www.guadanews.es
La mayor multa de la historia de la AEPD: 18 millones de euros por reutilizar datos personales sin base legal
Ampliar

La mayor multa de la historia de la AEPD: 18 millones de euros por reutilizar datos personales sin base legal

Por REDACCION
x
redaccionguadanewses/9/9/19
jueves 09 de julio de 2026, 19:52h

google+

linkedin

Comentar

Imprimir

Enviar

La Agencia Española de Protección de Datos (AEPD) ha impuesto recientemente la mayor sanción de su historia: 18 millones de euros a la multinacional tecnológica Amadeus IT Group por el tratamiento ilícito de datos personales de millones de viajeros. Aunque la cuantía final se redujo a 14,4 millones de euros tras el pago voluntario, la resolución constituye uno de los pronunciamientos más importantes desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD).

Más allá del importe económico, esta resolución lanza un mensaje claro a todas las organizaciones: los datos personales no pueden reutilizarse para finalidades distintas de aquellas para las que fueron obtenidos sin una base jurídica válida y sin informar adecuadamente a los interesados.

El origen de la sanción
Según la resolución de la AEPD, Amadeus desarrolló un proyecto piloto destinado a crear perfiles avanzados de viajeros utilizando datos históricos procedentes de sus sistemas de reservas.

El objetivo era analizar hábitos de viaje y desarrollar productos comerciales dirigidos a aerolíneas, hoteles y otros operadores turísticos mediante técnicas de perfilado y personalización. Para ello, la compañía utilizó datos personales de millones de pasajeros que habían sido obtenidos inicialmente en el marco de la prestación de servicios tecnológicos al sector turístico.

La Agencia entendió que este nuevo tratamiento constituía una finalidad distinta de aquella para la que los datos habían sido recogidos originalmente.

Falta de base jurídica
El artículo 6 del RGPD establece que todo tratamiento de datos personales debe apoyarse en una base legal válida.

La AEPD concluyó que Amadeus no disponía de legitimación suficiente para reutilizar los datos de los pasajeros con fines de perfilado comercial.

La compañía defendió distintas argumentaciones jurídicas, entre ellas el interés legítimo. Sin embargo, la Agencia consideró que dicho interés no superaba el necesario juicio de ponderación frente a los derechos y libertades de los afectados.

Cabe recordar que Amadeus trataba esos datos en condición de encargada del tratamiento, para prestar un servicio a aerolíneas y agencias de viaje, siendo esta la única finalidad válida de tratamiento de los datos.

La consecuencia fue una sanción de nueve millones de euros por la infracción del artículo 6 del RGPD.

Incumplimiento del deber de información
La segunda infracción afecta al artículo 14 del RGPD. Cuando los datos personales no se obtienen directamente del interesado, el responsable del tratamiento debe facilitar determinada información sobre el uso que va a realizar de esos datos.

La AEPD determinó que los viajeros nunca fueron informados de que sus datos podrían utilizarse para este proyecto de perfilado comercial, lo que dio lugar a una segunda sanción de otros nueve millones de euros.

La reutilización de datos: uno de los grandes riesgos del RGPD

La resolución pone de manifiesto que la reutilización de datos es uno de los problemas más habituales en las organizaciones modernas.

Es frecuente que las empresas recopilen datos personales para una finalidad concreta y, posteriormente, detecten nuevas oportunidades de negocio que implican reutilizar esa información. Por ejemplo:

Analizar hábitos de consumo.

Elaborar perfiles comerciales.

Desarrollar productos personalizados.

Realizar campañas de marketing.

Compartir información entre distintas sociedades del grupo.

Sin embargo, el RGPD establece el principio de limitación de la finalidad. Los datos personales deben utilizarse únicamente para los fines determinados, explícitos y legítimos para los que fueron recogidos.

Si aparece una nueva finalidad, será necesario analizar cuidadosamente:

Si es compatible con la inicial.

Si existe una nueva base jurídica.

Si es preciso informar nuevamente a los interesados.

Si procede obtener su consentimiento.

La importancia del principio de transparencia

Otro aspecto especialmente relevante de esta resolución es la importancia que adquiere el principio de transparencia. La AEPD recuerda que no es suficiente incluir referencias genéricas en una política de privacidad extensa o difícilmente comprensible, la información debe ser:

Clara
Accesible
Comprensible
Específica respecto de las finalidades reales del tratamiento.

Las organizaciones deben asumir que la transparencia constituye uno de los pilares fundamentales del RGPD y una de las cuestiones más vigiladas por las autoridades de control.

¿Cómo evitar sanciones similares?

Aunque el caso afecta a una gran multinacional, las lecciones son perfectamente aplicables a cualquier empresa o profesional.

Revisar las bases jurídicas. Cada tratamiento de datos debe tener una legitimación clara y documentada. No es válido asumir que una finalidad nueva queda cubierta por el tratamiento inicial.

Respetar el principio de limitación de la finalidad. Antes de reutilizar datos personales para nuevos proyectos, debe realizarse un análisis jurídico previo que determine si el nuevo uso resulta compatible con el original.

Cumplir el deber de información. Las políticas de privacidad deben mantenerse actualizadas e informar adecuadamente de todas las finalidades del tratamiento.

Aplicar el principio de responsabilidad proactiva. El RGPD exige poder demostrar el cumplimiento normativo. Esto implica mantener documentación, registros y procedimientos internos adecuados.

Una resolución que marcará el criterio de la AEPD

La sanción impuesta a Amadeus demuestra que la AEPD está incrementando significativamente el nivel de exigencia en materia de cumplimiento del RGPD. No se trata únicamente de sancionar brechas de seguridad o errores técnicos, sino también decisiones estratégicas relacionadas con el modelo de negocio y la reutilización de datos personales.
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios
Portada | Hemeroteca | Índice temático | Sitemap News | Búsquedas | [ RSS - XML ] | Política de privacidad y cookies | Aviso Legal
Guadanews S.L.
C.P: 19001 - Calle Francisco Cuesta Numero 9
España / Guadalajara Contacto
Cibeles.net, Soluciones Web, Gestor de Contenidos, Especializados en medios de comunicación.EditMaker 7.8