La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 10.043.002 euros a Aena por desplegar sistemas de reconocimiento facial sin haber realizado previamente una evaluación de impacto en protección de datos conforme exige el Reglamento General de Protección de Datos (RGPD). La agencia ordena además la suspensión temporal del tratamiento de datos biométricos hasta que se cumpla la normativa.
Según la resolución, a la que ha tenido acceso EFE, el operador aeroportuario vulneró el artículo 35 del RGPD al no acreditar una EIPD válida que determinara la necesidad, proporcionalidad y garantías exigibles para un tratamiento especialmente sensible como es la identificación facial de pasajeros. Este sistema se empleaba en zonas de acceso restringido de varios aeropuertos españoles.
El RGPD obliga a que, cuando un tratamiento entrañe alto riesgo para los derechos y libertades de las personas, especialmente con nuevas tecnologías, se evalúen de forma previa los riesgos y se incluyan medidas de seguridad adecuadas. La AEPD entiende que Aena no cumplió debidamente con esta obligación formal.
Aena ya ha anunciado que recurrirá la sanción ante los tribunales al considerar que la agencia ha aplicado criterios “no acordes con el principio de proporcionalidad”. La compañía sostiene que sí realizó evaluaciones de impacto antes del inicio de los programas de embarque biométrico y que “discrepa respetuosamente” de la conclusión de que estas no se ajustaban a los estándares normativos.
El gestor aeroportuario garantiza que no ha existido brecha de seguridad, ni filtraciones de datos, y que los pasajeros participantes prestaron consentimiento informado. Aena defiende que la biometría se aplicó únicamente para agilizar los procesos de embarque y mejorar la experiencia del usuario, y afirma que trabajará para reactivar el sistema “tan pronto como sea posible”.
La cuantía de la multa se sitúa entre las más elevadas impuestas por la AEPD. En 2022, Google fue sancionada con 10 millones por vulnerar derechos recogidos en el RGPD, y en 2021 Vodafone recibió sanciones por más de ocho millones —posteriormente rebajados a 4,5 por la Audiencia Nacional— por prácticas comerciales sin autorización de los usuarios.
