La gran mayoría de las agencias de viajes operan a través de Internet lo que supone que recogen muchos datos personales de clientes y usuarios que solicitan información, como por ejemplo los gustos, comportamientos de los usuarios (reservas online, páginas visitadas), etc.
- ¿Cómo deben cumplir las agencias de viajes el RGPD y la LOPDGDD?
- Preguntas frecuentes de las agencias de viajes
- Sanciones por incumplimiento
- ¿Necesitas Ayuda?
¿Cómo deben cumplir las agencias de viajes el RGPD y la LOPDGDD?
Las agencias de viajes forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.
Para asegurar un debido cumplimiento de esta, hay que tener en cuenta una serie de preguntas y cuestiones que facilitarán la tarea.
Estas empresas manejan una gran cantidad de datos, tanto de clientes como de empleados. Cada vez que un usuario deja sus datos para una reserva o para solicitar información, contratan con los profesionales y empresas externos servicios de alojamiento o transporte, o ceden los datos de sus empleados para elaborar las nóminas, están manejando datos de carácter personal de terceros. Para tratar adecuadamente estos datos deben cumplir con la normativa de protección de datos.
Las principales actuaciones que debes realizar en tu agencia de viajes para adaptarte al RGPD son:
- Realizar un Registro de actividades de tratamiento
- Analizar los Riesgos
- Realizar una Evaluación de Impacto
- Realizar el Documento de seguridad
- Implantar las medidas Técnicas y Organizativas
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Firmar los avisos legales con los empleados
- Comunicar las brechas de seguridad
- Nombrar un DPD
A continuación os explicamos detalladamente las principales actividades a realizar.
1. Registro de actividades de tratamiento
Lo primero que debes tener en cuenta es qué tipo de datos manejas en tu agencia de viajes y qué cantidad. En ese registro debes incluir la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si realizas cesiones o transferencias internacionales
- Medios a través de los que realizas el tratamiento
Este registro de actividades de tratamiento debe mantenerse siempre actualizado.
Los tratamientos más habituales en las agencias de viajes son:
- Clientes
- Proveedores
- Recursos Humanos
- Curriculum o candidatos
- Videovigilancia
- TPV
- Contacto web y redes sociales
2. Análisis de riesgos
¿Conoces todos los datos que tratas en tu agencia? ¿Y los riesgos que pueden surgir?
La agencia de viajes debe también realizar análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:
- tipo de datos,
- medios de tratamiento,
- cesiones,
- naturaleza de los datos,
- transferencias internacionales y
- número de interesados afectados;
3. Evaluación de impacto
Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados. Es raro que una agencia de viajes necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla.
Una vez realizados estos análisis debes aplicar las medidas de seguridad adecuadas.
4. Consentimiento de clientes
Además de actualizar la política de privacidad, en la agencia de viajes debes tener el consentimiento de todos tus clientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:
- Si el cliente introduce sus datos personales en la página web, debe poner una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente en la agencia, debe firmar un documento en el que le informes del responsable del tratamiento, la finalidad para la que vas a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
Con el RGPD se pretende que los clientes sean mucho más conscientes de la información que tienen las empresas de ellos y para qué la utilizan. Por ello, es esencial que les comuniques cualquier cambio que vayas a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
5. Avisos legales con empleados
Tus empleados tienen acceso a toda la información que maneja la agencia de viajes y, por tanto, deben firmar un acuerdo comprometido con la confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Los trabajadores deben cumplir las medidas de seguridad que la empresa establece para proteger los datos personales.
En la agencia de viajes los empleados disponen de un correo electrónico para comunicarse entre ellos y con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
6. Contratos con terceros
¿Trabajas con establecimientos hoteleros y/o alojamientos turísticos, navieras, aeronaves, etc, a los que les facilitas datos de tus clientes? ¿Y con empresas de transporte?, entre otras actividades….
En ese caso, cedes datos a terceros.
Por eso es importante que tengas una lista de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que debes estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.
Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
7. Página web
En caso de que prestes servicios online, tienes que añadir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:
- Nombre del propietario
- CIF / NIF
- Dirección
- Nº de inscripción en el Registro Mercantil o nº de colegiado (si eres autónomo).
Tiene que existir un enlace visible a este texto desde cualquier página de la web.
Política de cookies
Las cookies están reguladas en la LSSI. En ese texto debes informar sobre las cookies utilizadas en la página, su finalidad y duración.
Política de privacidad
Es importante que revises la política de privacidad de la agencia de viajes y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- finalidad de la recogida de esos datos,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- si va a cederse esa información,
- identidad y dirección del responsable del tratamiento de los datos y
- cómo ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.
8. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.
¿A quién?: Tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción en la agencia de viajes, lo ideal es que estés prevenido con un plan de respuesta ante incidentes.
Pero además, ¡ojo!: Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que debes someter el plan a prueba para garantizar que cumpla con el plazo.
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con ella.
9. Nombrar un DPD/DPO
Aunque el RGPD no incluye a las agencias de viajes dentro de las empresas obligadas a contratar un Delegado de Protección de Datos, esta figura sería de gran ayuda para más del 50% de las compañías dedicadas a viajes.
El DPD será clave para el buen funcionamiento de la empresa y para la aplicación del RGPD. Entre muchas otras responsabilidades, cabe destacar:
- concienciación a los empleados sobre el Reglamento,
- formar y dar soporte al personal involucrado en el almacenamiento de datos,
- realizar auditorías o
- ser el nexo de unión entre la organización, la Junta Directiva y la autoridad supervisora.
10. Elaboración del documento de Seguridad
Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.
Preguntas frecuentes de las agencias de viajes
Estas preguntas podrán resolver tus dudas sobre cómo cumplir el RGPD.
¿Qué debo hacer en caso de instalar un sistema de Videovigilancia?
Si en el local tienes cámaras de videovigilancia debes:
- Poner un cartel informativo que indique quién es el responsable del tratamiento, la finalidad y los medios para ejercer los derechos ARCO.
- Informar a los empleados de la existencia de esas videocámaras.
¿Y si el cliente no me da el consentimiento?
Entonces debes cancelar sus datos o limitar el tratamiento, salvo que este se base en un interés legítimo. Y debes informarle en un plazo de 10 días, ya que, si no, estarías cometiendo una infracción grave de la normativa. Y puedes ser sancionado por la AEPD.
¿Puedo enviar comunicaciones comerciales a mis clientes?
Sí, puedes enviar comunicaciones comerciales. Pero necesitas el consentimiento expreso de los clientes.
Al solicitar el consentimiento a clientes y usuarios debes informarles sobre por qué se recogen esos datos y cuál es su fin en la actividad que ejerce la empresa.
En caso de que esos datos los tengamos almacenados antes de la entrada en vigor del RGPD, hay que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.
¿Qué ocurre con los datos de clientes que tengo almacenados?
En ese caso es necesario hacer una auditoría para ver de qué tipo de datos tratamos, si son válidos y cómo vamos a utilizarlos. A partir de ahí tenemos que enviar al cliente un recordatorio de que tenemos esos datos y solicitarles su consentimiento para seguir utilizándolos.
¿Cuánto tiempo puedo conservar los datos de los clientes?
Los datos personales deben conservarse durante el plazo necesario para la finalidad para la que se han facilitado y, posteriormente, durante el tiempo en el que puedan derivarse responsabilidades legales. El periodo de prescripción para reclamaciones pasa a ser de tres años desde que finalice el uso de los datos personales, si bien interesa mantener la documentación acreditativa del consentimiento y demás durante más tiempo por otras posibles responsabilidades.
Sanciones por incumplimiento
El RGPD mantiene el poder sancionador de la Agencia, pero también endurece las multas. Las sanciones cambian y aumentan considerablemente. Ya no estarán tipificadas en niveles, sino que se separarán en dos rangos, dependiendo de los artículos del Reglamento que las contengan.
Aquí puedes ver algunos ejemplos de sanciones impuestas por la AEPD a agencias de viajes.
1. No facilitar el ejercicio de los derechos ARCO
Debemos siempre facilitar a los usuarios un medio sencillo y gratuito donde puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad. Y, si el cliente solicita la cancelación de sus datos, debes eliminarlos de tu base de datos y responderle en un plazo de 10 días. Resolución AEPD PS/00421/2016
¿Tu agencia de viajes cumple estos requisitos? ¡A qué esperas para adaptarte!
2. No disponer del consentimiento expreso del cliente
Al incluir formularios de contacto en la página web es necesario insertar una casilla desmarcada por defecto para que el usuario acepte la política de privacidad de la empresa. Si no, no dispondremos del consentimiento expreso de ese usuario para tratar sus datos personales. Resolución AEPD A/00130/2018
¿Necesitas Ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/