Diversión y privacidad: aspectos jurídicos en el tratamiento de datos personales 

en discotecas y bares 

Alonso Moreno

1. Introducción

Bares y discotecas: establecimientos en los que impera el ocio y la diversión. Sin embargo, como en todo negocio, se necesita información de los clientes, ya sea al solicitarles identificación y en base a ello, permitirles o no el acceso; fotografiarlos y/o filmarlos para campañas promocionales para custodiar sus instalaciones con el uso de cámaras de seguridad. 

Mediante dichas actividades, se recopilan datos de clientes: nombres, teléfonos, edad e imagen. Toda esa información los identifica y los individualiza en la sociedad. En el ámbito práctico, no obstante, se han normalizado usos excesivos de dicha información, tales como la toma de fotografías del DNI y la publicación indiscriminada de las imágenes por redes sociales. Dichos usos, aunque se sustenten en propósitos de garantizar la seguridad y de marketing, tienen que compatibilizarse con los principios de la Ley 29733, Ley de Protección de Datos Personales (en adelante, LPDP) para garantizar el ejercicio del control pleno de los clientes sobre sus datos.

En el presente artículo, se abordarán los tratamientos más comunes, así como se desarrollará la tensión entre la lógica empresarial y el ejercicio del derecho de la protección de datos personales. Para ello, se expondrán tres escenarios: 1) control de accesos, 2) publicidad con fotografías de clientes y 3) videovigilancia de instalaciones.

2. Control de accesos

El tratamiento de datos más recurrente es el control de accesos. En la entrada a los locales, el personal solicita el DNI a los asistentes para ingresar al local para propósitos de identificación y verificación de edad. Aunque en materia de protección de datos se requiera autorización previa del titular (artículo 13.5 de la LPDP), cabe excepción por el artículo 14.5 de la misma norma, en tanto los datos sean necesarios para establecer y ejecutar una relación contractual. En este caso, el requerimiento del DNI es necesario, ya que la identificación es crucial para la prestación del servicio.

Sin perjuicio de ello, los locales no están eximidos de observar el principio de proporcionalidad del artículo 7 de la LPDP. Dicho principio implica que el tratamiento se restrinja solo a aquella información que sea adecuada y necesaria para alcanzar la finalidad en el tratamiento (Vásquez Rodríguez, 2019, p.87). Por ello, el personal de dichos locales debe solo revisar nombres, número del DNI y edad de los asistentes. Además, los locales se someten también al deber de informar del artículo 18 de la LPDP, en tanto los clientes deben tomar conocimiento de la recopilación de dichos datos.

En relación a dicho principio, la Autoridad Nacional de Protección de Datos Personales (en adelante, ANPDP) reconoció la prohibición de fotografiar los DNI para mera identificación, pues con dicho documento se puede acceder a otros datos innecesarios como la imagen o estado civil (Resolución Directoral 2047-2022/DGTAIPD-DPDP, fundamento 54). Por tanto, el personal solo debe verificar visualmente en el documento la información pertinente para identificar al cliente. Ello va acorde con el principio de finalidad (artículo 6 de la LPDP), pues dicha verificación es medio suficiente para lograr la identificación de los asistentes; así como el de calidad (artículo 8 de la LPDP), puesto que así se evita la obtención de datos que no relevantes para dicho propósito.

Ahora bien, el problema con la proporcionalidad no solo es jurídico, sino cultural. Actualmente, se ha extendido como práctica comercial la toma de fotografías de DNI para la provisión de servicios, desde entregas a domicilio hasta en eventos privados (Cerviño Rúa, 2025). Dichos escenarios evidencian una reciente normalización de dicha práctica, lo que conlleva a la percepción de dicha práctica como meramente “cotidiana” por parte de los asistentes. Por ello, es crucial que la ANPDP se esfuerce por promover campañas para concientizar a la población al respecto.

En segundo lugar, la lógica del personal de seguridad en discotecas y bares contraviene el principio de proporcionalidad, pues responde a una racionalidad de maximizar el control frente a eventuales incidentes (por ejemplo, entrada de menores de edad y de clientes conflictivos). Se asume que con la copia del DNI se logrará una identificación posterior de los asistentes o la acreditación de diligencias ante autoridades. No obstante, la acumulación innecesaria de datos conlleva a riesgos de futuras brechas y filtraciones. 

Por último, la fiscalización de la ANPDP sobre discotecas y bares no es efectiva, pues las inspecciones de oficio priorizan otros sectores económicos más determinantes, tales como el de intermediación monetaria, finanzas, telecomunicaciones, salud (Zegarra & Schipper Asociados, 2024, p.6). Sin embargo, la escasa supervisión estatal no justifica la perpetuidad de dichas prácticas. En consecuencia, corresponde a los negocios formar y establecer protocolos para incidencias que no contemplen la fotografía del DNI. 

3. Publicidad con fotografías de clientes

Un fenómeno relevante es el de fotografiar y filmar a los clientes dentro de las instalaciones. Ello conlleva a la recopilación de la imagen de los asistentes, aquella que constituye un dato personal conforme al artículo 2.4 de la LPDP, pues identifica al individuo por rasgos físicos. Luego, con dicha imagen, el área de marketing diseña anuncios publicitarios para promocionar los establecimientos por la página web de la empresa y en redes sociales. Dado que dichas actividades no están asociadas con la prestación del servicio, se requiere del consentimiento del titular para llevarlas a cabo. 

El consentimiento, como base legitimadora del tratamiento en materia de protección de datos personales, requiere el artículo 13 de la LPDP que sea libre, previo, expreso, inequívoco e informado. En el marco de los establecimientos de ocio nocturno, aparecen determinadas consideraciones prácticas que serán desarrolladas a continuación.

En primer lugar, en virtud del consentimiento libre, el personal no debe condicionar el acceso a los locales por toma de fotografías o grabaciones. Además, dado el consumo habitual de alcohol en dichos locales, se encuentra mermada capacidad de los asistentes para autorizar el uso de su imagen. Si bien esto último no invalida el consentimiento, la empresa deberá capacitar a los fotógrafos para dirigirse a clientes bajo ingesta de bebidas alcohólicas para asegurar que los asistentes mantengan cierto grado de consciencia al manifestar su aceptación.

En segundo lugar, sobre el consentimiento previo e informado, las empresas deben publicar políticas de privacidad en sus páginas web, colocar carteles informativos en la entrada de que informen de manera previa al acceso a los clientes e instruir a los fotógrafos para que requieran el consentimiento previo mediante formularios (sean físicos o por descarga en QR). No obstante, en un entorno de ocio, caracterizado por la presencia de excesivo ruido y por poca iluminación, la exigencia del consentimiento informado deviene en ficción sin las garantías necesarias.

Además, respecto a las políticas de privacidad, aparece la tendencia denominada “fatiga de privacidad”, en tanto la sobrecarga de información y el lenguaje técnico reducen la comprensión plena del tratamiento (Llaneza, 2019, p.278). En dicho escenario, la expectativa de una lectura detenida resulta poco realista. Por ello, se recomienda la redacción de políticas conforme al principio de transparencia del artículo IX del Título Preliminar del Nuevo Reglamento en Protección de Datos Personales, aquel que exige que la información se redacte de manera clara, precisa y fácil de entender. 

En tercer lugar, no debe interpretarse la falta de resistencia del asistente o la permanencia en el local como consentimiento tácito, más aún si conlleva a la exposición de la imagen en redes sociales. Sin perjuicio de ello, habrá consentimiento expreso e inequívoco cuando los asistentes observen fija y directamente a la cámara o comportamientos análogos (Opinión Consultiva 12-2025-DGTAIPD, apartado 27). Aún así, corresponde en dicho escenario que el fotógrafo evalúe el grado de consciencia de la persona para proceder a la captura y difusión de su imagen.

Por otro lado, sobre la conservación de las fotografías o vídeos, debe considerarse el principio de calidad del artículo 8 de la LPDP, aquel que implica la eliminación de aquella información que haya dejado de ser necesaria para cumplir con la finalidad específica (Puyol Montero, 2016, p.139). Así, se exige a los locales retirar las fotografías tras el cierre de un evento específico o si ya no reflejan la actualidad del local. La permanencia indefinida va más allá de la finalidad promocional, conllevando a la exposición continua del titular y a la instrumentalización de su propia imagen para lucrar a partir de ella.

Finalmente, está el derecho de revocación del artículo 10 del RLPDP. Al respecto, resulta preocupante que las políticas de privacidad solo señalan que “el cliente puede revocar el consentimiento en cualquier momento”, pero sin indicar correo específico, el plazo de atención a la revocación o si la revocatoria afecta solo a las futuras campañas o también a las que ya fueron publicadas en redes sociales (Bitton Fernández, 2018, p.9). La ausencia de garantías reales de supresión es una realidad contraria a la lógica del control de la titular intrínseca al derecho de protección de datos personales.

4. Videovigilancia de instalaciones

En bares y discotecas, se instalan cámaras para monitorear a los asistentes. Como se establece en el artículo 5.27 la Directiva 01-2020-JUS/DGTAIPD (en adelante, la Directiva), la videovigilancia permite recopilar información de personas mediante captación de imágenes, videos y voces; información luego almacenada mediante grabaciones. 

Dicho tratamiento se realiza con fines de garantizar la seguridad de los clientes y del personal. Por ello, cabe aplicar la excepción del artículo 14.1 de la LPDP, en tanto todas las grabaciones se compartan con la policía y el Ministerio Público para la persecución de delitos que suelen ocurrir en dichos locales, tales como robos, hurtos, agresiones físicas, entre otros (Murillo Chávez, 2019, p.153).

Sin embargo, el responsable del tratamiento debe acatar el deber de informar del artículo 18 de la LPDP. Según los numerales 6.11 y 6.12 del artículo 6 de la Directiva, deberán exhibirse en los locales carteles informativos suficientemente visibles para informar con claridad que los datos serán empleados para fines de videovigilancia. Cabe señalar que la ANPDP fiscaliza con rigurosidad este aspecto, pues se ha sancionado a un bar con 3,45 UITs por inobservar dicha obligación, dejando constancia en el acta de inspección la inexistencia de los mencionados carteles en sus respectivos ambientes (Resolución Directoral 2776-2024-JUS/DGTAIPD-DPDP, fundamento 76). Por ello, la transparencia pasa de ser un mero formalismo a una condición de licitud del tratamiento.

Además, debe tomarse en cuenta el ejercicio del derecho de acceso reconocido en el artículo 19 de la LPDP, a partir del que el cliente puede exigir las grabaciones en las que se haya capturado su imagen y su voz. Al momento de proporcionar grabaciones a los clientes interesados, los locales deben aplicar técnicas de difuminación para evitar revelar rostros de terceros, salvo que el interesado alegue la necesidad de realizar denuncias administrativas y penales contra dichos terceros (Opinión Consultiva 20-2025-DGTAIPD, apartado 11). Ello denota la relevancia de adoptar medidas técnicas para la tutela de la privacidad de terceros.

Asimismo, en virtud del principio de proporcionalidad, el numeral 1 del artículo 7 de la Directiva prevé que las cámaras no graban en todo espacio o todo lo que suceda en el entorno. Por un lado, las cámaras no deben instalarse en vestuarios o baños, pues la grabación en dichos entornos, al formar parte de la esfera personalísima de los clientes, implicaría una intromisión en su intimidad. Y, por otro, deben evitar grabar conversaciones personales, pues ello atentaría contra el derecho de la inviolabilidad de las comunicaciones, salvo que, por orden judicial se disponga la captación de conversaciones para la investigación del delito que se suscite dentro del local.

Finalmente, es necesario resaltar la aplicación de dicho principio, pues corresponde a los negocios capacitar al personal de seguridad para el uso legítimo de la videovigilancia en las instalaciones. Y aunque exista tendencia a la vigilancia constante bajo el pretexto de prevención del delito, lo cierto es que la presencia de cámaras debe gestionarse con cautela para evitar un efecto inhibidor en ambientes donde la expresión personal y la interacción social son centrales para el disfrute del evento.

5. Conclusión

Discotecas y bares utilizan datos de sus clientes en sus actividades diarias, ya sea para identificación en la entrada, la toma de fotografías y filmación de asistentes a los eventos, la difusión de dichas imágenes en redes sociales y la aplicación de videovigilancia. Dichos tratamientos se enfocan en diversos fines legítimos: identificación de clientes, seguridad del local e incluso de marketing en línea.

Asimismo, la normativa establece parámetros para la realización de dichas actividades: deber de informar sobre la recopilación, proporcionalidad en la identificación de clientes y uso de cámaras, consentimiento para fotografías y videos promocionales. Sin embargo, se evidencian en los tres escenarios analizados factores estructurales que dificultan la aplicación de los mismos, tales como la normalización de las prácticas comerciales abusivas, la lógica de maximización del control de identidad por parte del personal de seguridad, el ambiente ruidoso y poco iluminado del local y la tendencia a la sobrevigilancia de los asistentes.

Como se ha abordado en el presente artículo, el problema no radica en el control de identidad, la vigilancia de las instalaciones, ni en la promoción comercial de la imagen del cliente; sino más bien en la existencia de una cultura de acumulación y exposición de datos naturalizada en entornos de ocio. Por ello, resulta crucial que la lógica empresarial en la que operan dichos negocios incorpore el respeto a la privacidad dentro de sus actividades comerciales. Mayor diversión no implica menor privacidad.

Bibliografía:

• Bitton Fernández, K. (2018). Dictamen jurídico: Casos de derecho de la personalidad: Máster de Acceso a la Abogacía: Universitat de Barcelona. 
• Cerviño Rua, M. (2025). Fotocopiar, escanear o fotografiar el DNI de clientes: ¿Es legal? Recuperado de: https://vento.es/fotografiar-el-dni-de-clientes/
• Eguiguren Praeli, F. J. (2015). El derecho a la protección de los datos personales. Algunos temas relevantes de su regulación en el Perú. THEMIS Revista De Derecho, (67), 131–140.
• Llaneza, P. (2019). Datanomics. Todos los datos personales que das sin darte cuenta y todo lo que las empresas hacen con ellos. Editorial Planeta. Primera edición, febrero de 2019.
• Murillo Chávez, J. A. (2019). «Brace yourselves! La videovigilancia ya viene»: situación de la videovigilancia en el ordenamiento jurídico peruano. Derecho PUCP, (83), 133–178.
• Puyol Montero, F.J. (2016). Los principios del derecho a la protección de datos personales. En J.L. Piñar Mañas, Reglamento general de protección de datos personales: hacia un nuevo modelo europeo de privacidad, páginas 135-150. 
• Vásquez Rodríguez, R. (2019). La Protección de los Datos Personales en el Sistema de Reporte de Créditos Peruano. YachaQ: Revista De Derecho, (10), 73–94.
• Zegarra & Schipper Asociados. (2024). Informe especial: actividad de fiscalización, potestad sancionadora y función consultiva de la Autoridad Nacional de Protección de Datos Personales. Enero-Diciembre de 2023.

Normativa, resoluciones y directrices:

• Autoridad Nacional de Protección de Datos Personales. (2022). Resolución Directoral 2047-2022/DGTAIPD-DPDP. 23 de mayo de 2022.
• Autoridad Nacional de Protección de Datos Personales. (2024). Resolución Directoral 2776-2024-JUS/DGTAIPD-DPDP. 19 de agosto de 2024.

• Ley 29733, Ley de Protección de Datos Personales. 02 de julio de 2011.
• Reglamento de la Ley de Protección de Datos Personales. Decreto Supremo 016-2024-JUS. 30 de noviembre de 2024.
• Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos. Directiva de tratamiento de datos personales mediante sistemas de videovigilancia. 14 de febrero de 2020.
• Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos. Opinión Consultiva 12-2025-DGTAIPD. 26 de febrero de 2025.
• Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos. Opinión Consultiva 20-2025-DGTAIPD. 09 de mayo de 2025.