[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/07\/19\/agencias-viajes-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/07\/19\/agencias-viajes-rgpd\/","headline":"\u00bfC\u00f3mo cumplen las Agencias de viajes el RGPD?","name":"\u00bfC\u00f3mo cumplen las Agencias de viajes el RGPD?","description":"como deben cumplir el RGPD las agencias de viajes, principales actuaciones para adaptarse a la normativa de proteccion de datos, modelos rgpd","datePublished":"2018-07-19","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/pasos-cumplir-lopd-rgpd.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/pasos-cumplir-lopd-rgpd.png","height":"779","width":"1590"},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/07\/19\/agencias-viajes-rgpd\/","about":["GU\u00cdAS","LOPDGDD & RGPD","OCIO Y DEPORTE"],"wordCount":3376,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Actualmente, la oferta de viajes se puede personalizar seg\u00fan los gustos y comportamientos de los usuarios como, por ejemplo, las reservas online, p\u00e1ginas vistas\u2026La mayor\u00eda de las agencias de viajes operan a trav\u00e9s de Internet lo que supone que recogen muchos datos personales de clientes y usuarios que solicitan informaci\u00f3n.Con el nuevo RGPD se perseguir\u00e1n todos los casos en los que\u00a0en los que la informaci\u00f3n sea obtenida de manera ileg\u00edtima, o aquellos en los que los datos personales no son utilizados para los fines acordados.\u00bfTienes una agencia de viajes?\u00bfOfreces viajes a trav\u00e9s de una p\u00e1gina web?Pues aqu\u00ed tienes una sencilla gu\u00eda para adaptarte a la normativa de Protecci\u00f3n de Datos.Normativa que afecta a las agencias de viaje\u00bfC\u00f3mo deben cumplir las agencias de viajes el RGPD?1. Registro de actividades de tratamiento2. Contratos con terceros3. P\u00e1gina webAviso legalPol\u00edtica de privacidadPol\u00edtica de cookies4. Consentimiento de clientes5. Contratos con empleados6. An\u00e1lisis de riesgos7. Notificar brechas de seguridad8. Nombrar un DPDPreguntas frecuentes de las agencias de viajes\u00bfPuedo enviar comunicaciones comerciales a mis clientes?\u00bfQu\u00e9 debo hacer en caso de instalar un sistema de Videovigilancia?\u00bfQu\u00e9 ocurre con los datos de clientes que tengo almacenados?\u00bfY si el cliente no me da el consentimiento?\u00bfCu\u00e1nto tiempo puedo conservar los datos de los clientes?Modelos y plantillasSanciones por incumplimientoNo disponer del consentimiento expreso del clienteNo facilitar el ejercicio de los derechos ARCO\u00bfNecesitas cumplir el RGPD?Normativa que afecta a las agencias de viajeLas normas que regulan la Protecci\u00f3n de Datos en las agencias de viajes son:RGPD (vigente a partir del 25 de mayo en toda Europa)LOPD (Espa\u00f1a)Nueva LOPD (pendiente de aprobar a\u00fan en Espa\u00f1a)LSSI (regula los servicios de la sociedad de la informaci\u00f3n y el comercio electr\u00f3nico)\u00bfC\u00f3mo deben cumplir las agencias de viajes el RGPD?Las agencias de viajes forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que tambi\u00e9n tendr\u00e1n que adaptarse a la nueva normativa.Para asegurar un debido cumplimiento de esta, hay que tener en cuenta una serie de preguntas y cuestiones que facilitar\u00e1n la tarea.Estas empresas manejan una gran cantidad de datos, tanto de clientes como de empleados.\u00a0Cada vez que un usuario deja sus datos para una reserva o para solicitar informaci\u00f3n, contratan con los profesionales y empresas externos servicios de alojamiento o transporte, o ceden los datos de sus empleados para que elaborar las n\u00f3minas, est\u00e1n manejando datos de car\u00e1cter personal de terceros. Para tratar adecuadamente estos datos deben cumplir con la normativa de protecci\u00f3n de datos.Las principales actuaciones que debes realizar en tu agencia de viajes para adaptarte al RGPD son:Realiza un Registro de actividades de tratamientoFirma los contratos con tercerosIncluye los textos legales en la p\u00e1gina webSolicita el consentimiento a los clientesFirma los contratos con los empleadosRealiza un An\u00e1lisis de riesgosNombra un DPDA continuaci\u00f3n te explico detalladamente cada uno\u00a0de esos pasos.1. Registro de actividades de tratamientoLo primero que debes tener en cuenta es qu\u00e9 tipo de datos manejas en tu agencia de viajes y qu\u00e9 cantidad. En ese registro debes incluir la siguiente informaci\u00f3n:Tipo de datos almacenadosFinalidadLegitimadosPol\u00edtica de almacenamiento\u00a0de esos datosSi realizas cesiones o transferencias internacionalesMedios a trav\u00e9s de los que realizas el tratamientoEste\u00a0registro de actividades de tratamiento\u00a0debe mantenerse siempre actualizado.Los tratamientos m\u00e1s habituales en las agencias de viajes son:ClientesProveedoresContabilidadRecursos HumanosCurriculumVideovigilanciaDescarga aqu\u00ed todos los modelos gratis para agencia de viajes2. Contratos con terceros\u00bfQue t\u00fa no cedes datos a ning\u00fan tercero? No me lo creo.\u00bfTrabajas con hoteles a los que les facilitas datos de tus clientes?\u00bfY con empresas de transporte?Pues eso, cedes datos a terceros.Por eso es importante que tengas una lista de esas empresas externas que te prestan alg\u00fan servicio y asegurar que tambi\u00e9n cumplan la normativa obligatoria. Y qu\u00e9 decir tiene que debes estar seguro de que el cliente sepa qu\u00e9 datos suyos se recopilan a trav\u00e9s de estas p\u00e1ginas.Recuerda firmar el contrato de encargo de tratamiento con los tercerosPara ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.3. P\u00e1gina webEn caso de que prestes servicios online, tienes que a\u00f1adir en la p\u00e1gina web los textos exigidos por la ley de Protecci\u00f3n de Datos y la LSSI:Aviso legalPol\u00edtica de privacidadPol\u00edtica de cookiesAviso legalEste es el documento donde se identifica al propietario de la p\u00e1gina web. En \u00e9l debe incluirse:Nombre del propietarioCIF \/ NIFDirecci\u00f3nEmailN\u00ba de inscripci\u00f3n en el Registro Mercantil o n\u00ba de colegiado (si eres aut\u00f3nomo).Tiene que existir un enlace visible a este texto desde cualquier p\u00e1gina de la web.Pol\u00edtica de privacidadEs importante que revises la pol\u00edtica de privacidad de la agencia de viajes y hagas una versi\u00f3n de esta m\u00e1s extensa, que incluya m\u00e1s informaci\u00f3n acerca del procesamiento de los datos.As\u00ed, en el texto de Pol\u00edtica de privacidad\u00a0tendr\u00e1s que informar expresamente de:finalidad de la recogida de esos datos,si va a cederse esa informaci\u00f3n,legitimaci\u00f3n para el tratamiento,plazo de conservaci\u00f3n de los datos,identidad y direcci\u00f3n del responsable del tratamiento de los datos yc\u00f3mo ejercer sus derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n y oposici\u00f3n.Todos esos detalles deber\u00e1n formar parte de la pol\u00edtica de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versi\u00f3n se publique en la web.Pol\u00edtica de cookiesSi en tu web incluyes esas \u00abgalletas inform\u00e1ticas\u00bb, debes cumplir con la ley de cookies.Las cookies est\u00e1n reguladas en la LSSI.En ese texto debes informar sobre las cookies utilizadas en la p\u00e1gina, su finalidad y duraci\u00f3n.\u00bfCu\u00e1nto cuesta cumplir la LOPD?4. Consentimiento de clientesAdem\u00e1s de actualizar la pol\u00edtica de privacidad, en la agencia de viajes debes tener el consentimiento de todos tus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:Si el cliente introduce sus datos personales en la p\u00e1gina web, debes poner una casilla desmarcada por defecto que le permita aceptar esa pol\u00edtica de privacidad.En caso de que el cliente facilite sus datos personalmente en la agencia, debe firmar un documento en el que le informes del responsable del tratamiento, la finalidad para la que vas a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.Con el RGPD se pretende que los clientes sean mucho m\u00e1s conscientes de la informaci\u00f3n que tienen las empresas de ellos y para qu\u00e9 la utilizan. Por ello, es esencial que les comuniques cualquier cambio que vayas a realizar. Una buena opci\u00f3n ser\u00eda enviar emails a los clientes y empleados o publicar alguna entrada en la p\u00e1gina web y difundirla posteriormente por redes sociales, para generar m\u00e1s confianza.5. Contratos con empleadosTus empleados tienen acceso a toda la informaci\u00f3n que maneja la agencia de viajes y, por tanto, deben firmar un acuerdo comprometido con la confidencialidad para evitar que esa informaci\u00f3n sea revelada a personas no autorizadas. Los trabajadores deben\u00a0cumplir las medidas de seguridad que la empresa establece para proteger los datos personales.En la agencia de viajes los empleados disponen de un correo electr\u00f3nico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingenier\u00eda social y el t\u00e9cnicas como el phishing son los m\u00e9todos de ataque m\u00e1s utilizados debido al \u00e9xito que tiene para los ciberdelincuentes.6. An\u00e1lisis de riesgosEste es un paso fundamental.\u00bfConoces todos los datos que tratas en tu agencia?\u00bfY los riesgos que pueden surgir?Pues esto te interesa mucho.La agencia de viajes debe tambi\u00e9n realizar an\u00e1lisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,tipo de datos,naturaleza de los datos,medios de tratamiento,cesiones,transferencias internacionales yn\u00famero de interesados afectados;Adem\u00e1s, si el riesgo resultara ser especialmente alto deber\u00e1s realizar una evaluaci\u00f3n de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados. Es raro que una agencia de viajes necesite una Evaluaci\u00f3n de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla.Una vez realizados estos an\u00e1lisis debes aplicar las\u00a0medidas de seguridad adecuadas.7. Notificar brechas de seguridadUna de las obligaciones que establece el nuevo Reglamento es la notificaci\u00f3n de los incidentes de seguridad que se produzcan en la empresa.\u00bfA qui\u00e9n?Tanto a los afectados como a la AEPD.En el caso de que se d\u00e9 una situaci\u00f3n de ciberataque o infracci\u00f3n en la agencia de viajes, lo ideal es que est\u00e9s prevenido con un plan de respuesta ante incidentes.Pero adem\u00e1s, \u00a1ojo!Existe un l\u00edmite de 72 horas para notificar a las autoridades y dotar a estas de informaci\u00f3n, por lo que debes someter\u00a0el plan a prueba para garantizar que cumpla con el plazo.\u00a1Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horasCabe destacar que, aunque no se permitir\u00e1n infracciones intencionadas de la ley, existir\u00e1n atenuantes si se puede demostrar a las autoridades y a los clientes que est\u00e1s haciendo todo lo posible para cumplir con ella.8. Nombrar un DPDAunque el RGPD no incluye a las agencias de viajes dentro de las empresas obligadas a contratar un Delegado de Protecci\u00f3n de Datos,\u00a0esta figura ser\u00eda de gran ayuda para m\u00e1s del 50% de las compa\u00f1\u00edas dedicadas a viajes.El DPD ser\u00e1 clave para el buen funcionamiento de la empresa y para la aplicaci\u00f3n del RGPD. Entre muchas otras responsabilidades, cabe destacarconcienciaci\u00f3n a los empleados sobre el Reglamento,formar y dar soporte al personal involucrado en el almacenamiento de datos,realizar auditor\u00edas oser el nexo de uni\u00f3n entre la organizaci\u00f3n, la Junta Directiva y la autoridad supervisora.Preguntas frecuentes de las agencias de viajesEstas preguntas podr\u00e1n resolver tus dudas sobre c\u00f3mo cumplir el RGPD.\u00bfPuedo enviar comunicaciones comerciales a mis clientes?S\u00ed, puedes enviar comunicaciones comerciales. Pero necesitas el consentimiento expreso de los clientes.Al solicitar el consentimiento a clientes y usuarios debes informarles sobre por qu\u00e9 se recogen esos datos y cu\u00e1l es su fin en la actividad que ejerce la empresa.En caso de que esos datos los tengamos almacenados antes de la entrada en vigor del RGPD,\u00a0hay que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utiliz\u00e1ndolos.\u00bfQu\u00e9 debo hacer en caso de instalar un sistema de Videovigilancia?Si en el local tienes c\u00e1maras de videovigilancia debes:Poner un cartel informativo que indique qui\u00e9n es el responsable del tratamiento, la finalidad y los medios para ejercer los derechos ARCO.Informar a los empleados de la existencia de esas videoc\u00e1maras.\u00bfQu\u00e9 ocurre con los datos de clientes que tengo almacenados?En ese caso es\u00a0necesario hacer una auditor\u00eda para ver de qu\u00e9 tipo de datos tratamos, si son v\u00e1lidos y c\u00f3mo vamos a utilizarlos. A partir de ah\u00ed tenemos que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utiliz\u00e1ndolos.\u00bfY si el cliente no me da el consentimiento?Entonces debes cancelar sus datos o limitar el tratamiento, salvo que este se base en un inter\u00e9s leg\u00edtimo. Y debes informarle en un plazo de 10 d\u00edas, ya que, si no, estar\u00edas cometiendo una infracci\u00f3n grave de la normativa. Y puedes ser sancionado por la AEPD.\u00bfCu\u00e1nto tiempo puedo conservar los datos de los clientes?Los datos personales deben conservarse durante el plazo necesario para la finalidad para la que se han facilitado y, posteriormente, durante el tiempo en el que puedan derivarse responsabilidades legales.\u00a0El periodo de prescripci\u00f3n para reclamaciones pasa a ser de tres a\u00f1os desde que finalice el uso de los datos personales, si bien interesa mantener la documentaci\u00f3n acreditativa del consentimiento y dem\u00e1s durante m\u00e1s tiempo por otras posibles responsabilidades.Modelos y plantillasAqu\u00ed tienes los documentos necesarios para un correcto cumplimiento de la normativa de Protecci\u00f3n de Datos en tu agencia de viajes.Contrato con tercerosP\u00e1gina webAviso legalPol\u00edtica de cookiesPol\u00edtica de privacidadCompromiso confidencialidad empleadosConsentimientosConsentimiento clientesConsentimiento CVVideovigilanciaCarteles VideovigilanciaInformaci\u00f3n a trabajadores de instalaci\u00f3n de VideovigilanciaComunicacionesCorreos electr\u00f3nicosFacturasSanciones por incumplimientoEl RGPD mantiene el poder sancionador de la Agencia, pero tambi\u00e9n endurece las multas. Las sanciones cambian y aumentan considerablemente. Ya no estar\u00e1n tipificadas en niveles, sino que se separar\u00e1n en dos rangos, dependiendo de los art\u00edculos del Reglamento que las contengan.\u00a1Que no cunda el p\u00e1nico!Si cumples los pasos anteriores no podr\u00e1n sancionarte.Aqu\u00ed puedes ver algunos ejemplos de sanciones impuestas por la AEPD a agencias de viajes.No disponer del consentimiento expreso del clienteAl incluir formularios de contacto en la p\u00e1gina web es necesario insertar una casilla desmarcada por defecto para que el usuario acepte la pol\u00edtica de privacidad de la empresa. Si no, no dispondremos del consentimiento expreso de ese usuario para tratar sus datos personales. Resoluci\u00f3n AEPD\u00a0A\/00130\/2018No facilitar el ejercicio de los derechos ARCODebemos siempre facilitar a los usuarios un medio sencillo y gratuito donde puedan ejercer sus derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n, oposici\u00f3n, limitaci\u00f3n y portabilidad. Y, si el cliente solicita la cancelaci\u00f3n de sus datos, debes eliminarlos de tu base de datos y responderle en un plazo de 10 d\u00edas.\u00a0Resoluci\u00f3n AEPD\u00a0PS\/00421\/2016\u00bfTu agencia de viajes cumple estos requisitos? \u00a1A qu\u00e9 esperas para adaptarte! \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/07\/19\/agencias-viajes-rgpd\/#breadcrumbitem","name":"\u00bfC\u00f3mo cumplen las Agencias de viajes el RGPD?"}}]}]