Un restaurante de Barcelona ha sido multado por la Agencia Española de Protección de Datos (AEPD) tras responder a valoraciones negativas publicando información personal de los clientes. La sanción, motivada por la divulgación de datos sensibles y por procesar información sin base legal, subraya los límites que impone el RGPD sobre la reutilización de datos incluso cuando están disponibles en internet.
El caso comenzó con dos denuncias y ha servido para recordar que las reacciones en redes o en plataformas de reseñas pueden convertirse en infracciones administrativas cuando suponen una exposición injustificada de terceros.
Cómo se originó la investigación y quiénes denunciaron
Los hechos se remontan al 7 de mayo de 2024, cuando la AEPD recibió dos quejas dirigidas contra Pinkgreen Barcelona, SL. Los denunciantes afirmaron que, tras publicar reseñas desfavorables en Google —una de ellas consistente únicamente en una estrella—, el establecimiento respondió haciendo públicos datos personales que no eran necesarios para gestionar una reclamación comercial.
Según el expediente, las respuestas del restaurante permanecieron visibles en la plataforma durante meses, lo que agravó el efecto de la conducta denunciada y permitió a más personas acceder a la información difundida.
Información divulgada: alcance y naturaleza de los datos
La AEPD constató que la publicación no se limitó a un nombre de usuario. Entre los datos que aparecieron en las respuestas del negocio figuraban:
- Nombre completo de la persona reseñante.
- Centro universitario en el que estudió.
- Orientación sexual, considerada dato especialmente protegido.
- Nombre de la pareja y la identidad de los acompañantes.
Uno de los denunciantes señaló que su perfil en Google solo mostraba el primer nombre, sin apellidos ni fotografía, por lo que la difusión de información extra supuso una exposición adicional e inesperada.
Defensa del restaurante y por qué la AEPD la rechazó
Pinkgreen alegó, entre otras cosas, que no fue notificada previamente y que los datos publicados eran accesibles públicamente en redes sociales. La AEPD rechazó ambos argumentos:
- La agencia explicó que intentó comunicar el inicio del procedimiento tanto por vía electrónica como por correo postal, pero que las gestiones fracasaron por motivos atribuibles a la empresa.
- Respecto a la disponibilidad previa de la información en redes, la resolución subraya que la mera accesibilidad pública no autoriza su recolección y republicación indiscriminada sin una base legal que lo permita.
Notificaciones y trámite administrativo
La AEPD detalló que, tras los intentos de notificación fallidos, la empresa fue informada correctamente del procedimiento sancionador y se le concedió plazo para formular alegaciones, por lo que la falta de defensa no eximió de responsabilidad.
El marco jurídico: por qué se considera tratamiento ilícito bajo el RGPD
Para la AEPD, la actuación del restaurante encaja en la definición de tratamiento de datos personales, puesto que consistió en la difusión de información identificable en una plataforma abierta. El Reglamento General de Protección de Datos exige que cualquier tratamiento cuente con una base legal válida; en este caso, no se acreditó ninguna.
Además, la publicación de la orientación sexual de una persona se enmarca en las llamadas categorías especiales de datos, cuyo tratamiento está prohibido salvo excepciones muy concretas y estrictas. La resolución afirma que no concurrieron circunstancias que justificaran la excepción a esa prohibición.
Agravantes: intencionalidad y naturaleza vengativa de la publicación
La AEPD considera relevante la intención detrás de la divulgación. Según la resolución, las respuestas del restaurante evidenciaron la voluntad de hacer pública la información como respuesta retaliatoria a las críticas, lo que agrava la infracción al mostrar un uso punitivo de los datos personales.
Multa impuesta y órdenes de eliminación
La sanción administrativa total asciende a 4.000 euros, desglosada en:
- 2.500 euros por vulneración del RGPD.
- 1.500 euros por infracción de la norma que exige la licitud del tratamiento.
Además de la multa económica, la AEPD ordenó que la empresa proceda a eliminar de inmediato la información publicada y que cese cualquier tratamiento posterior de esos datos en un plazo de diez días.
Qué enseñanzas deja el expediente para negocios y usuarios
Este caso vuelve a poner sobre la mesa varios puntos clave tanto para empresas como para particulares:
- La difusión de datos personales como respuesta a una crítica puede constituir una vulneración grave de privacidad.
- La presencia de información en redes sociales no convierte automáticamente esos datos en reutilizables sin control.
- Las categorías especiales de datos —como la orientación sexual— tienen una protección reforzada y su tratamiento ilícito acarrea mayores consecuencias.
La resolución advierte igualmente del riesgo de “pérdida de control” por parte de los afectados cuando sus datos circulan en abierto, y recuerda que los límites legales se mantienen incluso en conflictos comerciales o de reputación.
Artículos similares
- Multa 2.000 € a comunidad de propietarios por sistema de recogida de paquetes acordado por vecinos
- España endurece medidas: Hoteles no deben exigir copias de DNI o pasaportes a huéspedes
- Meta enfrenta demanda de periódicos en España por competencia desleal
- V-16 conectadas obligatorias en España desde el 1 de enero: consejos de la AEPD
- ¡Restaurante más famoso del Pirineo aragonés con 2.289 reseñas!: He llorado de lo bueno que estaba
Álvaro Segarra es un periodista que sigue de cerca la actualidad española. Sus artículos abordan sociedad, cultura y eventos nacionales con un estilo directo que permite a los lectores comprender los temas del país.
