La autoridad de control ha impuesto a la entidad AMADEUS dos sanciones por un total de 18 millones de euros (la multa se ha visto reducida a 14 millones por cuanto la compañía ha hecho uso de una de las reducciones previstas, sin haber reconocido su responsabilidad). La primera, con ocasión de la infracción del artículo 14 del RGPD (información que debe facilitarse cuando los datos personales no se han obtenido del interesado), por importe de 9 millones de euros; y la segunda, por infringir el artículo 6 del mismo cuerpo normativo (licitud del tratamiento), por otros 9 millones de euros.
AMADEUS es un proveedor de tecnología que presta servicios al sector de viajes, proveyendo a empresas como, por ejemplo, aerolíneas, hoteles, agencias de viaje o aeropuertos con distinta soluciones tecnológicas. En relación con esta prestación de servicios, se indica en la resolución que el sistema GDS es un sistema utilizado por dichas entidades que permite realizar y gestionar las reservas que realizan sus usuarios.
Habida cuenta de ello, la compañía, con ocasión del uso de este sistema por parte de las citadas entidades, tenía acceso y trataba datos personales de los usuarios con la finalidad de tramitar sus reservas o emitir los billetes. Así, respecto de la prestación de estos servicios, AMADEUS era considerada encargada del tratamiento, por cuanto recibía instrucciones de, por ejemplo, las aerolíneas. En estos supuestos, los usuarios no tenían relación directa con AMADEUS, sino con la aerolínea u hotel en el que realizaban la reserva, por lo que en muchos casos desconocían incluso la existencia de esta entidad (y, en consecuencia, el tratamiento que realizaba).
No obstante, AMADEUS tomó la decisión de tratar los datos personales de los usuarios a los que tuvo acceso con ocasión del uso del sistema GDS, en el sentido indicado con anterioridad, para la elaboración de perfilados. Así, AMADEUS utilizó estos datos con la finalidad de realizar una prueba piloto de una plataforma que estaba en desarrollo (no obstante, una vez se llevó a cabo dicha prueba, la plataforma fue descartada). Respecto al tratamiento de estos datos, la compañía “realizaba esta actividad en su condición de responsable”.
Se indica en la resolución de la AEPD que este tratamiento afectó a más de 12 millones de usuarios, sin que conste que la compañía hubiera realizado una evaluación detallada de si los intereses que perseguía prevalecían o no sobre los derechos de los afectados y sin que hubiera recabado el consentimiento expreso de ellos para este tratamiento posterior.
La autoridad de control declara, en relación con la obligación de información que debe ser facilitada a los potenciales afectados, que no se facilitó información alguna respecto a este proyecto piloto a los usuarios cuyos datos fueron tratados incluso años después de haber sido recabados para la realización de las reservas. En este sentido, esta obligación “garantiza la transparencia y el respeto por los derechos” de los usuarios, permitiéndoles conocer de forma clara y completa cómo se lleva a cabo el tratamiento de sus datos.
En este caso, nos encontramos ante “un tratamiento ulterior de los datos para un fin distinto para el que se obtuvieron (o sea, la realización de una reserva de un servicio de viaje)”, por lo que la entidad estaba obligada a proporcionar información sobre esta nueva finalidad con anterioridad a iniciar el tratamiento. Sin embargo, la única información que constaba en la política era una breve referencia genérica, que no es considerada suficiente por la AEPD.
Adicionalmente, como declara la autoridad de control y se ha expuesto con anterioridad, se debe tener en cuenta “que los servicios GDS son servicios B2B”, no teniendo AMADEUS “relación directa con los usuarios finales cuyos datos se trataban a través del GDS”, por lo que muchos afectados desconocían que la compañía trataba sus datos al realizar una reserva. En este sentido, tampoco tenían constancia de que “sus datos serían tratados por parte de AMADEUS, con posterioridad a la realización de una reserva determinada, con el fin de desarrollar nuevos productos de los que pudiera beneficiarse”. Es por ello por lo que, al tratarse con posterioridad datos de usuarios que habían realizado una reserva para un proyecto piloto de la compañía, sin que se mantuviera relación directa con ellos (por lo que no existía una expectativa razonable de dicho tratamiento) y sin facilitar información alguna, se ha infringido el artículo 14 del RGPD.
Respecto a la base que legitimaba este tratamiento (que permite garantizar que cualquier actividad de tratamiento “se realice dentro del marco legal establecido, respetando los derechos de sus titulares”), si bien para la realización del proyecto piloto AMADEUS alegó que era el interés legítimo, en determinados documentos aportados al proceso afirmaba que esta no era válida para dicha finalidad.
En este sentido, la autoridad de control ha declarado que los usuarios no eran conscientes del tratamiento ulterior de sus datos para la realización del proyecto piloto (como se ha expuesto, muchos de ellos no eran siquiera conscientes de que AMADEUS tenía acceso a sus datos), por lo que no existía para ellos una expectativa razonable de que sus datos podían ser usados “para probar la posibilidad de desarrollar un producto nuevo por un tercero, de lo cual ni siquiera tenían conocimiento”. Es por ello por lo que la base legitimadora no podía ser el interés legítimo.
Adicionalmente, para aquellos tratamientos de datos ulteriores cuya base no es el consentimiento debería haberse evaluado si dicho tratamiento era compatible con el inicial, análisis que tampoco se ha realizado por AMADEUS.
Así, al no haberse acreditado que la compañía recabara el consentimiento expreso de los usuarios y no ser válido el interés legítimo como base jurídica que pudiera amparar el tratamiento ulterior de los datos, por los motivos expuestos, se concluye por la AEPD que se ha infringido el artículo 6 del RGPD.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
