Pilot-ul a durat 3 luni. Amenda — 14,4 milioane EUR.
Nu a fost un atac cibernetic. Nu a fost o scurgere de date. Nu a spart nimeni nimic. A fost un test intern, condus de o companie pe care milioane de călători nici măcar nu știu că le procesează rezervările.
Și exact asta ar trebui să ne dea de gândit. Pentru că greșeala pe care a făcut-o Amadeus nu e una de securitate. E una pe care o face, sub o formă sau alta, jumătate din industria de travel — fără să-și dea seama.
Ce s-a întâmplat
Autoritatea spaniolă de protecție a datelor (AEPD) a amendat Amadeus IT Group cu 14,4 milioane EUR. Suma inițială era de 18 milioane, redusă după o plată voluntară, fără ca firma să-și recunoască vina. Investigația a pornit de la o plângere anonimă din 2023, iar Amadeus a anunțat că va contesta decizia în instanță, considerând-o disproporționată.
Ce a făcut, concret, Amadeus: a luat date de rezervare din propriul GDS — inclusiv înregistrări PNR arhivate din 2019 — le-a combinat cu date de clienți de la lanțuri hoteliere și a construit profiluri de călători pe baza istoricului lor de rezervări. Scopul declarat: testarea unui produs de personalizare.
Amenda acoperă două încălcări separate: lipsa informării persoanelor vizate (Articolul 14) și procesarea fără o bază legală validă (Articolul 6).
Detaliul care contează cel mai mult: datele veneau din 2019 și au fost folosite ani mai târziu, pentru un scop la care nimeni nu consimțise atunci când și-a făcut rezervarea.
De ce contează — și de ce nu e doar problema Amadeus
Aici nu vorbim despre securitate în sensul clasic. Datele erau, foarte probabil, perfect securizate. Problema e mai subtilă și, tocmai de aceea, mai periculoasă: scopul.
GDPR are un principiu numit purpose limitation — limitarea scopului. Datele colectate pentru a finaliza o rezervare nu devin automat disponibile pentru orice altceva ți-ar trece prin minte ulterior. Un PNR e colectat ca să ducă pasagerul din punctul A în punctul B. Nu ca să-i construiască un profil comportamental peste trei ani.
Aici e capcana în care cade o mare parte din industria de travel: tratăm datele de booking ca pe un activ care ne aparține și pe care îl putem reutiliza cum vrem. Nu e așa. Fiecare scop nou are nevoie de propria bază legală și de propria informare a persoanei vizate. „Avem deja datele" nu e o justificare. „Le-am colectat legal acum trei ani" nu acoperă ce faci cu ele azi.
Și nu contează că pilotul a durat doar 3 luni. Nu contează că era „doar un test". GDPR nu are o excepție pentru experimente interne. Dacă procesezi date personale fără bază legală, durata nu te salvează — riscul există din prima zi.
Ce ar trebui să verifice oricine atinge date PNR
Cazul ăsta nu e despre Amadeus. E despre fiecare TMC, agenție și vendor care lucrează cu date de booking. Trei întrebări pe care merită să ți le pui înainte de orice proiect care atinge astfel de date:
- Pentru ce scop am colectat inițial datele astea — și ce vreau să fac acum cu ele e același scop, sau unul nou? Dacă e nou, am o bază legală separată pentru el?
- Persoanele vizate știu că datele lor pot fi folosite așa? Dacă nu există o notificare clară, lipsa ei e ea însăși o încălcare — independent de orice altceva.
- Folosesc date arhivate, colectate pentru altceva, cu mult timp în urmă? Dacă da, cu atât mai mult am nevoie de o justificare solidă, nu de presupunerea că „erau oricum acolo".
Niciuna dintre întrebările astea nu se rezolvă cu un tool. Se rezolvă cu cineva care se oprește înainte de start și pune întrebarea incomodă.
Cine duce, de fapt, greutatea
În orice organizație, verificarea asta cade pe un set restrâns de oameni — cei care înțeleg și tehnologia, și regulamentul, și care își pun numele pe decizie. Sunt aceiași oameni care, sub presiunea de „hai să livrăm repede produsul", trebuie să fie cei care spun „stai puțin, pe ce bază legală?".
E o muncă invizibilă și ingrată. Nu apare în niciun raport de productivitate. Dar 14,4 milioane EUR arată exact cât costă atunci când nu o face nimeni.
Întrebarea pentru orice companie care lucrează cu date de călători nu e dacă avem datele. E de ce avem voie să le folosim așa — și cine, în organizația ta, are autoritatea și curajul să răspundă onest la întrebarea asta înainte să fie prea târziu.