Multa de récord por parte de la Agencia Española de Protección de Datos (AEPD): 18 millones a Amadeus, una proveedora de tecnología para el sector turismo (aerolíneas, hoteles, trenes) por el uso indebido de datos personales para la elaboración de perfiles para un proyecto piloto.
Aunque la multa ha sido rebajada a 14,4 millones porque Amadeus hizo uso del ‘pronto paga, el expediente nºEXP202315175, difundido en redes sociales por , la autoridad ha condenado a la empresa por una vulneración de los artículos 6 y 14 del Reglamento de Protección de Datos (RGPD).
En concreto, se refiere a la falta de ilicitud del tratamiento (Amadeus no era el responsable del tratamiento de los datos) y una vulneración del deber de información a los usuarios del tratamiento de sus datos personales, respectivamente).
El origen de la investigación: un proyecto piloto
Amadeus es una empresa proveedora de tecnología para la industria del viaje, es decir, ofrece servicios a otras empresas de los sectores de aerolíneas, hoteles, trenes, aeropuertos u otras.
El responsable del tratamiento de los datos era la empresa matriz Amadeus IT Group S.A.. Esta empresa opera con un Sistema de Distribución Global (GDS) que actúa simultáneamente como responsable del tratamiento de datos según la vía de reserva utilizada por el cliente.
Es decir, es un sistema de red que permite transacciones entre proveedores de servicios de la industria de viajes, y utiliza principalmente el inventario en tiempo real (por ejemplo, el número de habitaciones de hotel disponibles, el número
de asientos de vuelo disponibles o el número de automóviles disponibles) de los
proveedores de estos servicios.
Según recoge el expediente de análisis en este artículo, la investigación de la AEPD comenzó tras una denuncia que alertaba del uso indebido de datos de viajeros para la creación de perfiles comerciales y análisis estadísticos sin el consentimiento adecuado para un proyecto piloto de la empresa, en colaboración con una aerolínea.
Debería haberse notificado a los interesados el tratamiento ulterior por parte de Amadeus
Sin embargo, Amadeus IT Group no obtiene los datos personales de los viajeros directamente de ellos, sino de los canales a los que provee servicios.
Por tanto, la AEPD considera que la utilización de datos personales de viajeros para la realización del piloto se trataba de un tratamiento «ulterior» y para un «fin distinto para el que obtuvieron» (que sería la reserva de un viaje, hotel, vuelo…) .
«Era obligación de Amadeus proporcionar a los interesados, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente, de acuerdo con lo establecido en el apartado 4 del artículo 14 del RGPD».
Y aunque la tecnológica usó como escudo que hacía referencia en las políticas de privacidad hacía referencia a este tratamiento, la AEPD rechaza su argumento: «esta Agencia considera que simplemente una referencia genérica en su política de privacidad publicada en su página web es insuficiente a los fines del citado artículo del RGPD».
«Si se tiene en cuenta que los servicios GDS son servicios B2B y Amadeus no tuvo relación directa con los usuarios finales cuyos datos se trataban a través del GDS, por lo que no todos los interesados son conscientes de que la tecnológica trata sus datos cuando realizan una reserva, y mucho menos que sus datos serían tratados por parte de esta compañía, con posterioridad a la realización de una reserva determinada, con el fin de desarrollar nuevos productos de los que pudiera beneficiarse», señala la Agencia.
De esto modo, sanciona por la infracción del apartado 4 del artículo 14 del RGPD con 9 millones de euros.
Amadeus trató ilegalmente los datos
Tras acreditar la vulneración del deber de información, la Agencia pasa a analizar si el tratamiento realizado por Amadeus es lícito.
El principio de licitud es uno de los pilares fundamentales del RGPD, porque, entre otros aspecto, radica en el papel esencial de la construcción de una relación de confianza entre las distintas personas y entidades que tratan los datos personales y los individuales titulares.
Tal y como recoge la Agencia en su expediente sancionador, «el principio de licitud obliga a los responsables y encargados del tratamiento de datos a identificar una base legal válida antes de proceder con cualquier actividad de tratamiento».
Es decir, para que un tratamiento de datos se considere lícito, de acuerdo con lo dispuesto en el mencionado artículo, requiere la existencia de una base legal que lo legitime.
Y la AEPD determina que no concurre ninguna de las condiciones: no se acreditó la obtención del consentimiento específico, ni que el tratamiento fuera necesario para la ejecución de un contrato, ni el cumplimiento de una obligación legal.
Amadeus alegó que el tratamiento se amparaba en su interés legítimo empresarial. Pero la Agencia no lo vio así porque faltan expectativas razonables, es decir, los viajeros que realizaba una reserva no tienen la expectativa de que sus datos fuese a usarse años después por una empresa tecnológica.
Además, la tecnológica reconoció haber utilizado datos de registros PNR (‘Passenger Name Record’) del año 2019, es decir, con tres años de antigüedad, para realizar el piloto en 2022. Esto incumple el Reglamento (CE) nº 80/2009, que exige la destrucción de estos datos en un plazo máximo de tres años y limita su acceso únicamente a la resolución de disputas de facturación.
Por todo estos hechos, la autoridad consideró acreditado la vulneración del artículo 6 del RGPD y se confirmó la sanción de 9 millones de euros.
El pronto paga redujo la sanción a 14,4 M
Esta resolución no solo representa un impacto económico significativo para Amadeus, que ha cerrado el procedimiento con el pago voluntario de 14,4 millones de euros sin admitir inicialmente su responsabilidad, sino que sienta un precedente jurídico de calado sobre los límites del interés legítimo en tratamientos masivos de datos.
Al confirmar infracciones muy graves de los artículos 6 y 14 del RGPD por el desarrollo del proyecto piloto la AEPD advierte de que la innovación tecnológica no puede ampararse en políticas de privacidad genéricas que ignoren la expectativa razonable de millones de viajeros en la Unión Europea.
