Saltar al contenido principal
PrivacidadWeb
Ley 21.719 · Guía sectorial

Ley 21.719 para Agencias de Viaje y Turismo

Las agencias de viaje recopilan datos completos de sus clientes para gestionar reservas de vuelos, hoteles, tours y seguros de viaje. Tratan datos de pasaporte, datos de salud (vacunas requeridas, necesidades médicas en viaje), preferencias de viaje y datos financieros de pago. La naturaleza internacional del negocio implica transferencias de datos a aerolíneas, hoteles y operadores en múltiples países, requiriendo documentación específica de transferencias internacionales bajo la Ley 21.719.

🟠 Riesgo MEDIO7 tipos de datos regulados

Cómo Agencias de Viaje y Turismo interactúa con datos personales

Las agencias de viaje tienen una característica única que las distingue de casi cualquier otro sector: la naturaleza de su negocio implica estructuralmente la transferencia de datos personales de clientes a múltiples países, a operadores con distintos estándares de privacidad y a través de sistemas de distribución global (GDS como Amadeus o Sabre) que concentran datos de millones de pasajeros. Cada reserva de vuelo internacional con el número de pasaporte del cliente es una transferencia internacional de datos personales que debe documentarse bajo la Ley 21.719. A esto se suman los datos de salud recopilados para viajes (vacunas requeridas, necesidades médicas especiales, dietas), que son datos sensibles con protección reforzada. Las agencias que cuentan con el historial completo de viajes de sus clientes —destinos, fechas, acompañantes, alojamientos— acumulan perfiles de comportamiento de alto valor y alta sensibilidad que deben protegerse adecuadamente.

¿Qué datos personales trata tu agencias de viaje y turismo?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

Número de pasaporte y datos de identidadDatos de tarjeta de créditoInformación de salud para viajes (vacunas, condiciones médicas)Preferencias de viaje (asiento, dieta, habitación)Datos de contacto de emergenciaHistorial de viajes y destinosDatos de seguro de viaje contratado

Tu principal riesgo

⚠️

La transferencia de datos a operadores internacionales en países sin estándares equivalentes de protección de datos requiere documentación y garantías específicas. Los datos de pasaporte y financieros son objetivo de fraude. Una brecha puede generar suplantación de identidad internacional con daños de difícil reparación.

Obligaciones específicas para Agencias de Viaje y Turismo

1

Informar al cliente antes de confirmar cualquier reserva sobre las transferencias internacionales de sus datos: qué datos se transfieren (pasaporte, tarjeta, datos de salud), a qué países y operadores se envían (aerolíneas, hoteles, operadores locales, GDS), y bajo qué garantías de protección se realizan esas transferencias.

2

Obtener consentimiento explícito para la recopilación y transferencia de datos de salud (vacunas requeridas, condiciones médicas para el viaje, dietas especiales), tratándolos como datos sensibles con medidas de seguridad reforzadas y acceso restringido.

3

Documentar en el RAT todas las transferencias internacionales de datos: aerolíneas (país, GDS utilizado), hoteles (cadena, país), operadores locales, seguros de viaje, plataformas de pago; para cada transferencia indicar la base legal y las garantías de protección aplicables.

4

Establecer un contrato de encargado del tratamiento con los operadores turísticos y proveedores a los que se transfieren datos de clientes, cuando sea posible; en caso de operadores en países sin nivel de protección equivalente, documentar las garantías adicionales exigidas.

5

Implementar una política de retención de datos que diferencie entre datos del contrato de viaje (conservar por plazo tributario de 6 años), datos de pasaporte y financieros (eliminar una vez concluido el viaje y el plazo de reclamaciones), e historial de preferencias de viaje (solo con consentimiento del cliente para ese fin).

Ejemplo de cumplimiento paso a paso

  1. 1

    Actualiza la Política de Privacidad con foco en transferencias internacionales

    Tu política de privacidad debe incluir una sección específica sobre transferencias internacionales: lista los países a los que envías datos (EE.UU. para aerolíneas, Europa para algunas cadenas hoteleras, etc.) y las garantías aplicables. Este documento debe estar disponible antes de que el cliente pague.

  2. 2

    Crea un formulario de datos de salud para viajes

    Si recopilas información médica para viajes (vacunas, alergias, condiciones especiales), usa un formulario separado con consentimiento explícito para datos sensibles de salud. Indica quién verá esa información (aerolínea, hotel, operador local) y cuándo se elimina.

  3. 3

    Documenta el RAT con todos los operadores

    Lista todos los proveedores que reciben datos de tus clientes: aerolíneas, GDS (Amadeus, Sabre, Galileo), hoteles, operadores turísticos, seguradoras, sistemas de pago. Para cada uno: tipo de datos transferidos, país, base legal y garantías.

  4. 4

    Revisa tus contratos con operadores y proveedores

    Identifica con qué proveedores puedes firmar un DPA (contrato de encargado del tratamiento). Para los que no sea posible (aerolíneas grandes), documenta la base legal alternativa (ejecución del contrato de viaje) en tu RAT y Política de Privacidad.

  5. 5

    Define política de retención diferenciada

    Establece por escrito cuánto tiempo guardas cada tipo de dato: datos del contrato de viaje (6 años, normativa tributaria), datos de pasaporte (eliminar tras la conclusión del viaje), historial de preferencias (solo si el cliente consiente para ese fin específico).

Genera los documentos que tu agencias de viaje y turismo necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Agencias de Viaje y Turismo

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una agencia de viajes que transfiere datos de pasaportes y tarjetas de clientes a operadores turísticos sin documentar ni informar esas transferencias internacionales puede recibir una multa de hasta 10.000 UTM (~$700M CLP) por incumplimiento del deber de informar y falta de base legal para la cesión (Art. 35, Ley 21.719).

Preguntas frecuentes sobre privacidad para agencias de viaje y turismo

¿Necesito informar a mis clientes que sus datos serán enviados a aerolíneas y hoteles en el extranjero?

Sí. Las transferencias internacionales de datos deben informarse en la Política de Privacidad (Art. 14 ter, Ley 21.719), indicando los países de destino y las garantías de protección aplicables. La ejecución del contrato de viaje (Art. 13 letra c) es la base legal habitual para estas transferencias, pero la información previa al titular es obligatoria.

¿Los datos de salud que pido para viajes (vacunas, condiciones médicas) son datos sensibles?

Sí. Cualquier dato relativo a la salud física o mental de una persona es dato sensible bajo el Art. 2° letra g) de la Ley 21.719. Si recopilas información de salud para gestionar necesidades del viaje, debes obtener consentimiento expreso para ese fin específico y aplicar medidas de seguridad reforzadas.

¿Cuánto tiempo debo conservar los datos de un viaje ya realizado?

Para efectos tributarios y de garantía del servicio, se recomienda conservar los datos del contrato de viaje por el plazo que establece la normativa tributaria (generalmente 6 años). Los datos de pasaporte y financieros que ya no sean necesarios deben eliminarse. Documenta estos plazos en tu RAT y Política de Privacidad.

Más recursos útiles

Agencias de Viaje y Turismo

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad GratisHacer diagnóstico