La DPA espagnole (AEPD) a infligé une amende à Air Europa Lineas Aereas, SA. 600 000 EUR suite à une grave violation de données impliquant un accès non autorisé aux coordonnées et aux comptes bancaires ont été signalés à l'AEPD. Environ 489 000 personnes et 1 500 000 enregistrements ont été touchés. L'AEPD a annoncé avoir infligé une amende de 500 000 EUR au responsable du traitement pour violation de l'art. 32 (1) du RGPD en raison de la non-prise de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adéquat, et 100000 EUR pour une violation de l'art. 33 RGPD pour avoir notifié l'AEPD de la faille de sécurité avec 41 jours de retard. Pour déterminer le montant de l'amende, le fait que l'incident ne se soit pas limité à une zone locale, mais a touché un grand nombre de personnes non seulement en Espagne, mais aussi dans le monde entier, et que des données bancaires et financières sensibles ont été affectées, faisant du tort à plusieurs milliers de personnes personnes, a été pris en compte comme un facteur aggravant.