Ir al contenido
Oferta de lanzamientoSolo hasta el …. Después, cada plan vuelve a su precio de siempre.Ver precios

Casos de uso

RGPD en un restaurante: los 9 documentos que necesitas

Autor: Tranquilia by GRAC SA9 min de lectura

Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.

Un bar o restaurante en España necesita, como mínimo, 9 documentos de protección de datos: un registro de tratamientos, la cláusula de información para clientes, el cartel y la información sobre las cámaras, el contrato con los proveedores que tocan tus datos (TPV, reservas online, gestoría), dos documentos para cada empleado, la información sobre el registro de jornada, el consentimiento de marketing y la política de conservación. Se pueden completar en unos 15 minutos respondiendo sobre tu propio negocio. Aquí tienes los 9, uno por uno, con las fuentes oficiales (AEPD, BOE, EUR-Lex) y sin tecnicismos.

Última revisión: 16 de julio de 2026. Autor: Tranquilia by GRAC SA.

Sumario

  1. ¿Por qué un restaurante pequeño necesita estos papeles?
  2. Documento 1 — El registro de lo que haces con los datos (RAT)
  3. Documento 2 — La información para tus clientes
  4. Documento 3 — El cartel de cámaras (si tienes)
  5. Documento 4 — El contrato con tu TPV, tu software de reservas o tu gestoría
  6. Documentos 5 y 6 — Lo que firma cada empleado
  7. Documento 7 — El registro de jornada, ¿también es protección de datos?
  8. Documento 8 — El permiso para mandar ofertas por WhatsApp o email
  9. Documento 9 — Cuánto tiempo guardas cada dato
  10. Los 9 documentos, de un vistazo
  11. ¿Qué pasa si no los tienes?
  12. Preguntas frecuentes

¿Por qué un restaurante pequeño necesita estos papeles?

Un restaurante maneja más datos personales de los que parece: los de sus clientes (reservas, facturas, a veces alergias o preferencias), los de sus empleados (nóminas, horarios, a veces imágenes de las cámaras) y los de sus proveedores. El RGPD no exime a los negocios pequeños. Se aplica igual a un bar de barrio que a una cadena.

No hace falta un departamento jurídico. Hacen falta 9 documentos concretos, la mayoría de una página, escritos con los datos reales de tu negocio.

La hostelería no es un sector menor para la autoridad que vigila esto en España, la AEPD (Agencia Española de Protección de Datos). Según su propia memoria de actividad de 2025, la Agencia cerró 326 procedimientos con multa ese año (frente a 281 en 2024), por un importe total de 48.108.765 €. Dos de cada tres euros sancionados se concentraron en tres tipos de infracción: servicios de internet, comercio y hostelería, y brechas de seguridad. Lo verás más abajo con un caso real y sourced, sin dramatizar: el objetivo de este artículo es que tengas los papeles en orden, no que tengas miedo.

Documento 1 — El registro de lo que haces con los datos (RAT)

Es el documento base. En lenguaje técnico se llama Registro de Actividades de Tratamiento, pero es, simplemente, tu lista de los datos que manejas y para qué (art. 30 RGPD). Un restaurante suele tener, como mínimo, 3-4 líneas en esa lista: clientes, empleados, proveedores y, si tiene cámaras, videovigilancia.

Por cada línea apuntas: qué datos tratas, para qué, con qué base legal, cuánto tiempo los guardas y a quién se los pasas (por ejemplo, tu gestoría o la plataforma de reservas). Es el primer documento porque los demás se apoyan en él.

Documento 2 — La información para tus clientes

Cada vez que pides datos a un cliente (una reserva por teléfono o por web, una factura con NIF, una ficha de fidelización) tienes que decirle, de forma breve, qué haces con esos datos (art. 13 RGPD). Esto se llama cláusula informativa y suele tener dos capas:

  • Una frase corta en el propio formulario o en la factura: quién eres, para qué usas el dato y dónde ampliar información.
  • Un texto más completo, enlazado o disponible en el local, con todos los detalles.

Si tienes web con formulario de reservas, newsletter o botón de WhatsApp, cada uno de esos puntos de entrada necesita su propia cláusula, adaptada a lo que realmente haces ahí.

Documento 3 — El cartel de cámaras (si tienes)

Si grabas imágenes de clientes o empleados —la cámara de la entrada, la de la caja, la del comedor—, tienes dos obligaciones que van juntas:

  1. Un cartel visible en la zona grabada, con el modelo oficial de la AEPD (existencia de la zona videovigilada, quién es el responsable y dónde ejercer tus derechos).
  2. Apuntar la cámara en tu registro (documento 1) y tener disponible la información ampliada para quien la pida.

Aquí conviene ser prudente con el encuadre. Un caso real: en 2022, la AEPD multó con 20.000 € a un restaurante por grabar sonido e imagen en la zona de descanso de los empleados —un espacio donde la cámara no está justificada como medida de seguridad del negocio— (fuente: FACUA, ver fuentes al final). La regla general de la AEPD es sencilla: la cámara vigila el negocio (accesos, caja, almacén), no espía a las personas que trabajan o comen en él.

Documento 4 — El contrato con tu TPV, tu software de reservas o tu gestoría

Cualquier empresa externa que maneje datos por ti es lo que la ley llama un encargado del tratamiento: tu gestoría cuando hace las nóminas, tu proveedor de TPV, la plataforma de reservas online, la empresa que gestiona tu página de delivery. Con cada uno necesitas un contrato de encargado del tratamiento (art. 28 RGPD) que fije qué puede hacer con esos datos y qué no.

No hace falta negociarlo desde cero: la mayoría de estos proveedores ya tienen su propio modelo de contrato disponible para firmar o aceptar online. Tu tarea es identificar a todos los que tocan datos de tu negocio y tener el contrato firmado con cada uno.

Documentos 5 y 6 — Lo que firma cada empleado

Cada persona que trabaja contigo firma, al entrar, dos documentos cortos:

  • La cláusula informativa laboral: qué datos suyos tratas (nómina, horario, a veces imagen) y para qué. Va como anexo al contrato de trabajo (art. 13 RGPD).
  • El compromiso de confidencialidad: el acuerdo de no contar lo que ve en el trabajo —datos de clientes, recetas, cifras del negocio— (deber de confidencialidad, art. 5 LOPDGDD).

Si el empleado sale en fotos para redes sociales, necesitas un tercer papel aparte: su consentimiento de imagen, separado y voluntario, que puede retirar cuando quiera.

Documento 7 — El registro de jornada, ¿también es protección de datos?

Sí, aunque no lo parezca. Desde 2019 todas las empresas, sea cual sea su tamaño, están obligadas a registrar la hora de entrada y salida de cada trabajador (art. 34.9 del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 8/2019). Ese registro guarda datos personales, así que entra también en tu lista del documento 1.

Un aviso práctico: la AEPD ha publicado una guía específica sobre el fichaje con huella dactilar u otros datos biométricos. Los considera datos delicados y exige que el negocio demuestre que no hay otra forma razonable de registrar la jornada antes de usarlos. Si puedes fichar con tarjeta, PIN o una app, es la opción con menos papeleo y menos riesgo.

Documento 8 — El permiso para mandar ofertas por WhatsApp o email

Si quieres avisar a tus clientes de una promoción, un evento o el menú del día por WhatsApp, SMS o email, necesitas su permiso explícito y específico para eso: una casilla que el cliente marca él mismo, nunca premarcada, y que puede desmarcar cuando quiera. Este consentimiento es distinto del que usas para gestionar una reserva o una factura: uno no sustituye al otro.

Guarda constancia de cuándo y cómo lo dio (la fecha, el formulario, el texto exacto que aceptó). Es tu prueba si algún día te lo piden.

Documento 9 — Cuánto tiempo guardas cada dato

El último documento es tu política de conservación: cuánto tiempo guardas cada tipo de dato antes de borrarlo. En España hay plazos legales que ya marcan el mínimo: las facturas, por ejemplo, se conservan por obligación fiscal y mercantil (consulta con tu gestoría los plazos exactos aplicables a tu caso, que varían según el tipo de documento). Los datos de un cliente que no vuelve, o de un currículum que no contrataste, no se guardan "por si acaso": se borran cuando ya no hacen falta.

Los 9 documentos, de un vistazo

# Documento ¿Para qué?
1 Registro de tratamientos (RAT) Tu lista de qué datos manejas y para qué
2 Información para clientes Cláusula en reservas, facturas y web
3 Cartel + registro de cámaras Si grabas imágenes en el local
4 Contrato con proveedores (TPV, reservas, gestoría) Fija qué pueden hacer con tus datos
5 Cláusula informativa laboral Anexo al contrato de cada empleado
6 Compromiso de confidencialidad Firma de cada empleado
7 Información sobre el registro de jornada Ficha con tarjeta, PIN o app, no biometría salvo justificación
8 Consentimiento de marketing Casilla específica para WhatsApp, SMS o email
9 Política de conservación Cuánto tiempo guardas cada dato

¿Qué pasa si no los tienes?

Lo real, sin dramatizar: la AEPD es quien vigila esto en España y puede pedir explicaciones, ordenar cambios o poner una multa. El caso del restaurante sancionado con 20.000 € que viste en el documento 3 no es una excepción rara: la memoria 2025 de la AEPD sitúa a "comercio y hostelería" entre los tres tipos de infracción que concentran dos tercios del importe sancionado ese año.

En la práctica, la mayoría de los expedientes contra negocios pequeños empiezan por una queja de un cliente o un empleado, no por una inspección al azar. Tener estos 9 documentos en orden no es solo cumplir la ley: es tener una respuesta clara y a mano si alguna vez alguien pregunta.

Preguntas frecuentes

¿Un bar con un solo empleado necesita los 9 documentos igualmente? Sí, aunque algunos son más cortos. Si no tienes cámaras, te saltas el documento 3. Si no haces marketing por WhatsApp o email, te saltas el documento 8. Los demás aplican desde el primer empleado.

¿Vale con copiar una plantilla de internet? Una plantilla genérica no menciona tu NIF, tus proveedores reales ni tus cámaras concretas, así que no sirve tal cual. Sirve como punto de partida si la adaptas con los datos de tu negocio.

¿Quién puede ayudarme a rellenar esto? Tu gestoría, si te lleva la contabilidad, es la más indicada: ya conoce tus datos fiscales y laborales. También puedes generarlos tú mismo respondiendo un cuestionario guiado sobre tu negocio.

¿Esto también aplica a un food truck o un catering sin local fijo? Sí. Lo que determina qué documentos necesitas no es el local, sino qué datos tratas: si tienes clientes, empleados y proveedores, se aplican los mismos 9 documentos, adaptados a tu forma de trabajar.


¿Quieres generar estos 9 documentos con los datos reales de tu restaurante? Tranquilia tiene un cuestionario guiado pensado para hostelería: preguntas simples, sin jerga, listo en unos 15 minutos. Puedes verlo en el caso de uso para restaurantes.

Informe elaborado con fines informativos. No constituye asesoramiento jurídico individualizado: para tu caso concreto, consulta a tu gestoría o a un abogado especializado.

Revisión: Redactado con ayuda de IA sobre fuentes oficiales (AEPD, BOE, EUR-Lex), verificado artículo por artículo antes de publicar. Ver política editorial.

Pon a tus clientes en regla con el RGPD en 15 minutos.

Crear mi instancia gratis

Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.

Blog