Privacy Policy

1. Introduction and data controller

This Privacy Policy describes how ECOTRAVELTEXP SAS—the company operating the Tailored South America commercial brand (hereinafter "TSA")— collects, uses, stores, transfers, and protects the personal data of individuals who visit our website tailoredsouthamerica.travel, request travel quotes, contract our tour services, or communicate with us through any channel.

Tailored South America is a commercial brand operated by ECOTRAVELTEXP SAS during the transition period until the incorporation of Tailored South America LLC in the United States. Accordingly, all contracts, invoices, and personal data processing are carried out legally under the responsibility of Ecotravel S.A.

Data controller information

2. Applicable legal framework

The processing of personal data by ECOTRAVELTEXP SAS under the TSA brand is governed primarily by:

• Constitution of the Republic of Ecuador, article 66 paragraph 19.
• Ecuador's Organic Law on Personal Data Protection (LOPDP), published in the Official Registry on May 26, 2021.
• General Regulation to the LOPDP.
• Complementary rules issued by Ecuador's Personal Data Protection Authority.

Additionally, given that a significant portion of our travellers are citizens and residents of the European Union, United Kingdom, United States, and other international markets, we apply good practices aligned with the European Union's General Data Protection Regulation (GDPR), and we respect the rights recognized under equivalent regulations where applicable.

3. Personal data we collect

We collect only the personal data necessary to fulfil the purposes described in this policy. Information is obtained directly from the data subject (through web forms, email, direct commercial communication, or through travel agencies with which we maintain B2B commercial relationships).

3.1 Contact and identification data

• Full name.
• Email address.
• Phone number (including country code).
• Country and city of residence.
• Preferred language.

3.2 Identification data for bookings

To confirm bookings with hotels, cruises, airlines, and the Ministry of Environment of Ecuador (Galapagos Control Card), we require personal data contained in the passenger's passport:

• Names and surnames as they appear on the passport.
• Passport number.
• Passport issue date and expiry date.
• Nationality.
• Date of birth.
• Passport-issuing country.

3.3 Sensitive data (special categories)

In certain cases, and only when strictly necessary to guarantee the traveller's physical safety and the proper delivery of the tour service, we may request personal data concerning health classified by the LOPDP as sensitive:

• Dietary restrictions, food allergies, and dietary preferences (vegetarian, vegan, gluten-free, kosher, halal, etc.).
• Medical allergies relevant to the execution of activities (insect bites, medications, latex).
• Physical or medical conditions that may affect the traveller's participation in specific activities (for example: difficulty walking long distances, heart conditions at high altitude, pregnancy, mobility limitations).
• Accessibility needs.

The processing of sensitive data is carried out only with the express consent of the data subject and for the specific purposes informed. This data is shared only with suppliers directly involved in the delivery of the service (hotels, cruises, guides, local operators) and is not used for any other purpose. The detail of sensitive data processing and reinforced security measures is described in Section 9 (Sub-policy on Confidentiality and Data Security).

3.4 Data of minors

Tailored South America accepts travellers who are minors from 2 years of age onwards. Processing of personal data of minors is always carried out with the express consent of the legal representative (parent or legal guardian), who must also provide the identification data of the minor required for bookings.

For Galapagos cruises, minors must share a cabin with their parents or legal representatives, in accordance with cruise operators' policies and Galapagos National Park safety protocols.

3.5 Payment data

TSA does not directly request, store, or process credit or debit card data. Card payments are processed through authorized PCI-DSS-certified payment gateways (currently PayPal and other gateways TSA may incorporate in the future), which operate under their own privacy policies and security standards. For international bank transfer payments, TSA only receives the transfer confirmation from its banking entity. In all cases, TSA receives only the minimum information necessary to reconcile the payment: amount, currency, date, transaction identifier, and name of the payment holder.

3.6 Web browsing data

The website tailoredsouthamerica.travel automatically collects technical browsing information through analytics tools:

• Google Analytics: anonymized IP address, device type, browser, operating system, pages visited, time on site, traffic source.
• Hostinger (hosting platform): aggregated traffic and site performance statistics.
• Meta (Facebook / Instagram) and Google Ads pixels when the user interacts with our campaigns.

Details on cookies and similar technologies are set out in our Cookie Policy, a document that complements this Privacy Policy.

4. Purposes of processing

Personal data collected is processed exclusively for the following purposes:

4.1 Purposes related to contract performance

• Preparing customized travel quotes.
• Formalizing the tour service contract.
• Making bookings with hotels, cruises, airlines, local operators, international partners, and the Ministry of Environment of Ecuador (Galapagos).
• Issuing electronic invoices in accordance with Ecuador's SRI regulations.
• Managing payments and transaction confirmations.
• Coordinating trip operations (transfers, guides, activities).
• Responding to enquiries, change requests, and emergencies during the trip.

4.2 Purposes related to legal compliance

• Complying with tax obligations before Ecuador's SRI (retention of invoices for 7 years).
• Complying with obligations before MINTUR and other regulatory entities in the tourism sector.
• Responding to requirements from competent authorities in accordance with the law.

4.3 Purposes based on consent

• Sending newsletters with travel content, news, and promotions (only if the data subject has voluntarily subscribed through the website form).
• Publishing photographs, testimonials, or reviews of the traveller on the website and social media (subject to express written authorization).
• Contacting the traveller to request reviews on Google, TripAdvisor, or other platforms after the trip has ended.

5. Legal basis for processing

Pursuant to article 7 of the LOPDP, the legal bases justifying the processing of personal data by ECOTRAVELTEXP SAS are:

6. Recipients and data transfers

To provide our services, ECOTRAVELTEXP SAS shares personal data with third parties acting as data processors or as legitimate recipients. Any transfer is made with adequate safeguards and strictly limited to the data necessary for the specific purpose.

6.1 Tourism suppliers in Ecuador and Galapagos

• Hotels, inns, and lodges where travellers stay.
• Cruise operators in Galapagos.
• Tourist transport companies (land, river, domestic air).
• Naturalist and cultural guides.
• Restaurants and operators of specific activities.
• Domestic and international airlines.

6.2 International partners (DMCs)

When the itinerary includes destinations outside of Ecuador (Peru, Bolivia, Argentina, Chile, Colombia, Brazil, among others), the data necessary to execute those segments is shared with local wholesale agencies ("DMCs") with which TSA maintains formal commercial relationships. These transfers constitute international transfers of personal data.

6.3 Authorities and regulatory entities

• Ministry of Environment, Water and Ecological Transition of Ecuador (Galapagos Control Card, which requires passport data).
• Internal Revenue Service of Ecuador (SRI) for electronic invoicing.
• Ministry of Tourism of Ecuador (MINTUR) where applicable.

6.4 Technology providers

• Microsoft 365 / SharePoint: storage of quotes, documents, and corporate email.
• PayPal and other authorized payment gateways: processing of credit and debit card payments.
• Correspondent banks: processing of international bank transfer payments.
• Google (Analytics, Ads, Workspace): web analytics and advertising.
• Meta (Facebook, Instagram): advertising and social media presence.
• Hostinger: website hosting.
• Contifico: accounting system and SRI electronic invoicing.

6.5 Travel agencies (B2B model)

When the traveller reaches TSA through an international travel agency, that agency also processes the traveller's personal data as an independent controller, in accordance with its own privacy policy.

6.6 International transfers

Given that our operation necessarily involves destinations and suppliers outside of Ecuador, some transfers are made to countries that may have a level of data protection different from Ecuador's. These transfers are justified by the contractual necessity of executing the tour service requested by the data subject, as provided for in the LOPDP and in accordance with the data subject’s express authorization.

7. Data retention period

We retain personal data only for the time necessary to fulfil the purposes of processing and applicable legal obligations:

Once the retention periods have elapsed, data is securely deleted or anonymized.

8. Data subject rights

In accordance with the LOPDP and equivalent international standards, the data subject has the following rights, which may be exercised free of charge:

8.1 Right to information

To know, in a clear and transparent way, what data we process, for what purpose, and with whom we share it (this policy fulfils this function).

8.2 Right of access

To request and obtain confirmation of whether we are processing personal data, and to access it. Response period: 15 days.

8.3 Right of rectification and update

To request the correction of inaccurate or incomplete data. Response period: 15 days.

8.4 Right of erasure

To request deletion of data when it is no longer necessary for the purpose for which it was collected, when consent has been withdrawn, or in other cases provided by law. Response period: 15 days.

Note: this right does not apply to data we must retain by legal obligation (for example, invoices for 7 years).

8.5 Right to object

To object to the processing of data for specific purposes, especially direct marketing.

8.6 Right to data portability

To receive personal data in a structured, machine-readable format, or to request its direct transmission to another controller.

8.7 Right to suspend processing

To request temporary suspension of processing in the cases provided for by the LOPDP.

8.8 Right not to be subject to automated decisions

Not to be subject to decisions based solely on automated processing that produce legal effects.

How to exercise your rights

To exercise any of these rights, all requests, enquiries, complaints, or updates related to this Privacy and the processing of data by TSA must be addressed to TSA's official privacy channel:

• Official email: privacy@tailoredsouthamerica.travel
• Postal mail: to the address of ECOTRAVELTEXP SAS indicated in section 1.

The request must include: full name of the data subject, clear description of the right being exercised, identity document or passport (to verify identity), and any additional information that facilitates handling.

We will respond within 15 business days. In complex cases, this period may be extended by up to 10 additional business days, which will be notified to the data subject.

9. Sub-policy on Confidentiality and Data Security

This section complements and reinforces the Privacy Policy, establishing in a specific manner the principles, standards, and commitments TSA applies to protect the confidentiality and security of the personal data of its clients and travellers.

9.1 Guiding principles

• Minimization: TSA requests and processes only the personal data strictly necessary for the specific purpose. We do not collect data "just in case" or for undefined future uses.
• Limited purpose: data is used exclusively for the purposes informed to the data subject at the time of collection. It is not reused for different purposes without new consent.
• Confidentiality: the entire TSA and ECOTRAVELTEXP SAS team is bound by confidentiality regarding the personal data of clients. This obligation continues even after the termination of the employment relationship.
• No commercialization: TSA does not sell, rent, or transfer personal data of its clients to third parties for commercial, advertising, or any other purpose unrelated to the provision of the contracted tour service and expressly accepted by the data subject.
• Transparency: the client knows at all times what data we process, with whom we share it, and what we use it for.

9.2 Authorization for transfer of data to suppliers

By contracting TSA's services, the client as the data subject, or their legal representative expressly authorizes ECOTRAVELTEXP SAS to transfer the personal data strictly necessary to the contracted service suppliers, for the sole purpose of executing the contracted trip under the agreed terms and conditions. The data that may be transferred includes:

• Full names and surnames as they appear on the passport.
• Passport number, issue and expiry dates, nationality, and issuing country.
• Date of birth.
• Dietary restrictions, allergies, and medical conditions relevant to the traveller's safety.
• Emergency contact details.
• Flight information for transfer coordination.

The recipients of these transfers include, depending on the contracted itinerary: hotels, cruise operators, domestic and international airlines, local partners (DMCs) in other countries, naturalist and cultural guides, Galapagos National Park authorities, and other entities required for the execution of the trip.

This authorization is granted in accordance with Ecuador's Organic Law on Personal Data Protection and ceases upon completion of the service, unless subsequent retention is required by legal obligation (for example, tax or health regulations).

9.3 Applied security standards

TSA applies high technical, organizational, and physical security standards to protect personal data against unauthorized access, loss, alteration, or improper disclosure:

Technical measures

• Data storage on enterprise platforms with encryption at rest and in transit (Microsoft 365 / SharePoint).
• Secure connections (HTTPS/TLS) for all interactions with the website and contact forms.
• Payment processing exclusively through PCI-DSS-certified payment gateways (PayPal and others authorized) or via international bank transfer, preventing TSA from storing card data in its own systems.
• Mandatory multi-factor authentication (MFA) for all corporate system accesses.
• Centralized password management through corporate tools (Bitwarden or equivalent).
• Periodic automated cloud backups in Microsoft.
• Monitoring and logging of access to sensitive information.

Organizational measures

• Access to personal data restricted to authorized personnel, on a strict need-to-know operational basis.
• Confidentiality agreements signed by all personnel with access to client data.
• Periodic team training on data protection and security best practices.
• Documented procedures for handling, transferring, and deleting personal data.
• Periodic review of accesses and credential updates.

Physical measures

• Work equipment protected with disk encryption and automatic locking.
• Physical documents with traveller data (when applicable) in filing cabinets with controlled access.
• Secure destruction of physical documents at the end of their usefulness period.

9.4 Reinforced safeguards for the processing of sensitive data and data concerning health

The Client´s sensitive data and data concerning health, as the data subject, or their legal representative (allergies, medical conditions, dietary restrictions) receives reinforced treatment due to its nature:

• Only requested when strictly necessary for traveller safety or proper service delivery.
• Only shared with suppliers directly involved in mitigating the risk or addressing the specific condition.
• Deleted from TSA's files at the end of the trip, retaining only what is necessary for tax or evidentiary purposes.
• Not used for any kind of profiling, commercial segmentation, or automated decision-making.

9.5 Security breaches

In the unlikely event of a security breach compromising personal data, ECOTRAVELTEXP SAS will follow the following protocols:

• Notification to Ecuador's Personal Data Protection Authority within 3 days of detection, in accordance with the LOPDP.
• Notification to the affected data subject as soon as possible, and in any event within a maximum period of 3 days, where the breach entails a risk to his fundamental rights and individual freedoms.
• Immediate internal investigation to contain the breach and prevent recurrence.
• Complete documentation of the incident and corrective measures taken.

9.6 Continuous improvement commitment

TSA periodically reviews its confidentiality and data security measures to keep them updated against new technological threats and new regulatory requirements. This sub-policy is updated at least every 12 months, or earlier if circumstances require it.

10. Cookies and tracking technologies

The website tailoredsouthamerica.travel uses cookies and similar technologies for functionality, analytics, and advertising. Details, types of cookies used, and management options are described in our Cookie Policy, available on the website.

11. Special protection for minors

TSA does not target its services directly at minors. Any quote or booking request involving minor travellers is managed through the minor's legal representative, who provides consent and the necessary data.

Pursuant to article 22 of the LOPDP, the processing of personal data of children and adolescents under 15 years of age requires the consent of their legal representative. Adolescents older than 15 years may give direct consent regarding their data when the purpose is clearly specified to them.

12. Data protection officer

ECOTRAVELTEXP SAS has internally designated a personal data protection officer responsible for ensuring compliance with this policy and handling data subject requests.

Contact channel: privacy@tailoredsouthamerica.travel

13. Updates to this policy

ECOTRAVELTEXP SAS may update this Privacy Policy when necessary to reflect legal, technological, or operational changes. The current version will always be available at tailoredsouthamerica.travel with its update date. Substantial changes will be notified to data subjects through reasonable means (email or prominent notice on the site).

14. Transition to Tailored South America LLC

Once Tailored South America LLC is incorporated in the United States, the role of data controller will progressively pass to TSA LLC for the operations corresponding to it, while ECOTRAVELTEXP SAS will continue to be the controller for operations carried out in Ecuador. At that time, this policy will be updated and data subjects will be informed of the change in accordance with applicable regulations.

15. Contact

For any enquiry, complaint, request, or update related to this Privacy Policy or the processing of your personal data, please contact us:

ECOTRAVELTEXP SAS· operating under the Tailored South America brand

• Privacy email (official channel): privacy@tailoredsouthamerica.travel
• General email: experience@tailoredsouthamerica.travel
• Website: tailoredsouthamerica.travel
• Address: PASAJE NAVARRO LT-5 N26
• Data Protection Delegate: Jimmy Patiño

— end of document —

1. Introducción y responsable del tratamiento

Esta Política de Privacidad describe cómo ECOTRAVELTEXP SAS—empresa operadora de la marca comercial Tailored South America (en adelante "TSA")— recopila, utiliza, almacena, transfiere y protege los datos personales de los titulares que visitan nuestro sitio web tailoredsouthamerica.travel, solicitan cotizaciones, contratan nuestros servicios turísticos o se comunican con nosotros por cualquier medio.

Tailored South America es una marca comercial operada por ECOTRAVELTEXP SASdurante el período de transición hasta la constitución de Tailored South America LLC en Estados Unidos. En consecuencia, todos los contratos, facturas y el tratamiento de datos personales se realizan legalmente bajo la responsabilidad de Ecotravel S.A.

Datos del responsable del tratamiento

2. Marco legal aplicable

El tratamiento de datos personales realizado por ECOTRAVELTEXP SAS bajo la marca TSA se rige principalmente por:

• Constitución de la República del Ecuador, artículo 66 numeral 19.
• Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP), publicada en el Registro Oficial el 26 de mayo de 2021.
• Reglamento General a la LOPDP.
• Normativa complementaria emitida por la Autoridad de Protección de Datos Personales del Ecuador.

Adicionalmente, y en consideración a que una parte significativa de nuestros pasajeros son ciudadanos y residentes de la Unión Europea, Reino Unido, Estados Unidos y otros mercados internacionales, aplicamos buenas prácticas alineadas con el Reglamento General de Protección de Datos de la Unión Europea (GDPR), y respetamos los derechos reconocidos por normativas equivalentes cuando corresponda.

3. Datos personales que recolectamos

Recolectamos únicamente los datos personales necesarios para cumplir con las finalidades descritas en esta política. La información se obtiene directamente del titular (por formulario web, correo electrónico, comunicación comercial directa o a través de agencias de viaje con las que mantenemos relaciones comerciales B2B).

3.1 Datos de contacto e identificación

• Nombre completo.
• Dirección de correo electrónico.
• Número de teléfono (incluyendo código de país).
• País y ciudad de residencia.
• Idioma de preferencia.

3.2 Datos de identificación para reservas

Para confirmar reservas con hoteles, cruceros, aerolíneas y el Ministerio de Ambiente (Galápagos Control Card), requerimos datos personales contenidos en el pasaporte del pasajero:

• Nombres y apellidos tal como aparecen en el pasaporte.
• Número de pasaporte.
• Fecha de emisión y fecha de vencimiento del pasaporte.
• Nacionalidad.
• Fecha de nacimiento.
• País emisor del pasaporte.

3.3 Datos sensibles (categorías especiales)

En ciertos casos, y exclusivamente cuando resultan necesarios para garantizar la seguridad física del pasajero y la correcta ejecución del servicio turístico, podemos solicitar datos relativos a salud que la LOPDP clasifica como sensibles:

• Restricciones alimentarias, alergias alimentarias y preferencias dietéticas (vegetariano, vegano, celíaco, kosher, halal, etc.).
• Alergias médicas relevantes para la ejecución de actividades (picaduras, medicamentos, látex).
• Condiciones físicas o médicas que puedan afectar la participación del pasajero en actividades específicas (por ejemplo: dificultad para caminar largas distancias, condiciones cardíacas en excursiones de altura, embarazo, problemas de movilidad).
• Necesidades de accesibilidad.

El tratamiento de datos sensibles se realiza únicamente con la autorización expresa del titular y para las finalidades específicas informadas. Estos datos se comparten únicamente con los proveedores directamente involucrados en la prestación del servicio (hoteles, cruceros, guías, operadores locales) y no se utilizan para ninguna otra finalidad. El detalle del tratamiento de datos sensibles y las medidas de seguridad reforzadas se describen en la Sección 9 (Subpolítica de Confidencialidad y Seguridad de Datos).

3.4 Datos de menores de edad

Tailored South America recibe pasajeros menores de edad a partir de los 2 años. El tratamiento de datos personales de menores se realiza siempre con la autorización expresa del representante legal (padre, madre o tutor que hiciera sus veces legalmente autorizado), quien también debe proporcionar los datos de identificación del menor necesarios para las reservas.

Para cruceros en Galápagos, los menores deben compartir cabina con sus padres o representantes legales, conforme a las políticas de los operadores de cruceros y los protocolos de seguridad del Parque Nacional Galápagos.

3.5 Datos de pago

TSA no solicita, almacena ni procesa directamente datos de tarjetas de crédito o débito. Los pagos con tarjeta se procesan a través de pasarelas autorizadas y certificadas PCI-DSS (actualmente PayPal y otras pasarelas que TSA pueda incorporar en el futuro), las cuales operan bajo sus propias políticas de privacidad y estándares de seguridad. Para pagos por transferencia bancaria internacional, TSA recibe únicamente la confirmación de la transferencia desde su entidad bancaria. En todos los casos, TSA recibe únicamente la información mínima necesaria para conciliar el pago: monto, moneda, fecha, identificador de transacción y nombre del titular del pago.

3.6 Datos de navegación web

El sitio web tailoredsouthamerica.travel recolecta automáticamente información técnica de navegación a través de herramientas de analítica:

• Google Analytics: dirección IP anonimizada, tipo de dispositivo, navegador, sistema operativo, páginas visitadas, tiempo de permanencia, origen del tráfico.
• Hostinger (plataforma de hosting): estadísticas agregadas de tráfico y rendimiento del sitio.
• Píxeles y herramientas de publicidad de Meta (Facebook/Instagram) y Google Ads cuando el usuario interactúa con nuestras campañas.

El detalle sobre cookies y tecnologías similares se encuentra en nuestra Política de Cookies, documento complementario a esta Política de Privacidad.

4. Finalidades del tratamiento

Los datos personales recolectados se tratan exclusivamente para las nexts finalidades:

4.1 Finalidades vinculadas a la ejecución contractual

• Elaborar cotizaciones personalizadas de servicios turísticos.
• Formalizar el contrato de prestación de servicios turísticos.
• Efectuar reservas con hoteles, cruceros, aerolíneas, operadores locales, partners internacionales y el Ministerio de Ambiente del Ecuador (Galápagos).
• Emitir facturas electrónicas conforme a la normativa del SRI Ecuador.
• Gestionar pagos y confirmaciones de transacción.
• Coordinar la operación del viaje (traslados, guías, actividades).
• Atender consultas, solicitudes de cambio y emergencias durante el viaje.

4.2 Finalidades vinculadas al cumplimiento legal

• Cumplir con obligaciones tributarias ante el SRI Ecuador (conservación de facturas durante 7 años).
• Cumplir con obligaciones ante el MINTUR y demás entidades regulatorias del sector turístico.
• Atender requerimientos de autoridades competentes conforme a la ley.

4.3 Finalidades basadas en consentimiento

• Envío de newsletters con contenido de viajes, novedades y promociones (únicamente si el titular se ha suscrito voluntariamente a través del formulario del sitio web).
• Publicación de fotografías, testimonios o reseñas del pasajero en el sitio web y redes sociales (previa autorización expresa y por escrito).
• Contacto para solicitar reseñas en Google, TripAdvisor u otras plataformas tras la finalización del viaje.

5. Base legal del tratamiento

Conforme al artículo 7 de la LOPDP, las bases legales que justifican el tratamiento de datos personales por parte de ECOTRAVELTEXP SAS son:

6. Destinatarios y transferencias de datos

Para poder prestar nuestros servicios, ECOTRAVELTEXP SAS comparte datos personales con terceros que actúan como encargados del tratamiento o como destinatarios legítimos. Toda transferencia se realiza con las garantías adecuadas y limitada estrictamente a los datos necesarios para la finalidad específica.

6.1 Proveedores turísticos en Ecuador y Galápagos

• Hoteles, hosterías y lodges en los que se hospedan los pasajeros.
• Operadores de cruceros en Galápagos.
• Empresas de transporte turístico (terrestre, fluvial, aéreo doméstico).
• Guías naturalistas y culturales.
• Restaurantes y operadores de actividades específicas.
• Aerolíneas domésticas ecuatorianas e internacionales.

6.2 Partners internacionales (DMCs)

Cuando el itinerario incluye destinos fuera de Ecuador (Perú, Bolivia, Argentina, Chile, Colombia, Brasil, entre otros), los datos necesarios para ejecutar esos segmentos se comparten con agencias mayoristas locales ("DMCs") con las que TSA mantiene relaciones comerciales formales. Estas transferencias constituyen transferencias internacionales de datos personales.

6.3 Autoridades y entidades regulatorias

• Ministerio de Ambiente, Agua y Transición Ecológica del Ecuador (Galápagos Control Card, que requiere datos del pasaporte).
• Servicio de Rentas Internas del Ecuador (SRI) para facturación electrónica.
• Ministerio de Turismo del Ecuador (MINTUR) cuando aplique.

6.4 Proveedores tecnológicos

• Microsoft 365 / SharePoint: almacenamiento de cotizaciones, documentos y correos corporativos.
• PayPal y otras pasarelas de pago autorizadas: procesamiento de pagos con tarjeta de crédito o débito.
• Bancos corresponsales: procesamiento de pagos por transferencia bancaria internacional.
• Google (Analytics, Ads, Workspace): analítica web y publicidad.
• Meta (Facebook, Instagram): publicidad y presencia en redes sociales.
• Hostinger: hosting del sitio web.
• Contífico: sistema contable y de facturación electrónica SRI.

6.5 Agencias de viaje (modelo B2B)

Cuando el titular llega a TSA a través de una agencia de viajes internacional, dicha agencia también trata los datos personales del pasajero en su calidad de controlador independiente, conforme a su propia política de privacidad.

6.6 Transferencias internacionales

Dado que nuestra operación involucra necesariamente destinos y proveedores fuera del Ecuador, algunas transferencias se realizan a países que pueden tener un nivel de protección de datos diferente al ecuatoriano. Estas transferencias están justificadas por la necesidad contractual de ejecutar el servicio turístico solicitado por el titular, conforme a lo previsto en la LOPDP y conforme la autorización expresa del titular.

7. Período de retención de datos

Conservamos los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades del tratamiento y con las obligaciones legales aplicables:

Una vez cumplidos los plazos de retención, los datos se eliminan o anonimizan de forma segura.

8. Derechos del titular de datos

Conforme a la LOPDP y a estándares internacionales equivalentes, el titular de los datos personales tiene los nexts derechos, que puede ejercer de forma gratuita:

8.1 Derecho a la información

Conocer de forma clara y transparente qué datos tratamos, con qué finalidad y con quién los compartimos (esta política cumple esa función).

8.2 Derecho de acceso

Solicitar y obtener confirmación sobre si estamos tratando sus datos personales, y acceder a ellos. Plazo de respuesta: 15 días.

8.3 Derecho de rectificación y actualización

Solicitar la corrección de datos inexactos o incompletos. Plazo de respuesta: 15 días.

8.4 Derecho de eliminación (supresión)

Solicitar la eliminación de los datos cuando ya no sean necesarios para la finalidad para la que fueron recolectados, cuando haya retirado su consentimiento, o en los demás casos previstos por la ley. Plazo de respuesta: 15 días.

Nota: este derecho no aplica sobre datos que debemos conservar por obligación legal (por ejemplo, facturas por 7 años).

8.5 Derecho de oposición

Oponerse al tratamiento de sus datos para finalidades específicas, especialmente para marketing directo.

8.6 Derecho a la portabilidad

Recibir sus datos personales en un formato estructurado y de lectura mecánica, o solicitar su transmisión directa a otro responsable.

8.7 Derecho a la suspensión del tratamiento

Solicitar la suspensión temporal del tratamiento en los casos previstos por la LOPDP.

8.8 Derecho a no ser objeto de decisiones automatizadas

No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos.

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, todas las solicitudes, consultas, quejas o actualizaciones relacionadas con esta Política de Privacidad y al tratamiento de datos por parte de TSA deben dirigirse al canal oficial de privacidad de TSA:

• Correo electrónico oficial: privacy@tailoredsouthamerica.travel
• Correo postal: a la dirección de ECOTRAVELTEXP SAS indicada en la sección 1.

La solicitud debe incluir: nombre completo del titular, descripción clara del derecho que desea ejercer, documento de identidad o pasaporte (para verificar identidad), y cualquier información adicional que facilite la gestión.

Responderemos dentro del plazo de 15 días hábiles. En casos complejos, este plazo puede extenderse hasta 10 días hábiles adicionales, lo cual será notificado al titular.

9. Subpolítica de Confidencialidad y Seguridad de Datos

Esta sección complementa y refuerza la Política de Privacidad, estableciendo de forma específica los principios, estándares y compromisos que TSA aplica para proteger la confidencialidad y seguridad de los datos personales de sus clientes y pasajeros.

9.1 Principios rectores

• Minimización: TSA solicita y trata únicamente los datos personales estrictamente necesarios para la finalidad específica. No recolectamos datos "por si acaso" ni para usos futuros no definidos.
• Finalidad limitada: los datos se utilizan exclusivamente para las finalidades informadas al titular al momento de la recolección. No se reutilizan para fines distintos sin nuevo consentimiento.
• Confidencialidad: todo el equipo de TSA y ECOTRAVELTEXP SAS está obligado por confidencialidad respecto de los datos personales de los clientes. Esta obligación subsiste incluso después de la terminación de la relación laboral.
• No comercialización: TSA no vende, alquila ni cede datos personales de sus clientes a terceros con fines comerciales, publicitarios o de cualquier otra naturaleza ajena a la prestación del servicio turístico contratado y aceptado por el titular de los datos.
• Transparencia: el cliente conoce en todo momento qué datos suyos tratamos, con quién los compartimos y para qué los utilizamos.

9.2 Autorización para transferencia de datos a proveedores

Al contratar los servicios de TSA, el cliente titular de los datos o su representante legal autoriza expresamente a ECOTRAVELTEXP SAS a transferir los datos personales estrictamente necesarios a los proveedores de servicios contratados, con el único fin de ejecutar el viaje contratado en los términos y condiciones pactadas. Los datos que pueden transferirse incluyen:

• Nombres y apellidos completos tal como aparecen en el pasaporte.
• Número de pasaporte, fecha de emisión y vencimiento, nacionalidad y país emisor.
• Fecha de nacimiento.
• Restricciones alimentarias, alergias y condiciones médicas relevantes para la seguridad del pasajero.
• Datos de contacto en caso de emergencia.
• Información de vuelos para coordinación de traslados.

Los destinatarios de estas transferencias incluyen, según el itinerario contratado: hoteles, operadores de cruceros, aerolíneas domésticas e internacionales, partners locales (DMCs) en otros países, guías naturalistas y culturales, autoridades del Parque Nacional Galápagos y demás entidades necesarias para la ejecución del viaje.

Esta autorización se otorga conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador y cesa al concluir la prestación del servicio, salvo que la conservación posterior sea exigida por obligación legal (por ejemplo, normativa fiscal o sanitaria).

9.3 Estándares de seguridad aplicados

TSA aplica estándares altos de seguridad técnica, organizativa y física para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación indebida:

Medidas técnicas

• Almacenamiento de datos en plataformas empresariales con cifrado en reposo y en tránsito (Microsoft 365 / SharePoint).
• Conexiones seguras (HTTPS/TLS) para todas las interacciones con el sitio web y los formularios de contacto.
• Procesamiento de pagos exclusivamente a través de pasarelas certificadas PCI-DSS (PayPal y otras autorizadas) o por transferencia bancaria internacional, evitando que TSA almacene datos de tarjetas en sus propios sistemas.
• Autenticación multifactor (MFA) obligatoria para todos los accesos al sistema corporativo.
• Gestión centralizada de contraseñas mediante herramientas corporativas (Bitwarden o equivalente).
• Respaldos automáticos periódicos en la nube de Microsoft.
• Monitoreo y registro de accesos a información sensible.

Medidas organizativas

• Acceso a datos personales restringido al personal autorizado, sobre base de necesidad operativa estricta.
• Acuerdos de confidencialidad firmados por todo el personal respecto del acceso a datos de clientes.
• Capacitación periódica del equipo en protección de datos y buenas prácticas de seguridad.
• Procedimientos documentados para el manejo, transferencia y eliminación de datos personales.
• Revisión periódica de accesos y actualización de credenciales.

Medidas físicas

• Equipos de trabajo protegidos con cifrado de disco y bloqueo automático.
• Documentos físicos con datos de pasajeros (cuando existan) en archivadores con acceso controlado.
• Destrucción segura de documentos físicos al concluir su período de utilidad.

9.4 Tratamiento reforzado de datos sensibles y relativos a la salud

Los datos sensibles y relativos a la salud del cliente titular de los datos o su representante legal (alergias, condiciones médicas, restricciones dietéticas) reciben un tratamiento reforzado por su naturaleza:

• Solo se solicitan cuando son estrictamente necesarios para la seguridad del pasajero o la correcta ejecución del servicio.
• Solo se comparten con los proveedores directamente involucrados en mitigar el riesgo o atender la condición específica.
• Se eliminan de los archivos de TSA al finalizar el viaje, conservando únicamente la información necesaria para fines fiscales o de prueba.
• No se utilizan para ningún tipo de perfilado, segmentación comercial ni decisión automatizada.

9.5 Vulneraciones de seguridad

En el caso poco probable de que se produzca una vulneración de seguridad que comprometa datos personales, ECOTRAVELTEXP SAS cumplirá los nexts protocolos:

• Notificación a la Autoridad de Protección de Datos Personales del Ecuador dentro del plazo de 3 días desde la detección, conforme a la LOPDP.
• Notificación al titular afectado tan pronto como sea posible, en un plazo máximo de 3 días, cuando la vulneración conlleve un riesgo a sus derechos fundamentales y libertades individuales.
• Investigación interna inmediata para contener la vulneración y prevenir su recurrencia.
• Documentación completa del incidente y las medidas correctivas adoptadas.

9.6 Compromiso de mejora continua

TSA revisa periódicamente sus medidas de confidencialidad y seguridad de datos para mantenerlas actualizadas frente a nuevas amenazas tecnológicas y nuevas exigencias regulatorias. Esta subpolítica se actualiza al menos cada 12 meses, o antes si las circunstancias lo requieren.

10. Cookies y tecnologías de seguimiento

El sitio web tailoredsouthamerica.travel utiliza cookies y tecnologías similares para funcionalidad, analítica y publicidad. El detalle, tipos de cookies utilizadas y opciones de gestión se describen en nuestra Política de Cookies, disponible en el sitio web.

11. Protección especial para menores de edad

TSA no dirige sus servicios directamente a menores de edad. Toda solicitud de cotización o reserva que involucre pasajeros menores es gestionada con el representante legal del menor, quien proporciona el consentimiento y los datos necesarios.

Conforme al artículo 22 de la LOPDP, el tratamiento de datos personales de niñas, niños y adolescentes menores de 15 años requiere el consentimiento de su representante legal. Adolescentes mayores de 15 años pueden otorgar consentimiento directo sobre sus datos cuando se les especifique claramente la finalidad.

12. Delegado de protección de datos

TSA ha designado internamente un responsable del tratamiento de datos personales, encargado de velar por el cumplimiento de esta política y atender las solicitudes de los titulares de datos.

Canal de contacto: privacy@tailoredsouthamerica.travel

13. Actualizaciones de esta política

TSA puede actualizar esta Política de Privacidad cuando sea necesario reflejar cambios legales, tecnológicos u operativos. La versión vigente estará siempre disponible en tailoredsouthamerica.travel con su fecha de actualización. Cambios sustanciales serán notificados a los titulares por medios razonables (correo electrónico o aviso destacado en el sitio).

14. Transición a Tailored South America LLC

Una vez constituida Tailored South America LLC en Estados Unidos, el rol de responsable del tratamiento de datos personales pasará progresivamente a TSA LLC para las operaciones que le correspondan, mientras ECOTRAVELTEXP SAS continuará siendo responsable de las operaciones ejecutadas en Ecuador. En ese momento, esta política será actualizada y los titulares de datos serán informados del cambio conforme a la normativa aplicable.

15. Contacto

Para cualquier consulta, queja, solicitud o actualización relacionada con esta Política de Privacidad o el tratamiento de sus datos personales, puede contactarnos:

ECOTRAVELTEXP SAS· operando bajo la marca Tailored South America (TSA)

• Correo de privacidad (canal oficial): privacy@tailoredsouthamerica.travel
• Correo general: experience@tailoredsouthamerica.travel
• Sitio web: tailoredsouthamerica.travel
• Domicilio: PASAJE NAVARRO LT-5 N26
• Delegado de Protección de Datos: Jimmy Patiño

— fin del documento —