Tratamiento de datos en el sector turístico: Seguridad y conformidad con el RGPD

Canal de Denuncias

El sector turístico se caracteriza por un flujo constante de datos a través de su cadena de suministro, una complejidad que el European Data Protection Board (EDPB) ha reconocido en sus Directrices 07/2020, señalando los matices en las relaciones entre responsables y encargados del tratamiento de datos bajo el RGPD. Es fundamental entender cómo y dónde viajan los datos desde su origen, como una agencia de viajes, hasta su destino final, como un hotel.

Un caso típico de tratamiento de datos separado ocurre cuando una agencia de viajes reserva vuelos y hoteles, donde cada entidad actúa con un propósito distinto y debe cumplir con las obligaciones de información del artículo 13 del RGPD. Sin embargo, si una agencia y un hotel forman una “joint venture” para una plataforma de viajes combinados, se convierten en corresponsables del tratamiento de datos, con las implicaciones legales que eso conlleva.

El desafío se amplía con los intermediarios que manejan las reservas turísticas, ya que los datos se desplazan por múltiples sistemas. Estos intermediarios suelen actuar bajo acuerdos B2B, donde el interés en los datos personales es mínimo, y su rol frecuentemente se limita a la transmisión de datos, aunque pueden ser considerados encargados del tratamiento.

Para asegurar un manejo seguro de los datos dentro de los acuerdos de proveedores turísticos, recomendamos considerar varios puntos clave al negociar y definir contratos:

  1. Definir el marco legal de protección de datos y cómo se cumplirá con las leyes de privacidad, particularmente en transferencias internacionales.
  2. Establecer controles de seguridad para la transmisión y almacenamiento de datos.
  3. Determinar los requisitos de seguridad de la infraestructura donde se manejarán los datos.
  4. Acordar indemnizaciones por el incumplimiento de requisitos de seguridad.
  5. Exigir formación en protección de datos y seguridad de la información para el personal involucrado.
  6. Prever la subcontratación de servicios y establecer cláusulas para mantener el control de los datos.
  7. Incluir certificaciones de seguridad como ISO 27001 para aumentar la confianza.
  8. Obligar a informar sobre la efectividad de los controles de seguridad.
  9. Asegurar una transición segura de la información al terminar la relación contractual.
  10. Reservarse el derecho a auditar los servicios para verificar el cumplimiento.

En un mundo donde los incidentes de seguridad son cada vez más frecuentes y graves, estos pasos no solo pueden evitar sanciones, sino también proteger la reputación en el mercado.

Lectura relacionada:

Privacidad y seguridad de datos en la nueva era digital

La privacidad de los datos en torno a ChatGPT y otras IA

¿Qué es el Registro de las Actividades de Tratamiento?

Compartir este artículo

Autor

Asesor de cumplimiento normativo en tecnologías de la información y la comunicación (TIC), con estudios en Derecho y certificaciones internacionales como Auditor Certificado de Sistemas de Información (CISA) y Gerente de Seguridad de la Información (CISM). Se ha especializado en normativas como ISO 27001, ISO 22301 y el Esquema Nacional de Seguridad, así como en la gestión del riesgo.
Palabras relacionadas

Mantente informado con consejos legales de Monlex

No hay spam, sólo enviamos actualizaciones sobre nuestras áreas de práctica

Artículos relacionados

¿Requiere asistencia legal?

Reciba asesoramiento legal personalizado de nuestros expertos en MONLEX.