Aena recurrirá la multa de 10 millones de euros de la AEPD por su programa de embarque biométrico

Según la AEPD, el expediente parte de una reclamación presentada en 2023 por una usuaria y la Fundación Éticas Data Society en relación con el piloto de reconocimiento facial en el aeropuerto Josep Tarradellas Barcelona-El Prat. La denuncia cuestionaba el tratamiento de datos biométricos en el proyecto y la falta de acceso a la evaluación de impacto a través del Portal de Transparencia, lo que dio lugar a actuaciones de investigación de la autoridad de control.​

Las inspecciones de la AEPD acreditan que Aena diseñó un programa estratégico de identidad digital basado en biometría que se probó en proyectos piloto entre 2019 y 2022 en Menorca, Madrid-Barajas y Barcelona. El piloto de El Prat se concibió como modelo para la extensión definitiva del sistema a ocho aeropuertos, con controles biométricos en filtros de seguridad, puertas de embarque y puestos de auto entrega de equipaje.​

La resolución detalla que Aena sometió el proyecto a consulta previa ante la AEPD en 2020 y 2021, aportando sucesivas versiones de Evaluaciones de Impacto y análisis de riesgos. La División de Innovación Tecnológica de la agencia respondió que la documentación no cumplía plenamente los requisitos del artículo 35 del RGPD y reclamó un análisis más profundo de riesgos, medidas de seguridad y proporcionalidad del tratamiento.​

Entre las críticas, la AEPD subraya que las EIPD no justificaban de forma suficiente por qué era necesario almacenar plantillas biométricas en servidores ni evaluaban alternativas menos intrusivas, como el uso del chip del DNI sin contacto. También considera insuficiente el análisis del triple juicio de idoneidad, necesidad y proporcionalidad, clave cuando se trata de datos de categorías especiales y sistemas de alto impacto en la privacidad.​

La autoridad señala que Aena realizó tratamientos de reconocimiento facial tanto en la fase piloto como en la fase operativa, iniciada en octubre de 2023 en ocho aeropuertos, hasta su paralización en junio de 2024 tras el Dictamen 11/2024 del Comité Europeo de Protección de Datos. Estima que, en esa fase, el sistema contó con al menos 38.104 usuarios enrolados, dentro de un total de 62.054 pasajeros registrados en todo el programa.​

Aunque la EIPD de Aena invoca el consentimiento expreso de los pasajeros como base jurídica y reconoce la biometría como dato de categoría especial, la AEPD concluye que no basta con el consentimiento si no se demuestra que el tratamiento es estrictamente necesario para la finalidad perseguida. Para la autoridad, existían métodos tradicionales de identificación que ofrecían seguridad sin el mismo nivel de injerencia en los derechos fundamentales.​

En el capítulo sancionador, la resolución califica la infracción como grave, al amparo del artículo 83.4.a) del RGPD y del artículo 73.t) de la LOPDGDD, al entender que Aena no cumplió la obligación de realizar una EIPD adecuada antes de poner en marcha un tratamiento de alto riesgo. La cuantía de 10,043 millones de euros se gradúa teniendo en cuenta el volumen de negocio de la empresa, la naturaleza de los datos biométricos y el número de pasajeros potencialmente afectados.​

Aena, por su parte, sostiene en sus alegaciones que elaboró evaluaciones de impacto específicas para cada piloto y para la fase operativa, con metodologías de análisis de riesgos desarrolladas desde 2018 y asesoramiento de su delegado de protección de datos. La compañía defiende que el sistema era voluntario, coexistía con el embarque tradicional, no generó brechas de seguridad y no buscaba beneficio económico directo.​

La empresa también argumenta que actuó amparada por un entorno regulatorio en evolución y en diálogo constante con la AEPD y con las instituciones europeas, y que adaptó su proyecto a las nuevas directrices y dictámenes. No obstante, la resolución concluye que las mejoras introducidas no compensan las carencias iniciales de las EIPD ni corrigen del todo las deficiencias en el análisis de riesgos y proporcionalidad.​