Amadeus ha recibido la mayor sanción impuesta hasta la fecha por la Agencia Española de Protección de Datos (AEPD), que ha multado a la tecnológica turística con 18M€ por el tratamiento de datos personales de millones de viajeros en el marco de un proyecto piloto de perfilado comercial. (Amadeus mantiene beneficios y confirma previsiones pese al impacto de Oriente Medio)
La AEPD impone a Amadeus una multa récord de 18M€ por el uso de datos de viajeros
Protección de Datos sanciona a la tecnológica turística por un proyecto piloto basado en el perfilado de millones de pasajeros.
Sede de Amadeus
Según la resolución del organismo, la compañía habría utilizado información almacenada en su sistema de reservas sin contar con una base jurídica válida y sin informar adecuadamente a los usuarios afectados, vulnerando así varios artículos del Reglamento General de Protección de Datos (RGPD).
Tal y como adelantó El Confidencial, la tecnológica se acogió posteriormente al mecanismo de pronto pago, reduciendo la cuantía final abonada hasta los 14,4M€.
Un proyecto para desarrollar perfiles comerciales de viajeros
La investigación gira en torno a un proyecto interno denominado Traveler Centric Platform (TCP), desarrollado en 2021 y orientado a cruzar datos de pasajeros procedentes de registros PNR con información facilitada por cadenas hoteleras.
El objetivo del piloto era analizar hábitos de viaje y comportamiento de clientes para desarrollar productos comerciales dirigidos a aerolíneas, hoteles y agencias de viajes mediante estrategias de hiperpersonalización y segmentación avanzada.
Según recoge la resolución, la AEPD considera que Amadeus utilizó datos históricos de viajeros con finalidades distintas a aquellas para las que fueron inicialmente recopilados.
La AEPD cuestiona la base legal utilizada por la compañía
Protección de Datos sostiene que la tecnológica no logró justificar adecuadamente el “interés legítimo” alegado para el tratamiento de la información personal utilizada durante el proyecto.
La resolución señala además que los usuarios "no fueron informados de manera específica sobre este uso adicional de sus datos y recuerda que el viajero medio ni siquiera suele conocer el papel que desempeña Amadeus en el procesamiento de reservas turísticas".
La AEPD también destaca que algunos de los registros empleados correspondían a "datos recopilados años antes, algo que el organismo considera incompatible con las limitaciones temporales previstas por la normativa europea".
Amadeus discrepa de la resolución
La compañía ha manifestado públicamente su desacuerdo con la interpretación realizada por la AEPD y ha anunciado que recurrirá la resolución ante los tribunales.
Amadeus defiende que el proyecto fue únicamente un "piloto técnico de corta duración, basado en datos históricos y sin intercambio externo de información personal.
Además, sostiene que "no se utilizaron datos sensibles ni financieros y que el objetivo era generar patrones estadísticos agregados para mejorar la experiencia de los viajeros".
La tecnológica considera además que la sanción “no cumple con el principio de proporcionalidad”.
Un caso con dimensión europea
La investigación ha tenido además alcance europeo debido al carácter transfronterizo del tratamiento de datos, motivo por el que la AEPD trasladó el expediente al resto de autoridades comunitarias de protección de datos.
Según la resolución, "algunas aerolíneas vinculadas al sistema de reservas desconocían incluso la existencia del proyecto y no tenían control sobre el uso que Amadeus realizaba de determinados datos en ese contexto".
Temas relacionados