La Agencia Española de Protección de Datos ha impuesto una sanción de 14,4 millones de euros a Amadeus IT Group por un proyecto piloto de perfilado de viajeros. El expediente pone el foco en una cuestión cada vez más sensible para empresas tecnológicas, turísticas y de servicios. ¿Hasta dónde puede llegar el análisis de datos personales cuando se reutiliza información obtenida en otro contexto?
Según la información publicada y la resolución de la AEPD, el caso se centra en un tratamiento de datos ligado a reservas de viaje, historiales y registros procedentes de distintos actores del ecosistema turístico. La autoridad considera que el proyecto no acreditó una base jurídica suficiente para ese tratamiento y que tampoco cumplió correctamente con las obligaciones de transparencia exigidas por el Reglamento General de Protección de Datos.
La sanción inicial se situó en 18 millones de euros, pero quedó reducida a 14,4 millones tras la aplicación de la reducción por pago voluntario. Amadeus, por su parte, ha defendido el carácter experimental del proyecto y ha mostrado su desacuerdo con la interpretación de la autoridad, anunciando su intención de recurrir.
Qué ocurrió en el proyecto investigado
El proyecto analizado por la AEPD habría utilizado información procedente del sistema global de distribución de Amadeus, así como datos vinculados a reservas de aerolíneas y hoteles, para generar perfiles o patrones de comportamiento de viajeros. La finalidad descrita era explorar capacidades analíticas y estudiar patrones agregados relacionados con los hábitos de viaje.
El problema no está en que una empresa use datos para mejorar sus servicios. El RGPD permite muchos tratamientos cuando existe una base jurídica adecuada, se informa correctamente a las personas afectadas y se aplican garantías proporcionales al riesgo. El conflicto aparece cuando datos recogidos para una finalidad concreta, como gestionar una reserva, se reutilizan después para otra finalidad más analítica o comercial sin que esa nueva finalidad esté bien justificada y explicada.
La base jurídica y la transparencia
La AEPD centra el expediente en dos obligaciones esenciales del RGPD: la licitud del tratamiento y la información a las personas afectadas. En términos prácticos, esto significa que la empresa debe poder explicar por qué está legitimada para tratar esos datos y cómo ha informado a los viajeros cuando sus datos no se obtienen directamente de ellos.
Base jurídica del tratamiento
El artículo 6 del RGPD exige que todo tratamiento de datos personales tenga una base jurídica válida. Puede ser el consentimiento, la ejecución de un contrato, una obligación legal, el interés legítimo u otra de las bases previstas en la norma.
En un caso de perfilado, la exigencia puede llegar a ser aún mayor. Si se combinan fuentes, se reutilizan datos históricos o se crean segmentos sobre comportamiento, la empresa necesita evaluar con cuidado si su base jurídica resiste un análisis serio de necesidad, proporcionalidad y expectativas del usuario.
Transparencia cuando los datos no se recogen del usuario
El artículo 14 del RGPD regula la información que debe facilitarse cuando los datos personales no se obtienen directamente de la persona afectada. En sectores como el turístico, donde intervienen aerolíneas, hoteles, agencias, plataformas y proveedores tecnológicos, esta obligación es especialmente relevante.
La transparencia no consiste solo en tener una política de privacidad extensa. La persona debe poder entender qué datos se usan, para qué finalidades, quién interviene, durante cuánto tiempo se conservan y qué derechos puede ejercer. Si la información viaja entre varios actores, el reparto de responsabilidades debe estar bien documentado.
Ponte en contacto
Necesitas ayuda
Por qué este caso importa al sector turístico y tecnológico
El turismo genera enormes volúmenes de datos como itinerarios, destinos, fechas, preferencias, acompañantes, canales de compra, historial de reservas y, en algunos casos, información especialmente sensible por inferencia. Esa información tiene valor para mejorar operaciones, personalizar servicios y detectar tendencias, pero también puede revelar mucho sobre la vida privada de una persona.
La resolución recuerda que la innovación basada en datos no elimina las obligaciones de privacidad. Al contrario, cuanto más ambicioso sea el uso analítico de la información, más importante es documentar la base jurídica, limitar los datos tratados, informar con claridad y aplicar garantías técnicas y organizativas desde el diseño.
Lecciones prácticas para las empresas que usan datos personales
El caso Amadeus deja varias lecciones útiles para cualquier organización que trabaje con analítica, automatización, inteligencia artificial o segmentación de usuarios.
- No reutilizar datos históricos sin revisar la finalidad original y la base jurídica aplicable.
- Documentar cada tratamiento en el registro de actividades, especialmente si implica perfilado o combinación de fuentes.
- Revisar las políticas de privacidad para que expliquen usos reales, no solo fórmulas genéricas.
- Hacer evaluaciones de impacto cuando el tratamiento pueda suponer un alto riesgo para los derechos de las personas.
- Aclarar la relación entre responsables, encargados y corresponsables cuando participan varios proveedores.
- Aplicar el principio de minimización de datos: tratar solo la información necesaria para la finalidad concreta.
- Separar analítica agregada de tratamientos que permitan identificar o perfilar personas concretas.
Qué deben revisar los usuarios
Para los viajeros, este caso también es un recordatorio de la importancia de revisar cómo se tratan sus datos en plataformas de reserva, aerolíneas, hoteles y agencias online. En la Unión Europea, cualquier persona puede ejercer derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad cuando corresponda.
También conviene revisar las preferencias de marketing y consentimiento, especialmente en servicios donde se aceptan comunicaciones comerciales, personalización de ofertas o cesiones a terceros. No siempre es cómodo leer una política de privacidad, pero sí es útil identificar qué datos se usan para finalidades distintas a la prestación principal del servicio.
El cumplimiento del RGPD debe ir antes que el piloto
La multa a Amadeus no debe interpretarse solo como un caso aislado del sector turístico. Es una señal clara para cualquier empresa que quiera experimentar con datos personales, IA o modelos de segmentación. Los pilotos también son tratamientos reales y deben cumplir el RGPD desde el primer día.
Antes de lanzar un proyecto de analítica avanzada, conviene revisar la base jurídica, la información al usuario, los contratos con proveedores, la minimización de datos y la necesidad de una evaluación de impacto. Hacerlo antes evita sanciones, reduce riesgos reputacionales y permite innovar con una estructura legal sólida.
En Supra Legit Lawyers, ayudamos a empresas y organizaciones a adaptar sus tratamientos de datos al RGPD, revisar proyectos de analítica o IA, preparar documentación legal y reducir riesgos antes de que un piloto se convierta en un problema. Si tu empresa trabaja con datos personales, una revisión preventiva puede marcar la diferencia.
FAQ
¿Por qué sancionó la AEPD a Amadeus?
La AEPD sancionó a Amadeus por un proyecto de perfilado de viajeros en el que, según la autoridad, no se acreditó una base jurídica suficiente ni se cumplió adecuadamente con la obligación de informar a las personas afectadas.
¿Qué artículos del RGPD se mencionan en el caso?
El expediente gira principalmente en torno al artículo 6 del RGPD, sobre licitud del tratamiento, y al artículo 14, sobre información cuando los datos no se obtienen directamente del interesado.
¿El pago voluntario implica reconocer culpabilidad?
No necesariamente. La reducción por pago voluntario es una vía administrativa que reduce el importe de la sanción, pero no equivale por sí sola a una admisión de culpabilidad.
¿Qué empresas deben prestar atención a este caso?
Cualquier empresa que use datos personales para analítica, segmentación, inteligencia artificial, marketing, scoring o personalización de servicios debería revisar este caso, especialmente si combina datos de varias fuentes o reutiliza información histórica.
Ponte en contacto
