RGPD en bares y restaurantes

Tenemos noticias de varios estudios que confirman la bajísima adaptación de las empresas al Reglamento General de Protección de Datos. Hablamos de aproximadamente un 35% y el ritmo de adecuación es muy lento… Los motivos son más que evidentes:

- Falta de medios de las empresas, tanto económicos como materiales, para afrontar el cumplimiento.

- Poca claridad a la hora de realizar una adaptación.

- Las instituciones públicas todavía están clarificando y publicando guías sobre conceptos no resueltos u oscuros.

¿Y qué sucede en los bares y restaurantes? No hay estadísticas relativas a este colectivo pero podemos intuir que son muy similares o incluso inferiores. Nuestra experiencia en este sector nos permite identificar varios puntos, tanto errores comunes como consejos, que permitirá aclarar un poco más el cumplimiento del RGPD.

Las bases de datos de clientes; no todos los comercios disponen de una base de datos de clientes. En muchas ocasiones se manejan los datos de tarjetas de débito o crédito, en cuyo caso el tratamiento lo realiza la entidad bancaria. En caso de disponer de tarjetas de fidelización, programas de puntos, listas de correo, etc. sí deberá aplicarse la norma y securizar los datos. Recordemos la necesidad de obtener el consentimiento expreso para remitir publicidad electrónica a clientes y contactos.

Los trabajadores; si bien queda claro que deberá informarse sobre el tratamiento de sus datos, hay que tener en cuenta otras cuestiones como la videovigilancia que pueda afectarles, el uso de imágenes o videos en redes sociales, páginas web, publicaciones, etc. Los trabajadores son uno de los mayores problemas relacionados con la seguridad de los datos, tanto por su incumplimiento (doloso o imprudente) como posibles denuncia que puedan interponer a la empresa.

Normas y procedimientos de seguridad; en muchos casos los bares no disponen de equipos informáticos y, por tanto, solamente deberán aplicar medidas de seguridad al papel. En otros casos, se utilizan equipos para la gestión del negocio. En cualquier caso, es preceptivo documentar una política de seguridad de los datos y los procedimientos necesarios para su cumplimiento. El tamaño de la empresa no es óbice para ello, solamente varía el número y complejidad de las normas.

Los TPV’s y sistemas de comanda; aquí hablamos de seguridad de los propios sistemas. El RGPD deja claro que la seguridad deberá establecerse “a medida”, es decir, según los riesgos detectados para cada empresa. Así pues, los TPV’s de las entidades pueden ser objeto de ciberataques o intervención, y deberá valorarse si es riesgo suficiente para aplicar las medidas de seguridad necesarias. De igual modo sucede con los sistemas de comanda, objeto de “hacking” y que puede ser un punto entrada a la red del negocio.

En definitiva, el cumplimiento del RGPD en los bares y restaurantes no debe ser algo complejo pero sí es necesario, como cualquier otra empresa, adecuar la norma a cada negocio de forma concreta y precisa.

Xavier Ferretjans

Consultor en nuevas tecnologías