Puntos clave
- La AEPD ha sancionado a Amadeus con 18 millones de euros (reducidos a 14,4 millones por pago voluntario) por infringir los artículos 14 y 6 del RGPD.
- La infracción surge al reutilizar datos de reservas para un proyecto piloto sin informar a los viajeros ni contar con una base jurídica que lo legitimara.
- Amadeus alegó interés legítimo, pero la propia empresa había documentado internamente que esa base no era adecuada para ese tratamiento.
- La transparencia genérica en una política de privacidad no basta: hay que informar de forma específica antes de usar los datos para un fin nuevo.
- El caso demuestra que la información clara y la base jurídica correcta son la primera línea de defensa frente a sanciones, también en tu sitio web.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una de las sanciones más considerables de los últimos meses: 18 millones de euros a Amadeus IT Group, uno de los mayores sistemas de reservas de viajes del mundo. Lo relevante del caso radica en el motivo de la infracción, ya que no se trata de una brecha de seguridad ni un ataque informático (razones más comunes de incumplimiento de la normativa), sino algo mucho más cotidiano que pone el foco en la importancia de entender y respetar los requisitos del RGPD: Amadeus reutilizó datos de viajeros para una finalidad distinta de aquella para la que habían sido recopilados inicialmente, sin informar adecuadamente a los afectados y, según concluyó la AEPD, sin una base jurídica válida para dicho tratamiento.
Si gestionas una web que recoge datos de usuarios, este caso te interesa. Las dos infracciones por las que se sanciona a Amadeus son errores que muchas empresas pueden llegar a cometer si no revisan adecuadamente sus tratamientos de datos: no informar correctamente sobre cómo se usan los datos y apoyarse en una base jurídica inadecuada.
1. Qué ha ocurrido
El caso comienza con una denuncia anónima recibida por la AEPD en septiembre de 2023 que apuntaba a que Amadeus podría estar usando datos de viajeros de forma indebida para elaborar perfiles.
Tras investigar, la Agencia se centró en un proyecto piloto que Amadeus desarrolló entre marzo y junio de 2022 junto a varias cadenas hoteleras. Según la AEPD, dichos datos fueron reutilizados para analizar la viabilidad de un nuevo producto o servicio en fase piloto. El proyecto acabó descartándose, en parte por las propias dudas de protección de datos que generaba.
La AEPD concluyó que Amadeus cometió dos infracciones del RGPD:
Infracción del artículo 14 (información a los interesados) por 9 millones de euros. Amadeus no obtiene los datos directamente de los viajeros, sino a través de aerolíneas, hoteles y agencias (su modelo es B2B).
En principio, cuando los datos no se obtienen directamente del interesado, el artículo 14 del RGPD obliga a facilitar determinada información a los afectados, salvo que concurra alguna de las excepciones previstas en el propio reglamento.
La Agencia consideró que una mención genérica en la política de privacidad de su web no era suficiente: la mayoría de viajeros ni siquiera sabían que Amadeus trataba sus datos, y mucho menos que se reutilizarían años después para un proyecto de una empresa con la que no tenían ninguna relación.
Infracción del artículo 6 (licitud del tratamiento) por 9 millones de euros. Amadeus se apoyó en el interés legítimo como base para el proyecto piloto. La AEPD concluyó que el interés legítimo no constituía una base jurídica adecuada para este tratamiento. Entre otros elementos, tuvo en cuenta documentación interna de la propia compañía que cuestionaba la utilización de dicha base jurídica para el proyecto analizado. La Agencia razonó que no existía una expectativa razonable por parte de los viajeros de que sus datos de reserva acabaran alimentando un proyecto nuevo, y que tampoco había ni consentimiento ni ninguna otra base jurídica que lo respaldara.
La expectativa razonable del interesado es uno de los factores que habitualmente se valoran dentro del análisis de ponderación exigido para el interés legítimo, junto con otros elementos relativos a la necesidad y proporcionalidad del tratamiento.
Amadeus se acogió al pago voluntario, lo que redujo la multa un 20% hasta los 14,4 millones de euros, aunque sin reconocer responsabilidad. La AEPD también tuvo en cuenta como agravante una sanción previa de 2022 por infringir el artículo 12 del RGPD.
2. Por qué es relevante para el sector
Aunque una multa millonaria a una multinacional por motivos de privacidad puede parecer algo lejano para tu negocio, la realidad es que el error de Amadeus es perfectamente replicable en cualquier web, y por eso resulta tan instructivo.
Con este caso se pueden extraer tres conclusiones claras:
El caso recuerda que la mera existencia de una política de privacidad no garantiza por sí sola el cumplimiento del deber de información exigido por el RGPD. Si vas a usar los datos para una finalidad diferente a aquella para la que el usuario accedió a entregar sus datos, debes informarle de forma específica y previa. Esto vale tanto para un proyecto piloto interno como para conectar una nueva herramienta de analítica o publicidad a tu web.
El interés legítimo requiere identificar un interés real y legítimo, demostrar que el tratamiento es necesario para alcanzarlo y realizar una ponderación documentada frente a los derechos y libertades de las personas afectadas.
Muchas empresas recurren al interés legítimo porque parece la opción más cómoda, ya que evita solicitar consentimiento. Pero el RGPD exige una ponderación seria y documentada entre tus intereses y los derechos del usuario. Si esa ponderación no se sostiene o, como en el caso de Amadeus, tu empresa ya ha documentado que no procede, el tratamiento es ilícito. Puedes profundizar en cómo obtener una base válida en nuestra guía sobre el consentimiento según el RGPD.
Las contradicciones internas se vuelven en tu contra. La existencia de documentación interna que cuestionaba la validez del interés legítimo reforzó la posición de la AEPD y debilitó la defensa de la compañía. La coherencia entre lo que documentas y lo que haces es clave para contar con una buena defensa legal.
Este caso muestra que también pueden imponerse sanciones muy elevadas por incumplimientos relacionados con la transparencia y la licitud del tratamiento, además de por incidentes de seguridad.
El RGPD no distingue por tamaño de empresa. Se aplica a cualquier organización que trate datos de residentes en la UE, también a pymes y autónomos. Una multa proporcional al tamaño del negocio puede ser igual de dañina para una pyme que 18 millones para una multinacional. Consulta a quién se aplica el RGPD para salir de dudas.
3. Por qué y cómo respetar la privacidad en tu web
Tu sitio web es el primer punto donde recoges datos de personas: a través de formularios, analítica, píxeles publicitarios, vídeos incrustados o redes sociales. Cada una de esas tecnologías puede instalar cookies y rastreadores que tratan datos personales, a menudo sin que el propietario de la web sea plenamente consciente.
Aunque el caso Amadeus no estaba relacionado con cookies ni tecnologías de seguimiento, sí gira en torno a dos principios fundamentales del RGPD: la transparencia y la existencia de una base jurídica válida. Estos mismos principios son esenciales para la gestión de cookies y rastreadores en cualquier sitio web.
Estos son los pasos para poner tu web en regla sin sobresaltos:
Paso 1
Sé consciente de qué datos recoges. El primer paso es escanear tu web e identificar todas las cookies y rastreadores activos, incluidos los que añaden servicios de terceros.
Paso 2
Informa de forma clara y específica. Tu política de privacidad y tu política de cookies deben explicar qué datos tratas, con qué finalidad y bajo qué base jurídica, en un lenguaje comprensible. La transparencia es la base sobre la que se construye la confianza del usuario.
Paso 3
Pide consentimiento antes de tratar datos no esenciales. En la mayoría de los casos, las cookies analíticas no exentas, las cookies publicitarias y las tecnologías de redes sociales requieren el consentimiento previo del usuario antes de su activación, es decir, aceptación previa, libre e informada. El banner debe permitir aceptar y rechazar con la misma facilidad, y el usuario debe poder cambiar de opinión en cualquier momento. Una gestión deficiente del consentimiento está detrás de muchas de las multas del RGPD en España.
Paso 4
Documenta y mantente al día. Las leyes cambian, y tu web también. Guarda registro de los consentimientos y revisa periódicamente qué tecnologías están activas. Una plataforma de gestión del consentimiento (CMP) automatiza el escaneo, el bloqueo previo, el banner y la documentación, de forma que el cumplimiento deja de depender de revisiones manuales.
La diferencia entre Amadeus y una pyme no está en la naturaleza del error, sino en la capacidad de detectarlo a tiempo. Y eso es precisamente lo que una buena base de transparencia y consentimiento te permite hacer.
Conclusión
De este caso queda claro que las sanciones más cuantiosas no siempre nacen de un ciberataque, sino de decisiones cotidianas sobre cómo se usan los datos. Reutilizar información para un fin nuevo sin informar y sin una base jurídica sólida es un error que cualquier organización, grande o pequeña, puede cometer si no conoce la normativa o si no le da la importancia que tiene para su negocio.
La buena noticia es que los dos principios que Amadeus pasó por alto, transparencia y base jurídica, también son tu mejor defensa. Informar de forma clara y específica, elegir la base correcta para cada tratamiento y documentar todos tus procesos reduce el riesgo de sanción y genera confianza en tus usuarios. Y en tu web, donde recoges datos a diario a través de cookies y rastreadores, ese trabajo empieza por algo tan simple como saber qué se está activando y con qué permiso.
Revisar tu sitio hoy es mucho más barato que responder a una reclamación mañana.
Si también te interesa la privacidad de datos, únete ahora a nuestra creciente comunidad. Suscríbete a la newsletter de Usercentrics y recibe las últimas novedades directamente en tu bandeja de entrada.
