Ok, muchas gracias, no sabía lo de la ley Sinde...
Creo que estoy arreglándolo ya todo, la AEPD me ha enviado una carta que he tenido que devolver junto a la información de la entidad de Estados Unidos y los formularios que pienso utilizar impresos en papel, para que puedan comprobar los datos que se recaban y la autorización inequívoca del usuario, aunque ya me ha quedado claro que no los debo incluir en el documento de seguridad como encargados de tratamiento, solamente deben reflejarse como terceros a los que cedo datos personales, ellos los almacenan en su sitio web, y luego yo los recabo para utilizarlos.

A la entidad de España que me cede el sistema de reservas los he incluido como encargados de tratamiento en el documento de seguridad y he adjuntado el contrato que acepté con ellos para usar su sistema de reservas, creo que así está todo correcto ¿no?
Muchas gracias por la ayuda prestada y un Saludo!!!