Ha sido una de las multas más elevadas de la AEPD en su historia la recibida por AENA hace unos días. La sanción de 10.043.002 euros a Aeropuertos Españoles y Navegación Aérea (Aena) subraya que la empresa desplegó sistemas de reconocimiento facial en varios aeropuertos españoles sin haber realizado una Evaluación de Impacto en Protección de Datos (EIPD) válida, tal y como exige el Reglamento General de Protección de Datos (RGPD).
Al parecer en la propia gestión de la multa, con anterioridad a la misma, los técnicos de AENA enviaron a la AEPD los borradores de dichas evaluaciones de impacto planteando algunas cuestiones donde ya fue advertida que no eran completas. Con posterioridad, el procedimiento sancionador se inició tras una denuncia y reclamación presentada en 2023 por la Fundación Éticas Data Society, que cuestionó la legalidad del tratamiento de datos biométricos en el proyecto piloto del aeropuerto de Barcelona-El Prat y otros aeropuertos.
El proyecto biométrico permitía a los pasajeros voluntariamente inscribirse en un sistema que capturaba imágenes faciales para acelerar su paso por controles de seguridad, puertas de embarque y puntos de facturación automática.
Desde que hace once meses Lorenzo Cotino asumiera la presidencia de la AEPD en algunas de sus comparecencias ha señalado la necesidad de un cambio normativo y de una ley que regule el uso de la biometría sobre todo de cara a asuntos de interés público y que ampare este tipo de tratamientos. Tal y como está el marco legal en estos momentos no existe un justificación legal para su uso, como pudiera ser en este caso de AENA o en el uso del control de accesos en los estadios de fútbol, donde se ha intentado.
Para la AEPD, el uso de datos biométricos, como los relacionados con el reconocimiento facial, está estrictamente regulado por el RGPD. Este reglamento prohíbe el tratamiento de datos sensibles, salvo en casos excepcionales, como cuando el interesado otorga un consentimiento explícito o cuando el uso de estos datos es necesario por razones de interés público esencial.
En 2022, la AEPD también impuso una multa de 10 millones de euros a Google por una doble infracción: ceder los datos a terceros sin tener legitimación para ello (artículo 6 del RGPD) y obstaculizar el derecho al olvido (artículo 17 del RGPD).
Sobre la biometría, las sanciones han sido múltiples. En este 2025, la (AEPD) sancionaba a LaLiga con una multa de un millón de euros debido al tratamiento de datos personales mediante sistemas de reconocimiento biométrico en los accesos a las gradas de los estadio, con anterioridad, fue la empresa SIDECU (Supera), gestora de varios centros deportivos en toda España, sancionada con 96.000 euros por instalar un sistema de reconocimiento facial para controlar el acceso de los usuarios a sus instalaciones.
Ya en julio del 2021 Mercadona fue sancionada con 2,5 millones de euros por impulsar un proyecto piloto en 40 sus tiendas de detección de personas con sentencias firmes y órdenes de alejamiento en vigor contra la empresa o contra alguno de sus trabajadores estuvo vigente entre junio de 2020 y mayo de 2021. en julio del 2021 sigue siendo protagonista y generando rechazo para el regulador.
La AEPD ha insistido en que cualquier sistema que implique el uso de datos biométricos debe superar una evaluación de impacto que cumpla con el triple criterio de idoneidad, necesidad y proporcionalidad. Este estándar no solo está establecido en el RGPD, sino que también ha sido respaldado por la doctrina del Tribunal Constitucional, explica José Leandro Núñez, socio de Audens y secretario general de ENATIC.
A su juicio, esta resolución lanza dos mensajes claves “el primero que el uso masivo de la biometría no está respaldado por ninguna ley específica lo que se traduce luego en sanciones, pese a que como en este caso al parecer los pasajeros dieron el consentimiento. Es un aviso a navegantes. Desde la AEPD, en temas de interés público como en este caso, se reclama una norma que regule el uso de la biometría, que fije criterios y que diga con claridad que medidas se establecen, cómo se hacen los controles para proteger los derechos de las personas. Estos argumentos los hizo públicos este regulador, por ejemplo, en un informe que publicó este verano sobre el uso de la biometría y la guardia civil”.
En su opinión, la sanción es coherente con esos argumentos “junto con la biometría , el segundo elemento a valorar es el papel de las evaluaciones de impacto o PIAS. Lo que viene a decir la AEPD es que, cuando se hace una de ellas sobre un tratamiento de datos que tiene potencialmente un riesgo elevado, como éste, hay que hacerla de forma objetiva y no predirigida a validar dicho tratamiento: debe realizarse un examen crítico profundo, evaluando si el tratamiento se puede realizar o no. En este caso parece que AENA no lo hizo bien, porque el documento buscaba justificar el uso de este tratamiento, y no cuestionarse si era desproporcionado o no implementarlo”.
En las resolución que va a recurrir AENA a los tribunales, el operador aeroportuario cree que no es proporcional la sanción ni ésta un brecha de seguridad, al contar con la voluntariedad de los pasajeros para hacer ese reconocimiento facial. Sn embargo en la propia resolución se indica que esta entidad vulneró obligaciones formales clave:
“La empresa no justificó adecuadamente la necesidad, idoneidad y proporcionalidad del uso de datos biométricos con dichas evaluaciones de impacto. Tampoco descartó alternativas menos invasivas para el acceso de pasajeros” Además, la AEPD ordenó suspender temporalmente todo tratamiento de datos biométricos vinculado a ese sistema, especialmente el reconocimiento facial. La suspensión se mantendrá hasta que Aena presente una evaluación de impacto ajustada a la normativa”.
Infringe el artículo 35 del RGPD
El sistema controvertido se había desplegado, al menos en fase piloto, en varios aeropuertos gestionados por Aena, con el objetivo declarado de agilizar los procesos de embarque y control de acceso de viajeros. “La sanción supone una infracción del artículo 35 del RGPD, que explica cómo hacer este tipo de evaluaciones de impacto. En la resolución se indica que las realizadas por AENA no tienen el contenido mínimo exigible. Por ejemplo, la AEPD les afea haber utilizado el modelo simplificado para pymes que está en su web, cuando estamos hablando de una gran empresa y de un tratamiento masivo de alto riesgo”, indica este experto en protección de datos.
En esa justificación que AENA hace de lo hecho con este uso de la biometría también señalan que no produjo ninguna brecha de seguridad “la multa no es porque haya habido un filtración de datos, sino porque no se ha hecho una evaluación de impacto correctamente. A los efectos de la multa, no es un hecho relevante. En el caso que se hubiera producido dicha brecha es posible que la multa hubiera sido mayor. Eso habría demostrado que las medidas que se implementaron fueron insuficientes, y daría lugar una infracción distinta, relacionada con unas medidas de protección de datos inadecuadas. Es un argumento que a nivel de comunicación tranquiliza a los usuarios de AENA, pero que jurídicamente no tiene peso”, añade.
A juicio de este jurista, llama la atención que un programa piloto de esta envergadura y elevado riesgo se hiciera en dos aeropuertos como son Barajas en Madrid y el Prat en Barcelona, junto con el de Menorca. “Es una iniciativa que ha manejado muchos datos personales de miles de pasajeros según la AEPD de forma irregular, lo que justifica la multa elevada a AENA. Tener el consentimiento de los afectados no exime a la empresa de cumplir con el resto de obligaciones en materia de protección de datos. Estas multas suelen ser por un porcentaje de la facturación de cada empresa. Para un pyme la cuantía hubiera sido más reducida”.
José Leandro Núñez, recuerda que el Comité Europeo de Protección de Datos, del que forman parte todos los reguladores nacionales incluido la AEPD, antes denominado Grupo del Articulo 29 ya en el 2014 sacó un documento advirtiendo del riesgo de este tipo de cuestiones, donde curiosamente ponía como ejemplo el control aeroportuario. Diez años después publicó otro informe donde explicaba que el tipo de controles realizado por AENA no puede basarse en el consentimiento de los pasajeros. En mi opinión, al ser el documento posterior a los hechos sancionados, la AEPD ha optado por basar su sanción en la ausencia de una Evaluación de Impacto adecuada para esa sanción a AENA”.
Fuente: lawandtrends.com