Debido al empeoramiento de la situación sanitaria, algunos locales (restaurantes, cafeterías, fast food, etc.) en zonas de fuerte alerta están sujetos al respecto de un protocolo sanitario reinforzado que pide de tener un “cuaderno de recuerdo” de sus clientes. La CNIL recuerda las reglas que tienen que observar y ofrece un modelo. 

¿”Cuadernos de recuerdo” que son?

La abertura de algunos locales en zonas de fuerte alerta depende del respeto del protocolo sanitario reforzado. En particular, incluye la conservación de un “recordatorio” para los clientes, que condicionen sus acceso al local. Este “recordatorio” tiene el fin de recoger los datos de contacto de los clientes en el restaurante, cafetería y fastfood, para ponerlos a disposición de las autoridades sanitarias en caso de contaminación de uno de los clientes. 

Este “cuaderno de recuerdo”, que sea un registro/cuaderno “de papel” o menos (por ejemplo: módulo en línea, código QR, etc) es parte de un tratamiento de datos personales sujeto a reglamentos (GDPR y Ley de protección de datos). 

En práctica, ¿Cómo proteger los datos personales de los clientes?

Los establecimientos que instituyen estos “recordatorios” tienen que respetar los siguientes principios: 

• Recoger sólo los datos necesarios

Para los “recordatorios”, los datos que tienen que ser recogidos tienen que ser limitados a la identidad de la persona (nombre/apellido) así como a un único medio de contacto (número de teléfono): es prohibido recoger más datos. 

Cabe señalar:

• Durante la recogida de datos, el restaurado no puede verificar la identidad de la persona, pero ejemplo pidiendo un documento de identidad. 
• La estructura tiene que incluir la fecha y la hora de la llegada del cliente para poder identificar una investigación sanitaria y determinar el punto de partida de la conservación de las prácticas (14 días). 

• Limitar el uso de datos a la sola transmisión a las autoridades sanitarias. 

Las informaciones recogidas en los “cuadernos” tienen que ser utilizadas sólo para facilitar la receta de casos de contacto, cuando las autoridades sanitarias lo piden: Agentes de CPAM, CNAM, ARS. 

Cada otro uso (por ejemplo: invitar a los clientes una noche a un tema, hacer promociones sobre los menù ofrecidos, compartir datos a partner comerciales, enviar un cuestionario de satisfacción, etc.) está severamente prohibido. 

• Informa a los clientes. 

Los clientes tienen que ser informados del fin de esta recogida y de los derechos que tienen sobre sus datos. 

Estas informaciones tienen que ser ofrecidas al momento de la recogida de los datos, y en un formato fácilmente accesible (por ejemplo: en una nota informativa integrada en el módulo en papel o electrónico que tiene que ser compilado por el cliente, un panel de visualización en la entrada del negocio/local). 

Esta declaración informativa tendrá que ser clara, precisa y simple. 

Tendría que incluir: 

• la identidad y los datos de contacto del establecimiento;
• el fin de la recogida de datos (para facilitar el rastreo de contacto por parte de las autoridades sanitarias);
• el periodo de conservación (14 días);
• los derechos a disposición del interesado (en particular el derecho de acceso y de rectificación);
• los posibles destinatarios, y en particular a las autoridades sanitarias que podrían ser transmitido estos datos en caso de infección de Covid-19. Para ayudarte, la CNIL te ofrece un ejemplo de modelo, con las informaciones necesarias.

• Una duración de conservación limitada. 

Los datos recogidos en el “recordatorio” tienen que ser cancelados después de 14 días, según las recomendaciones del Ministerio de la Solidaridad y Salud, independientemente de su método de recogida (módulo cartaceo, módulo en línea, código QR, etc.)

1. Datos protegidos. 

El restaurador tiene que garantizar la confidencialidad de los datos recogidos sobre los propios clientes: ¡no es la idea que todos pueden tener el acceso a los datos de contacto de los clientes presentes con él!

• Para “recordatorio” en papel, es importante ofrecer un módulo individual o en forma de tabla, o de recoger las informaciones desde el mismo restaurador. El “recordatorio” tiene que ser conservado en un lugar protegido (por ejemplo un armario o una habitación cerrada con clave) y no tiene que ser dejado a la vista de todos. 
• Para adicionales tipos de “recordatorios” (por ejemplo. Código QR, módulo en línea) es necesario tener cuidado a los siguientes punto: acceso seguro al sistema informático utilizado con una password “sólida”; 

No almacene los datos recogidos en equipos inseguros (por ejemplo, una llave USB).

Tanto si se trata de un «recordatorio» en papel como si no, la información proporcionada por los clientes no debe ser accesible y consultada por todo el personal del establecimiento, sino sólo por personas específicamente identificadas (por ejemplo, el administrador del establecimiento).

Los establecimientos fuera de las zonas de alta alerta no están sujetos a este protocolo sanitario mejorado.

Para estas instalaciones, y más allá de las recomendaciones anteriores, se pueden establecer «cuadernos de recordatorio» siempre que se cumplan las siguientes condiciones:

• justificar la necesidad del dispositivo: este «recordatorio» debe satisfacer una necesidad identificada por el restaurador;
• obtener de cada cliente el consentimiento para la recopilación de sus datos y su posible transmisión a las autoridades sanitarias.

Para que el consentimiento obtenido sea válido, la persona debe tener una elección real sin tener que sufrir consecuencias negativas en caso de rechazo. En la práctica, esto significa que el responsable de los datos no puede denegar el acceso a su establecimiento si la persona se niega a comunicar sus datos.

El consentimiento de la persona puede obtenerse, por ejemplo, utilizando una casilla de verificación en un formulario en línea cuando se hace una reserva en línea, o firmando un formulario en papel enviado en el momento de la reserva. llegada al establecimiento, etc.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL