Una familia se dirige por la terminal de un aeropuerto español antes de embarcar.
Crédito: Facebook – AENA
El operador aeroportuario español, Aena, se halla en el ojo del huracán de una importante polémica sobre privacidad tras ser sancionado con una multa de 10 millones de euros por el modo en que implementó su sistema de embarque por reconocimiento facial. La sanción, impuesta por la Agencia Española de Protección de Datos (AEPD), figura entre las más cuantiosas jamás emitidas por este organismo –y Aena no está ni mucho menos conforme.
El programa en cuestión permite a los pasajeros embarcar con solo mirar a una cámara. Sin pasaporte. Sin tarjeta de embarque. Solo un escaneo facial. Se ha probado en varios aeropuertos de España, y para muchos viajeros supuso vislumbrar el futuro. No obstante, la AEPD sostiene que ese futuro se puso en marcha sin haber realizado los deberes legales pertinentes.
Por qué intervino el organismo regulador
Según la AEPD, Aena lanzó su sistema de embarque biométrico sin completar previamente una Evaluación de Impacto en la Protección de Datos adecuada –un trámite obligatorio cuando una empresa planea tratar información sensible, como los patrones faciales.
Lo Más Leído en Euro Weekly News
El regulador alega que:
- la evaluación no se realizó correctamente,
- los riesgos no se evaluaron en profundidad, y
- el programa utilizaba datos biométricos a pesar de existir alternativas menos intrusivas para el mismo fin.
En términos sencillos: puede que la tecnología sea conveniente, pero la AEPD considera que no estaba justificada, no estaba debidamente documentada y no estaba respaldada por una evaluación de riesgos totalmente conforme a la ley.
Aena replica: “No estamos de acuerdo con esta sanción”
Aena reaccionó con celeridad y firmeza.
En un comunicado, el operador aeroportuario manifestó su “disconformidad respetuosa” con la sanción, tanto en la forma en que la AEPD llegó a su conclusión como en la cuantía de la pena. La compañía afirma que se llevaron a cabo las evaluaciones de impacto requeridas e insiste en que cumplieron con la normativa.
Aena también subrayó algo que muchos viajeros agradecerán oír: no se ha producido ninguna filtración, brecha de seguridad ni acceso no autorizado a los datos de los pasajeros que se apuntaron al sistema de reconocimiento facial.
«La custodia de estos datos nunca ha estado en riesgo», aseguró la empresa, añadiendo que todos los participantes prestaron su consentimiento informado y voluntario, exactamente como exige la ley.
Entonces, ¿qué hacía el sistema de reconocimiento facial?
El sistema biométrico empleado por Aena escaneaba el rostro del pasajero y lo cotejaba con otros datos personales almacenados para el proceso de embarque. La idea consistía en:
- evitar las colas en los controles de documentos,
- agilizar el embarque, y
- incrementar la seguridad.
Pero, dado que los patrones faciales se clasifican como datos de categoría especial, están estrictamente regulados. La AEPD concluyó que la configuración de Aena no cumplía con los principios de necesidad y proporcionalidad, y que su análisis de riesgos y seguridad no fue lo suficientemente exhaustivo.
De nuevo, la AEPD no afirma que el sistema fuera inseguro, sino que los fundamentos legales y técnicos no eran lo bastante sólidos para justificar el uso de datos biométricos.
¿Qué sucede ahora?
Aena recurrirá la multa, por lo que este caso dista mucho de haber concluido. Por el momento, el programa biométrico no se interrumpe –los viajeros que optaron por utilizarlo pueden seguir haciéndolo.
Mas esta resolución envía un mensaje claro a todos los operadores aeroportuarios y empresas privadas que experimentan con tecnología biométrica en España:
la conveniencia no basta –la verificación legal debe ser infalible.
Y con aeropuertos de toda Europa probando de todo, desde el reconocimiento facial hasta las identidades digitales, esta decisión podría sentar un importante precedente.
Permanezca atento a Euro Weekly News para obtener más noticias de España.