En APDTIC tuvimos el honor de impartir, el pasado miércoles 8 de junio, una sesión titulada ‘Seguridad y privacidad en el sector turístico’ en la Diputación de A Coruña. A cargo de André Castelo, la actividad estuvo enmarcada en el nodo gallego de ciberseguridad CIBER.gal.
Durante las dos horas que duró la charla, tuvimos oportunidad de abordar diversas cuestiones de interés para las agencias, entidades y operadores del sector turístico, en relación con la privacidad, la ciberseguridad y el tratamiento de los datos personales de los viajeros y clientes.

En estas líneas, resumimos los puntos clave de la sesión, que fue grabada y se puede volver a ver aquí. ¿El objetivo? Reducir la incertidumbre e incrementar la seguridad en un contexto en el que se manejan grandes cantidades de datos de datos personales.
Algunas preguntas sobre ciberseguridad en el trabajo
La sesión comenzó con una serie de preguntas encaminadas a hacer reflexionar a los asistentes acerca de las medidas que actualmente estaban tomando en este sentido. Por ejemplo, se plantearon las siguientes cuestiones, entre otras:
- ¿Son seguras tus contraseñas de acceso?
- ¿Gestionas la información confidencial acorde a su clasificación?
- ¿Sabes si es posible acceder a tu correo o averiguar qué haces en la red?
- ¿Utilizas tu móvil u ordenador personal para trabajar, aunque sea solo usando el correo
- ¿De qué forma aseguras tu sistema cuando trabajas?
- ¿Sabrías actuar ante un problema de seguridad de la información?
- ¿Conoces qué tipo de datos personales tratas y si los estás gestionando de manera segura y legal?
Como permiten intuir las preguntas, son muchos los aspectos a tener en cuenta al trabajar en este sector. Comenzamos por el que es, quizá, el más importante de todos: la normativa aplicable.
Las leyes, normas y estándares que afectan al sector turístico
En realidad, el sector turístico no es ninguna excepción en lo que a regulación se refiere. Por lo tanto, a las empresas y entidades que lo conforman les corresponde cumplir con las mismas normativas ya establecidas. Entre ellas, destacan:
- En el ámbito de la protección de datos: el RGPD (Reglamento General de Protección de Datos y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales).
- En el ámbito de la seguridad de la información: el ENS (Esquema Nacional de Seguridad) y el Real Decreto 43/2021, de seguridad de las redes y sistemas de información.
En cuanto a los estándares aplicables al sector turístico, debemos fijarnos en los siguientes:
- ISO 27001.
- ISO 27002.
- ISO 27701.
Por último, es importante recordar que en nuestro país hay varias entidades de referencia en la materia, a las que se puede acudir en caso de duda. Son, en concreto, la AEPD (Agencia Española de Protección de Datos), el INCIBE (Instituto Nacional de Ciberseguridad) y el CCN-CERT (Centro Criptológico Nacional).
Medidas preventivas básicas de ciberseguridad
Si trabajas en el sector turístico, has de saber que el INCIBE ha hecho pública esta guía con recomendaciones de ciberseguridad para las empresas del sector turístico. Estos son algunos de los consejos que recoge el documento:
- Utilizar conexiones VPC seguras.
- Realizar copias de seguridad en la nube.
- Identificar a todo aquel que se conecte a la red.
- Usar antivirus y sistemas de doble autenticación.
- Mantener actualizados los sistemas.
- Crear contraseñas únicas y seguras.
Medidas de seguridad para los proveedores de servicios
La responsabilidad en caso de fallo de seguridad es igualmente reclamable a los prestadores de servicios, que en este caso se tienen que acoger a lo que dice el RGPD sobre la seguridad en el tratamiento. Estas son las medidas fundamentales a aplicar:
- Seudonimización y cifrado de datos personales.
- Garantía permanente de confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios prestados.
- En caso de incidente, capacidad para restaurar rápidamente la disponibilidad y el acceso a los datos personales.
- Procesos de verificación, evaluación y valoración regulares para analizar la eficacia de las medidas técnicas y organizativas y, así, garantizar la seguridad del tratamiento.
Casos prácticos ilustrativos
Los casos que a continuación se comparten ilustran muy bien hasta qué punto es importante cumplir con la normativa vigente en materia de protección de datos en el sector turístico. Para ello, nos centramos en dos casos prácticos en particular:
- Obligación de comunicar datos de viajeros.
- Sanción de 30 000 euros por escanear pasaportes.
Obligación de comunicar datos de viajeros
Nos encontramos en este punto con una ley aparte, el Real Decreto 933/2021, que establece cuáles son las obligaciones de información y registro documental para quienes prestan servicios de hospedaje y alquiler de vehículos a motor (Ver Anexo del RD).
Concretamente, se solicitarán los siguientes datos, ni más ni menos:
- Medio de pago utilizado en la reserva,
- El número de tarjeta de crédito,
- La fecha de caducidad de la tarjeta,
- El número de la cuenta bancaria del titular,
- Número de teléfono fijo y móvil del viajero,
- Correo electrónico del viajero,
- GPS en el supuesto de alquiler de vehículos.
Además, todos estos datos deberán conservarse durante un plazo de tres años. Veremos si toda la polémica que está causando llega finalmente a la Agencia Española de Protección de Datos (AEPD), teniendo en cuenta que la obligación de estas comunicaciones comenzará, si nada cambia, el próximo 2 de enero de 2023.
Sanción de 30 000 euros por escanear pasaportes
Dentro de la obligación de solicitar los datos de los viajeros se incluye la de disponer de su número de DNI o pasaporte. Pues bien, la AEPD ha sancionado recientemente a un hotel por escanear los pasaportes de sus clientes, pues considera que no todos los datos que en él se incluyen son necesarios para la prestación del servicio. En su resolución, se refieren al uso de la fotografía que figura en el documento de los viajeros como un dato innecesario y una medida desproporcionada.
Por su parte, el hotel se defiende alegando que la recogida se realiza para evitar fraudes, pero la AEPD insiste en que hay otros métodos alternativos menos invasivos, como requerir el documento de identidad cada vez que se realice una transacción. Por eso, la resolución de la AEPD obliga a dicho hotel a pagar una multa de 30 000 euros.
Este último ejemplo sea quizás el que mejor representa la importancia de ceñirse a la normativa en el sector turístico. No cabe duda de la buena fe del hotel, pero ello no es impedimento para que la autoridad competente aplique la ley.