. Los datos de salud exigen medidas de seguridad reforzadas. Su tratamiento inadecuado es infracción muy grave.
💬

Reseñas y valoraciones

Opiniones publicadas por clientes en plataformas propias o externas con datos identificables.

Base legal: Interés legítimo (art. 6.1.f RGPD)
Por qué aplica
Gestionar la reputación online del establecimiento es un interés legítimo reconocido.
Cómo documentarlo
Política de privacidad que contemple el tratamiento de reseñas y el derecho del cliente a solicitar su eliminación.
Derecho de supresión
El cliente puede solicitar la eliminación de su reseña si contiene datos personales identificables.
Error frecuente
Publicar respuestas a reseñas que incluyen datos personales del cliente sin su consentimiento.
✅ Bajo riesgo si la política de privacidad lo contempla y las respuestas públicas no incluyen datos personales del reclamante.
👶

Datos de menores de edad

Información de acompañantes menores en reservas, actividades o servicios del establecimiento.

Base legal: Obligación legal + Consentimiento parental (arts. 6.1.c y 8 RGPD)
Por qué aplica
Los menores de 14 años requieren consentimiento de padre, madre o tutor legal para cualquier tratamiento.
Cómo documentarlo
En reservas, los datos del menor se asocian al contrato del adulto. Actividades específicas requieren autorización escrita parental.
Fotografías
Nunca publicar imágenes de menores en redes sociales o materiales del establecimiento sin autorización expresa de los tutores.
Error frecuente
Publicar fotos de actividades infantiles del hotel o restaurante sin consentimiento individualizado de cada familia.
⚠️ Alto riesgo reputacional y legal. Las imágenes de menores sin autorización son infracción grave independientemente del canal.

Obligaciones concretas del establecimiento hostelero bajo el RGPD

Conocer las bases legales es el punto de partida, pero el RGPD impone obligaciones adicionales que todo establecimiento debe tener operativas.

Registro de actividades de tratamiento

Todo responsable del tratamiento debe mantener un registro actualizado de todas las actividades de tratamiento que realiza: qué datos, con qué finalidad, bajo qué base legal, durante cuánto tiempo y con qué medidas de seguridad. Este documento no se envía a ningún organismo, pero debe estar disponible ante una inspección de la AEPD.

Política de privacidad visible e información al cliente

La información sobre el tratamiento de datos debe estar accesible antes de que el cliente facilite sus datos, tanto en el canal online como en el físico. Un cartel junto al formulario de check-in o una cláusula en el pie del formulario de reserva no son opcionales.

Contratos con proveedores que accedan a datos

Cualquier proveedor que acceda a datos personales del establecimiento, desde una plataforma de reservas hasta una empresa de gestión de cámaras, debe firmar un contrato de encargado de tratamiento que regule el uso de esos datos. Sin ese contrato, la responsabilidad recae íntegramente sobre el establecimiento.

Cámaras de seguridad, wifi y datos de menores: los puntos calientes del sector

Tres tratamientos concentran la mayor parte de las sanciones y los requerimientos de la AEPD en hostelería.

Videovigilancia

Las cámaras de seguridad requieren cartel informativo visible en cada zona grabada, conservación máxima de 30 días salvo requerimiento judicial, y prohibición absoluta de instalación en aseos, vestuarios o zonas de descanso de empleados. Grabar sin cartel o conservar imágenes más allá del plazo legal son dos de las infracciones más frecuentes del sector.

Wifi público y datos de menores

El registro para acceso a wifi solo puede usarse para ese fin. Reutilizar esos datos para enviar comunicaciones comerciales sin consentimiento separado es una infracción habitual y fácilmente detectable. En cuanto a los menores, cualquier imagen publicada en redes sociales o materiales del establecimiento requiere autorización escrita individualizada de los tutores legales, independientemente del canal o del uso previsto.

Sanciones RGPD en hostelería: casos reales y cuantías

The AEPD ha emitido resoluciones sancionadoras contra establecimientos hosteleros por videovigilancia sin cartel informativo, uso indebido de datos de wifi para marketing, ausencia de política de privacidad en formularios de reserva y tratamiento inadecuado de datos de salud. Las cuantías varían según la gravedad: las infracciones leves pueden resolverse con apercibimiento, las graves conllevan multas de hasta 300.000 euros y las muy graves pueden llegar a 20 millones de euros o el 4% de la facturación anual global. La responsabilidad civil ante una reacción adversa o una brecha de seguridad añade un riesgo adicional que las pólizas estándar del sector no siempre cubren.

Formación del personal en protección de datos: quién debe recibirla y qué incluir

La protección de datos no es solo responsabilidad del propietario o del departamento jurídico. Cada persona que accede a datos personales en el establecimiento tiene obligaciones concretas.

Niveles de formación según el acceso a datos

El personal de recepción y reservas necesita formación sobre información al cliente, gestión de solicitudes de derechos y tratamiento de datos de pago. El personal de sala requiere formación específica en datos de salud y protocolo ante consultas sobre alergias. El personal de cocina debe conocer los límites del uso y conservación de la información sobre intolerancias. La dirección necesita una visión global del cumplimiento: registro de actividades, gestión de brechas y relación con proveedores. Desde el catálogo de Educa.Pro es posible acceder a training en protección de datos adaptada al sector hostelero, con contenidos diferenciados por perfil y opciones de bonificación a través de FUNDAE.
El RGPD no pide perfección: pide evidencia de que el establecimiento toma en serio su cumplimiento. Un registro actualizado, personal formado y proveedores bien contratados son, en la mayoría de los casos, suficiente para demostrar que la organización ha actuado con diligencia.

Latest posts

Scroll to Top