AEPD impone sanción récord de 10 M€ a Aena por uso de reconocimiento facial

Posted on by Mónica Beloki
ai-generated-8540918_1280
02
Dic

La AEPD ha impuesto a Aena una multa de 10.043.002 euros por desplegar sistemas de reconocimiento facial en ocho aeropuertos españoles sin realizar una evaluación de impacto de protección de datos (EIPD) conforme a la normativa.

La sanción —considerada histórica por la cuantía y su repercusión tecnológica— alcanza una magnitud similar a una sanción impuesta en 2022 a Google

Además, la resolución incluye la suspensión temporal de todos los tratamientos de datos biométricos relacionados con reconocimiento facial.

 

¿Qué reprocha la AEPD a Aena? Falta de EIPD y déficit en la justificación

  • La AEPD entiende que Aena implantó un tratamiento de “alto riesgo” — datos biométricos — sin llevar a cabo una EIPD válida y previa al tratamiento, tal como exige el artículo 35 del Reglamento General de Protección de Datos (RGPD).
  • En concreto, la EIPD aportada no incluía un “análisis de riesgos ni un análisis de necesidad, idoneidad y proporcionalidad”.
  • La agencia recalca que el sistema era de tipo “identificación uno-a-varios (1:N)”, lo que implica una búsqueda activa en base de datos de identidades preexistentes — algo particularmente sensible por su nivel de invasión de derechos fundamentales.
  • También señala que los datos recogidos y almacenados iban más allá de los estrictamente necesarios en métodos tradicionales, incluyendo información contenida en documentos de identidad y tarjetas de embarque.

En conclusión: la AEPD considera que Aena no demostró que el uso de biometría facial fuera verdaderamente necesario, idóneo y proporcional frente a alternativas menos intrusivas.

 

Alcance del sistema de reconocimiento facial de Aena

El programa de embarque biométrico de Aena estaba implementado en ocho aeropuertos españoles, entre ellos algunos importantes como el Aeropuerto Adolfo Suárez Madrid-Barajas y Aeropuerto Barcelona-El Prat Josep Tarradellas, así como aeropuertos en Menorca, Palma, Gran Canaria, Tenerife-Norte, Ibiza y otros.

El sistema permitía a los pasajeros acceder a controles de seguridad, puertas de embarque o zonas de embarque automático (self bag drop) mediante identificación facial, sin necesidad de mostrar documentación física.

El objetivo declarado por Aena era agilizar los procesos aeroportuarios y mejorar la experiencia del pasajero.

 

Reacción de Aena y próximos pasos

  • Aena ha anunciado que recurrirá la sanción ante los tribunales, denunciando que la resolución “no es acorde con el principio de proporcionalidad” y expresando su desacuerdo “respetuoso” con la decisión de la AEPD.
  • La empresa defiende que sí se realizaron las evaluaciones pertinentes antes del despliegue del sistema y que los pasajeros otorgaron su consentimiento informado y voluntario. Además, afirma que en ningún momento se ha producido una brecha de seguridad o filtración de datos.
  • Aena señala que la seguridad y custodia de los datos personales siempre estuvo garantizada, y que se aplicaron mecanismos de conservación, bloqueo y supresión en consonancia con la normativa.

Mientras la disputa legal avanza, el uso del reconocimiento facial ha quedado suspendido temporalmente.

 

Implicaciones y desafíos: privacidad, proporcionalidad y biometría en aeropuertos

Este caso pone de relieve los retos que implica la implantación de tecnologías biométricas — especialmente reconocimiento facial — en espacios públicos o semipúblicos como aeropuertos:

  • Los datos biométricos constituyen una categoría particularmente sensible, dado su carácter identificatorio único e irreversible. Su tratamiento exige una justificación rigurosa, evaluación de riesgos y salvaguardas reforzadas.
  • La obligación de realizar una EIPD antes de iniciar estos tratamientos busca precisamente garantizar que se evalúe la necesidad, idoneidad y proporcionalidad del uso. No basta con el consentimiento voluntario si no hay garantía de que no existan métodos alternativos menos intrusivos.
  • Las sanciones como la impuesta a Aena marcan un precedente en la regulación del uso de biometría en España: no basta con buenas intenciones (agilizar los controles, mejorar experiencia), sino con un cumplimiento riguroso del marco de protección de datos.
  • En un contexto donde la biometría se extiende —no solo en aeropuertos, también en fronteras, transporte público, espacios con cámaras—, la exigencia de controles y transparencia se vuelve aún más relevante para preservar derechos fundamentales.

 

Conclusión

La multa de más de 10 millones de euros a Aena por parte de la AEPD representa un hito en la regulación del tratamiento de datos biométricos en España. Supone un aviso claro a entidades públicas o privadas: la implementación de tecnologías invasivas como el reconocimiento facial exige una EIPD rigurosa, una justificación de necesidad proporcional, y un respeto estricto al principio de minimización.

El desenlace judicial del recurso de Aena será especialmente relevante: podría sentar precedentes sobre cómo compatibilizar eficiencia operativa y seguridad con el respeto a la privacidad y los derechos fundamentales. Hasta entonces, la suspensión del sistema pone de manifiesto los riesgos reales —y no solo teóricos— de desplegar tecnologías biométricas sin los debidos controles.

 

Mónica Beloki
Mónica Beloki

Asesora jurídica y delegada de protección de datos con gran experiencia y un historial demostrado de trabajo en el sector de los servicios jurídicos. Experta en Asesoría Jurídica, Atención al Cliente, Satisfacción del Cliente, Seguridad Laboral y Asistencia Administrativa Ejecutiva. Licenciada en derecho y delegada de protección de datos por la Universidad del País Vasco/Euskal Herriko Unibertsitatea.

Whatsapp Logo