Si tienes un restaurante, un bar, un hotel o un apartamento turístico en España, tienes datos personales de tus clientes. Y si tienes datos personales de clientes, estás obligado a cumplir con el RGPD — sin importar tu tamaño, tu facturación ni si tienes uno o veinte empleados.
El problema es que la mayoría de negocios hosteleros lo saben de forma vaga pero no saben exactamente qué tienen que tener. Y ahí es donde llegan los sustos.
En este artículo te explico, sin tecnicismos y de forma práctica, qué necesitas tener en regla.
¿Por qué la hostelería tiene que cumplir el RGPD?
Porque manejas datos personales a diario sin darte cuenta. Cuando un cliente hace una reserva online o por teléfono, cuando un proveedor te manda una factura, cuando tienes cámaras de seguridad en el local, cuando mandas una newsletter con tus promociones o cuando contratas a un empleado — en todos esos casos estás tratando datos personales.
Y todos esos datos tienen que tratarse siguiendo las reglas del Reglamento General de Protección de Datos (RGPD) y su adaptación española, la LOPDGDD.
Lo que muchos dueños de negocios no saben es que las sanciones de la AEPD no distinguen entre una gran cadena hotelera y un bar de barrio. Las multas van desde los 40.000€ para infracciones leves hasta los 20 millones de euros o el 4% de tu facturación anual para las más graves.
Qué datos maneja un negocio hostelero
Antes de hablar de obligaciones, conviene tener claro qué datos estás tratando. En hostelería los más habituales son:
- Datos de clientes: nombre, teléfono, email, número de tarjeta para reservas o pagos
- Datos de empleados: DNI, número de cuenta, nóminas, bajas médicas
- Datos de proveedores: nombre, NIF, datos bancarios
- Imágenes de videovigilancia: si tienes cámaras en el local
- Datos de huéspedes (si tienes alojamiento): documento de identidad, nacionalidad, fecha de nacimiento
Cada uno de estos grupos tiene sus propias reglas sobre cómo recogerlos, cuánto tiempo guardarlos y quién puede acceder a ellos.
Las 5 obligaciones que no puedes ignorar
1. Registro de Actividades de Tratamiento
Es el documento donde describes qué datos recoges en tu negocio, para qué los usas, cuánto tiempo los guardas y quién tiene acceso a ellos. No es un trámite burocrático — es la base de todo. Si la AEPD te inspecciona, es lo primero que te van a pedir.
2. Política de privacidad y aviso legal en tu web
Si tienes web y en ella hay un formulario de contacto, un sistema de reservas o cualquier campo donde el cliente introduce sus datos — necesitas una política de privacidad visible y un aviso legal. No vale copiar y pegar la de otra web, tiene que estar adaptada a tu negocio real.
3. Gestión correcta de cookies
Si tu web usa cookies — y casi todas las webs con un sistema de reservas o Google Analytics las usan — necesitas un banner de consentimiento que cumpla con la normativa. No basta con tener el banner: tiene que permitir al usuario aceptar o rechazar por categorías, y tu web tiene que respetar esa elección.
4. Contratos con tus proveedores de servicios
Cada empresa externa que accede a datos de tus clientes o empleados — tu gestoría, tu plataforma de reservas como TheFork o Booking, tu proveedor de nóminas, el mantenedor de tu software — tiene que firmar contigo un contrato de encargo del tratamiento. Este contrato les obliga a proteger esos datos igual que tú. Sin él, si hay una brecha de seguridad en uno de ellos, tú eres legalmente responsable.
5. Protocolo de brechas de seguridad
Si en tu negocio se produce un incidente con datos personales — te hackean la web, pierdes un dispositivo con datos de clientes, te roban el ordenador — tienes 72 horas para notificarlo a la AEPD. Si no lo haces en ese plazo, la sanción es automática. Necesitas saber qué hacer antes de que ocurra, no después.
El caso especial de los alojamientos turísticos: el Real Decreto 933/2021
Si tienes un hotel, apartamento turístico, casa rural o cualquier tipo de alojamiento, tienes una obligación adicional desde diciembre de 2024: registrar los datos de cada huésped y comunicarlos al Ministerio del Interior a través de la plataforma SES.Hospedajes.
Esto significa recoger nombre, apellidos, documento de identidad, nacionalidad, fecha de nacimiento y otros datos de cada persona que se aloje — incluyendo menores de entre 14 y 18 años — y enviarlos telemáticamente en un plazo máximo de 24 horas desde la reserva o el inicio del servicio.
Si gestionas reservas a través de Booking, Airbnb o cualquier otra plataforma de intermediación, ojo: la plataforma también tiene que enviar esa información. Pero tú sigues siendo responsable de que se haga correctamente.
Qué pasa si no cumples
La Agencia Española de Protección de Datos puede imponerte sanciones en tres niveles:
- Infracciones leves: hasta 40.000€ — por ejemplo, no tener la política de privacidad en la web o no informar correctamente sobre las cookies
- Infracciones graves: entre 40.000€ y 300.000€ — por ejemplo, no tener el Registro de Actividades o no firmar contratos de encargo con tus proveedores
- Infracciones muy graves: hasta 20 millones de euros o el 4% de tu facturación — por ejemplo, ceder datos de clientes sin su consentimiento o ignorar una solicitud de supresión de datos
Más allá de la multa, un expediente de la AEPD es público. Para un negocio que vive de la confianza del cliente, el daño reputacional puede ser peor que la sanción económica.
El checklist: ¿estás en regla?
Revisa estos 7 puntos. Si alguno está en rojo, tienes trabajo que hacer:
- Tengo un Registro de Actividades de Tratamiento actualizado
- Mi web tiene política de privacidad y aviso legal adaptados a mi negocio
- El banner de cookies permite aceptar y rechazar por categorías
- He firmado contratos de encargo con mis proveedores externos
- Tengo un protocolo escrito para responder ante una brecha en menos de 72h
- Mis empleados saben qué datos pueden manejar y cuáles no
- Si tengo alojamiento, estoy dado de alta en SES.Hospedajes
¿Por dónde empezar?
Lo más habitual es no saber por dónde empezar porque el RGPD parece enorme. La realidad es que para un negocio hostelero pequeño o mediano, ponerse en regla no requiere meses ni un equipo jurídico.
Lo que sí requiere es hacerlo bien desde el principio: documentación real adaptada a tu negocio, no plantillas genéricas descargadas de internet que no dicen nada sobre lo que realmente haces.
Si quieres que lo revisemos juntos y te diga exactamente qué te falta, puedes escribirme desde el formulario de contacto. Sin compromiso, en menos de 24 horas te digo qué situación tienes y cuánto costaría solucionarlo.
¿Te ha sido útil este artículo? Compártelo con otros dueños de negocios hosteleros de tu zona. Cuanto más sepamos todos, menos sustos nos llevamos.