Actualmente, la oferta de viajes se puede personalizar según los gustos y comportamientos de los usuarios como, por ejemplo, las reservas online, páginas vistas…
La mayoría de las agencias de viajes operan a través de Internet lo que supone que recogen muchos datos personales de clientes y usuarios que solicitan información.
Con el nuevo RGPD se perseguirán todos los casos en los que en los que la información sea obtenida de manera ilegítima, o aquellos en los que los datos personales no son utilizados para los fines acordados.
¿Tienes una agencia de viajes?
¿Ofreces viajes a través de una página web?
Pues aquí tienes una sencilla guía para adaptarte a la normativa de Protección de Datos.
Normativa que afecta a las agencias de viaje
Las normas que regulan la Protección de Datos en las agencias de viajes son:
- RGPD (vigente a partir del 25 de mayo en toda Europa)
- LOPD (España)
- Nueva LOPD (pendiente de aprobar aún en España)
- LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)
¿Cómo deben cumplir las agencias de viajes el RGPD?
Las agencias de viajes forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.
Para asegurar un debido cumplimiento de esta, hay que tener en cuenta una serie de preguntas y cuestiones que facilitarán la tarea.
Estas empresas manejan una gran cantidad de datos, tanto de clientes como de empleados. Cada vez que un usuario deja sus datos para una reserva o para solicitar información, contratan con los profesionales y empresas externos servicios de alojamiento o transporte, o ceden los datos de sus empleados para que elaborar las nóminas, están manejando datos de carácter personal de terceros. Para tratar adecuadamente estos datos deben cumplir con la normativa de protección de datos.
Las principales actuaciones que debes realizar en tu agencia de viajes para adaptarte al RGPD son:
- Realiza un Registro de actividades de tratamiento
- Firma los contratos con terceros
- Incluye los textos legales en la página web
- Solicita el consentimiento a los clientes
- Firma los contratos con los empleados
- Realiza un Análisis de riesgos
- Nombra un DPD
A continuación te explico detalladamente cada uno de esos pasos.
1. Registro de actividades de tratamiento
Lo primero que debes tener en cuenta es qué tipo de datos manejas en tu agencia de viajes y qué cantidad. En ese registro debes incluir la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si realizas cesiones o transferencias internacionales
- Medios a través de los que realizas el tratamiento
Este registro de actividades de tratamiento debe mantenerse siempre actualizado.
Los tratamientos más habituales en las agencias de viajes son:
- Clientes
- Proveedores
- Contabilidad
- Recursos Humanos
- Curriculum
- Videovigilancia
2. Contratos con terceros
¿Que tú no cedes datos a ningún tercero? No me lo creo.
¿Trabajas con hoteles a los que les facilitas datos de tus clientes?
¿Y con empresas de transporte?
Pues eso, cedes datos a terceros.
Por eso es importante que tengas una lista de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
3. Página web
En caso de que prestes servicios online, tienes que añadir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:
- Nombre del propietario
- CIF / NIF
- Dirección
- Nº de inscripción en el Registro Mercantil o nº de colegiado (si eres autónomo).
Tiene que existir un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante que revises la política de privacidad de la agencia de viajes y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- finalidad de la recogida de esos datos,
- si va a cederse esa información,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- identidad y dirección del responsable del tratamiento de los datos y
- cómo ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.
Política de cookies
Si en tu web incluyes esas «galletas informáticas», debes cumplir con la ley de cookies.
Las cookies están reguladas en la LSSI.
En ese texto debes informar sobre las cookies utilizadas en la página, su finalidad y duración.
4. Consentimiento de clientes
Además de actualizar la política de privacidad, en la agencia de viajes debes tener el consentimiento de todos tus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:
- Si el cliente introduce sus datos personales en la página web, debes poner una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente en la agencia, debe firmar un documento en el que le informes del responsable del tratamiento, la finalidad para la que vas a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
Con el RGPD se pretende que los clientes sean mucho más conscientes de la información que tienen las empresas de ellos y para qué la utilizan. Por ello, es esencial que les comuniques cualquier cambio que vayas a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
5. Contratos con empleados
Tus empleados tienen acceso a toda la información que maneja la agencia de viajes y, por tanto, deben firmar un acuerdo comprometido con la confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Los trabajadores deben cumplir las medidas de seguridad que la empresa establece para proteger los datos personales.
En la agencia de viajes los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
6. Análisis de riesgos
Este es un paso fundamental.
¿Conoces todos los datos que tratas en tu agencia?
¿Y los riesgos que pueden surgir?
Pues esto te interesa mucho.
La agencia de viajes debe también realizar análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,
- tipo de datos,
- naturaleza de los datos,
- medios de tratamiento,
- cesiones,
- transferencias internacionales y
- número de interesados afectados;
Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados. Es raro que una agencia de viajes necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla.
Una vez realizados estos análisis debes aplicar las medidas de seguridad adecuadas.
7. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.
¿A quién?
Tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción en la agencia de viajes, lo ideal es que estés prevenido con un plan de respuesta ante incidentes.
Pero además, ¡ojo!
Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que debes someter el plan a prueba para garantizar que cumpla con el plazo.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con ella.
8. Nombrar un DPD
Aunque el RGPD no incluye a las agencias de viajes dentro de las empresas obligadas a contratar un Delegado de Protección de Datos, esta figura sería de gran ayuda para más del 50% de las compañías dedicadas a viajes.
El DPD será clave para el buen funcionamiento de la empresa y para la aplicación del RGPD. Entre muchas otras responsabilidades, cabe destacar
- concienciación a los empleados sobre el Reglamento,
- formar y dar soporte al personal involucrado en el almacenamiento de datos,
- realizar auditorías o
- ser el nexo de unión entre la organización, la Junta Directiva y la autoridad supervisora.
Preguntas frecuentes de las agencias de viajes
Estas preguntas podrán resolver tus dudas sobre cómo cumplir el RGPD.
¿Puedo enviar comunicaciones comerciales a mis clientes?
Sí, puedes enviar comunicaciones comerciales. Pero necesitas el consentimiento expreso de los clientes.
Al solicitar el consentimiento a clientes y usuarios debes informarles sobre por qué se recogen esos datos y cuál es su fin en la actividad que ejerce la empresa.
En caso de que esos datos los tengamos almacenados antes de la entrada en vigor del RGPD, hay que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.
¿Qué debo hacer en caso de instalar un sistema de Videovigilancia?
Si en el local tienes cámaras de videovigilancia debes:
- Poner un cartel informativo que indique quién es el responsable del tratamiento, la finalidad y los medios para ejercer los derechos ARCO.
- Informar a los empleados de la existencia de esas videocámaras.
¿Qué ocurre con los datos de clientes que tengo almacenados?
En ese caso es necesario hacer una auditoría para ver de qué tipo de datos tratamos, si son válidos y cómo vamos a utilizarlos. A partir de ahí tenemos que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.
¿Y si el cliente no me da el consentimiento?
Entonces debes cancelar sus datos o limitar el tratamiento, salvo que este se base en un interés legítimo. Y debes informarle en un plazo de 10 días, ya que, si no, estarías cometiendo una infracción grave de la normativa. Y puedes ser sancionado por la AEPD.
¿Cuánto tiempo puedo conservar los datos de los clientes?
Los datos personales deben conservarse durante el plazo necesario para la finalidad para la que se han facilitado y, posteriormente, durante el tiempo en el que puedan derivarse responsabilidades legales. El periodo de prescripción para reclamaciones pasa a ser de tres años desde que finalice el uso de los datos personales, si bien interesa mantener la documentación acreditativa del consentimiento y demás durante más tiempo por otras posibles responsabilidades.
Modelos y plantillas
Aquí tienes los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu agencia de viajes.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones por incumplimiento
El RGPD mantiene el poder sancionador de la Agencia, pero también endurece las multas. Las sanciones cambian y aumentan considerablemente. Ya no estarán tipificadas en niveles, sino que se separarán en dos rangos, dependiendo de los artículos del Reglamento que las contengan.
¡Que no cunda el pánico!
Si cumples los pasos anteriores no podrán sancionarte.
Aquí puedes ver algunos ejemplos de sanciones impuestas por la AEPD a agencias de viajes.
No disponer del consentimiento expreso del cliente
Al incluir formularios de contacto en la página web es necesario insertar una casilla desmarcada por defecto para que el usuario acepte la política de privacidad de la empresa. Si no, no dispondremos del consentimiento expreso de ese usuario para tratar sus datos personales. Resolución AEPD A/00130/2018
No facilitar el ejercicio de los derechos ARCO
Debemos siempre facilitar a los usuarios un medio sencillo y gratuito donde puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad. Y, si el cliente solicita la cancelación de sus datos, debes eliminarlos de tu base de datos y responderle en un plazo de 10 días. Resolución AEPD PS/00421/2016
¿Tu agencia de viajes cumple estos requisitos? ¡A qué esperas para adaptarte!