La Agencia Española de Protección de Datos (AEPD) ha impuesto a la multinacional tecnológica española Amadeus una sanción récord de 18 millones de euros, la más alta dictada hasta ahora por el organismo. La resolución concluye que la compañía trató datos personales de millones de viajeros para un proyecto piloto de perfilado sin disponer de una base jurídica válida y sin informar adecuadamente a los afectados, vulnerando los artículos 6 y 14 del Reglamento General de Protección de Datos (RGPD).
Según la resolución, Amadeus empleó datos históricos de pasajeros almacenados en su sistema de reservas para alimentar un proyecto piloto denominado internamente Traveler Centric Platform (TCP). La documentación interna analizada por la AEPD revela que el objetivo era evaluar la viabilidad de un producto comercial para aerolíneas, hoteles y agencias de viaje basado en un perfilado profundo del viajero y en ofrecer búsquedas hiperpersonalizadas.
El piloto cruzaba los registros de pasajeros (PNR) con datos de clientes facilitados por dos grandes cadenas hoteleras. La finalidad: construir un historial completo de cada viajero —vuelos, estancias, hábitos, destinos, frecuencia— y explorar su explotación comercial.
Aunque Amadeus sostiene que se trató de una iniciativa de tres meses destinada a generar “patrones estadísticos agregados”, la AEPD constató que se utilizaron registros de 2019, tres años después de su recogida, superando los límites temporales de conservación que fija la normativa sectorial aplicable sobre el tratamiento de datos de viajeros en el sector aéreo.
La AEPD considera acreditado que Amadeus vulneró:
- Artículo 6 RGPD — ausencia de base jurídica válida para el tratamiento.
- Artículo 14 RGPD — falta de información a los afectados cuando los datos se obtienen por vías indirectas.
Ambas infracciones se califican como muy graves y se sancionan con 9 millones de euros cada una.
La compañía alegó interés legítimo, pero la Agencia lo descartó apoyándose en informes internos de la propia Amadeus, que reconocían que esta base jurídica no era adecuada para el proyecto TCP. La resolución cita expresamente una presentación corporativa de 2022 en la que la empresa admitía que el interés legítimo no debía emplearse en ese contexto.
En cuanto a la información a los usuarios, la AEPD rechaza que una referencia genérica en la política de privacidad sea suficiente, especialmente cuando los servicios de Amadeus son B2B y el viajero medio ni siquiera sabe que la compañía trata sus datos al reservar un vuelo.
La investigación comenzó tras una denuncia anónima presentada en septiembre de 2023, que alertaba de un posible tratamiento masivo que afectaba a más de 12.000 millones de datos a escala global. Tras año y medio de actuaciones, el procedimiento se inició formalmente el 21 de mayo de 2025, y Amadeus se acogió al pago voluntario ocho días después, quedando rebajada la sanción a 14,4 millones de euros. Aunque la empresa finalmente descartó el proyecto por los riesgos de privacidad detectados internamente, la AEPD sanciona el mero desarrollo del piloto, al considerar que ya supuso un tratamiento ilícito de datos personales.