Hemeroteca Tarifas
Hosteltur, noticias de turismo para profesionales. Actualidad sobre hoteles, economía, agencias de viajes, aerolíneas y empresas de turismo.
Academy Premium

Hazte Premium por sólo 0,17€/día y accede a todo nuestro contenido sin límites.

Por Monlex Abogados, en Innovación

Tratamiento de datos en el sector turístico: Seguridad y conformidad con el RGPD

23 octubre, 2023 (10:49:00)
Imagen opinión Hosteltur

En este artículo vamos a tratar sobre un tema muy ligado al sector turístico, y es el tratamiento de datos en toda la cadena de suministro de servicios turísticos. Como todos sabemos, los datos de reservas de cualquier producto se producen en origen cierto (agencia de viajes, OTA, canal, etc.) y un destino también conocido (hotel, transfer, excursiones, etc.). Ahora bien, lo que no controlamos e ignoramos casi por completo, es por dónde viajan los datos de la reserva desde que se introducen en el sistema hasta que llega a su destino. La cadena de suministro turística es tan especial, que el European Data Protection Board (EDPB) lo incluyó en su guía Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD, donde ejemplificaba los distintos casos de la relación responsable/encargado del tratamiento.

El caso más común, donde una agencia de viajes consulta disponibilidad de asientos en un vuelo y habitaciones en un hotel, para luego realizar la reserva y que llegue a su destino, es un claro ejemplo de responsables del tratamiento separados. Cada uno tienen una finalidad diferenciada en el uso de los datos, y por tanto, deberá informar al interesado como corresponde según el artículo 13 del RGPD. También pone el ejemplo de una “joint venture” donde se juntan ambas entidades para un objetivo común. Pongamos que crean una plataforma con ofertas de viajes combinados donde los destinos y productos son los propios impulsores del negocio. En este caso, tanto agencia como hotel serían corresponsables del tratamiento de los datos y, por este motivo, deberán decidir conjuntamente sobre la finalidad del tratamiento de estos.

Como hemos apuntado previamente, no todo resulta tan sencillo y el sector turístico también dispone de una cantidad de intermediarios en el tratamiento de las reservas, y por ello estos datos viajan a través de multitud de sistemas de información hasta llegar al destino final. Cada intermediario mantiene un acuerdo con su cliente y proveedor, y en cada acuerdo se debería establecer claramente cuál es la posición de cada uno en relación con el tratamiento de los datos personales. En general, como la finalidad de estas empresas se mantiene en un marco B2B, no disponen de interés alguno en el tratamiento de los datos personales en las reservas. Lo lógico en esta situación es que ninguna de las partes sienta interés en responsabilizarse de dichos datos y se posicionan como meros transmisores de datos o, en última instancia, como encargados del tratamiento de los datos para transmitirlos de un punto a otro.

¿Qué recomendamos entonces, para establecer un marco de seguridad en los acuerdos con proveedores dentro del sector turístico? A continuación, establecemos una serie de puntos a tener en cuenta, a la hora de negociar y definir los contratos, de manera que podamos garantizar la seguridad de la información que vamos a tratar a raíz del acuerdo:

  1. Establecer los requisitos legales o marco de protección de datos, según la nacionalidad de las partes en el contrato. ¿Cómo vamos a cumplir con la legislación en privacidad en caso de transferencias internacionales?
  2. Acordar los controles de seguridad que van a aplicar en la transmisión y almacenamiento de los datos.
  3. Requisitos de seguridad para la infraestructura que albergará o tratará los datos de reservas.
  4. Posibles indemnizaciones por incumplimiento de los requisitos de seguridad.
  5. Requisitos de formación que deberán tener los empleados de cada parte, enfocada a protección de datos y seguridad de la información.
  6. Prever la eventual subcontratación de servicios. Este punto es especialmente delicado ya que supone “perder el control” de los datos si no se realiza correctamente. En este sentido, se podrán incluir cláusulas que permitan la subcontratación, pero trasladando siempre los mismos condicionantes que el acuerdo principal. También podrán incorporarse cláusulas que obliguen al proveedor, a informar sobre cualquier cambio en el subcontratista o sus condiciones de servicio.
  7. Posibles certificaciones de seguridad como ISO 27001, que doten de mayor confianza al cliente.
  8. Obligación de informar sobre la efectividad de los controles de seguridad aplicados en el marco del acuerdo.
  9. Asegurar el traspaso de la información, una vez finalizada la relación entre ambas partes.
  10. Por último, también podemos reservarnos el derecho a auditar las actividades de los servicios prestados, para asegurarnos que cumplen con lo acordado.

Estos son varios ejemplos para tener en cuenta para los contratos antes mencionados. Debemos pensar que los incidentes de seguridad están sucediendo cada vez con mayor frecuencia, y la tendencia es claramente al alza, y la responsabilidad bien definida nos puede librar de sanciones o impactos en nuestra reputación en el mercado.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com

Avatar Monlex Abogados Monlex Abogados MONLEX
Más sobre Innovación

Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta

Inicia sesión
Comentarios 0

Esta opinión no tiene comentarios.