RGPD para operadores turísticos: la guía sin abogados

RGPD suena a multa lejana, pero en el sector turístico se aplica desde el primer cliente. La buena noticia: cumplir lo básico no requiere abogado. La mala: si lo ignoras, la multa por una denuncia puede ser perfectamente más alta que tu margen anual. En este artículo te explico qué hacer, en español de operador, sin tecnicismos.

Aviso: esto es un resumen práctico, no asesoría legal. Si gestionas datos a gran escala o tienes dudas específicas, consulta con un abogado especializado.

Qué datos pides cuando alguien reserva (y cuáles no necesitas)

La regla del RGPD: pide solo lo que necesitas. Cualquier dato extra es un riesgo legal sin beneficio.

Datos que SÍ necesitas

• Nombre — para identificar al cliente.
• Email — para confirmación de reserva.
• Número de personas — para gestionar el aforo.
• Idioma — para asignar guía adecuado.
• Datos de pago (los gestiona Stripe o PayPal, no los guardas tú).

Datos que NO necesitas (y no pides)

• DNI / pasaporte — solo si el tour específicamente lo requiere (entrada a museo restringido).
• Fecha de nacimiento — solo si vendes con tarifa de menor.
• Teléfono — útil pero opcional. Pídelo solo si vas a usarlo.
• Dirección postal — irrelevante para un tour.
• Sexo, nacionalidad — no necesitas saberlo para vender un tour.

Tu obligación de información (la frase que tienes que mostrar)

Cuando alguien rellena un formulario en tu web (reserva, suscripción, contacto), debes informar quién va a tratar sus datos, para qué y cómo ejercer sus derechos.

Una versión mínima viable que sirve en la mayoría de casos:

Tus datos serán tratados por [Nombre del Operador] con el fin de gestionar tu reserva y enviarte información relacionada. Puedes ejercer tus derechos de acceso, rectificación y supresión escribiendo a [email]. [Política de privacidad completa: enlace]

Esto va junto al botón de "Reservar" o al formulario, antes de que envíen los datos, no después.

Cómo guardar emails con consentimiento (no es solo un check)

Si quieres mandar newsletters, ofertas o reseñas, necesitas consentimiento explícito. La casilla "acepto recibir comunicaciones comerciales" debe ser:

1. Separada de la casilla "acepto la política de privacidad" (no las puedes juntar).
2. No premarcada — el cliente la marca, no tú.
3. Específica — describe claramente para qué (ofertas, newsletter, descuentos).

Ejemplo correcto:

☐ He leído y acepto la política de privacidad. (obligatorio para reservar)

☐ Quiero recibir ofertas y novedades por email. (opcional)

Si solo tienes una casilla mezclando ambas cosas, el consentimiento es nulo y cualquier email comercial que envíes es ilegal.

Cómo borrar datos cuando un cliente lo pide

Cliente te escribe "borradme de vuestra base de datos". El plazo legal: 30 días. Lo que haces:

1. Borras (o anonimizas) sus datos personales en tu base.
2. Le confirmas por email que está hecho.
3. Lo apuntas en un registro interno (por si te lo preguntan auditores).

Excepción: facturas, datos contables y reservas pasadas tienen obligación de conservación legal. Esos no los borras hasta que pase el plazo (5 años en España).

Qué pasa con tus partners (hoteles, guías): contrato de encargado

Si un hotel, un guía freelance o un sistema externo accede a datos de tus clientes, necesitas un contrato de encargado del tratamiento firmado entre las dos partes.

Lo que dice el contrato (versión simplificada):

• El partner solo usa los datos para los fines acordados.
• No los transfiere a terceros.
• Cumple medidas de seguridad razonables.
• Te avisa de cualquier brecha.

Esta parte la olvidan el 90 % de los operadores. Con tus partners más cercanos (los 5–10 hoteles donde tienes QR), debes tener este documento firmado.

Multas reales en el sector turístico (ejemplos)

La AEPD (Agencia Española de Protección de Datos) y sus equivalentes europeos publican las multas. Casos reales del sector:

• Hotel sancionado con 15.000 € por enviar emails de marketing a clientes sin consentimiento explícito.
• Operador turístico sancionado con 30.000 € por no responder a una solicitud de borrado de datos.
• Cadena hotelera sancionada con 300.000 € por una brecha de datos sin notificación a las víctimas.

La gente sí denuncia. Sí inspeccionan. Y la multa es un % de tu facturación anual según el tamaño de la empresa, no una cifra fija.

Datos del cliente y marketplaces

Tema clave: las reservas que entran por GetYourGuide, Civitatis o Viator no son tuyas para fines de marketing. El marketplace es el responsable, tú eres el encargado.

¿Qué significa?

• No puedes mandar emails comerciales a clientes que vinieron por marketplace si no te dieron consentimiento explícito tú mismo.
• Solo las reservas directas son tuyas para fidelización y reactivación.

Otra razón más para construir canal directo: reservas directas vs marketplace.

Checklist final

✅ Política de privacidad publicada en tu web. ✅ Casilla de consentimiento explícita y separada para marketing. ✅ Pides solo los datos imprescindibles. ✅ Tienes un proceso para responder solicitudes de acceso/borrado en 30 días. ✅ Contrato de encargado firmado con tus partners más cercanos. ✅ Stripe / PayPal gestionan los datos de pago (no los guardas tú). ✅ Tu newsletter solo va a clientes con consentimiento explícito.

Si no marcas alguna de estas casillas, hay riesgo. Si no marcas tres o más, trabaja con un asesor en las próximas 4 semanas.

La parte que la herramienta resuelve por ti

Outvia está construida para cumplir RGPD por defecto: solo pide los datos imprescindibles, los formularios tienen las casillas separadas, los datos se cifran, y la solicitud de borrado se ejecuta automáticamente. No tienes que pelear con esto — el sistema hace lo correcto. 29 €/mes el plan principal.

En una frase

RGPD no se cumple con miedo: se cumple con disciplina. Pide solo lo necesario, separa el consentimiento, responde rápido a las solicitudes y firma encargados con tus partners. Cuatro acciones, cero abogados, cero multas.