El procedimiento se inició tras una denuncia anónima sobre el posible uso indebido de datos y elaboración de perfiles de viajeros.
El proyecto, que era un piloto que nunca se llegó a poner en marcha, trataba de una investigación llevada a cabo por la organización entre marzo y junio de 2022. En este proyecto, la empresa utilizó datos personales de los Registros de Nombres de Pasajeros (PNR), provenientes de su Sistema de Distribución Global (GDS) para probar un nuevo producto en colaboración con cadenas hoteleras.
La empresa utilizó datos personales de reservas de viajes hasta tres años después de que los viajeros las hubieran realizado. La AEPD consideró que se trataba de un tratamiento para un fin distinto de aquel para el que se recogieron los datos inicialmente.
Dado que la empresa opera en un modelo B2B (proveedor tecnológico para aerolíneas, hoteles y agencias) y no tiene relación directa con los viajeros finales, la AEPD concluyó que no existía una "expectativa razonable" por parte de las personas titulares de los datos para que una empresa tecnológica de terceros utilizara sus datos años después para desarrollar y probar un nuevo producto comercial.
La AEPD ha sancionado a la empresa por la vulneración de dos artículos fundamentales del Reglamento General de Protección de Datos (RGPD):
- Infracción del Artículo 14 del RGPD (Falta de transparencia e información): La organización no proporcionó a los interesados (los viajeros) la información exigida sobre el tratamiento ulterior de sus datos para el piloto. La AEPD determinó que una mención genérica en su política de privacidad web sobre el uso de datos para "desarrollar nuevos productos" era insuficiente, privando a millones de usuarios de su capacidad para controlar sus datos u oponerse al tratamiento. Sanción: 9.000.000 de euros.
- Infracción del Artículo 6 del RGPD (Falta de licitud del tratamiento): La empresa trató los datos basándose en el "interés legítimo". Sin embargo, la AEPD dictaminó que esta base jurídica no era válida porque los intereses de la empresa no prevalecían sobre los derechos de los interesados, quienes carecían de conocimiento explícito y de la expectativa de este tratamiento. Al no existir tampoco un consentimiento específico por parte de los viajeros, el tratamiento carecía de base legal. Sanción: 9.000.000 de euros.
Las lecciones desde el punto de vista de la privacidad y protección de datos en este caso son varias:
1. El Interés Legítimo no es un "cheque en blanco"
La empresa intentó amparar el uso de los datos de los viajeros para su piloto comercial basándose en el "interés legítimo". Y la AEPD ha sido tajante al decir que para que esta base jurídica sea válida, es indispensable que exista una "expectativa razonable" por parte del interesado. Un viajero que reserva un hotel o un vuelo no espera que una empresa proveedora de tecnología B2B (a la que muchas veces ni conoce), utilice su historial de viajes años después para desarrollar nuevos productos.
Como dato curioso que menciona la resolución, en una presentación interna de la propia empresa realizada para la "semana de la privacidad", ya se advertía internamente que el interés legítimo no era la base jurídica adecuada para este proyecto.
2. Las políticas de privacidad "genéricas" no amparan el tratamiento ulterior
La empresa argumentó que en su política de privacidad web ya informaba de que los datos podían usarse para "desarrollar nuevos productos".
La AEPD dictaminó que una cláusula genérica escondida en una web no sirve para justificar un tratamiento ulterior (usar los datos para un fin distinto al inicial). La norma exige que, si vas a dar un nuevo uso a los datos, debes informar al usuario de manera transparente y antes de iniciar el nuevo tratamiento.
Ofrecer un mecanismo de oposición (opt-out) es completamente inútil si el usuario ni siquiera sabe que se están usando sus datos.
3. El test de compatibilidad (Art. 6.4 RGPD) es ineludible
Recopilar datos lícitamente para gestionar una reserva no te autoriza a usarlos libremente en el futuro. Cuando el tratamiento para un nuevo fin no se basa en el consentimiento del usuario, el Responsable está obligado a realizar una prueba estricta para determinar si el nuevo uso es "compatible" con el fin original.
En este expediente, no consta que la empresa documentara ni realizara este análisis de compatibilidad antes de usar los datos en su proyecto piloto.
4. Revivir datos históricos: el peligro de los plazos de conservación
Para este proyecto piloto llevado a cabo en 2022, la empresa utilizó Registros de Nombres de Pasajeros (PNR) inactivos que databan del año 2019.
La normativa europea de sistemas de reservas (Reglamento CE 80/2009) establece que los datos deben almacenarse offline a las 72 horas y destruirse en un plazo máximo de tres años, permitiéndose su acceso únicamente para resolver controversias de facturación.
Utilizar bases de datos "archivadas" para hacer pruebas de negocio supone una vulneración directa del principio de limitación del plazo de conservación.
5. Una Evaluación de Impacto (EIPD) no sirve si se aleja de la realidad
La empresa llegó a realizar una EIPD del proyecto piloto como intento de blindaje. En ella, justificaban el uso de datos apoyándose en encuestas que decían que los consumidores "ceden datos a marcas en las que confían".
La AEPD ha desmontado este argumento teórico explicando que la confianza que un viajero deposita en su agencia de viajes o aerolínea no se transfiere automáticamente a un proveedor tecnológico de backend cuya existencia el usuario desconoce por completo.
La gran conclusión de esta resolución de la AEPD contra esta empresa es que la innovación tecnológica (como la creación de perfiles cruzados o plataformas de análisis predictivo) no puede construirse ignorando la transparencia y la expectativa del usuario final. Algo que cobra, en actualidad, mucha más importancia, si cabe, con los agentes de IA, entre otras tecnologías.
Asimismo, operar en un entorno B2B como fue este el caso (y no ante usuario final o consumidor), no ha eximido del cumplimiento frente a las personas interesadas cuyos datos sustentan el negocio. Reutilizar datos históricos requiere, invariablemente, bases legales sólidas, información clara y específica, y un respeto escrupuloso por las finalidades para las que esos datos fueron recogidos originalmente.
La resolución completa puede revisarse en este enlace.
Redactado por Elena, a fecha 28 de mayo de 2026.