Una acción cotidiana que la mayoría habremos hecho alguna vez es llamar a un restaurante para reservar una mesa, o bien contactar mediante un formulario o correo electrónico para ese mismo fin.
Es posible que pienses que el restaurante se puede poner en contacto contigo para informarte de alguna novedad o promoción y quizás te preguntes: ¿es legal esta práctica? Y es que: ¿Qué pueden hacer los establecimientos, tales como bares o restaurantes, con tus datos personales?
En este artículo, desde Legálitas te daremos las principales claves que debes conocer sobre cómo afecta el reglamento de protección de datos al sector de la hostelería, tanto si tienes un negocio como si eres cliente y te preocupa el tratamiento de tus datos.
¿Qué establecimientos deben cumplir con la normativa de protección de datos?
En primer lugar, debemos saber que todos los establecimientos que forman parte del sector hostelero están obligados a cumplir con la normativa de protección de datos, si tratan datos personales, ya sean de clientes o de empleados o proveedores.
No importa el tamaño del establecimiento ni sus cifras de facturación: todos son iguales ante la ley y deben cumplir la normativa a rajatabla.
Protección de datos en el ámbito digital
Si el establecimiento dispone de un boletín de noticias o envía comunicaciones por correo electrónico, debe contar con anterioridad del consentimiento del destinatario, así como una manera clara de identificar quién envía dicho correo.
El consentimiento tiene que reunir una serie de requisitos legales que el Reglamento General de Proteccion de datos (RGPD) define en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".
Si no se tiene el consentimiento del cliente o destinatario, no se le podrá enviar mensajes, ya sean informativos o publicitarios no solicitados.
En el caso de tener una página web, esta debe estar adaptada también a la normativa de protección de datos y tener publicada su política de privacidad, de uso de las cookies, etc, y tener en cuenta, en lo que le afecte, otra normativa, como como a la Ley de servicios de la sociedad de la información y de comercio electrónico y la Ley General para la Defensa de los Consumidores.
¿A qué sanciones me enfrento si tengo un negocio de hostelería y no cumplo con la normativa de protección de datos?
Asimismo, es de extrema importancia tener en cuenta las sanciones a las que se enfrenta un negocio de hostelería, como cualquier otro incumplidor de esta normativa, que pueden llega a ser muy elevadas. En casos extremos, la máxima sanción prevista en la norma es de 20 millones de euros, o el 4% de facturación de la empresa.
Novedades RGPD para restaurantes
Por último, no menos relevante es conocer qué pasos debe dar un negocio, si aún no lo ha hecho, para cumplir el Reglamento General de la Unión Europea de Protección de Datos (RGPD), en vigor desde 2018, así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Para gestionar un bar o restaurante de acuerdo con la normativa vigente, es necesario adoptar una actitud “proactiva” a fin de evitar los riesgos en el manejo de los datos personales, con medidas técnicas y organizativas apropiadas.
¿Puede un restaurante usar mis datos para mandarme ofertas?
Asimismo, si gestionamos un restaurante y queremos saber si le podemos mandar ofertas a nuestros clientes, por ejemplo, por SMS o por correo electrónico, o bien si somos los clientes y queremos saber si esta práctica es legal, todo depende del consentimiento que se haya dado al respecto.
Si, por ejemplo, se ha hecho la reserva para comer o cenar mediante un formulario en la página web del establecimiento, solo es legal recibir publicidad si se ha aceptado de forma explícita, ya sea marcando la casilla adecuada al enviar el formulario o por cualquier otro método.
Al contrario que lo que ocurría con la anterior legislación, actualmente no se contempla la idea de “consentimiento tácito”, es decir, el consentimiento debe ser explícito y sin dejar lugar a dudas: no sirve con “dar por hecho” que la persona está conforme con recibir comunicaciones u ofertas.
Como ya indicábamos anteriormente, el consentimiento, para ser válido, debe cumplir los requisitos previstos en la normativa vigente.