¿Qué es la LOPD y cómo afecta a un restaurante?
Ante un entorno cada vez más digitalizado, gestionar adecuadamente los datos personales se ha vuelto esencial para el funcionamiento de cualquier empresa de restauración. Debido al gran volumen de información que se recopila diariamente al desempeñar sus actividades. Es posible que ya estés familiarizado con la Ley Orgánica de Protección de Datos (LOPD), pero ¿realmente conoces en profundidad cómo afecta esta legislación a tu restaurante? La verdad es que no existe sector que quede fuera del alcance de la aplicación de esta normativa, y por ende, el ámbito de aplicación de la LOPD en restauración también se ve implicado. “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Indica la ley, en el artículo 2. Ámbito de aplicación. A continuación, veremos un poco más sobre qué es esta ley, y cómo afecta al sector de restauración, y las formas de evitar posibles sanciones ante el incumplimiento de las normas. ¿Qué es la LOPD o Ley Orgánica de Protección de Datos? Aunque muchos aún se refieren a la Ley de Protección de Datos como LOPD. Lo cierto es que el nombre completo de la ley actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). En este artículo utilizaremos las siglas LOPD y LOPDGDD indistintamente para referirnos a la ley actualmente entrada en vigor. La ley tiene como objetivo adaptar la legislación Española a las regulaciones europeas, finalizadas por el Reglamento General de Protección de Datos (GDPR), con entrada en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018 a todo el territorio europeo. Al hablar de protección de datos en España, la ley LOPDGDD, establece los requisitos y responsabilidades para la protección de datos en las empresas y cómo proceder con la información personal bajo su custodia. De esta manera, es posible prevenir que los datos personales de clientes y usuarios se usen para violar su privacidad y otros derechos y libertades fundamentales. Podría interesarle: El Parlamento Europeo prevé aprobar una ley para defenderse de los ciberataques en 2024 Es importante mencionar que el propósito de esta Ley es hacer que las empresas y organizaciones tengan un mayor compromiso respecto al tratamiento de datos personales y archivos recibidos de los usuarios y su protección. ¿A qué se considera datos personales? Según la página oficial de la Unión Europea. “Los datos personales son cualquier información relacionada con una persona identificada o identificable. Como por ejemplo: nombre y apellidos, dirección, número de documento de identidad/pasaporte, ingresos, perfil cultural, dirección de protocolo internet (IP) datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios)”. Hay datos que se consideran de menor riesgo, como el correo electrónico o el nombre de la persona; sin embargo, hay otros datos confidenciales de alto riesgo, como los datos sensibles relacionados con la salud o la religión. Sin embargo, los datos que no permitan identificar a una persona no se considerarán datos de carácter personal. Por ejemplo, manuales de maquinaria, pronósticos meteorológicos o datos que se han vuelto anónimos y ya no se pueden vincular a nadie. Diferencias entre LOPD y RGPD En España, existen dos normativas que regulan el tratamiento de datos personales: El Reglamento General de Protección de Datos (RGPD): Es el marco legal europeo para la protección de datos y de obligado cumplimiento en toda la UE y el EEE (Espacio Económico Europeo). La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD): Adapta el Reglamento europeo al ordenamiento jurídico español, si bien añade y desarrolla algunos aspectos que la norma europea deja a disposición de los Estados miembros. ¿Cómo afecta la LOPD a los restaurantes? Entre las categorías que pueden verse directamente afectadas ante la normativa vigente estarían: El incumplimiento de la LOPD en el ámbito de restauración puede resultar en sanciones económicas significativas, – las veremos en el último punto de este artículo – que no solo impactarían tu economía, sino que también podrían perjudicar la reputación de tu establecimiento. ¿Cómo cumplir con la LOPD en un negocio de restauración? Para que la protección de datos en restaurantes sea correcta y puedas evitar enfrentarte a sanciones elevadas, puedes tomar en cuenta los siguientes aspectos: Evaluación de riesgos Antes de cualquier tratamiento de datos, se debe ejecutar una evaluación de riesgos, la cual permitirá identificar la probabilidad de ocurrencia del riesgo y el nivel de impacto que podría tener sobre los afectados. Lea también: LA AEPD impone la primera sanción por la utilización de patrones oscuros en el diseño de la interfaz de usuario de una página web para configurar las opciones de privacidad Por ejemplo, en un restaurante, si mantenemos una lista de clientes frecuentes con sus respectivos datos para aplicar descuentos o promociones especiales. Y además, si esta – o cualquier otra – información sensible está almacenada en un ordenador accesible para cualquier empleado porque no se manejan con contraseña, existe el riesgo de exposición o robo de estos datos para fines no deseados, como envío de spam o intentos de fraude. Gracias a la evaluación de riesgos, conoceremos las posibilidades de que esto suceda y qué medidas son las más apropiadas para prevenirlo, como establecer una contraseña, limitar el acceso de empleados a la computadora o cifrar la lista. Registro de actividades de tratamiento de datos Si en tu establecimiento se manejan datos personales de forma sistemática o a gran escala, si se han instalado cámaras de seguridad, o si cuentas con más de 250 empleados, es obligatorio mantener un registro de actividades de tratamiento de datos. Su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos Este registro documenta la información concerniente a los tratamientos de datos personales que se llevan a cabo en un restaurante, y debe contener la siguiente información: Dicho registro de actividades de procesamiento debe estar constantemente actualizado y debe estar a disposición de la Agencia Española de Protección de Datos