RGPD en restaurantes, ¿cómo afecta a mi negocio?
Seguramente, a estas alturas del año, cuando el Reglamento General de Protección de Datos (en adelante, “RGPD”) está en vigor desde hace siete meses, habrá bastantes empresas que no están adaptadas a la nueva legislación. Si no estás actualizado al RGPD puedes arriesgarte a multas de hasta 20.000.000 Euros como máximo o el 4% del volumen de negocio total anual y, la Autoridad de Control competente, en España la Agencia Española de Protección de Datos (AEPD) optará por la cuantía mayor. En Letslaw podemos ayudaros a estar adaptados tanto a la RGPD como a la nueva LOPD.
¿Cómo sé si trato datos personales en mi restaurante?
Empecemos por el principio. ¿Qué es un dato personal? Se considera dato personal a toda información sobre una persona física identificada o identificable. Será identificable cuando la identidad de un individuo pueda determinarse, directa o directamente, mediante un dato identificador, como, por ejemplo, un nombre, dirección de correo electrónico o datos de localización.
Entonces, la respuesta a la pregunta es fácil. Siempre que se traten datos que permitan identificar a una persona física, ya sea un comensal, un empleado o un proveedor, estarás tratando datos personales.
Los restaurantes, en su día a día, recopilan una gran cantidad de datos personales de los comensales que acuden a comer a su establecimiento y pueden obtener los datos por vías muy diversas como, a través del formulario de reservas en la página web, vía telefónica o de manera presencial en el propio restaurante y, asimismo, tratan y procesan datos personales de todos sus empleados.
¿Qué tengo que hacer si instalo cámaras de videovigilancia?
La imagen de una persona en la medida que lo identifica o pueda identificarla constituye un dato de carácter personal que podrá ser objeto de tratamiento con diversas finalidades. La más común es garantizar la seguridad de personas, bienes e instalaciones y, al suponer un tratamiento de datos personales.
Cuando se realiza un tratamiento de imágenes con fines de seguridad, deberá valorarse y contemplar, entre otras cosas, los siguientes principios:
- Legitimación: la finalidad de la videovigilancia en un restaurante consiste en garantizar la seguridad de personas, bienes e instalaciones por lo que el interés público legitima dicho tratamiento. El considerando 45 del RGPD contempla que si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.
- Proporcionalidad: los datos personales deben ser recogidos con fines determinados, explícitos y legítimos. Es decir, que las imágenes solo pueden ser tratadas para la finalidad que ha motivado la instalación de las cámaras de videovigilancia, vinculada con garantizar la seguridad de personas, bienes e instalaciones.
- Minimización de datos: los datos objeto del tratamiento deben ser adecuados, pertinentes y limitados con la finalidad de su tratamiento. Además, la minimización está relacionada con el número de cámaras que se instalan para perseguir la mencionada finalidad. Es decir, que el número de cámaras sea razonable.
- Principio de responsabilidad proactiva: es una de las obligaciones del responsable del tratamiento que deberá demostrar y proporcionar evidencias del cumplimento de los principios establecidos en el RGPD. Se deberá elaborar un documento interno, llamado Registro de Actividades en el que se refleje quién es el responsable, los fines del tratamiento, las medidas técnicas y organizativas de seguridad, entre otros. Desde Letslaw ofrecemos un asesoramiento adecuado para la redacción del Registro de Actividades.
- Informar a los interesados: es imperativo que se cumpla con el derecho de información, mediante un distintivo informativo que será colocado en un lugar visible en el que se aporte información mínima, pero de manera clara y transparente.
Por otro lado, las imágenes y sonidos captados por los sistemas de videovigilancia que hagan grabación de imágenes deberán ser cancelados en el plazo máximo de un mes desde su captación. Sin embargo, en el caso de que en la observación de las grabaciones se aprecian infracciones penales o administrativas graves o muy graves y existe una investigación en curso, no se deberán eliminar.
Recomendaciones para verificar si cumplo con el RGPD en restaurantes
Para garantizar que un restaurante está bien adecuado a la normativa RGPD y que realiza un tratamiento correcto de los datos personales deberá realizar una serie de acciones concretas que desarrollamos a continuación.
Según lo dispuesto en el RGPD y tal y como indicábamos en el punto anterior, los restaurantes deberán obtener un consentimiento explícito de los interesados para proceder al tratamiento de sus datos. Por ello y si el restaurante cuenta con página web, esta deberá contar con los textos legales adaptados a la nueva normativa y siempre accesibles para los interesados (Aviso Legal, Política de Privacidad y Política de Cookies).
Además, se deberá informar a los interesados de todos los mecanismos de los que disponen para ejercer los derechos que le son reconocimos en el RGPD. Estos mecanismos deben resultar sencillos y de fácil acceso para todos los interesados.
Por otro lado, se deberá cumplir con el principio de responsabilidad proactiva. Por ello deberán realizar: (i) un análisis de riesgos por el que se valoren las posibles brechas y contingencias del tratamiento de los datos, analizar el riesgo y las probabilidades de ese riesgo; (ii) un registro de actividades en el que se establezcan las medidas técnicas y organizativas de seguridad para garantizar una correcta protección de los datos personales.
LETSLAW
Por todo ello, el cumplimiento, por parte de bares y restaurantes, de la actual normativa en protección de datos no es algo complejo, aunque sí necesario. Es interesante llevar a cabo una adecuación ad hoc a la casuística del bar o restaurante y para eso es preciso contar con un asesoramiento óptimo.
En Letslaw contamos con un equipo especializado en materia de protección de datos personales. Desde Letslaw analizamos y revisamos todas las cuestiones sobre esta normativa, al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa para evitar que sean sancionadas.
Si quieres información sobre la adaptación al RGPD de tu empresa, y evitar posibles sanciones, puedes consultarnos.