Amadeus ha pagado 14,4 millones de euros de multa a la Agencia Española de Protección de Datos (AEPD) por presuntas infracciones del Reglamento General de Protección de Datos (RGPD), en relación al uso de datos personales sin una base legal sólida e insuficiente información y transparencia hacia los viajeros.

Inicialmente, la multa se dividía en dos pagos de nueve millones de euros cada uno por infracciones correspondientes en lo dispuesto en los artículos 14 y 6 del RGPD, hasta los 18 millones de euros totales, tal y como refleja el expediente.

Pero la cifra se redujo un 20% por el pago voluntario de la compañía, es decir, hasta los 14,4 millones de euros finales, aunque lo hizo sin reconocimiento de culpabilidad.

El expediente, que parte de una denuncia anónima presentada en septiembre de 2023, cuestiona, en primer lugar, la licitud del tratamiento de los datos de los pasajeros por falta de base jurídica suficiente, conforme al artículo 6.

En este punto, la RGPD considera que Amadeus utilizó datos de pasajeros para actividades analíticas y comerciales apoyándose en el «interés legítimo», pero sin acreditar adecuadamente que ese uso fuera proporcional ni compatible con las expectativas de los usuarios.

Mientras, la agencia entiende que millones de viajeros no fueron informados de forma clara sobre cómo se reutilizaban sus datos dentro del ecosistema tecnológico de la firma. Al no obtener los datos directamente de los pasajeros en muchos casos, sino a través de aerolíneas y agencias, la empresa debía cumplir con una serie de obligaciones previstas en el artículo 14.

Durante la investigación, también analizó el funcionamiento del sistema global de reservas aéreas (GDS) de Amadeus, utilizado por aerolíneas, hoteles y agencias para gestionar reservas y disponibilidad de servicios turísticos.