Desde el pasado 25 de mayo todos debemos cumplir con la nueva directiva europea: el Reglamento de Protección de Datos. Los propietarios de locales de hostelería también deben tenerlo en cuenta para evitar sanciones.

La nueva legislación la tienen que cumplir todas las personas físicas, incluidos autónomos; y también las jurídicas (empresarios), siempre que traten ficheros de datos personales privados. Se pone énfasis en las nuevas tecnologías, para evitar intromisiones en la vida privada de las personas.

 

¿QUÉ ES UN DATO PERSONAL?

El artículo 3 de la ley afirma que “un dato personal es cualquier información concerniente a personas físicas identificas o identificables, que pueda determinar su identidad física, fisiológica, psíquica, cultural, económica o social”. Se consideran datos: nombre, apellidos, dirección, matrícula, CIF/NIF, teléfono, mail, historial clínico, radiografía, fotografía, grabación de voz, video, marca física, cuenta bancaria, IP, firma, tarjeta de crédito, número de la seguridad social, número de colegiado, socio…

 

LA LEY EN LA HOSTELERÍA

En este sector se manejan datos de, al menos, seis modos distintos: a través de los Tpv, guardando datos de trabajadores y currículum, con las facturas de autónomos o proveedores, a través de la página web y las redes sociales del local, con la instalación de videovigilancia y, por último, los detalles que se recogen en los contratos y las nóminas de empleados.

 

1. Datos del Tpv: Al pagar a través de un TPV, se captura la información para imprimir el recibo de la operación y la emisión de una factura: número de tarjeta, importe, fecha y hora de realización. El proveedor del TPV implanta las medidas técnicas de seguridad. El hostelero debe guardar los recibos en lugar seguro donde sólo tenga acceso el personal autorizado. Si el cliente pide factura, hay que incluir la cláusula informativa garantizando la buena gestión de sus datos.

 

2. Datos de los currículos: hay que crear un fichero con todos los datos. La ley diferencia dos supuestos: cuando la empresa recoge los currículos y cuando el candidato lo envía motu propio, pero en ambos casos, hay que informar a los candidatos de la existencia de un fichero con sus datos y de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.

 

3. Datos de clientes o proveedores: la ley obliga a declarar a la Agencia de Protección de Datos todos los que se tenga de clientes y proveedores. Con el nuevo reglamento, si éstos son personas físicas, hay que declarar los ficheros. En el caso de personas jurídicas y autónomos, hay que informar de sus derechos y guardar en los ficheros sus datos personales: DNI, domicilio, teléfono, etc.

 

4. Datos generados a través de página web y redes sociales: Una empresa que se registra en las redes sociales o que tenga página web está obligada a cumplir con esta normativa en protección de datos:

Política de privacidad:

– Datos identificativos del responsable del tratamiento: nombre o razón social de la empresa, dirección, DNI o CIF, correo electrónico, teléfono y fax.

– Finalidad del tratamiento.

– Compromiso de proteger la información obtenida del usuario.

– Información de la cesión o no, de los datos obtenidos, a terceros para tratamiento.

– Sobre los derechos ARCO: se informa al usuario de sus derechos de acceso, rectificación, cancelación y oposición, así como de revocar el consentimiento para el tratamiento de sus datos personales.

Aviso legal:

– Información sobre el uso, responsabilidades y obligaciones de los usuarios que se mantienen y navegan por la web.

– Identificación y comunicaciones con el propietario de la web: aquí se debe especificar de qué modo el usuario puede contactar con la empresa o particular.

– Compromisos que adquiere el usuario con la aceptación en cuanto a las cláusulas de propiedad industrial y confidencialidad entre otras.

Política de cookies:

– Informar de forma clara y precisa de que la web utiliza cookies antes de que comiencen a funcionar.

– Informar sobre qué son las cookies. Se suele recoger esta información en la política de privacidad y se enlaza con ella.

– Una vez que el usuario conoce la información, se le requiere que acepte o no el uso de cookies en el sitio web.

Condiciones de contratación:

El texto debe contener, entre otras cosas, toda la información sobre la compra: facturación, duración, derechos y obligaciones del cliente, exclusión de garantías y responsabilidad, derecho de desistimiento, precio y forma de pago.

Formularios de contacto:

Si la página web invita al usuario a rellenar formulario de contacto, hay que previamente explicarle las cláusulas de información previstas en el artículo 5 y pedirle que acepte o rechace el tratamiento de sus datos.

Informar de las cláusulas en los envíos de correos electrónicos

Para enviar correos electrónicos hay que incorporar al final del cuerpo del mensaje un breve texto con las cláusulas informativas: identidad de quien envía el correo, modo de obtención de los datos de envío, finalidad del envío del correo, cómo puede el usuario ejercitar los derechos ARCO y los pasos a seguir si el usuario no quiere recibir más comunicaciones.

Los correos publicitarios no pueden enviarse sin autorización expresa del destinatario.

Recogida de datos personales para un sorteo

Se requiere el consentimiento previo, explícito, indiscutible e informado del titular y, si es menor de 14 años, de sus padres o tutores legales. Para ello, debemos informarles sobre la finalidad de recoger esos datos y destinatarios de la información, las consecuencias de dar los datos o de la negativa a facilitarlos, la posibilidad de ejercer los derechos ARCO y, finalmente, nombre y dirección del responsable del tratamiento.

 

5. La instalación de videovigilancia: las imágenes se consideran datos personales si se graban y almacenan y la calidad de grabación permite identificar a la persona. La ley 25/2009, de 27 de diciembre, permite “instalar y mantener equipos técnicos de seguridad por cualquier empresa aunque no esté especializada en seguridad privada y sin que sea necesario el consentimiento de los afectados por la grabación”. Si el sistema se conecta a una central externa de alarmas, tiene que hacerlo una empresa de seguridad privada autorizada por el Ministerio del Interior y se debe notificar el contrato de instalación a este departamento.

 

Las obligaciones a cumplir los detalla la instrucción 1/2006: poner carteles informando de las grabaciones, tener impresos para los afectados conforme al artículo 5.1 de la Ley 15/1999 de Protección de Datos, declarar el fichero a la Agencia de Protección de Datos, implantar medidas de seguridad para las imágenes grabadas, no obtener imágenes de espacios públicos salvo que sea imprescindible para la finalidad de vigilancia que se pretenda y colocar al menos un cartel informativo en lugar visible, tanto en espacios abiertos como cerrados.

 

6. Relaciones con los empleados: los datos personales que se recogen para el inicio, mantenimiento y la gestión de la relación laboral no requieren un consentimiento expreso del empleado. Se suelen incluir cláusulas básicas en los contratos de trabajo que, al firmar, ya son autorizaciones de los empleados.

 

Los datos personales recogidos por otros motivos que no sean el contrato laboral, como las empresas de prevención de riesgos laborales o las mutuas de accidentes de trabajo y enfermedades profesionales. En ese caso, hay que informar a los trabajadores sobre: objetivo y finalidad de recoger esos datos, existencia de un fichero, quién tiene acceso a la información y quién es responsable del tratamiento de estos datos, si se ceden a terceros, quiénes serán y ofrecer la posibilidad de ejercer derecho de acceso, rectificación, cancelación y oposición.

 

El empresario debe afiliar a sus trabajadores y establecer su protección con una mutua de accidentes o sociedad gestora. El trabajador no tiene que consentir la cesión de sus datos, porque se necesitan para garantizar las coberturas y prestaciones.

 

EL INCUMPLIMIENTO SE PAGA CON SANCIONES

Según los derechos personales afectados, el volumen de tratamientos efectuados, los beneficios obtenidos, el grado de intencionalidad, la reincidencia, los daños y perjuicios causados y otras circunstancias, hay tres tipos de infracción:

 

1. Son infracciones LEVES: no pedir la inscripción al fichero de la Agencia Española de Protección de datos, recopilar datos sin informar previamente, no atender a las solicitudes de rectificación o cancelación y no atender las consultas por parte de la Agencia de Protección de Datos. (Sanción: entre 601,01 € y 60.101,21 €)

 

2. Son infracciones GRAVES: No inscribir los ficheros en la Agencia Española de Protección de datos, utilizarlos con otros fines a los iniciales, no tener el consentimiento del interesado, no permitir el acceso al fichero, mantener datos inexactos o no cambiarlos cuando lo han solicitado, no seguir principios y garantías de la Ley de Protección de Datos, tratar datos especialmente protegidos sin autorización del afectado, no remitir a la Agencia las notificaciones previstas por la ley y mantener los ficheros sin las debidas condiciones de seguridad. (Sanción: 60.101,21 € y 300.506,25 € )

 

3. Son infracciones MUY GRAVES: recabar datos especialmente protegidos sin autorización del afectado y crear ficheros con ellos, recoger datos de forma engañosa o fraudulenta, no atender y obstaculizar de forma sistemática las solicitudes de cancelación o rectificación, vulnerar el secreto sobre datos especialmente protegidos, comunicar o cederlos cuando no esté permitido, no cesar en el uso ilegítimo a petición de la Agencia de Protección de datos y desatender sistemáticamente sus requerimientos, tratarlos de forma ilegítima o sin las garantías que hay que aplicar y la transferencia temporal o definitiva de datos personales con destino a países sin el nivel de protección equiparable al nuestro o sin autorización. (Sanción: 300.506,25 € a 601.012,1 € )

 

Información facilitada por la Federación Española de Hostelería y Restauración (FEHR).