Cualquier agencia de viajes, por pequeña que sea, trata con los datos personales de sus clientes y, si los tiene, también con los de sus empleados, por ese motivo deben cumplir con las obligaciones de la normativa de protección de datos. En esta guía te damos las claves para que tú agencia de viajes cumpla con la Ley de Protección de Datos.
En este artículo hablamos de:
- ¿Deben las agencias de viajes cumplir con la Ley de Protección de Datos?
- Normativa de protección de datos para agencias de viajes 2022
- ¿Cómo adaptar la agencia de viajes al RGPD y la LOPDGDD?
- Elaborar el registro de actividades de tratamiento
- Recabar el consentimiento expreso
- Hacer un análisis de riesgos
- Firmar los contratos de encargo de tratamiento
- Confidencialidad
- Formación
- Informar a los titulares de los datos
- Obligaciones si la agencia de viajes tiene página web
- Notificación de las brechas de seguridad
- Auditorías periódicas de protección de datos
- Sanciones por no cumplir con la normativa de protección de datos
- ¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
- ¿Preguntas frecuentes?
- ¿Cuándo sé que trato con datos de carácter personal?
- ¿Necesitan las agencias de viajes designar un DPO?
- ¿Cuánto tiempo debo conservar los datos personales?
- Si uso una TPV para el cobro, ¿las tarjetas de mis clientes se consideran datos personales?
- ¿Puedo enviar comunicaciones comerciales a mis clientes?
- ¿Qué tengo que hacer si instalo cámaras de videovigilancia?
- Recomendaciones (mínimas) para verificar que la agencia de viajes cumple con la normativa de protección de datos
¿Deben las agencias de viajes cumplir con la Ley de Protección de Datos?
Como ya hemos adelantado en las primeras líneas de esta guía, sí, las agencias de viajes deben cumplir con la normativa de protección de datos, puesto que tratan con datos de carácter personal de sus clientes y empleados.
Normativa de protección de datos para agencias de viajes 2022
La normativa de protección de datos para agencias viajes se encuentra en:
- El Reglamento General de Protección de Datos (RGPD)
- La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)
- La Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE)
RGPD
El RGPD es el marco normativo de la UE para la protección de datos en los países miembros, así como en el EEE (Espacio Económico Europeo), además de afectar a cualquier empresa extranjera que trate con datos personales de ciudadanos residentes en la UE.
Entró en vigor en 2016 (en España lo haría en 2018) e introdujo una serie de principios, obligaciones para las organizaciones privadas y públicas y derechos para los ciudadanos en materia de protección de datos, como son la legitimación para el tratamiento de datos personales, la necesidad de implementar medidas de técnicas y organizativas de seguridad para garantizar la privacidad de los datos, infracciones y sanciones, la distinción de las categorías de datos especiales (o datos sensibles) y la obligación que deben cumplir aquellas organizaciones cuando traten este tipo de datos o traten datos personales a gran escala.
LOPDGDD
La LOPDGDD es la ley española, mediante la cual se adapta el RGPD al ordenamiento jurídico español, por lo que podemos decir que cumpliendo esta se cumple el reglamento europeo. Si bien es cierto que mientras que el RGPD tiene un carácter más generalista, dejando abierta la regulación de ciertos aspectos al legislador de los Estados miembros, de manera que la normativa española de protección de datos es más concretas en algunas partes de su articulado, como por ejemplo ocurre con la graduación de las infracciones y sanciones y cómo se aplica el derecho al olvido.
¿Cómo adaptar la agencia de viajes al RGPD y la LOPDGDD?
En los siguientes puntos veremos los pasos clave que cualquier agencia de viajes debe seguir para adaptarse a la normativa de protección de datos y cumplir así tanto con la LOPDGDD como el RGPD.
Elaborar el registro de actividades de tratamiento
Uno de los primeros pasos para adaptar la agencia de viajes al RGPD y la LOPDGDD es elaborar el denominado registro de actividades de tratamiento, donde deben documentarse todos los tratamientos de datos personales que se lleven a cabo en la agencia (por ejemplo, puede haber un registro correspondiente a fichas de clientes, otro con imágenes de seguridad, otro con fichas de empleados, etc.).
El registro de actividades de tratamiento debe estar por escrito (si bien, puede almacenarse en formato digital), incluir toda la información relevante a cada actividad de tratamiento de datos personales, estar siempre actualizado y, aunque no es necesario inscribirlo en ningún registro, en el caso de que la AEPD (Agencia Española de Protección de Datos) nos lo solicite, debemos facilitárselo.
En cuanto la información, este es el contenido mínimo que debe tener:
- Datos identificativos y de contacto del responsable del tratamiento (que es la agencia de viajes) y, si procede, los del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
- Finalidad del tratamiento
- Legitimación
- Descripción de interesados afectados
- Categorías de los datos que se tratan
- Categorías de destinatarios a quienes se pueden ceder los datos personales (existentes o previstos)
- Si procede, transferencias internacionales de datos
- Plazo de conservación de los datos
- Descripción de las medidas de seguridad implantadas
Recabar el consentimiento expreso
El RGPD introdujo la obligación de recabar siempre el consentimiento expreso de los titulares de los datos para poder recabarlos y tratarlos. Este consentimiento debe ser informado, detallar la finalidad del tratamiento, el plazo de conservación y si se producirán cesiones a terceros. De manera que para cada nuevo tratamiento o finalidad, se debe volver a recabar.
El consentimiento expreso debe recogerse mediante una acción positiva del titular de los datos (puede ser la firma de un formulario de consentimiento o unas cláusulas) y quedar registrado.
Hacer un análisis de riesgos
Antes de realizar cualquier actividad de tratamiento de datos personales, es necesario hacer un análisis de riesgos, mediante el cual se puedan determinar las amenazas y riesgos que pueden derivarse del tratamiento de datos y las posibilidades que tienen estos de materializarse, así el impacto que dicha materialización tendría sobre los derechos y libertades de los titulares de los datos.
Además, el análisis de riesgos también servirá para diseñar e implantar las medidas de seguridad necesarias para minimizar tanto las posibilidades de materialización de los riesgos como de su impacto si se producen.
¿Deben las agencias de viajes hacer una evaluación de impacto en protección de datos (EIPD)?
La EIPD es un análisis de riesgos que solo es necesario hacer en determinadas circunstancias; bien cuando del análisis de riesgos inicial se desprende que el impacto en los derechos y libertades de los titulares puede ser demasiado alto, o bien cuando se tratan datos a gran escala o datos de categorías especiales.
Firmar los contratos de encargo de tratamiento
Cuando se ceden datos personales a terceros y estos realicen un tratamiento de esos datos (como por ejemplo las gestorías que gestionan las nóminas de los empleados de la agencia o las empresas de transporte u hoteles con los que trabaja la agencia), es necesarios firmar con ellos un contrato de encargo de tratamiento, donde la agencia de viajes, como responsable del tratamiento debe establecer las condiciones y la finalidad del tratamiento de los datos cedidos, además de asegurarse que el encargado del tratamiento cuenta con las medidas de seguridad pertinente.
Confidencialidad
Si tienes empleados y estos tienen acceso a los datos personales de tus clientes y otros empleados, debes garantizar que respetarán las normas de seguridad establecidas y mantendrán la confidencialidad de los datos. Para ello es habitual recurrir a la incorporación de cláusulas de confidencialidad en el contrato de trabajo.
Formación
Si bien no es obligatorio realizar cursos de formación materia de protección de datos, se recomienda que quien se ocupe de gestionar las tareas y obligaciones relacionadas con ello como responsable del tratamiento, sí cuenta con los conocimientos necesarios sobre protección de datos, así como de la normativa vigente.
Informar a los titulares de los datos
Como ya dijimos en el apartado del consentimiento, se debe informar a los titulares de los datos personales no solo de que se va a realizar un tratamiento de sus datos, sino también de:
- Nombre y datos de contacto del responsable del tratamiento
- Legitimación para realizar el tratamiento de datos
- Finalidad del tratamiento
- Dónde y a través de qué vía ejercer sus derechos ARSULIPO (acceso, supresión, rectificación, limitación, portabilidad y oposición)
Obligaciones si la agencia de viajes tiene página web
Muchas agencias de viajes cuentan con una página web a través de la cual pueden hacerse reservas online. En estos casos también se deben cumplir una serie de obligaciones tanto de la normativa de protección de datos como de la LSSI-CE, en concreto, elaborar e incluir los denominados textos legales web, que habrán de ser accesibles desde cualquier página o subpágina, ofrecer toda la información pertinente y hacerlo de forma clara y accesible.
Estos textos legales son:
- Aviso legal:
- Nombre o razón social
- NIF
- Dirección
- N.º de inscripción en el Registro Mercantil
- Política de privacidad:
- Datos identificativos del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Gestión de los datos personales
- Plazos de conservación de los datos
- Si se producen cesiones a tercero y la identificación de los mismos
- Si se usan cookies en la web
- Vía para ejercer los derechos ARSULIPO
- Política de cookies y aviso de cookies
- Condiciones de venta y/o contratación
Notificación de las brechas de seguridad
En el caso de que se produzca una brecha de seguridad que pueda dejar expuestos los datos personales que se tratan en la agencia de viajes, es obligatorio notificarlo tanto a la AEPD como a los titulares de los datos personales que se hayan visto afectados, en un plazo que no podrá ser superior a las 72 horas. No notificar las brechas de seguridad es motivo de sanción.
Auditorías periódicas de protección de datos
Si bien la normativa de protección de datos no obliga a realizar una auditoría periódica de protección de datos, sí que exige demostrar que la agencia de viajes cuenta con las medidas técnicas y organizativas de seguridad necesarias para garantizar la protección de los datos personales que trata. Una forma de demostrarlo es a través de los informes de dichas auditorías, puesto que evalúan los sistemas y medidas de seguridad implementados.
Es recomendable que estas auditorías las haga un servicio externo, para mantener la objetividad, y se realicen, como mínimo cada dos años. Además, estos informes servirán también para corregir posibles problemas de seguridad o de cumplimiento detectados.
Sanciones por no cumplir con la normativa de protección de datos
No cumplir con la normativa de protección de datos es sancionable, la cuantía de dichas sanciones dependerá del grado de gravedad de la infracción cometida.
El RGPD establece dos rangos de sanciones:
- Hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que sea superior) para infracciones graves
- Hasta 20 millones de euros o el 4% de la facturación anual para infracciones muy graves.
Mientras que la LOPDGDD establece tres grados de infracciones y sanciones, si bien la descripción de las infracciones son las mismas que recoge el RGPD:
- Hasta 40.000 euros para las infracciones leves (artículo 74)
- De 40.001 a 300.000 euros para las infracciones graves (artículo 73)
- De 300.001 a 20 millones de euros o el 4% de la facturación anual para las infracciones muy graves (artículo 72)
¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
Si tu agencia de viajes aún no se ha adaptado a la normativa de protección de datos, no esperes más y contacta con un especialista para que te ayude y acompañe en todo el proceso, ya que, cómo has podido ver en esta guía de protección de datos para agencias de viajes, es una tarea compleja que exige tener conocimientos en la materia y de la legislación vigente.
¿Preguntas frecuentes?
¿Cuándo sé que trato con datos de carácter personal?
Los datos de carácter personal son aquellos que permiten identificar las personas físicas (como por ejemplo el nombre y los apellidos o una dirección postal). De manera que si recoges este tipo de datos en la agencia de viajes, estarás tratando con datos personales.
Quedan excluidos, por tanto, los datos correspondientes a personas jurídicas (es decir, empresas, corporativas, asociaciones, etc.).
¿Necesitan las agencias de viajes designar un DPO?
La designación de un delegado de protección de datos solo es obligatoria cuando se tratan datos a gran escala o datos sensibles, por lo que si la agencia de viajes no cumple con estos requisitos, no tendrá que nombrar un DPO.
¿Cuánto tiempo debo conservar los datos personales?
La normativa de protección de datos nos dice que el plazo de conservación de los datos debe ser el mínimo necesario para cumplir con la finalidad del tratamiento para el que fueron recogidos y que será el responsable del tratamiento el que fije dicho plazo. Sin embargo, hay que tener en cuenta que hay leyes (como la fiscal) que exigen que determinados documentos que pueden contener datos personales, se almacenen durante períodos de tiempo determinados. Así que algunos plazos de conservación dependerán de dichas normas.
Puedes encontrar más información sobre este tema en nuestra entrada sobre los plazos de conservación de los datos.
Si uso una TPV para el cobro, ¿las tarjetas de mis clientes se consideran datos personales?
La AEPD ha determinado en numerosas ocasiones que sí.
El cliente para abonar las compras que realice en mi negocio puede aportar su tarjeta, procediéndose a la lectura de la banda magnética a través de los TPV y capturándose la información necesaria para proceder a la autorización de la operación y para la impresión del ticket de compra.
El TPV determina el tipo de Tarjeta y establece comunicación con su correspondiente centro autorizador. Entre los datos que se envían a dicho centro para la aprobación de la operación, siguiendo protocolos estándar, se encuentran: número de tarjeta, comercial donde se efectúa la compra, su importe y fecha y hora de realización, no enviándose otros datos de carácter personal como el nombre y apellidos del cliente.
No obstante la AEPD considera dato personal a los datos de las tarjetas por lo que lo deberemos considerar un tratamiento más con su correspondiente fichero.
¿Qué medidas de seguridad debo aplicar en estos casos?
No te preocupes, es muy probable que tu proveedor de TPV ya haya implantado todas las medidas técnicas necesarias para garantizar la seguridad de los datos en las comunicaciones. No obstante te recomendamos que solicites a tu proveedor un listado de las medidas de seguridad que aplica y así poder revisarlo tú o tus asesores expertos en protección de datos
Tú solo tendrás que encargarte de guardar los tickets en un lugar seguro y que solo tú o tus empleados tengáis acceso a ellos.
¿Puedo enviar comunicaciones comerciales a mis clientes?
Para poder enviar comunicaciones comerciales a tus clientes, necesitas el consentimiento expreso de estos para ello. Es decir, que, salvo que hayas recabado el consentimiento para ello, no podrías enviar comunicaciones comerciales a tus clientes que no estén relacionadas con los servicios contratados.
¿Qué tengo que hacer si instalo cámaras de videovigilancia?
Si has instalado cámaras de videovigilancia en el local de tu agencia de viajes, deberás colocar el correspondiente cartel informativo en los puntos de acceso al local, donde debe figurar toda la información pertinente requerida por la normativa. Puedes encontrar más información sobre la normativa de cámaras de seguridad en nuestra entrada sobre RGPD y videovigilancia.
Recomendaciones (mínimas) para verificar que la agencia de viajes cumple con la normativa de protección de datos
Comprueba que tu agencia de viajes cumple con la normativa de protección de datos repasando estas recomendaciones mínimas:
- Toda la documentación relativa a protección de datos actualizada y firmada
- Registro de actividades de tratamiento actualizado
- Cuentas con el consentimiento expreso para cada tratamiento de datos que realizas
- Has hecho el correspondiente análisis de riesgos antes de hacer ningún tratamiento de datos personales
- Has implementado las medidas de seguridad necesarias
- Informar a los titulares de los datos de sus derechos
- Notifica las brechas de seguridad cuando se produzcan
Esperamos haberte ayudado a conocer las obligaciones que tiene tu agencia de viajes para adaptarse a la normativa de protección de datos. Si necesitas ayuda o asesoramiento personalizado, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de profesionales podrán ayudarte en lo que necesites.