España multa a Amadeus con 14,4 millones de euros por proyecto piloto de perfilado de viajeros
El debate en torno a la inteligencia de datos y la privacidad en el sector de la distribución turística ha sumado un capítulo crítico en territorio nacional. La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 14,4 millones de euros a la multinacional tecnológica Amadeus IT Group tras dictaminar la ilegalidad de un proyecto piloto que utilizó datos de reservas de pasajeros de su sistema de distribución global (GDS) para realizar el perfilado de usuarios.
El organismo regulador redujo la cuantía de la penalización desde los 18 millones de euros iniciales después de que la corporación optara por acogerse a la fórmula de pago voluntario, una vía administrativa que no implica la aceptación implícita de responsabilidad en los hechos imputados. La resolución es el resultado de una investigación exhaustiva iniciada a raíz de una denuncia anónima interpuesta en septiembre de 2023.
Consolidación de registros de aviación e infraestructura hotelera
El dictamen emitido por la AEPD detalla que el proyecto bajo análisis consolidó información de reservas históricas suministrada por agencias de viajes y turismo y compañías aéreas. Los datos del GDS se integraron en una plataforma analítica diseñada para segmentar a los viajeros según sus patrones de compra, cruzando dichos registros con bases de datos de clientes de la infraestructura hotelera.
Para la ejecución de estas pruebas limitadas, la firma tecnológica suscribió acuerdos comerciales con diversas cadenas hoteleras entre los años 2021 y 2022. Sin embargo, la autoridad de control constató las siguientes irregularidades operativas durante las diligencias:
Uso de datos históricos archivados: El programa piloto procesó información de Registros de Nombres de Pasajeros (PNR, por sus siglas en inglés) correspondientes al año 2019, empleando archivos de reservas tres años después de haberse efectuado el viaje original.
Falta de transparencia sectorial: El regulador constató que no fue posible confirmar que las aerolíneas proveedoras de la aviación comercial tuvieran conocimiento de la existencia o del uso de sus datos en dicha plataforma de perfilado.
Infracciones del Reglamento General de Protección de Datos (RGPD)
La resolución de la AEPD fundamenta la sanción en la vulneración de dos pilares esenciales del Reglamento General de Protección de Datos (RGPD), el marco normativo de obligado cumplimiento de la Unión Europea que tutela los derechos de privacidad de los ciudadanos. Específicamente, se citan violaciones al Artículo 14, relativo a los deberes de transparencia e información hacia los afectados, y al Artículo 6, que determina la obligatoriedad de contar con una base jurídica lícita para el tratamiento automatizado de datos personales.
Por su parte, portavoces oficiales de Amadeus precisaron a través de un comunicado que el piloto operativo tuvo una duración estricta de tres meses y que su finalidad original era "evaluar las capacidades técnicas del análisis de datos para generar patrones estadísticos agregados" que permitieran optimizar la experiencia de los clientes en sus viajes de ocio. Asimismo, la firma tecnológica remarcó con firmeza que en ningún momento de las pruebas se compartieron datos personales con entidades externas.
A pesar del pago efectuado para acogerse a la reducción de la multa, la dirección de Amadeus manifestó su disconformidad con los criterios aplicados por la AEPD en la interpretación de la legislación de protección de datos. La multinacional calificó la cuantía de la sanción como desproporcionada y avanzó que recurrirá la resolución ante las instancias judiciales competentes para defender la legalidad de sus procesos de innovación tecnológica.