NEWS

 
  • Home
  • Informazione
  • Flash News
  • Codici PNR usati per profilare i viaggiatori: Amadeus IT Group paga una sanzione da 14,4 milioni per violazione del GDPR

Codici PNR usati per profilare i viaggiatori: Amadeus IT Group paga una sanzione da 14,4 milioni per violazione del GDPR

L'Autorità spagnola per la protezione dei dati personali (AEPD) ha inflitto ad Amadeus IT Group una sanzione complessiva pari a 18 milioni di euro per violazioni del GDPR, ridotta a 14,4 milioni di euro a seguito del pagamento volontario e della rinuncia all'impugnazione da parte della società.

Il provvedimento, adottato nell'ambito del procedimento PS/00005/2025, trae origine da una segnalazione presentata nel 2023, che riguardava i trattamenti di dati personali effettuati dal gruppo Amadeus, uno dei principali fornitori mondiali di soluzioni tecnologiche per il settore dei viaggi e del turismo.

Al centro dell'istruttoria vi è l'utilizzo illecito di dati personali relativi ai passeggeri acquisiti attraverso i sistemi di prenotazione gestiti dalla società. Secondo l'autorità spagnola, alcune operazioni di analisi e valorizzazione dei dati sarebbero state effettuate in assenza di un'idonea base giuridica e senza che gli interessati ricevessero informazioni adeguate sulle ulteriori finalità perseguite.

Le lamentele riguardavano infatti l’uso improprio dei dati dei passeggeri per la creazione di profili commerciali e analisi statistiche senza consenso nell’ambito di un progetto pilota svolto in collaborazione con una compagnia aerea. Amadeus IT Group non raccoglieva i dati personali direttamente dai viaggiatori, ma li otteneva dai canali a cui fornisce servizi, e al riguardo la società tecnologica ha riconosciuto di aver effettivamente utilizzato i dati dei record PNR (Passenger Name Record) fin dal 2019 per effettuare l’attività di profilazione avanzata fino al 2022, violando il Regolamento CE n. 80/2009, che richiede la distruzione di questi dati entro un periodo massimo di tre anni, limitandone l’accesso solo alla risoluzione delle controversie di fatturazione.

L'AEPD ha così contestato la violazione dell'articolo 6 del GDPR, che disciplina le condizioni di liceità del trattamento. Amadeus sosteneva di avere fondato i trattamenti di dati sul proprio legittimo interesse, senza tuttavia dimostrare in modo sufficiente il rispetto dei requisiti richiesti dalla normativa europea. Secondo il garante spagnolo, non sarebbe stato adeguatamente comprovato il necessario bilanciamento tra gli interessi economici perseguiti dalla società e i diritti e le libertà fondamentali degli interessati, né che tali trattamenti rientrassero nelle ragionevoli aspettative dei passeggeri. Per tale violazione è stata applicata una sanzione di 9 milioni di euro.

Ulteriori 9 milioni di euro sono stati invece irrogati per la violazione dell'articolo 14 del GDPR, relativo agli obblighi di informazione nei casi in cui i dati personali non siano raccolti direttamente presso l'interessato. Secondo l'AEPD, i soggetti coinvolti non sarebbero stati informati in maniera adeguata in merito all'utilizzo dei propri dati per finalità ulteriori rispetto a quelle originariamente connesse alla gestione delle prenotazioni.

La decisione assume particolare rilievo per tutte le organizzazioni che operano in contesti caratterizzati da elevati volumi di dati e da filiere articolate di trattamenti di dati personali. Il provvedimento conferma, infatti, il crescente livello di attenzione delle autorità europee nei confronti dell'impiego del legittimo interesse quale base giuridica per attività di analisi, profilazione e sviluppo di nuovi servizi basati sui dati.

L'invocazione del legittimo interesse richiede una valutazione preventiva e documentata, che tenga conto della necessità del trattamento, della sua proporzionalità e dell'impatto sui diritti degli interessati. Non appare sufficiente, in altri termini, richiamare genericamente esigenze organizzative o finalità di business senza dimostrare l'effettiva prevalenza degli interessi perseguiti rispetto alle aspettative e alle tutele riconosciute agli individui.

Parimenti, il provvedimento richiama l'attenzione sull'importanza degli obblighi di trasparenza previsti dal GDPR. Nei casi in cui i dati personali siano ottenuti indirettamente attraverso partner commerciali o altri soggetti della filiera, il titolare è tenuto a fornire agli interessati informazioni complete e comprensibili circa le finalità del trattamento, le basi giuridiche utilizzate e i diritti esercitabili.

Fonte: Agencia Española de Protección de Datos 

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Privacy, legalità e sicurezza: quali percorsi per il futuro dell'Italia? Convegno a Cosenza il 26 giugno

Galleria Video

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza