La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de más de diez millones de euros a AENA por las deficiencias existentes en su evaluación de impacto de protección de datos (EIPD) relativa al uso de sistemas de reconocimiento facial.
La Fundación Éticas DataSociety contra AENA presentó hace unos años una reclamación a la AEPD por el uso de sistemas de reconocimiento facial en varios aeropuertos españoles, especialmente en el marco de un proyecto piloto en el Aeropuerto de Barcelona-El Prat.
La reclamación presentada sostenía que AENA estaba incumpliendo la normativa de protección de datos personales con la implementación de estos sistemas. AENA defendió que el sistema era voluntario para los pasajeros, que existían métodos alternativos de identificación y que se había realizado una EIPD, aunque la AEPD constató que las versiones aportadas carecían de firma, trazabilidad y no cumplían los requisitos mínimos de exhaustividad y rigor. Además, la Agencia comprobó que AENA inició y mantuvo el tratamiento de datos biométricos pese a haber recibido informes desfavorables en las consultas previas realizadas ante la propia AEPD, sin corregir las deficiencias señaladas.
En cuanto a la fundamentación jurídica, la AEPD recuerda que el RGPD considera el uso de datos biométricos con fines de identificación o autenticación como un tratamiento de categorías especiales de datos, cuyo tratamiento está prohibido salvo que concurra una excepción, y que exige una especial cautela y la realización de una EIPD previa cuando el tratamiento entrañe alto riesgo para los derechos y libertades de las personas.
La Agencia analiza en detalle el contenido de las EIPD presentadas por AENA y concluye que no cumplen con los requisitos del artículo 35.7 del RGPD: no describen de forma precisa y concreta las operaciones de tratamiento ni sus fines, no realizan un análisis sistemático de la necesidad y proporcionalidad del tratamiento, ni identifican ni evalúan adecuadamente los riesgos inherentes y residuales para los derechos y libertades de los interesados. Además, la Agencia subraya que AENA no justificó por qué el sistema biométrico era necesario y proporcional frente a alternativas menos intrusivas, como los métodos tradicionales de verificación de identidad, y que el almacenamiento centralizado de datos biométricos incrementaba la verificación de los riesgos para la privacidad sin que se aportaran garantías suficientes.
La AEPD imputó a AENA la infracción del artículo 35 del RGPD al no realizar una EIPD válida y completa antes de iniciar el tratamiento de datos biométricos, lo cual constituye una infracción grave tipificada en el artículo 83.4.a) del RGPD.
Por ello, la Agencia impone a AENA una multa de 10.043.002 euros y confirma la suspensión temporal de todo tratamiento de datos biométricos, en especial el sistema de reconocimiento facial, hasta que se lleve a cabo una EIPD conforme a la normativa.
AENA ha hecho público mediante un comunicado que recurrirá la decisión ante los tribunales por entender que infringe el principio de proporcionalidad del derecho sancionador.