Los restaurantes y cadenas de restauración, como parte de su actividad principal, tratan datos personales de clientes, empleados y proveedores desde el momento en el que se realiza la reserva hasta el posterior cobro. En consecuencia, los restaurantes están obligados a confeccionar e implantar un plan de protección de datos de acuerdo con lo establecido en el Reglamento General de Protección de Datos.
Como parte del cumplimiento de la protección de datos de los restaurantes, los Responsables deberán implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre de la sociedad. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los clientes que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.
A continuación, explicamos las obligaciones de protección de datos que deben cumplir los restaurantes y cadenas de restauración:
1. Realizar el análisis de riesgos.
Los restaurantes deben realizar analizar los riesgos de las actividades de tratamiento. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas para mitigarlo. No obstante, lo cierto es que, en los restaurantes, como norma general, no suele existir un alto riesgo en el tratamiento de datos, puesto que no se gestiona información sensible. Algunos restaurantes dan un servicio más personalizado, y registran datos relativos a alergias o intolerancias de clientes, otros son activos en el envío de publicidad, y en ambos casos el riesgo podría elevarse un poco más.
2. Informar a los interesados.
El restaurante debe cumplir con el principio de transparencia de acuerdo con lo establecido en el RGPD. Debe informar a los interesados sobre el tratamiento de sus datos, a través de medios acreditables y en el momento de recogida de datos, no de forma posterior. Para informar a los clientes, por ejemplo, se pueden colocar carteles informativos en la entrada del local.
De igual forma, se deben incluir mensajes o grabaciones telefónicas de protección de datos antes de que el cliente realice la reserva, lo que permite informarle sobre los fines del tratamiento de datos y garantizar que el cliente conozca el destino de su información. La información y el consentimiento pueden ser verbales, pero debe recabarse por escrito para que sea acreditable.
En el caso de contar con una página web, debe incluir los textos legales requeridos: política de privacidad, política de cookies y el aviso legal general, así como cláusulas informativas y de consentimiento según proceda.
3. Recabar el consentimiento para el tratamiento de datos.
Como norma general los restaurantes tratan datos de clientes basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. No obstante, existen determinados tratamientos de datos que requieren el consentimiento, como pueden ser la captación de videos o fotos de clientes para promocionar los servicios en la red o el envío de ofertas y promociones personalizadas, como, por ejemplo, ofertas de cenas por San Valentín. De igual forma, existen casos relacionados con el envío de publicidad en los que puede ser obligatorio el consentimiento. Debe tenerse en cuenta que, si un cliente facilita su teléfono móvil para realizar una reserva, ello no implica que este autorizando el envío de publicidad a su móvil. Resulta imprescindible en los restaurantes evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que nos permitan cumplir con esta obligación.
4. Permitir el ejercicio de derechos de los interesados.
Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los clientes tengan en todo momento el control sobre su información. Para ello los restaurantes deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.
Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción del RGPD. Las solicitudes de bajas de publicidad suelen ser las que mayor número de conflictos generan.
5. Firmar los compromisos de confidencialidad con los empleados.
Los empleados van a tener acceso a la información de clientes, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en el restaurante y se comprometan a cumplirlas.
Resulta clave que todos los empleados del restaurante reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas de protección de datos a la empresa.
6. Firmar los contratos con los encargados de tratamiento.
Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, entre otras. Los restaurantes deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.
7. Realizar las auditorías periódicas.
Algunos restaurantes, y en concreto las cadenas de restauración, van a manejar grandes cantidades de datos debido al alto número de clientes, e incluso datos de salud relativos a las alergias o intolerancias, de tal modo, y tal como establece la normativa, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.
En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica.
Somos Delegados de Protección de Datos Certificados.
Solicítanos un presupuesto ajustado en email info@umbraconsulting.es
Asesora legal