A partir de hoy, 25 de mayo, se establece la nueva directiva europea: el Reglamento de Protección de Datos. Una nueva legislación que tienen que cumplir todas las personas físicas, incluidos autónomos; y también las jurídicas (empresarios), siempre que traten los ficheros de datos personales, tanto privados como públicos. Se pone énfasis en las nuevas tecnologías para así, evitar intromisiones en la vida privada de las personas.
Dentro de nuestro sector, los propietarios de la hostelería deberán de tener en cuenta estos nuevos aspectos para evitar sanciones.
Para entender que recoge la nueva ley y en qué puede afectar al sector de la hostelería aportamos las siguientes aclaraciones.
¿QUÉ ES UN DATO PERSONAL?
El artículo 3 de la ley afirma que “un dato personal es cualquier información concerniente a personas físicas identificas o identificables, que pueda determinar su identidad física, fisiológica, psíquica, cultural, económica o social”. Se consideran datos: nombre, apellidos, dirección, matrícula, CIF/NIF, teléfono, mail, historial clínico, radiografía, fotografía, grabación de voz, video, marca física, cuenta bancaria, IP, firma, tarjeta de crédito, número de la seguridad social, número de colegiado, socio…
LA LEY EN LA HOSTELERÍA
En este sector se manejan datos de, al menos, seis modos distintos: a través de los Tpv, guardando datos de trabajadores y currículum, con las facturas de autónomos o proveedores, a través de la página web y las redes sociales del local, con la instalación de videovigilancia y, por último, los detalles que se recogen en los contratos y las nóminas de empleados.
Datos del Tpv: Al pagar a través de un TPV, se captura la información para imprimir el recibo de la operación y la emisión de una factura: número de tarjeta, importe, fecha y hora de realización. El proveedor del TPV implanta las medidas técnicas de seguridad. El hostelero debe guardar los recibos en lugar seguro donde sólo tenga acceso el personal autorizado. Si el cliente pide factura, hay que incluir la cláusula informativa garantizando la buena gestión de sus datos.
Datos de los currículos: hay que crear un fichero con todos los datos. La ley diferencia dos supuestos: cuando la empresa recoge los currículos y cuando el candidato lo envía motu proprio, pero en ambos casos, hay que informar a los candidatos de la existencia de un fichero con sus datos y de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
Datos de clientes o proveedores: la ley obliga a declarar a la Agencia de Protección de Datos todos los que se tenga de clientes y proveedores. Con el nuevo reglamento, si éstos son personas físicas, hay que declarar los ficheros. En el caso de personas jurídicas y autónomos, hay que informar de sus derechos y guardar en los ficheros sus datos personales: DNI, domicilio, teléfono, etc.
Datos generados a través de página web y redes sociales: Una empresa que se registra en las redes sociales o que tenga página web está obligada a cumplir con esta normativa en protección de datos: política de privacidad, aviso legal, política de cookies, condiciones de contratación, formularios de contacto, informar de las cláusulas en los envíos de correos electrónicos, recogida de datos personales para un sorteo.
La instalación de videovigilancia: las imágenes se consideran datos personales si se graban y almacenan y la calidad de grabación permite identificar a la persona. La ley 25/2009, de 27 de diciembre, permite “instalar y mantener equipos técnicos de seguridad por cualquier empresa aunque no esté especializada en seguridad privada y sin que sea necesario el consentimiento de los afectados por la grabación”. Si el sistema se conecta a una central externa de alarmas, tiene que hacerlo una empresa de seguridad privada autorizada por el Ministerio del Interior y se debe notificar el contrato de instalación a este departamento (las obligaciones a cumplir los detalla la instrucción 1/2006).
Relaciones con los empleados: los datos personales que se recogen para el inicio, mantenimiento y la gestión de la relación laboral no requieren un consentimiento expreso del empleado. Se suelen incluir cláusulas básicas en los contratos de trabajo que, al firmar, ya son autorizaciones de los empleados.
Los datos personales recogidos por otros motivos que no sean el contrato laboral, como las empresas de prevención de riesgos laborales o las mutuas de accidentes de trabajo y enfermedades profesionales. En ese caso, hay que informar a los trabajadores sobre: objetivo y finalidad de recoger esos datos, existencia de un fichero, quién tiene acceso a la información y quién es responsable del tratamiento de estos datos, si se ceden a terceros, quiénes serán y ofrecer la posibilidad de ejercer derecho de acceso, rectificación, cancelación y oposición.
El empresario debe afiliar a sus trabajadores y establecer su protección con una mutua de accidentes o sociedad gestora. El trabajador no tiene que consentir la cesión de sus datos, porque se necesitan para garantizar las coberturas y prestaciones.
EL INCUMPLIMIENO SE PAGA CON SANCIONES
Según los derechos personales afectados, el volumen de tratamientos efectuados, los beneficios obtenidos, el grado de intencionalidad, la reincidencia, los daños y perjuicios causados y otras circunstancias, hay tres tipos de infracción: leve, grave, y muy grave.
Son infracciones leves (601,01 € y 60.101,21 €): no pedir la inscripción al fichero de la Agencia Española de Protección de datos, recopilar datos sin informar previamente, no atender a las solicitudes de rectificación o cancelación y no atender las consultas por parte de la Agencia de Protección de Datos.
Son infracciones graves 60.101,21 € y 300.506,25: No inscribir los ficheros en la Agencia Española de Protección de datos, utilizarlos con otros fines a los iniciales, no tener el consentimiento del interesado, no permitir el acceso al fichero, mantener datos inexactos o no cambiarlos cuando lo han solicitado, no seguir principios y garantías de la Ley de Protección de Datos, tratar datos especialmente protegidos sin autorización del afectado, no remitir a la Agencia las notificaciones previstas por la ley y mantener los ficheros sin las debidas condiciones de seguridad.
Son infracciones muy graves 300.506,25 € a 601.012,1€: recabar datos especialmente protegidos sin autorización del afectado y crear ficheros con ellos, recoger datos de forma engañosa o fraudulenta, no atender y obstaculizar de forma sistemática las solicitudes de cancelación o rectificación, vulnerar el secreto sobre datos especialmente protegidos, comunicar o cederlos cuando no esté permitido, no cesar en el uso ilegítimo a petición de la Agencia de Protección de datos y desatender sistemáticamente sus requerimientos, tratarlos de forma ilegítima o sin las garantías que hay que aplicar y la transferencia temporal o definitiva de datos personales con destino a países sin el nivel de protección equiparable al nuestro o sin autorización.