La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa superior a los diez millones de euros a la autoridad aeroportuaria española, Aena, por implementar sistemas de reconocimiento facial sin haber realizado previamente una evaluación de impacto válida que examinara, entre otros aspectos, la necesidad, idoneidad y proporcionalidad de la medida. La sanción asciende a un total de 10.043.002 euros por infringir el Artículo 35 del Reglamento General de Protección de Datos (RGPD).
En una resolución a la que ha tenido acceso EFE, el organismo también confirma la suspensión temporal de todo tratamiento de datos biométricos. En concreto, añade el texto, esto afecta al sistema de identificación mediante reconocimiento facial empleado para controlar el acceso de pasajeros a ciertas áreas de los aeropuertos gestionados por Aena, hasta que dicho operador lleve a cabo una evaluación de impacto en la protección de datos conforme a los términos estipulados en el RGPD.
De acuerdo con el citado artículo, cuando un tipo de tratamiento, especialmente si emplea nuevas tecnologías (…), pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento —en este caso, Aena— debe efectuar, con anterioridad al mismo, una evaluación del impacto de las operaciones en la protección de los datos personales.
Dicha evaluación debe incluir, como mínimo, una serie de aspectos, entre los que se encuentran una descripción sistemática de las operaciones de tratamiento previstas y de los fines de las mismas, incluyendo, en su caso, el interés legítimo perseguido por el responsable. Además de una descripción de la necesidad y proporcionalidad de la medida, la evaluación debe incorporar las medidas previstas para afrontar los riesgos, incluyendo garantías, medidas de seguridad y mecanismos para asegurar la protección de los datos personales.
Esta decisión de la Agencia, adelantada por El Confidencial y confirmada por EFE, es recurrible; Aena ya ha anunciado que impugnará la sanción en los tribunales. En un comunicado difundido este martes, el operador aeroportuario español manifestó que considera que la resolución no se ajusta al principio de proporcionalidad. La sanción se fundamenta en el presunto incumplimiento de una obligación formal, ya que la AEPD estima que Aena no cumplió debidamente con su obligación de realizar una evaluación de impacto en la protección de datos que satisficiera los requisitos establecidos por la normativa, con anterioridad al inicio de los programas en los que se habilitó el acceso biométrico para los pasajeros que lo solicitaron.
Habiendo llevado a cabo dichas evaluaciones antes del comienzo de los programas, Aena ‘discrepa respetuosamente’ del criterio de la AEPD que considera que las evaluaciones realizadas no se ajustaron adecuadamente a los requisitos reglamentarios aplicables. Aena garantiza que no se ha producido ninguna brecha de seguridad y que, por lo tanto, no ha habido filtración de datos de los usuarios de los distintos programas de embarque biométrico desplegados en los aeropuertos de la red española, ni de tercero alguno.
Añadió que los afectados ‘prestaron su consentimiento informado de manera voluntaria para el tratamiento necesario para disfrutar del acceso biométrico’. Aena explicó que puso en marcha el embarque biométrico, junto con las aerolíneas participantes en el programa, con el fin de ofrecer a los pasajeros una mejor experiencia en los aeropuertos agilizando los trámites de documentación.
El operador aeroportuario ‘seguirá trabajando en esta línea para reanudar el programa lo antes posible’. La elevada cuantía de la multa es similar a otras impuestas anteriormente por la AEPD. En 2022, anunció una sanción de 10 millones de euros a Google LLC por vulnerar los Artículos 6 y 17 del RGPD, que regulan el derecho al olvido.
La AEPD declaró la existencia de dos infracciones ‘muy graves’ por transferir datos a terceros sin autorización y por obstaculizar el derecho de supresión de los ciudadanos. El año anterior, en 2021, la AEPD impuso varias sanciones a Vodafone España que sumaban más de 8 millones de euros por infringir diversos artículos de la ley española; en su momento, fue la multa más cuantiosa jamás impuesta por este organismo.
La mayoría de las quejas contra Vodafone España alegaban actividades de marketing y prospección comercial mediante llamadas telefónicas y el envío de comunicaciones comerciales por medios electrónicos, incluidos correos electrónicos y mensajes SMS, que la Agencia consideró ilícitas. Estas comunicaciones no habían sido solicitadas ni autorizadas expresamente por las personas que las recibieron. En enero de 2025, la Audiencia Nacional redujo la multa de 8 millones a 4,5 millones de euros.