Sector · Hostelería

RGPD para restaurantes y hostelería sin sanciones

Restaurantes, bares y hoteles gestionan datos personales en cuatro frentes simultáneos: reservas online, marketing por WhatsApp y email, registro horario de empleados y videovigilancia. Cada uno con sus propias reglas — y la AEPD las inspecciona con frecuencia tras denuncias de clientes o ex-empleados.

Calcular mi tarifa para restauranteLeer la guía completa

Por qué el RGPD es crítico en un restaurante

El RGPD en un restaurante regula cómo recoges, conservas y utilizas los datos personales de comensales, empleados y proveedores en cuatro frentes simultáneos: reservas online, marketing por WhatsApp y email, registro de jornada laboral y videovigilancia. Aplican el Reglamento (UE) 2016/679, la LOPDGDD (LO 3/2018) y la LSSI-CE (Ley 34/2002).

A diferencia de otros sectores B2B, la hostelería es uno de los más denunciados ante la AEPD por dos motivos: la rotación elevada del personal (ex-empleados que conocen las prácticas internas) y el volumen de clientes que aporta el contacto directo, lo que multiplica la superficie de exposición. La AEPD ha publicado guías sectoriales sobre videovigilancia (versión 2024) y sobre marketing directo aplicables a bares, restaurantes y hoteles.

El servicio "rgpd restaurante" de Cardeseo cierra los cuatro frentes con pack documental completo, publicación de textos legales en la web de reservas y soporte continuo ante inspecciones AEPD, todo desde 349 € al año. Una resolución sancionadora media en este sector se mueve entre 5.000 € y 100.000 € (rango orientativo AEPD para pymes), por encima del coste del servicio en un único expediente.

La adecuación es obligatoria desde el momento en que tratas datos personales — y no hay restaurante que no lo haga: nombre y teléfono del cliente para reserva, lista de proveedores con NIF, hoja de jornada del personal y cámaras del local son tratamientos cotidianos sujetos a la normativa. Cumplir bien protege la reputación, evita sanciones y blinda al negocio frente a la denuncia más habitual: la del ex-empleado descontento.

Reservas online y datos del cliente

Cuando un cliente reserva mesa, ya sea por teléfono, formulario web o app, el restaurante recoge nombre, teléfono, número de comensales y, a veces, alergias o preferencias. La base jurídica de este tratamiento es el Art. 6.1.b RGPD (ejecución de un contrato) — el cliente solicita un servicio (mantener la mesa reservada) y el restaurante necesita esos datos para prestarlo. NO se requiere consentimiento marcado en una casilla para esta finalidad concreta.

La confusión habitual es pensar que cualquier tratamiento de datos exige consentimiento. La AEPD lo ha aclarado en múltiples guías: cuando el dato es estrictamente necesario para ejecutar el servicio que el interesado ha pedido, basta con informar (cláusula informativa en el formulario o en el momento de la llamada) sin solicitar consentimiento expreso.

La cláusula informativa debe incluir: responsable del tratamiento (restaurante con CIF y dirección), finalidad (gestión de la reserva), base jurídica (ejecución de contrato), plazo de conservación (típicamente 1 año desde la reserva), destinatarios (apps de reserva si las usas) y derechos del interesado (acceso, rectificación, supresión).

El plazo de conservación de los datos de reserva debe ser proporcional. Una vez consumido el servicio y cerrada la factura, los datos deben suprimirse salvo obligación legal (Hacienda exige conservar facturas 4 años por la LGT, pero el dato del comensal en sí mismo no debe conservarse más allá de lo necesario). Cardeseo te facilita la política de retención correcta.

Si la reserva incluye alergias alimentarias, ese dato es categoría especial del Art. 9 RGPD (salud) y requiere base jurídica adicional: protección de intereses vitales (Art. 9.2.c) o consentimiento explícito. Lo razonable es informar al cliente y obtener su consentimiento expreso al recogerlo, archivándolo junto con la reserva.

WhatsApp y SMS marketing en hostelería

El envío de promociones, ofertas del día o newsletters por WhatsApp o SMS a clientes de la base de datos es una de las áreas con más sanciones AEPD en hostelería. El régimen aplicable es el Art. 21 LSSI-CE: prohibido el envío de comunicaciones comerciales no solicitadas por medios electrónicos sin consentimiento previo y expreso del destinatario.

La excepción canónica está en el Art. 21.2 LSSI-CE: el envío sin consentimiento previo es lícito cuando se cumplen estas tres condiciones acumulativamente: (a) existe relación contractual previa con el destinatario (cliente que ya consumió), (b) la comunicación se refiere a productos o servicios propios y análogos a los originalmente contratados, y (c) se ofrece un medio sencillo, gratuito y visible para oponerse o darse de baja en cada envío. Sin estas tres condiciones, hace falta consentimiento expreso previo (opt-in).

El teléfono que el cliente facilita para confirmar una reserva NO es consentimiento de marketing. La AEPD lo ha repetido en varias resoluciones: la finalidad para la que se recogió el dato (reserva) es distinta de la finalidad de marketing (promociones), y mezclar ambas sin consentimiento separado es ilícito.

El flujo correcto es el doble opt-in: el cliente marca activamente una casilla (no pre-marcada — TJUE Planet49 C-673/17 de 1/10/2019 prohíbe casillas pre-marcadas) en el formulario de reserva o en el momento de pagar, donde solicita recibir promociones. Después, recibe un email o SMS de confirmación al que debe responder. Cardeseo te facilita el flujo y las cláusulas correctas.

La sanción por enviar marketing por WhatsApp sin consentimiento se mueve entre 3.000 € y 30.000 € en casos típicos de hostelería, según volumen de envíos y reincidencia. La AEPD ha sancionado a establecimientos por envíos masivos a antiguos clientes con consentimientos no documentados.

Recuerda también la obligación de mantener prueba documental del consentimiento (Art. 7.1 RGPD): debes poder demostrar quién, cuándo y cómo dio el consentimiento. Un screenshot del formulario o un registro en la base de datos con timestamp y dirección IP son válidos.

Programas de fidelización y bases jurídicas

Un programa de fidelización (tarjeta de cliente, descuentos por visitas, regalos de cumpleaños) implica un tratamiento adicional de datos más allá de la simple gestión de reservas: historial de consumo, preferencias culinarias, fecha de cumpleaños, frecuencia de visita.

Las bases jurídicas posibles son dos: consentimiento del Art. 6.1.a RGPD (lo más habitual y recomendable) o interés legítimo del Art. 6.1.f RGPD previo test de ponderación documentado. El consentimiento es la opción más sencilla y la que ofrece mayor seguridad jurídica.

El test de ponderación de interés legítimo, cuando se opta por esa vía, debe documentarse por escrito y archivarse. Compara el interés legítimo del restaurante (mantener relación comercial, conocer al cliente) con los derechos y libertades del interesado, ponderando expectativas razonables y posibilidades de oposición. La AEPD revisa este documento en inspección.

La inscripción al programa debe ser informada y voluntaria. La cláusula informativa especifica los datos recogidos, la finalidad concreta de fidelización, el plazo de conservación (típicamente mientras el cliente sea miembro activo más 2 años desde la baja) y los destinatarios.

Cuando combinas el programa de fidelización con marketing por WhatsApp o email, son DOS consentimientos separados: uno para fidelización (programa) y otro para marketing (envío de comunicaciones comerciales). Mezclar ambos en una sola casilla "Acepto" invalida ambos consentimientos por falta de granularidad (Art. 7.2 RGPD).

Videovigilancia en comedor y cocina

Las cámaras en restaurante y cocina están reguladas por la Guía AEPD de Videovigilancia 2024, que actualiza la versión anterior con criterios más estrictos. Las reglas principales aplicables a hostelería son cinco.

Primero: cartel homologado AEPD visible desde la entrada del local, indicando que se accede a una zona videovigilada, identificando al responsable y proporcionando información para ejercer derechos. El cartel debe ser visible antes de que el cliente entre en la zona grabada — un cartel detrás del mostrador no cumple.

Segundo: plazo máximo de conservación de 30 días desde la grabación, salvo causa justificada (denuncia presentada, investigación en curso, requerimiento judicial). Pasado ese plazo, las grabaciones deben borrarse automáticamente. Cardeseo te configura el sistema y la política.

Tercero: prohibición de grabar zonas de descanso del personal, vestuarios, baños y zonas íntimas. La instalación de cámaras en estas áreas es sanción automática tras inspección AEPD por denuncia de empleado, con multas habituales desde 10.000 €.

Cuarto: prohibición general de grabar audio. El Art. 89.2 LOPDGDD establece que el tratamiento de datos personales mediante sistemas de cámaras o videocámaras se limita a la imagen, salvo cuando resulte relevante para la finalidad de seguridad y respetando los principios de proporcionalidad y mínima intervención. La grabación sistemática de audio en zonas de atención al público es desproporcionada salvo justificación específica documentada.

Quinto: información a los empleados conforme al Art. 89.1 LOPDGDD. Cuando las cámaras se usen para control laboral, debes haber informado expresamente, de forma clara y previa, a los trabajadores sobre la existencia y finalidad de estos dispositivos. La información al comité de empresa, si lo hay, también es obligatoria.

Las cámaras orientadas a la vía pública o a propiedades vecinas son ilícitas salvo excepción justificada y proporcionada. La cámara debe encuadrar exclusivamente la zona privativa del negocio.

Apps de reserva (TheFork, OpenTable) y encargados del tratamiento

Cuando el restaurante utiliza una plataforma externa para gestionar reservas (TheFork, OpenTable, CoverManager, Mozrest), esa plataforma es encargada del tratamiento conforme al Art. 28 RGPD. Es obligatorio firmar contrato de encargo de tratamiento entre el responsable (el restaurante) y el encargado (la plataforma).

El contrato debe contener los elementos del Art. 28.3 RGPD: objeto y duración del tratamiento, naturaleza y finalidad, tipo de datos personales y categorías de interesados, obligaciones y derechos del responsable, medidas técnicas y organizativas, autorización (general o específica) para sub-encargados, asistencia al responsable en derechos del interesado y obligaciones, y devolución o supresión de datos al finalizar.

Las plataformas grandes (TheFork del grupo Tripadvisor, OpenTable de Booking Holdings) ofrecen condiciones de tratamiento estándar que incorporan en sus términos de servicio. Conviene revisar que esas condiciones cumplen los requisitos del Art. 28 RGPD y archivar la versión firmada o aceptada. Las plataformas más pequeñas o españolas a veces no incorporan estas cláusulas y hay que solicitarlas expresamente.

Si la plataforma transfiere datos fuera del Espacio Económico Europeo (EEE) — TheFork procesa parte de sus datos en EEUU — debe haber base legítima de transferencia: cláusulas contractuales tipo (SCC) actualizadas, decisión de adecuación (EU-US Data Privacy Framework para EEUU desde julio 2023) o garantías equivalentes. Cardeseo audita estos flujos.

El uso de la plataforma debe documentarse en el Registro de Actividades de Tratamiento (RAT) del restaurante (Art. 30 RGPD), identificando a la plataforma como encargado y describiendo el flujo de datos.

Reseñas online y respuestas públicas

Cuando un cliente publica una reseña en Google Maps, TripAdvisor o redes sociales y el restaurante responde públicamente, hay que tener cuidado porque la respuesta puede tratar datos personales del comensal (nombre que aparece en la reseña, referencias a su comportamiento, mención del grupo con el que vino).

La regla general: responder a reseñas no requiere consentimiento del autor, pero el responder con información personal del cliente que no aparezca en la reseña SÍ es tratamiento de datos personales y puede ser desproporcionado. Por ejemplo, si la reseña dice "fui el sábado", responder "Sr. García, el sábado 5 de mayo a las 21:30 reservó 4 personas y consumió 87 €" añade datos del cliente que él no compartió públicamente.

La respuesta correcta es genérica, agradece o lamenta sin desvelar datos privados y, si quieres tratar el caso, invita a continuar la conversación en privado por email o teléfono. Esto protege al restaurante de denuncias por divulgación indebida de datos personales y mejora la percepción pública.

Las reseñas claramente falsas, difamatorias o que vulneran derechos del restaurante pueden disputarse por los canales internos de cada plataforma (Google, TripAdvisor) o, en casos graves, ejercitar acciones legales por intromisión ilegítima en el derecho al honor (LO 1/1982). Cardeseo te orienta en la elección del canal.

Empleados, registro de jornada y RGPD laboral

El registro de jornada laboral es obligatorio para todos los trabajadores conforme al Art. 34.9 ET (introducido por el RD-Ley 8/2019). Debe registrarse el inicio y fin de cada jornada, conservarse 4 años conforme al Art. 21.5 LISOS (RDLeg 5/2000), y permitir consulta del trabajador, del comité de empresa si lo hay y de la Inspección de Trabajo y Seguridad Social.

La base jurídica del tratamiento de datos de los empleados es el Art. 6.1.b RGPD (ejecución del contrato laboral). NO se requiere consentimiento del trabajador para tratar sus datos en lo estrictamente necesario para la relación laboral — el consentimiento incluso podría considerarse viciado por la posición de desigualdad (EDPB Opinion 2/2017).

El registro debe ser accesible para la ITSS. Las sanciones por infracción de la obligación de registrar jornada se tipifican como graves en el Art. 7.5 LISOS, con cuantías del Art. 40.1.b LISOS (de 751 € a 7.500 € en cuantía mínima, hasta 225.018 € en cuantías muy graves). El criterio canónico de la ITSS (Criterio Técnico 101/2019) es que la sanción se impone por infracción detectada en la empresa, no por trabajador ni automáticamente por centro de trabajo.

La prescripción de las infracciones graves laborales es de 3 años (Art. 4.1 LISOS), y no debe confundirse con el plazo de 4 años de conservación del registro mismo (Art. 21.5 LISOS).

El uso de huella dactilar o reconocimiento facial para fichaje es tratamiento de datos biométricos del Art. 9 RGPD. Las directrices AEPD 2023 lo han endurecido: solo es lícito cuando hay base jurídica clara y se ofrece alternativa proporcional (tarjeta, código). En hostelería, lo recomendable es fichaje por código o tarjeta — la huella dactilar puede dar lugar a denuncia de empleado por falta de proporcionalidad. Fichados, la app de Cardeseo, ofrece fichaje compatible con RGPD sin biometría.

Sanciones AEPD orientativas para hostelería

El régimen sancionador del RGPD distingue dos tramos: el Art. 83.4 (infracciones leves y graves) con multas de hasta 10 millones € o el 2% del volumen de negocio anual mundial, y el Art. 83.5 (infracciones muy graves) con multas de hasta 20 millones € o el 4%. Para pymes de hostelería, el rango orientativo real de las resoluciones AEPD en los últimos años se mueve entre 5.000 € y 100.000 €.

Los factores agravantes habituales en hostelería son: intencionalidad o negligencia (incumplimiento sistemático tras advertencia), magnitud del daño (número de clientes afectados), categorías de datos especialmente protegidas afectadas (datos de salud por alergias) y reincidencia. La AEPD aplica criterios de proporcionalidad y suele tener en cuenta la actitud cooperadora del responsable y las medidas adoptadas tras detectar la infracción.

La advertencia previa AEPD, regulada por el Art. 58.2.b RGPD en conexión con el Art. 83.2 RGPD y el Art. 76 LOPDGDD, permite que en infracciones de menor gravedad y con voluntad de cumplimiento, la autoridad emita advertencia sin sanción económica. Esto es habitual en primeros expedientes a pymes que demuestran haber iniciado proceso de adecuación.

La prescripción de las infracciones AEPD es de 2 años para las graves y 3 años para las muy graves (Art. 78 LOPDGDD). El plazo se cuenta desde el día en que la infracción se hubiera cometido.

El criterio jurisprudencial consolidado de la Audiencia Nacional y el Tribunal Supremo valora positivamente que el responsable haya implantado un sistema documental RGPD previo a la inspección, lo que suele traducirse en reducciones de cuantía o en archivo del expediente cuando la infracción es subsanable.

Cómo adecua Cardeseo un restaurante

El servicio anual de adecuación RGPD para restaurantes y hostelería de Cardeseo cuesta desde 349 € al año para establecimientos con hasta 5 empleados. El servicio incluye los siguientes hitos.

Hito 1: análisis previo del establecimiento mediante cuestionario y, si procede, llamada de cualificación con el responsable. Identificamos tratamientos de datos activos, sistemas de reserva, plataformas externas, sistemas de cámaras y modelo de marketing. Auditoría documental de la web del restaurante.

Hito 2: entrega del pack documental completo en formato PDF firmado: Registro de Actividades de Tratamiento adaptado al negocio, política de privacidad para la web, política de cookies, cláusulas informativas para hoja de reserva, formulario web, fidelización y empleados, contrato de encargo modelo para apps de reserva y proveedores, política de videovigilancia con texto del cartel homologado, política de retención y procedimientos de derechos del titular.

Hito 3: publicación de los textos legales en la web del restaurante (cuando hay web propia). El equipo técnico de Cardeseo se encarga de la implementación o coordina con el equipo del cliente.

Hito 4: soporte continuo durante 12 meses con SLA de respuesta en 24 horas para inspecciones AEPD, denuncias o consultas. Email dedicado: departamentojuridico@cardeseo.com. Atención telefónica al +34 604 56 05 48.

Hito 5: revisión anual del expediente y actualización del pack ante cambios normativos (nueva Guía AEPD, modificaciones de la LOPDGDD, sentencias relevantes del TJUE). El pack se mantiene siempre actualizado sin coste adicional.

Si el restaurante necesita fichaje horario digital compatible con RGPD, Cardeseo recomienda Fichados (https://fichados.es), su propia app de fichaje sin biometría, integrada con la operativa documental del servicio. El precio se mantiene en 349 € al año para el tier estándar pyme, con tarifas específicas para grupos con varias sociedades vinculadas o cadenas con múltiples centros.

Preguntas frecuentes

¿Necesito consentimiento para guardar datos de reservas?

No, la base jurídica de las reservas es el Art. 6.1.b RGPD (ejecución de contrato): el cliente pide un servicio y necesitas sus datos para prestarlo. Basta con informar mediante cláusula informativa que indique responsable, finalidad, plazo de conservación y derechos. Cardeseo te facilita la cláusula correcta para tu hoja de reserva, formulario web y app. Si recoges datos de alergias, eso sí requiere consentimiento expreso por ser dato de salud del Art. 9 RGPD.

¿Puedo mandar WhatsApp con la oferta del día?

Solo si tienes consentimiento expreso previo del cliente para esa finalidad concreta de marketing, o si se cumplen las tres condiciones acumulativas del Art. 21.2 LSSI-CE: relación contractual previa, productos análogos a los contratados y posibilidad sencilla de oposición en cada envío. El teléfono recogido para confirmar reserva NO es consentimiento de marketing. Cardeseo te facilita el flujo de doble opt-in y las cláusulas correctas para captarlo legalmente.

¿Vale cualquier cámara en cocina?

No. La Guía AEPD de Videovigilancia 2024 exige cartel homologado visible desde la entrada, plazo máximo de conservación de 30 días salvo causa justificada, prohibición de grabar audio salvo excepción (Art. 89.2 LOPDGDD), prohibición absoluta de grabar vestuarios, baños y zonas de descanso del personal, e información previa a los empleados conforme al Art. 89.1 LOPDGDD. Cardeseo audita tu instalación y te facilita el cartel homologado y la política.

¿Qué hago con las reseñas negativas que mencionan a clientes?

Responde de forma genérica sin desvelar datos privados del cliente que no aparezcan en la reseña pública. Invita a continuar la conversación en privado por email o teléfono. Mencionar fechas, importes consumidos o detalles personales del comensal en la respuesta pública puede constituir tratamiento desproporcionado de datos personales y derivar en denuncia. Si la reseña es claramente falsa o difamatoria, dispútala por los canales internos de Google o TripAdvisor.

¿Tengo que dar de alta el fichero en la AEPD?

No. La obligación de notificar ficheros a la AEPD desapareció con el RGPD en mayo de 2018. Lo que sí tienes es la obligación de mantener un Registro de Actividades de Tratamiento (RAT) interno conforme al Art. 30 RGPD, accesible y actualizado, que la AEPD puede requerirte en cualquier inspección. Cardeseo incluye el RAT en el pack documental, adaptado a tu restaurante y listo para presentar.

¿Y los empleados, qué control horario uso?

El registro de jornada del Art. 34.9 ET es obligatorio. Puedes usar hoja manual, hoja Excel firmada diariamente, o app digital. La huella dactilar y el reconocimiento facial requieren consentimiento explícito y alternativa proporcional según directrices AEPD 2023 — no es lo recomendable. Cardeseo recomienda fichaje por código o tarjeta, o su propia app Fichados (sin biometría, compatible con RGPD). El registro debe conservarse 4 años conforme al Art. 21.5 LISOS.

Próximos pasos

Si gestionas un restaurante, bar, hotel o cualquier negocio de hostelería en España, la adecuación RGPD no es opcional. Cardeseo cierra los cuatro frentes (reservas, marketing, videovigilancia y empleados) desde 349 € al año con pack documental completo, publicación de textos legales en tu web y soporte continuo ante inspecciones AEPD.

Consulta el detalle del servicio en Cumplimiento Legal Cardeseo o calcula tu tarifa en menos de 60 segundos en el onboarding RGPD. Si prefieres explorar primero las plantillas, tienes los modelos disponibles en recursos y plantillas. Para entender el contexto normativo general puedes consultar la guía qué es el RGPD.

Para una consulta sectorial concreta, contacta con el departamento jurídico de Cardeseo en departamentojuridico@cardeseo.com o llama al +34 604 56 05 48. Respondemos en 24 horas con propuesta personalizada.

← Volver a cumplimiento legalEmpezar adecuación RGPD →