Los hechos clave

La Agencia Española de Protección de Datos ha impuesto a AENA una sanción de 10.043.002 euros por implantar sistemas de reconocimiento facial en ocho aeropuertos sin una Evaluación de Impacto en Protección de Datos que cumpliera los requisitos del RGPD. Esta multa iguala la sanción más alta de la historia de la AEPD, que fue aplicada a Google en 2022.

El sistema sancionado

AENA desarrolló entre 2019 y 2024 un programa de identificación biométrica mediante reconocimiento facial que permitía a los pasajeros:

• Acceder a filtros de seguridad
• Pasar por puertas de embarque
• Utilizar mostradores de auto-entrega de equipaje (self bag drop)

El sistema procesaba datos biométricos con fines de identificación, incluyendo imágenes selfie, datos del chip NFC del DNI y tokens biométricos aepd. Según la resolución, el programa funcionó en 8 aeropuertos: Barajas, El Prat, Alicante-Elche, Gran Canaria, Ibiza, Menorca, Mallorca y Tenerife Norte, afectando a casi 40.000 usuarios en su fase operativa entre 2023 y 2024.

La infracción: artículo 35 del RGPD

Lo crucial aquí es que la sanción no se basa en una brecha de datos ni en uso indebido de información, sino en un incumplimiento formal pero fundamental: AENA llevó a cabo un tratamiento de datos biométricos de alto riesgo sin el análisis previo obligatorio exigido por el artículo 35 del RGPD.

Según el documento de resolución, la AEPD considera que:

1. La EIPD inicial (marzo 2019) era deficiente: Carecía de un análisis adecuado de necesidad, idoneidad y proporcionalidad del tratamiento.
2. Las consultas previas fueron infructuosas: AENA consultó a la AEPD en dos ocasiones durante los pilotos (febrero y junio de 2021), recibiendo informes que señalaban incumplimientos, pero no los subsanó adecuadamente antes de escalar el proyecto.
3. El tratamiento era más invasivo que las alternativas: El sistema procesaba más datos de los necesarios, incluyendo imágenes biométricas y contenidos íntegros de documentos de identificación y tarjetas de embarque.
4. Finalidad mal definida: La AEPD cuestiona que las finalidades reales del tratamiento (identificación unívoca de pasajeros) no justificaban el uso de biometría cuando existían métodos tradicionales menos intrusivos.

La posición de AENA

El gestor aeroportuario ha anunciado que recurrirá la sanción, alegando:

• Sí realizaron evaluaciones de impacto antes del inicio de los programas, aunque la AEPD las considera insuficientes
• No hubo brechas de seguridad: «La custodia de estos datos no ha estado en riesgo en ningún momento»
• El consentimiento era voluntario: Los usuarios decidían libremente participar en el sistema
• La sanción es desproporcionada: Consideran que se trata de un incumplimiento formal, no material

Contexto regulatorio crucial

La resolución hace referencia al Dictamen 11/2024 del Comité Europeo de Protección de Datos, que analiza específicamente el uso de reconocimiento facial para agilizar el flujo de pasajeros en aeropuertos. El CEPD concluye que tecnologías similares difícilmente cumplen los principios de necesidad y proporcionalidad.

Esto es importante porque marca un posicionamiento claro de las autoridades europeas: el reconocimiento facial en aeropuertos, aunque sea voluntario, enfrenta serias dudas sobre su proporcionalidad.

Medidas impuestas

1. Multa de 10.043.002 euros (calculada sobre un volumen de negocios de más de 5.000 millones de euros)
2. Suspensión temporal del tratamiento biométrico hasta que AENA elabore una EIPD válida
3. Publicación en el BOE por superar el millón de euros

El sistema ya estaba suspendido desde junio de 2024, cuando AENA procedió a bloquear y suprimir los datos tras conocer el inicio del procedimiento.

Análisis técnico-jurídico

Esta resolución es paradigmática por varios motivos:

1. Responsabilidad proactiva llevada al extremo: Incluso habiendo realizado EIPDs y consultado a la autoridad, AENA no cumplió. Esto demuestra que la AEPD exige documentación robusta y no meramente formal.

2. El test tripartito es inexcusable: Idoneidad, necesidad y proporcionalidad deben demostrarse exhaustivamente para tratamientos de alto riesgo, especialmente con datos biométricos.

3. El consentimiento no lo cura todo: Aunque el sistema era voluntario y basado en consentimiento (art. 9.2.a RGPD), esto no exime de cumplir el principio de minimización ni de justificar la proporcionalidad del tratamiento.

4. Precedente para aeropuertos europeos: Con el Dictamen 11/2024 del CEPD como referencia, esta resolución marca la pauta para otros proyectos similares en Europa.

Implicaciones para el sector

• Infraestructuras críticas bajo escrutinio máximo: Los aeropuertos, por su volumen de usuarios y naturaleza estratégica, enfrentan estándares muy altos.
• La biometría «voluntaria» no es carta blanca: Aunque mejore la experiencia del usuario, debe superar pruebas estrictas de proporcionalidad.
• Las EIPDs son documentos vivos: Deben actualizarse cuando cambian significativamente las condiciones del tratamiento (nuevos aeropuertos, más usuarios, nuevas funcionalidades).

Esta sanción envía un mensaje claro: la innovación tecnológica en protección de datos no puede ir por delante del cumplimiento normativo. Las organizaciones que implementen sistemas de alto riesgo deben invertir recursos significativos en documentación, análisis y justificación técnico-jurídica antes de comenzar el tratamiento.

El caso AENA demuestra que ni siquiera el diálogo con la autoridad de control, si no va acompañado de correcciones efectivas, exime de responsabilidad. Y que cuando se trata de datos biométricos en infraestructuras masivas, la vara está muy, muy alta.