Multa de 14,4 millones a Amadeus: la lección no es para los gigantes

Catorce millones cuatrocientos mil euros. Esa es la cifra que Amadeus IT Group acabó pagando a la Agencia Española de Protección de Datos, y la primera reacción de cualquier dueño de una pyme al leerla es soltar el aire y pensar que es un problema de los grandes. Un gigante de la tecnología de viajes, un expediente con número de registro, abogados a ambos lados. Nada que ver contigo, que tienes una furgoneta, seis operarios y una hoja de fichaje en la entrada. Y ahí está la trampa, porque lo que tumbó a Amadeus no fue su tamaño, fue una pregunta que tu negocio se hace cada día sin darse cuenta.

La sanción, recogida en la resolución EXP202315175, partió de una multa base de 18 millones, dos tramos de nueve, que se redujo un 20% por pago voluntario hasta quedarse en los 14,4 finales. La empresa pagó sin reconocer culpa, que es la manera elegante de cerrar una herida sin admitir que sangra. Pero el motivo de fondo no admite maquillaje. La AEPD apreció la infracción de dos artículos del Reglamento General de Protección de Datos: el artículo 6, que exige una base jurídica para tratar datos personales, y el artículo 14, que obliga a informar a las personas cuando sus datos se tratan sin habérselos pedido a ellas directamente.

Conviene mirar qué hizo Amadeus, porque en el detalle vive la lección. La compañía puso en marcha un proyecto piloto que cruzaba los datos de reserva de su sistema, los registros PNR, con los ficheros de clientes de cadenas hoteleras, y con ese cruce construía perfiles de viajeros para lo que llamaron venta hiperpersonalizada. El piloto echó mano de reservas de 2019 y las reutilizó en 2022, tres años después de que aquellas personas hubieran reservado un vuelo pensando en otra cosa. Nadie les avisó de que su huella de viaje iba a volver a la mesa para alimentar un modelo comercial. El proyecto, dice Amadeus, nunca se comercializó. Da igual. La AEPD no multa por vender, multa por tratar.

Dos preguntas, y ninguna habla de tamaño

Quita a Amadeus de la foto y quédate con el esqueleto del caso, porque ese esqueleto es el tuyo. La primera pregunta es la del artículo 6: ¿tienes una base jurídica para tratar este dato, para esta finalidad concreta? Tener el dato no es lo mismo que poder usarlo para lo que se te ocurra. Amadeus tenía los PNR legítimamente, los necesitaba para gestionar reservas, y aun así no podía reciclarlos tres años después para perfilar. La finalidad cambió, la base no le acompañó. La segunda pregunta es la del artículo 14: ¿la persona sabe que tratas sus datos? No basta con tener un motivo bueno guardado en un cajón, hay que decirlo, por escrito, de forma clara y antes, no cuando ya saltó la denuncia.

Y aquí es donde el dueño de la furgoneta deja de poder mirar para otro lado. Si geolocalizas a tus operarios, estás tratando datos personales, los suyos, todos los días. El Estatuto de los Trabajadores, en su artículo 20.3, y la propia LOPDGDD en el artículo 90 te dejan usar la geolocalización para controlar el cumplimiento de las obligaciones laborales, pero con dos condiciones que son, mira tú por dónde, las mismas dos preguntas de Amadeus. Una finalidad legítima y proporcionada, y un deber de información expreso al trabajador y, donde lo haya, a la representación legal. La diferencia entre una pyme tranquila y una pyme con un expediente abierto no es el número de empleados, es si esas dos casillas están marcadas.

El problema, en el día a día de una empresa pequeña, casi nunca es la mala fe. Es la improvisación. Se instala una app que rastrea la posición a todas horas porque venía con el paquete, se enciende el seguimiento continuo del furgón aunque solo hiciera falta saber a qué hora empezó y acabó el servicio, y la información al trabajador queda en un “ya se lo dije de palabra el primer día”. Ninguna de esas tres cosas aguanta una inspección. El rastreo permanente cuando bastaba con el principio y el fin no es proporcionado. Y lo dicho de palabra, ante la AEPD, pesa lo mismo que una promesa de campaña.

La salida no es dejar de medir, es medir bien

Lo paradójico es que cumplir y tener prueba del trabajo no son fuerzas opuestas, tiran del mismo lado. Lo que la ley te pide, una finalidad acotada, el dato mínimo y la persona informada, es exactamente lo que necesitas para que un parte sea defendible si un cliente te discute las horas. Un registro que captura la ubicación solo en el instante que importa, la entrada y la salida del servicio, y nada en medio, es a la vez el que respeta la proporcionalidad y el que no se puede rebatir. Recoger menos, en este caso, vale más.

Por eso GeoTapp se desarrolló al revés que el piloto de Amadeus. Nada de seguir al equipo todo el día: la ubicación se toma con un toque al empezar y un toque al terminar, el dato queda atado a esa única finalidad, y el trabajador sabe qué se registra porque la información forma parte del sistema, no de una charla en la puerta. Es la frontera que el negocio de Amadeus cruzó y que la herramienta, a propósito, no cruza.

Si quieres ver con qué texto exacto se informa a un trabajador de la geolocalización, tenemos un modelo práctico para cumplir con la LOPDGDD y evitar sanciones de la AEPD listo para adaptar. La multa de Amadeus es cara como aviso, pero sale barata si te ahorra la tuya.

Así que la pregunta no es cuánto factura el que recibió la multa, es si tú podrías responder hoy esas dos preguntas por escrito. ¿Sabrías demostrar con qué base y con qué aviso geolocalizas a tu equipo?