La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 14,4 millones de euros a la multinacional tecnológica Amadeus IT Group por el desarrollo de un proyecto piloto que utilizaba datos de reservas de pasajeros para crear perfiles de comportamiento sin una base jurídica suficiente ni la debida transparencia hacia los afectados.
La decisión, que ha generado debate en el sector tecnológico y turístico, pone el foco en los límites del uso de datos personales en la era del big data y la inteligencia artificial aplicada a la industria del viaje.
¿Qué ha motivado la sanción?
Según la resolución del regulador, el caso se centra en un proyecto piloto en el que Amadeus habría consolidado información procedente de su sistema global de distribución (GDS), junto con datos de reservas de aerolíneas y cadenas hoteleras, para analizar patrones de comportamiento de los viajeros.
El objetivo del sistema era segmentar usuarios en función de sus historiales de viaje y reservas, cruzando información de distintas fuentes para generar perfiles detallados.
La AEPD considera que este tratamiento de datos personales vulnera dos artículos clave del Reglamento General de Protección de Datos (RGPD):
- Artículo 6, relativo a la necesidad de una base legal válida para el tratamiento de datos.
- Artículo 14, que establece obligaciones de transparencia cuando los datos no se recogen directamente del usuario.
- Datos históricos reutilizados y falta de transparencia
Uno de los puntos más relevantes de la investigación es el uso de datos históricos de pasajeros, incluyendo registros de reservas de años anteriores, que habrían sido reutilizados para el análisis del comportamiento de los viajeros.
Según el organismo regulador, los datos del sistema de reservas se integraron en una plataforma analítica que combinaba información de distintas fuentes, incluyendo registros de pasajeros (PNR) antiguos y datos del sector hotelero.
Además, la autoridad subraya que no se pudo confirmar que las aerolíneas implicadas tuvieran conocimiento claro de cómo se estaban utilizando estos datos en el proyecto de perfilado.
La posición de Amadeus
Amadeus ha defendido que el proyecto tenía carácter experimental y una duración limitada de tres meses, orientado a evaluar capacidades técnicas para el análisis de datos y la generación de patrones estadísticos agregados.
La compañía sostiene que el objetivo era mejorar la experiencia del viajero y que en ningún momento se compartieron datos personales con terceros.
Sin embargo, la empresa no ha evitado la sanción, aunque esta se ha reducido desde los 18 millones iniciales hasta los 14,4 millones tras acogerse a un pago voluntario, una vía administrativa que no implica reconocimiento de culpabilidad.
Asimismo, Amadeus ha mostrado su desacuerdo con la interpretación de la normativa y ha anunciado su intención de recurrir la decisión.
Implicaciones para la industria del viaje
Este caso vuelve a poner sobre la mesa uno de los grandes debates del sector tecnológico y turístico: el equilibrio entre innovación basada en datos y la protección de la privacidad de los usuarios.
El uso de plataformas de distribución global (GDS) y sistemas de reservas genera enormes volúmenes de información que, bien utilizados, pueden mejorar la eficiencia del sector. Sin embargo, el RGPD establece límites estrictos para evitar que estos datos se reutilicen sin consentimiento o sin una base legal clara.
La sanción a Amadeus marca un nuevo precedente en la aplicación del RGPD en Europa y refuerza el mensaje de los reguladores: la innovación tecnológica no está por encima de la protección de datos personales.
A medida que el sector turístico avanza hacia modelos cada vez más basados en datos, el cumplimiento normativo se convierte en un elemento clave para garantizar la confianza de los usuarios y la sostenibilidad del ecosistema digital.
Recomendaciones sobre protección de datos
1. Revisar las políticas de privacidad
Antes de utilizar servicios de reserva de vuelos, hoteles o agencias online, es recomendable leer las políticas de privacidad. Aunque suelen ser extensas, es importante prestar atención a cómo se recopilan, comparten y almacenan los datos personales.
2. Ejercer los derechos RGPD
Los usuarios en la Unión Europea tienen derechos claros bajo el Reglamento General de Protección de Datos (RGPD), entre ellos:
- Derecho de acceso a sus datos personales.
- Derecho de rectificación si son incorrectos.
- Derecho de supresión (“derecho al olvido”).
- Derecho a limitar u oponerse al tratamiento.
Estos derechos pueden ejercerse directamente ante las empresas que gestionan los datos.
3. Minimizar la huella digital
Siempre que sea posible, conviene facilitar únicamente los datos estrictamente necesarios para completar una reserva. Evitar registros innecesarios en plataformas o servicios reduce la exposición de información personal.
4. Controlar las preferencias de marketing
Muchas plataformas utilizan los datos de reservas para fines comerciales o de segmentación publicitaria. Es recomendable revisar las opciones de consentimiento y desactivar el uso de datos para marketing cuando no sea deseado.
¿Tu empresa trata datos personales? Asegúralo con FORLOPD
En un entorno regulatorio cada vez más exigente como el del RGPD, contar con un asesoramiento experto en protección de datos no es una opción, sino una necesidad.
En FORLOPD, ayudamos a empresas y organizaciones a cumplir con la normativa de protección de datos de forma práctica, segura y adaptada a su actividad. Desde auditorías y adecuación legal hasta la implementación de medidas de seguridad y acompañamiento continuo, trabajamos para que la gestión de datos no sea un riesgo, sino una ventaja competitiva.
Evita sanciones, refuerza la confianza de tus clientes y garantiza el cumplimiento normativo con un equipo especializado en privacidad y seguridad de la información.
Contacta con nosotros y revisa hoy mismo el nivel de cumplimiento de tu negocio.
