Cumplimiento

RGPD hostelería y restauración España

RGPD para hoteles, restaurantes y bares 2026: reservas, registro viajeros, CCTV, wifi, fidelización. Guía práctica con sanciones AEPD reales del sector.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. El sector hostelero español trata datos de reservas, registro de viajeros obligatorio, CCTV, wifi y fidelización con riesgo de sanción AEPD habitual entre 3.000 EUR y 50.000 EUR principalmente por CCTV mal configurada, base de datos compradas y cesión de datos a plataformas.

Puntos clave

  • Registro de viajeros obligatorio en hoteles: Real Decreto 933/2021.
  • CCTV: cartel obligatorio, conservación máxima 30 días, no zonas íntimas.
  • Plataformas como Booking, Airbnb: corresponsables o encargados según caso.
  • Datos en TPV y wifi gratuito: base jurídica específica requerida.
  • Fidelización y CRM: doble opt-in y separación de finalidades.

1. Registro de viajeros: tratamiento obligatorio

El Real Decreto 933/2021 (vigente desde octubre 2024) exige a hoteles, apartamentos turísticos y alquileres vacacionales registrar datos detallados de viajeros (nombre, DNI, fecha nacimiento, datos de pago) y comunicarlos al Ministerio del Interior. Base jurídica: obligación legal art. 6.1.c RGPD.

Obligaciones complementarias:

  • Informar al cliente sobre el tratamiento en momento de check-in.
  • Conservación tres años desde el alta.
  • Medidas de seguridad reforzadas (datos de identificación + pago).
  • Notificación de brecha si compromiso.

2. Reservas online y plataformas

Booking, Expedia, Airbnb, TripAdvisor actúan como:

  • Responsable cuando captan reserva y luego ceden datos al hotel.
  • Encargado si solo procesan en nombre del hotel.
  • Corresponsable en escenarios mixtos.

Cada hotel debe analizar el contrato concreto. La AEPD ha sancionado hoteles por enviar marketing sin verificar la base jurídica original de la plataforma.

3. Wifi gratuito a clientes

Tres escenarios:

Escenario Datos tratados Base jurídica
Wifi abierto sin registro IP, MAC Interés legítimo
Wifi con login email + email Consentimiento informado
Wifi con datos personales + DNI, teléfono Consentimiento explícito + información

La práctica de pedir DNI para wifi requiere consentimiento informado y debe ser proporcional. La AEPD ha sancionado a hoteles por exigir datos excesivos.

4. CCTV en establecimientos

Sanciones AEPD frecuentes por:

  • Cámaras en zonas íntimas (baños, vestuarios, habitaciones).
  • Cámaras en zona de empleados sin información laboral.
  • Conservación más de 30 días.
  • Falta de cartel informativo.
  • Grabaciones compartidas en grupo de WhatsApp.

Sanciones típicas: 3.000-15.000 EUR. Caso 2024: 30.000 EUR a cadena hotelera por cámaras en habitaciones del personal.

5. Fidelización y CRM

Programas tipo “club” o “VIP” exigen:

  • Información clara sobre tratamientos (operativo + marketing + perfilado).
  • Casillas separadas para cada finalidad.
  • Doble opt-in en alta online.
  • Posibilidad de baja en cada comunicación.

La compra de bases de datos para marketing turístico es prácticamente siempre infracción.

6. Datos de pago y PCI-DSS

El sector hostelero maneja millones de tarjetas. Obligaciones:

  • Cumplimiento PCI-DSS según volumen.
  • TPV homologado.
  • No conservar CVV bajo ninguna circunstancia.
  • Tokenización si se necesita re-cobro.
  • Notificación AEPD + cliente en caso de brecha.

7. Empleados: datos laborales en hostelería

Alta rotación implica gran volumen de altas y bajas. Riesgos:

  • Conservación excesiva de currículums tras procesos.
  • Falta de información en momento de contratación.
  • Datos de salud para uniformes/comidas: justificación específica.
  • Datos de menores trabajadores en formación profesional.

Ver RGPD recursos humanos.

8. Reservas telefónicas y grabación

Si el establecimiento graba llamadas para confirmación de reserva o calidad:

  • Información clara al inicio: “esta llamada puede ser grabada”.
  • Base jurídica: ejecución de contrato (reserva) o interés legítimo (calidad).
  • Conservación limitada al plazo necesario.
  • Acceso restringido a las grabaciones.

9. Información a clientes en cartas y menús

QR codes para acceder a cartas digitales tratan datos:

  • Si solo muestran la carta: no tratamiento personal.
  • Si requieren login o tracking: información y base jurídica.
  • Si conectan con pedidos: contrato.

La integración con sistemas tipo TheFork, ElTenedor, OpenTable obliga a revisar contratos art. 28 RGPD.

10. Sanciones AEPD relevantes en hostelería

Establecimiento Importe (EUR) Motivo
Cadena hotelera (4*) 30.000 CCTV habitaciones personal
Restaurante Madrid 15.000 Email marketing sin consentimiento
Hotel boutique 25.000 Brecha sin notificar 72h
Restaurante celebración 10.000 Fotos clientes en RRSS
Hotel rural 8.000 Wifi pidiendo DNI sin info
Cadena bares franquicia 35.000 Lista negra clientes morosos

11. Brechas en hostelería

El sector hotelero es objetivo prioritario de ataques (PMS, sistemas de reservas). Procedimiento ante brecha:

  1. Identificación y contención inmediata.
  2. Análisis del alcance (qué datos, cuántos clientes).
  3. Notificación AEPD en 72 horas si riesgo.
  4. Comunicación a afectados si alto riesgo.
  5. Análisis forense y medidas correctivas.
  6. Documentación completa para registro art. 33.5.

12. Cómo cumplir RGPD en hostelería

  • Registro de actividades por servicio.
  • Información de tratamiento en check-in, web, app y cartas.
  • Contratos art. 28 con plataformas y proveedores tecnológicos.
  • Política CCTV con cartel y conservación 30 días.
  • Política específica de registro de viajeros conforme RD 933/2021.
  • Doble opt-in en marketing y fidelización.
  • Plan de respuesta a brechas.
  • Formación al personal de recepción y sala.

FAQ

¿Es obligatorio enviar mis datos al Ministerio del Interior si me alojo en un hotel?

Sí. El Real Decreto 933/2021 obliga al establecimiento. El cliente debe ser informado pero no puede oponerse al tratamiento operativo de la obligación legal.

¿Puedo pedir que un restaurante deje de enviarme emails?

Sí. Ejerza el derecho de oposición (art. 21 RGPD) o use el link de baja en el email. Tienen 48-72 horas para cesar.

¿Pueden poner cámaras en la cocina o vestuarios?

En cocina sí con información laboral y proporcionalidad. En vestuarios NO bajo ninguna circunstancia conforme al art. 89 LOPDGDD.

¿Booking comparte mis datos con el hotel?

Sí, conforme a su política de privacidad y al contrato hotel-Booking. El hotel asume responsabilidades sobre los datos una vez recibidos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →