Protección de Datos multa a Aena con 10 millones por la identificación biométrica de los viajeros y abre un frente en los tribunales

El golpe propinado por la Agencia Española de Protección de Datos (AEPD) al gestor aeroportuario Aena, con una sanción de 10 millones de euros por el uso de sistemas de identificación biométrica de los viajeros en ocho aeropuertos españoles, va a abrir un inminente enfrentamiento en los tribunales. El órgano denunciante asegura que no ha mediado una correcta Evaluación de Impacto en la Protección de Datos, tal y como exige la normativa.

La compañía dependiente del Ministerio de Transportes ha mostrado total oposición a la resolución que carga contra su programa de embarque de pasajeros más avanzado. La orden de la AEPD es “la suspensión temporal de todo tratamiento de datos biométricos y en especial de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por Aena”. Esta tecnología se encuentra operativa en Madrid-Barajas, Barcelona-El Prat, Alicante, Gran Canaria, Tenerife-Norte, Palma de Mallorca, Menorca e Ibiza.

La agencia indica en su informe que Aena ha llevado a cabo un tratamiento biométrico “de alto riesgo” sin justificación. Y añade que el sistema utilizado, uno-a-varios ó 1:N, “implica una búsqueda activa dentro de un conjunto de identidades preexistentes, lo cual puede comportar mayores riesgos para los derechos fundamentales de las personas físicas”.

Escasos minutos después de conocerse las conclusiones del expediente, fechado el 6 de noviembre, así como la abultada cuantía de la multa, Aena ha anunciado que interpondrá recurso ante la justicia. En un intento de contener el tono, la empresa pública habla de una “discrepancia respetuosa” tanto por motivos de fondo como de forma.

Aena también ha afirmado que la multa, del mismo importe que la que recibió Google en 2022 por prácticas como ceder datos personales a terceros sin legitimación, “no es acorde al principio de proporcionalidad”.

Ante la acusación de que no se cumplió debidamente con la obligación de elaborar la referida Evaluación de Impacto de Protección de Datos, Aena habla de una “obligación formal”. De hecho, subraya que el paso por los sistemas de reconocimiento facial en sus terminales es voluntario para los viajeros, previo consentimiento informado.

La operadora de la red pública de aeropuertos afirma que elaboró las evaluaciones antes de iniciar los programas de identificación biométrica para el acceso a los aviones, y disiente de que lo haya hecho incumpliendo los requisitos que contiene la normativa. También va a defender que en ningún momento se ha producido una brecha de seguridad ni filtración de datos de los usuarios: “La custodia de los datos no ha estado en riesgo en ningún momento”, asevera la compañía que preside Mauirici Lucena.

Entre distintas aclaraciones técnicas, Aena afirma que la información biométrica de los pasajeros que usan los puestos de reconocimiento facial cuenta con el tratamiento de conservación, bloqueo y supresión recogido en la Ley Orgánica de Protección de Datos Personales y en el Reglamento del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Más de cinco años después de la implantación en los aeropuertos de Menorca y Madrid-Barajas, y con cuatro años de experiencia desde que el sistema comenzara a a probarse en el aeropuerto de Barcelona-El Prat, Aena recuerda que su objetivo y el de las aerolíneas participantes fue “proporcionar a los pasajeros una mejor experiencia en los aeropuertos al agilizar el paso por los procesos de documentación”. Con el programa congelado por la AEPD, la compañía dice trabajar para reiniciarlo “tan pronto como sea posible”.

Los puestos de reconocimiento de una identidad por la huella dactilar o las características de la cara persiguen el tránsito de los usuarios de un aeropuerto sin documentación física alguna. El viajero ya no tendría que portar ni la tarjeta de embarque ni su documentación de identificación con un sistema que contó con la participación de tecnológicas como Thales, IECISA y Gunnebo.