Cumplir con la protección de datos en el registro de clientes en banquetes

La actividad de los establecimientos de ocio nocturno (discotecas, salas de baile y bares especiales con y sin actuaciones musicales) ha quedado suspendida en la Comunidad de Madrid como consecuencia de los rebrotes de Covid-19. Y así ha quedado establecido hasta el fin de la vigencia de las actuaciones coordinadas en salud pública. Sin embargo, hasta hace unos días las discotecas, salas de baile y bares especiales (con o sin actuaciones musicales) debían llevar un registro de clientes para facilitar el seguimiento por parte de las autoridades sanitarias de posibles contagios.  Esta medida sigue en vigor para los salones de banquetes y eventos, que deben llevar un registro de clientes.

• LAS FUNDACIONES COMO IMPULSORAS DE LA ECONOMIA SOCIAL
• NUEVA ERA EN EL REGISTRO HOTELERO (RD 933/2021): LA AEPD PROHÍBE EXPLÍCITAMENTE SOLICITAR COPIAS DE DNI O PASAPORTE A HUÉSPEDES
• El ICAM otorga el Premio a la Innovación Jurídica al Dr. Efrén Díaz Díaz por su trabajo sobre el uso dual civil y militar en el espacio
• El derecho como vocación y servicio: entrevista a Manuel Cuchet
• La Comunidad de Madrid amplía beneficios fiscales en herencias desde el 1 de julio 2025

En la Comunidad de Madrid, los salones de eventos y banquetes siguen teniendo que cumplir con llevar un registro de clientes (y es probable que los locales de ocio nocturno tengan que cumplirla cuando se les permita retomar su actividad). Los empresarios deben solicitar los datos identificativos y el teléfono de contacto a los asistentes a un evento y conservar dicha información para facilitar su localización en si se detecta un rebrote de Covid-19. En el caso concreto de Madrid, deben conservarla durante 28 días. Lee aquí las Medidas preventivas en aplicación actuaciones coordinadas en salud pública en situación especial riesgo COVID-19.

De este modo, se incrementa el riesgo de un incumplimiento en el tratamiento de estos datos y, por tanto, en la apertura de un expediente sancionador por parte de la Agencia Española de Protección de Datos (AEPD). Este riesgo se puede concretar en una inspección o en una denuncia que presente cualquier cliente que haya dado sus datos personales y acabar en sanción para el establecimiento.

Claves para cumplir con el RGPD

¿Qué pueden hacer los empresarios para garantizar el cumplimiento de la normativa? Desde nuestra área de Tecnología y Telecomunicaciones, el abogado Alejandro Álvarez Serrano y nuestro colaborador Carlos Albareda, señalan ocho aspectos básicos para el cumplimiento en materia de protección de datos que deberían tener en cuenta los empresarios de estos sectores en las comunidades autónomas donde deban realizar dicho registro:

1. Estar adecuados a la normativa de protección de datos que instauró el Reglamento General de Protección de Datos (RGPD). Esto implica tener un Registro de Actividades de Tratamiento actualizado, recoger los datos con el consentimiento informado, libre y expreso de los titulares de los datos personales, etc.
2. Contar con un protocolo de actuación para el caso de que un cliente decida ejercitar alguno de sus derechos: acceso, rectificación, supresión (olvido), oposición, limitación del tratamiento, etc.
3. Proteger la confidencialidad de los distintos documentos con datos personales, ya sean en formato físico o digital. Esto supone que el cuaderno o dispositivo electrónico en el que se registren los datos personales de los clientes estén debidamente protegidos, ya sea bajo llave, con una contraseña o con un código de acceso.
4. El dispositivo de registro de los datos debe ser propiedad de la empresa. Tanto si se usa un móvil, una Tablet o un portátil, este siempre debe pertenecer a la empresa. En ningún caso se puede usar un dispositivo que pertenezca a los trabajadores y/o colaboradores de la empresa.
5. Los datos deben ser recogidos por personal laboral de la empresa. Si es alguien subcontratado, se ha de tener un contrato de encargado de tratamiento en el que se regule cómo se van a tratar esos datos personales que se recogen por cuenta de la empresa. Las cláusulas deben ser revisadas por un abogado de confianza que esté especializado en contratos en el ámbito de la protección de datos, asegurándose que estén adaptadas a la realidad particular de cada negocio.
6. Los datos deben estar a disposición de las autoridades. Si la entidad ha designado un delegado de protección de datos (DPD, o DPO en sus siglas en inglés), este será quien actúe de enlace con la autoridad de control.
7. Es necesario comunicar a los titulares de los datos personales la finalidad para la que se recaban sus datos. En la normativa autonómica se señalará dicha finalidad. Los empresarios deben saber que si utilizan dichos datos para otros fines como enviar publicidad del local u otro tipo de comunicaciones, se expondrá a ser denunciado ante la Agencia Española de Protección de Datos (AEPD).
8. Los datos recabados con esta finalidad deben ser destruidos en el mínimo tiempo posible y con sujeción a los plazos que fijen las autoridades competentes, si los hay.

Lo más recomendable es que los empresarios que estén obligados a desempeñar esta nueva función busquen asesoramiento legal especializado. De hecho, hay algunas empresas que están obligadas a contar con un Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO) y no cumplen con este requisito por desconocimiento. De hecho, recientemente la AEPD multaba con 25.000 euros a la empresa Glovo por no contar con un Delegado de Protección de Datos.

Tal como ha señalado la AEPD, el perfil ideal para buscar asesoramiento es el de un abogado con formación específica en la normativa de privacidad y protección de datos, que informe tanto al responsable como al encargado del tratamiento de los datos personales sobre sus obligaciones legales, asegurando el cumplimiento normativo y cooperando con la autoridad de control.

De ser necesario, este profesional podrá ejercer como Delegado de Protección de Datos (DPD) y, al ser un abogado, podrá representar los intereses de la empresa frente a posibles conflictos legales relacionados con la protección de datos, en expedientes sancionadores, etc. Si necesita asesoramiento legal para el cumplimiento de su empresa en materia de protección de datos, contacte con nuestro equipo de especialistas.