La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución en la que sanciona a AENA por llevar a cabo una prueba piloto, en algunos aeropuertos españoles, para la realización del embarque a través de identificación biométrica sin la realización de una correcta evaluación de impacto relativa a la protección de datos (EIPD). Este proyecto supone un tratamiento de datos biométricos consistente en validar la identidad de los viajeros, que así lo habían consentido expresamente, mediante la comparación de su imagen, con sus documentos identificativos y su tarjeta de embarque.
En realidad, AENA había realizado una EIPD, dado que la tecnología utilizada conlleva el tratamiento de datos biométricos y, por ende, el riesgo del tratamiento es alto. De hecho,AENA solicitó a la AEPD asesoramiento sobre su EIPD en dos ocasiones, en 2021 y 2023, pero la AEPD concluyó en ambas ocasiones que las evaluaciones presentadas por AENA no eran válidas y requerían un análisis más completo.
Por lo tanto, a raíz de las investigaciones realizadas por la AEPD derivadas de una reclamación interpuesta por un particular - en su nombre y en nombre de la Fundación Éticas Data Society -por el incumplimiento de la normativa de protección de datos en el proyecto de reconocimiento facial, la AEPD estima que la realización de las pruebas piloto realizadas sin una correcta evaluación de impacto supone una infracción del Reglamento General de Protección de Datos (RGPD). En concreto se identificaron los siguientes incumplimientos:
- Art. 35.7.a) del RGPD: por no contener una descripción sistemática de las operaciones de tratamiento ni de los fines específicos. Las finalidades declaradas ("seguridad en los procesos de paso por filtros" y "gestión del acceso con mayores niveles de eficiencia") correspondían al propósito estratégico de la organización, pero no concretaban las finalidades específicas ni definían cada operación de tratamiento de datos personales necesaria. Los fines deben ser precisos, específicos, medibles y acotados, requisitos que la documentación aportada no cumple.
- Art. 37.5.b) del RGPD porque no se justificó adecuadamente la necesidad y proporcionalidad del tratamiento en su EIPD.
o Respecto a la necesidad: La AEPD señala que existían alternativas menos invasivas para lograr la misma finalidad que AENA descartó sin una evaluación adecuada desde la perspectiva de protección de datos. Entre estas alternativas se encontraba la verificación de identidad mediante sistemas de lectura del DNI sin contacto, opción sugerida por la propia AEPD en sus informes de consulta previa. AENA descartó estas opciones argumentando únicamente que "entorpecerían y ralentizarían el proceso", lo cual responde a criterios de eficiencia operativa pero no a una evaluación del menor intrusismo en los derechos fundamentales.
o Sobre la proporcionalidad: El sistema implementado requería almacenar significativamente más datos personales que los métodos tradicionales, no solo el patrón facial biométrico, sino también todos los datos contenidos en los documentos de identificación y tarjetas de embarque, que anteriormente permanecían únicamente en poder de pasajeros y aerolíneas. Estos datos pasaban a almacenarse en la base de datos de AENA durante 2 años, lo que supone una extensión sustancial del tratamiento que incrementa exponencialmente los riesgos.
- Art. 37.7.c) del RGPD por contener descripciones de riesgos genéricas sin concretar los riesgos identificados.
o No se contempla una referencia al artículo 22 del RGPD ni a la posible existencia de decisiones automatizadas injustas.
o La EIPD no identifica los riesgos específicos derivados del sistema de identificación biométrica 1:N (uno-a-varios), que comporta mayores riesgos que la autenticación 1:1.
o No se detallan las amenazas concretas para la confidencialidad, integridad y disponibilidad, ni cómo se evaluó su impacto y probabilidad.
o No se identifican factores de riesgo derivados de la tecnología empleada ni del propio sistema de identificación biométrica utilizado.
- Art. 35.7.d) del RGPD por la falta de determinación de medidas adecuadas para mitigar riesgos dado que estos no han sido identificados previamente de forma correcta.
- Art. 35.11 del RGPD por no contener un procedimiento estructurado de revisiones que incluya, por ejemplo, la frecuencia de las revisiones para detectar cambios o nuevos riesgos, los criterios de revisión, ni la asignación de responsabilidades.
Por último, para establecer la sanción impuesta se aplicaron, entre otros, los siguientes agravantes: negligencia grave (por continuar con el tratamiento a pesar de los dos informes negativos de la AEPD); la especial categoría de los datos; la duración y alcance del tratamiento (que duró 5 años y afectó a más de 62.000 personas inscritos voluntariamente en este programa piloto); por la vulneración de múltiples obligaciones; y por la alta injerencia en los derechos fundamentales.
Finalmente, la AEPD impone una sanción de 10.043.002 de euros, que representa aproximadamente el 2% del volumen de negocio de AENA del año 2024, aplicando el máximo sancionador permitido por el artículo 83.4.a del RGPD.