Sanzione record in Spagna: l’Agencia Española de Protección de Datos (Aedp) ha sanzionato Amadeus It Group per 18 milioni di euro per aver utilizzato dati personali di milioni di viaggiatori in un progetto pilota senza avere basi giuridiche valide e soprattutto senza informare i diretti interessati. Si tratta della più salata multa inflitta fino ad oggi da Aedp.
Secondo quanto riportato dalle testate Preferente.com e El Confidencial, la decisione è basata sulla acclarata violazione di due articoli chiave del Gdpr, il regolamento europeo sulla protezione dei dati.
In particolare, emerge che Amadeus ha utilizzato dati archiviati nel proprio sistema di prenotazione per alimentare un progetto pilota con cui intendeva sviluppare prodotti destinati a compagnie aeree, hotel e agenzie di viaggio. L’idea di base era costruire profili dettagliati dei viaggiatori a partire da voli, destinazioni, frequenza dei viaggi o abitudini di consumo, per poter offrire ricerche “mirate e iper-personalizzate” basate su una “profonda conoscenza del cliente finale”.
La sanzione è stata ripartita in due multe da 9 milioni di euro ciascuna: con la prima si punisce l’assenza di una base giuridica che ne doveva legittimare il trattamento dei dati, mentre la seconda riguarda la mancanza di informazione agli utenti, che non sono mai stati avvisati del fatto che i loro dati potessero essere riutilizzati anni dopo per finalità diverse da quelle della prenotazione originaria.
Durante i test, l’azienda è arrivata a incrociare dati dei clienti degli hotel con registri dei passeggeri per costruire storici completi di viaggio. L’Aepd sottolinea che sono stati utilizzati registri del 2019, un aspetto particolarmente delicato perché la normativa europea limita l’uso di questi dati identificabili oltre un determinato periodo di tempo e ne restringe l’accesso a situazioni molto specifiche.
L’indagine è nata a seguito di una denuncia anonima presentata nel 2023 che segnalava la portata globale del sistema e il possibile impatto su miliardi di registrazioni.
Sebbene Amadeus abbia infine abbandonato il progetto dopo aver individuato internamente rischi per la privacy, l’Agenzia ha ritenuto sanzionabile il semplice sviluppo del sistema.
Ora, se la sanzione verrà confermata, la società tecnologica potrebbe scegliere l’opzione legata al meccanismo del pagamento anticipato e versare subito, in una unica soluzione, 14,4 milioni di euro con una riduzione sostanziale del 20%, pur mantenendo il proprio dissenso rispetto alla decisione dell’autorità.
In un comunicato, l’azienda ha dichiarato di non condividere “con rispetto” l’interpretazione dell’Aepd e ha annunciato che tenterà di impugnare la decisione davanti ai tribunali.

