La AEPD sanciona a Amadeus con 18 millones de euros por un proyecto de perfilado masivo de viajeros

  • Inicio
  • Sin categoría
  • La AEPD sanciona a Amadeus con 18 millones de euros por un proyecto de perfilado masivo de viajeros

La AEPD sanciona a Amadeus con 18 millones de euros por un proyecto de perfilado masivo de viajeros

In junio 3, 2026
Comments off
4 Views

¿Qué ha pasado?

Entidad afectada: AMADEUS IT GROUP, S.A.

Tecnología implicada: Analítica avanzada de datos, perfilado de viajeros y personalización basada en grandes volúmenes de datos de reservas.

Hecho: La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 18.000.000 € a Amadeus por utilizar datos de millones de viajeros para desarrollar un proyecto de identificación de tendencias de viaje y experiencias hiper personalizadas sin informar adecuadamente a los afectados y sin disponer de una base jurídica válida para el tratamiento.

Conclusión clave: La resolución deja claro que incluso los proyectos piloto que nunca llegan a comercializarse pueden ser sancionados si implican tratamientos de datos personales contrarios al RGPD.

El proyecto investigado

Amadeus desarrolló internamente un proyecto piloto destinado a:

  • Identificar patrones de comportamiento de viajeros.
  • Consolidar historiales de viaje procedentes de distintas fuentes.
  • Generar perfiles de clientes.
  • Permitir experiencias y ofertas hiper personalizadas.

Para ello utilizó principalmente:

  • Datos de reservas aéreas (PNR) procedentes de su sistema global de distribución (GDS).
  • Datos de clientes de grandes cadenas hoteleras participantes en el piloto.

La investigación concluyó que se produjo una consolidación de historiales de viaje asociados a personas concretas, permitiendo reconstruir patrones de movilidad y comportamiento de millones de viajeros.

Lo relevante: el proyecto nunca llegó a lanzarse

Uno de los aspectos más llamativos del expediente es que:

  • El producto nunca llegó a comercializarse.
  • El piloto fue finalmente descartado.
  • Según Amadeus, entre los motivos figuraban preocupaciones relacionadas con la protección de datos.

Sin embargo, la AEPD considera que el tratamiento ya se había producido y que la infracción se consumó independientemente de que el producto llegara o no al mercado.

Primera infracción: falta de transparencia (Art. 14 RGPD)

La AEPD concluye que Amadeus trató datos personales obtenidos indirectamente sin informar adecuadamente a los interesados.

Según la resolución:

  • Los viajeros no fueron informados específicamente del nuevo tratamiento.
  • La información disponible en políticas de privacidad genéricas era insuficiente para una finalidad tan distinta y compleja.
  • Los afectados desconocían que sus datos históricos se utilizarían para desarrollar nuevos productos de análisis y personalización.

La Agencia destaca especialmente que:

Los viajeros podían esperar que sus datos se utilizaran para gestionar sus reservas, pero no para construir perfiles comerciales años después.

Segunda infracción: ausencia de base jurídica válida (Art. 6 RGPD)

Amadeus defendió que el tratamiento estaba amparado en el interés legítimo.

La AEPD rechazó esta argumentación por varios motivos.

1. Uso de datos más allá de los límites legales

El Reglamento (CE) 80/2009 establece que:

  • Los datos identificables de reservas deben destruirse en un plazo máximo de tres años.
  • Solo pueden conservarse para resolver controversias de facturación.

La investigación concluyó que se utilizaron registros históricos para una finalidad diferente a la prevista normativamente.

2. Falta de ponderación adecuada

La Agencia considera que Amadeus no acreditó que:

  • Su interés comercial prevaleciera sobre los derechos y libertades de millones de viajeros.
  • Existieran expectativas razonables por parte de los afectados respecto a este tratamiento.

3. Una contradicción interna especialmente llamativa

Durante la investigación apareció una presentación interna utilizada en una «Semana de la Privacidad» de la compañía.

En dicha documentación se exponían precisamente los motivos por los cuales el interés legítimo no debía utilizarse como base jurídica para este proyecto.

La propia resolución destaca esta contradicción entre la evaluación formal aportada por Amadeus y las conclusiones internas de sus equipos de privacidad.

La sanción

La AEPD impone:

  • 9.000.000 € por vulnerar el deber de información (art. 14 RGPD).
  • 9.000.000 € por tratar datos sin una base jurídica válida (art. 6 RGPD).

Importe total: 18.000.000 €

Posteriormente, Amadeus abonó 14.400.000 € tras acogerse al descuento del 20 % previsto para el pago voluntario, sin reconocer responsabilidad.

Agravantes valorados por la AEPD

La cuantía de la sanción se ve influida por:

  • El enorme volumen de datos tratados.
  • El carácter masivo y transfronterizo del tratamiento.
  • La posición de Amadeus como uno de los principales operadores tecnológicos del sector turístico.
  • Antecedentes sancionadores previos.

Lecciones clave para organizaciones

  • Los proyectos piloto también deben cumplir el RGPD

No es necesario que un producto llegue al mercado para que exista responsabilidad.

  • La reutilización de datos exige una nueva evaluación jurídica

Utilizar datos recopilados para reservas con fines de perfilado requiere analizar cuidadosamente compatibilidad, expectativas razonables y base legal.

  • La transparencia no se resuelve con una política genérica

Los tratamientos complejos y de alto impacto requieren información clara y específica.

  • El interés legítimo no es una solución universal

Debe existir una ponderación sólida, documentada y coherente con la realidad del tratamiento.

  • La documentación interna puede convertirse en prueba

Las evaluaciones, presentaciones y análisis de privacidad pueden ser determinantes durante una investigación.

Impacto regulatorio

La resolución se perfila como una de las sanciones más relevantes en Europa relacionadas con:

  • Perfilado masivo de usuarios.
  • Reutilización de datos históricos.
  • Analítica avanzada basada en grandes volúmenes de información.
  • Gobernanza de proyectos de IA y personalización.

El mensaje de la AEPD es claro: los proyectos de innovación basados en datos deben diseñarse desde el principio bajo los principios de transparencia, limitación de finalidad y responsabilidad proactiva, incluso cuando nunca lleguen a convertirse en un producto comercial.

Fuente: Sentencia AEPD

Jose Helguero

Comments are closed.

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta página web utiliza cookies propias y de terceros para fines analíticos y mostrarle publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus datos de navegación.