Actualmente, la oferta de viajes se puede personalizar según los gustos y comportamientos de los usuarios como, por ejemplo, las reservas online, páginas vistas… La mayoría de las agencias de viajes operan a través de Internet lo que supone que recogen muchos datos personales de clientes y usuarios que solicitan información.

Con el nuevo RGPD se perseguirán todos los casos en los que en los que la información sea obtenida de manera ilegítima, o aquellos en los que los datos personales no son utilizados para los fines acordados. Por ello es importante cumplir esta normativa por parte de las agencias de viajes, te cuento cómo.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en las agencias de viajes son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir las agencias de viajes el RGPD?

Las agencias de viajes forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, hay que tener en cuenta una serie de preguntas y cuestiones que facilitarán la tarea.

Estas empresas manejan una gran cantidad de datos, tanto de clientes como de empleados. Cada vez que un usuario deja sus datos para una reserva o para solicitar información, contratan con los profesionales y empresas externos servicios de alojamiento o transporte, o ceden los datos de sus empleados para que elaborar las nóminas, están manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar una agencia de viajes para adaptarse al RGPD son:

  • Realizar un Registro de actividades de tratamiento
  • Firmar los contratos con terceros
  • Incluir los textos legales en la página web
  • Solicitar el consentimiento a los clientes
  • Firmar los contratos con los empleados
  • Realizar un Análisis de riesgos
  • Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de actividades de tratamiento

Lo primero que debe tenerse en cuenta es qué tipo de datos se manejan y qué cantidad. En ese registro debe incluirse la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debe mantenerse siempre actualizado.

Los tratamientos más habituales en las agencias de viajes son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con terceros

Las agencias de viajes se relacionan constantemente con terceros, como hoteles o empresas de transporte, que también disponen de algunos de los datos de los usuarios. Así que, además de tener un registro de actividades de tratamiento, deben disponer de una lista de esas empresas externas con las que se tiene contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debe ponerse un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la agencia de viajes y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad habrá que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, habría que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

4. Consentimiento de clientes

Además de actualizar la política de privacidad, la agencia de viajes debe tener el consentimiento expreso de todos sus clientes para poder tratar sus datos. Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la agencia, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la agencia de viajes y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En la agencia de viajes los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

La agencia de viajes debe también realizar análisis del riesgo en el que se valoren los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberán realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados. Es raro que una agencia de viajes necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla.

Tras estos análisis deberán implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la agencia de viajes, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

8. Nombrar un DPD

Aunque el RGPD no incluye a las agencias de viajes dentro de las empresas obligadas a contratar un Delegado de Protección de Datos, esta figura sería de gran ayuda para más del 50% de las compañías dedicadas a viajes.

El DPD será clave para el buen funcionamiento de la empresa y para la aplicación del RGPD. Entre muchas otras responsabilidades, cabe destacar

  • concienciación a los empleados sobre el Reglamento,
  • formar y dar soporte al personal involucrado en el almacenamiento de datos,
  • realizar auditorías o
  • ser el nexo de unión entre la organización, la Junta Directiva y la autoridad supervisora.

Preguntas frecuentes de las agencias de viajes

¿Puedo enviar comunicaciones comerciales a mis clientes?

Sí, puedes enviar comunicaciones comerciales. Pero necesitas el consentimiento expreso de los clientes.

Al solicitar el consentimiento a clientes y usuarios debes informarles sobre por qué se recogen esos datos y cuál es su fin en la actividad que ejerce la empresa.

En caso de que esos datos los tengamos almacenados antes de la entrada en vigor del RGPD, hay que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.

¿Qué debo hacer en caso de instalar un sistema de Videovigilancia?

Si en el local tienes cámaras de videovigilancia debes:

  • Poner un cartel informativo que indique quién es el responsable del tratamiento, la finalidad y los medios para ejercer los derechos ARCO.
  • Informar a los empleados de la existencia de esas videocámaras.

¿Qué ocurre con los datos de clientes que tengo almacenados?

En ese caso es necesario hacer una auditoría para ver de qué tipo de datos tratamos, si son válidos y cómo vamos a utilizarlos. A partir de ahí tenemos que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.

¿Y si el cliente no me da el consentimiento?

Entonces debes cancelar sus datos o limitar el tratamiento, salvo que este se base en un interés legítimo. Y debes informarle en un plazo de 10 días, ya que, si no, estarías cometiendo una infracción grave de la normativa. Y puedes ser sancionado por la AEPD.

¿Cuánto tiempo puedo conservar los datos de los clientes?

Los datos personales deben conservarse durante el plazo necesario para la finalidad para la que se han facilitado y, posteriormente, durante el tiempo en el que puedan derivarse responsabilidades legales. El periodo de prescripción para reclamaciones pasa a ser de tres años desde que finalice el uso de los datos personales, si bien interesa mantener la documentación acreditativa del consentimiento y demás durante más tiempo por otras posibles responsabilidades.

Modelos y plantillas

Aquí tienes los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos.

Sanciones por incumplimiento

El RGPD mantiene el poder sancionador de la Agencia, pero también endurece las multas. Las sanciones cambian y aumentan considerablemente. Ya no estarán tipificadas en niveles, sino que se separarán en dos rangos, dependiendo de los artículos del Reglamento que las contengan.

Ejemplos

  • Al incluir formularios de contacto en la página web es necesario insertar una casilla desmarcada por defecto para que el usuario acepte la política de privacidad de la empresa. Si no, no dispondremos del consentimiento expreso de ese usuario para tratar sus datos personales. Resolución AEPD A/00130/2018
  • Debemos siempre facilitar a los usuarios un medio sencillo y gratuito donde puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad. Y, si el cliente solicita la cancelación de sus datos, debes eliminarlos de tu base de datos y responderle en un plazo de 10 días. Resolución AEPD PS/00421/2016

¿Tu agencia de viajes cumple estos requisitos? ¡A qué esperas para adaptarte!

¿Necesitas cumplir el RGPD?

¿Cómo cumplen las Agencias de viajes el RGPD?
4.7 (94.55%) 11 votos