La Agencia Española de Protección de Datos (“AEPD”) ha impuesto una sanción de 18 millones de euros a una de las principales tecnológicas que provee de infraestructura digital a la industria de viaje en Europa, por el uso indebido de datos personales de viajeros en un proyecto de perfilado masivo. La investigación se inició en septiembre de 2023 tras una denuncia anónima que alertaba sobre la creación de perfiles de millones de pasajeros de distintos países europeos. El objetivo habría sido identificar tendencias de viaje mediante la consolidación de historiales de viajes de millones de personas obtenidos a través de los datos de registros de nombres de pasajeros procedentes de su sistema global de distribución de reservas (GDS), así como de las reservas efectuadas en aerolíneas y agencias de viajes, con el fin de ofrecer experiencias hiperpersonalizadas y desarrollar nuevos productos.
La AEPD concluyó que la compañía, en su condición de responsable del tratamiento y operadora de uno de los principales sistemas de distribución global de reservas utilizó datos personales para fines distintos de aquellos para los que habían sido recabados inicialmente (la gestión de reservas de viaje) sin informar adecuadamente a los afectados, ni disponer de una base jurídica válida para ello. Según la resolución, la entidad sancionada desarrolló un proyecto piloto utilizando información de viajeros hasta 3 años después de haberse efectuado las reservas, con el objetivo de analizar nuevos productos comerciales.
La AEPD consideró vulnerado el artículo 14 del Reglamento General de Protección de Datos (“RGPD”), al no facilitar a los interesados la información obligatoria sobre el tratamiento ulterior de sus datos, especialmente teniendo en cuenta que los usuarios no mantenían una relación directa con la entidad sancionada y difícilmente podían esperar ese uso posterior de su información. En este sentido, la AEPD recuerda que las empresas deben garantizar la transparencia de datos en todo tratamiento, especialmente cuando se utilizan con fines distintos a los inicialmente previstos. Por esta infracción se impuso una multa de 9 millones de euros.
Asimismo, la AEPD rechazó que el tratamiento pudiera ampararse en el interés legítimo de la entidad sancionada, base jurídica alegada por la compañía, al considerar que los viajeros no podían esperar razonablemente que sus datos personales, facilitados inicialmente para gestionar reservas de viajes, fueran utilizados años después en un proyecto piloto destinado a evaluar el desarrollo de nuevos productos comerciales. Esta segunda infracción supuso otros 9 millones de euros de sanción.
El procedimiento tuvo carácter transfronterizo, con participación de autoridades de protección de datos de Países Bajos, Francia, Italia, Irlanda, Bélgica, Polonia y otros Estados miembros, actuando la AEPD como autoridad principal al encontrarse en España el establecimiento principal de la compañía. La investigación concluyó que los tratamientos afectados alcanzaban a millones de viajeros de distintos países europeos y a miles de millones de registros de datos personales vinculados a reservas de viajes.
Finalmente, la empresa abonó 14,4 millones de euros tras acogerse a una de las reducciones previstas legalmente por pago voluntario, aunque sin reconocer responsabilidad sobre los hechos.
La resolución administrativa, no obstante, podrá quedar suspendida cautelarmente si la compañía decide interponer recurso contencioso administrativo ante la jurisdicción competente.