La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción récord de 18 millones de euros a Amadeus IT Group, la compañía tecnológica líder en soluciones para aerolíneas, hoteles y trenes, por recopilar de forma indebida datos personales de millones de viajeros para la elaboración de perfiles destinados a un proyecto piloto comercial.
Según la resolución de la AEPD, Amadeus habría tratado los datos de los interesados —identificadores de reserva, rutas, preferencias de viaje y otros datos de perfil— sin contar con el consentimiento lawfully requerido, vulnerando el artículo 6 del Reglamento General de Protección de Datos (RGPD).
La compañía ya ha anunciado que impugnará la sanción al considerar que la cuantificación es desproporcionada. No obstante, la resolución de la AEPD es firme en vía administrativa salvo recurso ante la Audiencia Nacional.
Relevancia práctica. Esta sanción subraya la atención que la AEPD presta al tratamiento masivo de datos personales en el sector turístico y tecnológico. Las empresas que manejan perfiles de viajeros o datos de cliente deben revisar sus bases de legitimación, especialmente cuando se utilizan datos para finalidad distintas de la estrictamente contractual o se comparten con terceros para perfiles comerciales.
Fuente: AEPD, Confilegal (31/05/2026), Legal Today (31/05/2026).