Protección de Datos impone una multa récord de 10M a Aena por sus sistemas de reconocimiento facial
La Agencia Española de Protección de Datos iguala su sanción más elevada con el operador español por desplegar sistemas de reconocimiento facial sin contar con una evaluación de impacto que cumpliera las exigencias legales
Histórica sanción de la Agencia Española de Protección de Datos. La institución presidida por Lorenzo Cotino impone a Aena una multa superior a diez millones de euros, cantidad similar a la impuesta a Google en 2022, por haber implantado sistemas de identificación biométrica en ocho aeropuertos sin una Evaluación de Impacto en Protección de Datos (EIPD) acorde con el Reglamento General de Protección de Datos.
Desde el gestor aeroportuario ya ha anunciado que recurrirá esta decisión ante los tribunales, señalando que "discrepa respetuosamente de la sanción impuesta, tanto por motivos de fondo como de forma, así como por entender que no es acorde con el principio de proporcionalidad". Defiende que ha cumplido con todos los requerimientos normativos aplicables y garantiza que no se ha producido ninguna brecha de seguridad.
El documento, consultado por El Confidencial, cuenta con más de 90 páginas y concluye que el gestor aeroportuario llevó a cabo un tratamiento de datos biométricos de alto riesgo sin justificarlo adecuadamente y sin cumplir con las obligaciones exigidas antes de ponerlo en marcha.
El sistema permitía acceder a filtros de seguridad, puertas de embarque y puntos de self bag drop mediante identificación facial, como alternativa al método tradicional. La AEPD señala que "Aena ya en su carta de 23 de enero de 2020 reconocía que los proyectos de biometría implicaban un tratamiento de alto riesgo" y que el tratamiento requería una evaluación de Impacto en Protección de Datos (EIPD previa). También consta que Aena consultó a la AEPD en dos ocasiones durante los pilotos, sin corregir los incumplimientos detectados.
El documento identifica como uno de los elementos centrales que la EIPD previa al inicio del tratamiento en Menorca de marzo de 2019 no contenía un "análisis de riesgos ni un análisis de necesidad, idoneidad y proporcionalidad". Protección de Datos detalla que la evaluación aportada posteriormente tampoco cumplía con los requisitos exigibles. Según la resolución, el análisis de riesgos aportado por Aena "no cumple con los requisitos esenciales de un análisis de riesgos adecuado al tratamiento" y "no contiene la evaluación del nivel global del riesgo".
El texto también recoge que el sistema implantado utilizaba identificación uno-a-varios (1:N), considerada especialmente sensible. La resolución recuerda que "la identificación (1:N) suele presentar mayores riesgos para los derechos y libertades fundamentales, en especial por su carácter invasivo".
AENA recurrirá esta decisión ante los tribunales, señalando que "discrepa respetuosamente de la sanción impuesta
Sobre esta cuestión, Aena insiste en que "no ha habido ninguna filtración de datos de los usuarios" y que "la custodia de estos datos no ha estado en riesgo en ningún momento". Recuerda, además, que "los titulares de los datos prestaron voluntariamente su consentimiento informado al tratamiento necesario para disfrutar del acceso biométrico", un sistema que instaló para agilizar el paso de los pasajeros por los procesos de documentación.
El documento sostiene que el sistema de la compañía participada en un 51% por el Estado encaja en el escenario descrito por el Dictamen 11/2024 del Comité Europeo de Protección de Datos sobre tecnologías biométricas en aeropuertos, un supuesto en el que “el tratamiento no puede cumplir los principios de necesidad y proporcionalidad”.
El documento también refleja que el sistema trataba y almacenaba más información que los métodos tradicionales. AEPD indica que Aena estaba “tratando y almacenando muchos más datos personales que los que precisan los métodos tradicionales de comprobación visual humana” y que ello incluía “los contenidos en los documentos de identificación y tarjetas de embarque”.
El documento también refleja que el sistema trataba y almacenaba más información que los métodos tradicionales
Además de la multa, la resolución confirma la suspensión temporal del sistema de reconocimiento facial. Según el texto, se mantiene “la suspensión temporal de todo tratamiento de datos biométricos y en especial de los referidos al sistema de identificación por reconocimiento facial hasta que Aena lleve a cabo una EIPD en los términos recogidos en el artículo 35 del RGPD”.
La AEPD precisa que la medida no impide el uso del sistema tradicional de verificación documental, que siguió operativo. La resolución será publicada en el Boletín Oficial del Estado al superar el millón de euros y se abre ahora el plazo para el recurso administrativo que ya ha anunciado la compañía. El documento también deja constancia de que el proyecto quedó paralizado por Aena en junio de 2024, con bloqueo y supresión de datos en los términos comunicados por la entidad.
Histórica sanción de la Agencia Española de Protección de Datos. La institución presidida por Lorenzo Cotino impone a Aena una multa superior a diez millones de euros, cantidad similar a la impuesta a Google en 2022, por haber implantado sistemas de identificación biométrica en ocho aeropuertos sin una Evaluación de Impacto en Protección de Datos (EIPD) acorde con el Reglamento General de Protección de Datos.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd0%2F12f%2F844%2Ffd012f84475aebfbe7d6839ec7ed26eb.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc3c%2F82f%2F2e2%2Fc3c82f2e25a5d96cdadb285e0510163c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3af%2F65a%2Fb42%2F3af65ab42f41bde17013f30e7101e22a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fff1%2Ff1b%2Feb3%2Fff1f1beb3f4190cf45744fd961542594.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F88b%2F22e%2F899%2F88b22e8997cdc185fc7221c988a65669.jpg)