info.nospam@etersystem.es +34 671 787 567
Normativa hostelería

LOPDGDD y RGPD aplicados a restaurantes: reservas, fidelización, wifi y delivery

Última revisión: 3 de mayo de 2026 Lectura ≈ 6 min · 1.117 palabras

Resumen rápido

  • La LOPDGDD + RGPD aplican a cualquier restaurante que recoja datos personales (reservas, fidelización, wifi, delivery, encuestas).
  • Obligaciones clave: Registro de Actividades de Tratamiento (RAT), política de privacidad, consentimientos expresos, contratos con encargados de tratamiento, gestión de derechos ARSULIPO.
  • Si delegas reservas, fidelización o delivery en una plataforma externa, debes tener firmado contrato de encargado de tratamiento.
  • Las cookies de tu web se rigen por el art. 22 LSSI + RGPD: banner conforme con consentimiento granular.
  • Multas hasta 20 millones € o 4 % de la facturación global anual, lo que sea mayor.
Descarga este resumen en PDF
Cuando un restaurante recoge datos personales —y prácticamente todos lo hacen— entra automáticamente en el ámbito del Reglamento General de Protección de Datos (RGPD, UE 2016/679) y de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Las fuentes habituales de datos personales en hostelería son: reservas online (nombre, teléfono, email), programas de fidelización, wifi gratis con login, encuestas de satisfacción, listas de difusión por email o WhatsApp, sistemas de cámaras (videovigilancia), recogida de datos a través de plataformas de delivery y, en algunos casos, lectura del documento de identidad (hoteles con servicio integrado). La sanción por filtración o tratamiento sin consentimiento puede ser muy elevada (hasta 20 millones € o 4 % de la facturación global anual). Y lo más importante: a la AEPD le da igual el tamaño del negocio. Ha sancionado a bares de barrio por banners de cookies mal configurados con multas de varios miles de euros. Esta guía explica todas las obligaciones aplicables y cómo cumplir sin gastar una fortuna.

01 Datos personales típicos en un restaurante #

  • Reservas: nombre, teléfono, email, número de comensales, alergias.
  • Fidelización: identificadores, historial de visitas, preferencias.
  • Wifi gratis con login: email, móvil o redes sociales.
  • Encuestas y reseñas con datos identificativos.
  • Newsletters y mensajes promocionales.
  • Videovigilancia: imágenes de empleados y clientes.
  • Pago con tarjeta (a través del TPV de tu banco; tú no almacenas el PAN, pero sí gestionas operaciones).
  • Datos de delivery (Glovo, UberEats, JustEat) que llegan a tu cocina.

02 Registro de Actividades de Tratamiento (RAT) #

El RAT es el documento que la AEPD pide siempre que inspecciona. Es obligatorio para cualquier empresa con datos personales (con muy escasas exenciones para microempresas con tratamientos no recurrentes). Debe contener al menos:

  • Identificación del responsable (datos del restaurante).
  • Finalidades de cada tratamiento (reservas, fidelización, wifi…).
  • Categorías de interesados y de datos.
  • Destinatarios (encargados de tratamiento, transferencias).
  • Plazo de conservación de cada categoría de dato.
  • Medidas técnicas y organizativas de seguridad.

La AEPD ofrece la herramienta gratuita Facilita que genera un RAT básico para PYMES en pocos minutos.

03 Política de privacidad y consentimientos #

Toda recogida de datos debe ir acompañada de información clara al interesado:

  • Política de privacidad accesible en web, formularios y en el propio local.
  • Consentimiento expreso e informado mediante casilla NO premarcada.
  • Información en capas: resumen al recoger el dato + política completa enlazada.
  • Identificación del responsable, fines, base jurídica, destinatarios, plazos y derechos.

El consentimiento debe ser granular: no puedes pedir uno único para reservas + marketing + cesión a terceros. Cada finalidad lleva su casilla independiente.

04 Encargados de tratamiento (proveedores) #

Si delegas el tratamiento de datos en un proveedor externo (software de reservas, fidelización, email marketing, plataforma de delivery), ese proveedor es encargado de tratamiento:

  • Debes tener firmado un contrato de encargo de tratamiento que cumpla con el art. 28 RGPD.
  • El contrato regula qué datos se ceden, para qué fines, durante cuánto tiempo y con qué medidas de seguridad.
  • Si el proveedor está fuera de la UE (EEUU, India), debes verificar las garantías de transferencia internacional (cláusulas contractuales tipo).

EterSystem firma contrato de encargo con todos sus clientes desde el alta para que esta obligación quede cubierta sin gestión adicional.

05 Derechos del cliente (ARSULIPO) #

El RGPD reconoce un conjunto ampliado de derechos al interesado, conocidos por el acrónimo ARSULIPO:

  • Acceso: saber qué datos tienes de él.
  • Rectificación.
  • Supresión (derecho al olvido).
  • Limitación del tratamiento.
  • Oposición.
  • Portabilidad.
  • No estar sujeto a decisiones automatizadas con efectos significativos.

Debes responder a cualquier solicitud en un plazo máximo de 1 mes (prorrogable a 2 meses por complejidad). El silencio se interpreta como denegación y abre la puerta a la denuncia ante la AEPD.

06 Cookies en tu web #

Las cookies se rigen por el art. 22 de la LSSI + RGPD:

  • Banner conforme con tres opciones reales: aceptar todas, rechazar todas, configurar.
  • Consentimiento granular por categorías (técnicas, analíticas, publicitarias, terceros).
  • El rechazo debe ser tan accesible como la aceptación (no escondido en menús).
  • Sin cookies hasta que el usuario consienta (excepto las técnicas estrictamente necesarias).
  • Listado público de cookies utilizadas con finalidad y duración.

La AEPD ha sancionado a bares y restaurantes pequeños por banners no conformes con multas de 1.000 a 30.000 €. Es uno de los puntos donde más expedientes se abren.

07 Videovigilancia #

Si tienes cámaras de seguridad en el local:

  • Cartel informativo visible en el acceso con icono de cámara, responsable y datos de contacto.
  • Inscribir el tratamiento en el RAT.
  • Conservación máxima 30 días (RGPD), salvo que sea necesario por incidente.
  • No grabar la vía pública, salvo lo imprescindible (acceso al local).
  • Si grabas a empleados, informar previamente y respetar la negociación colectiva.

08 Sanciones #

  • Infracciones leves: hasta 40.000 €.
  • Infracciones graves: hasta 300.000 € o el 2 % de la facturación global anual.
  • Infracciones muy graves: hasta 20 millones € o el 4 % de la facturación global anual, lo que sea mayor.
  • La AEPD publica resoluciones nominalmente: el daño reputacional puede ser superior a la multa.

Fuentes oficiales

Descarga gratuita

Llévate este artículo en PDF

Imprímelo, anótalo y compártelo con tu equipo. Solo necesitamos un email para enviártelo.

Al solicitar el checklist aceptas nuestra Política de Privacidad. No compartimos tu email con terceros.

Solución EterSystem

Si esta normativa te afecta, EterSystem te ayuda a cumplirla con su software de hostelería.

Ver cómo te ayuda EterSystem
Preguntas frecuentes

Dudas habituales

¿Necesito política de privacidad para reservas?

Sí, obligatoria. Debe estar accesible en el formulario de reserva (online y en local) y describir qué datos recoges, para qué, cuánto tiempo y a quién cedes.

¿El wifi gratis con login también?

Sí, recoges datos del cliente (email, móvil o login social). Aplica RGPD completo: consentimiento, política, derechos.

¿Tengo que tener Delegado de Protección de Datos (DPD)?

Solo si tu actividad implica tratamiento masivo o categorías especiales (datos de salud, biométricos a gran escala). Un restaurante normal no necesita DPD obligatorio.

¿Qué pasa con las imágenes de cámaras de seguridad?

Conservación máxima 30 días, cartel informativo, inscripción en RAT y prohibición de grabar la vía pública.

¿Y los datos que me llegan de Glovo o UberEats?

Glovo/UberEats actúan como responsables propios; tú solo procesas el pedido. Pero si los exportas a tu CRM para fidelización, te conviertes en responsable y necesitas base jurídica clara.

¿Necesito firmar contratos con todos mis proveedores?

Solo con los que tratan datos personales por tu cuenta (software de reservas, fidelización, email marketing, payroll). Los puramente técnicos sin acceso a datos no requieren contrato art. 28.

¿Puedo mandar publicidad por WhatsApp a mis clientes?

Solo con consentimiento expreso e informado para esa finalidad concreta. El silencio o la aceptación de la reserva no valen como consentimiento de marketing.

¿Cuánto cuesta cumplir RGPD en un restaurante medio?

Entre 200 y 800 € de adaptación inicial (RAT, política, contratos, banner cookies) más mantenimiento anual. Mucho menos que la multa más leve.

Normativas relacionadas

Normativa

Factura electrónica B2B en hostelería: Ley Crea y Crece (guía 2026)

Normativa

Verifactu para bares y restaurantes (resto de España)

Normativa

Ley de prevención del despilfarro alimentario en restaurantes (Ley 1/2025)

Aviso: esta página es información general y divulgativa, no asesoramiento jurídico. Para casos particulares, consulta con tu gestor o abogado. Las fuentes oficiales se enlazan al final del artículo. EterSystem (SZ Desarrollo Digital SL) no se hace responsable de decisiones tomadas exclusivamente con base en este contenido.