Concretamente la multa ha sido de 10 043 002 euros, lo que la asimila a la impuesta a Google en 2022, histórica cifra para la AEPD, que señala la infracción de Aena del artículo 35 del Reglamento General de Protección de Datos (RGPD), por haber implantado sistemas de identificación biométrica, sin haber realizado la obligatoria previa evaluación de impacto.
AENA aprobó un Plan Estratégico para los años 2022-2026, en cuyo marco desarrolló un programa estratégico de identidad digital en relación con la implementación en los aeropuertos españoles de sistemas basados en biometría (Programa de Reconocimiento Facial o PRF), con el objetivo de alcanzar una mejora en los servicios aeroportuarios que recaen en la calidad y agilidad del tránsito del pasajero por el aeropuerto.
Pero la AEPD ha suspendido el tratamiento biométrico en los aeropuertos al constatar que Aena creó una base de datos centralizada para identificar viajeros (almacenó datos biométricos de más de 62 000 pasajeros), sin tener en cuenta alternativas menos intrusivas, medida que realmente no era necesaria ni proporcional para el fin perseguido: agilizar el embarque.
Aena ―consciente de que su programa de reconocimiento facial implicaba un tratamiento de categoría especial y alto riesgo― había presentado ante la Agencia dos solicitudes de consulta previa, en 2020 y 2021, sobre las evaluaciones de impacto de protección de datos (EIPD) que hicieron para la implantación de este programa, consultas sobre las que la AEPD emitió dos informes desfavorables, pues dichas EIPD no describen de forma precisa y concreta los fines específicos del tratamiento de datos personales: simplemente reflejan el propósito de su Plan estratégico. Y, más grave aún, según la Agencia, en ninguna de las EIPD se identificaron los factores de riesgo de las diversas operaciones del tratamiento de esos datos, ni se analizaron, ni se estudió su impacto individual ni posteriormente el nivel global de riesgo del tratamiento. A pesar de esos informes desfavorables, la gestora aeroportuaria siguió adelante con la implantación de su sistema.
En definitiva, no es en sí el uso de la biometría lo que sanciona la AEPD, sino cómo se diseñó el sistema y cómo fue el proceso para su implantación, sumado al almacenamiento de datos de usuarios en una base de datos central controlada por Aena, cuando el objetivo que perseguía puede obtenerse con los métodos tradicionales o con arquitecturas biométricas más respetuosas con la privacidad.
Aunque Aena ha anunciado que recurrirá, el reconocimiento facial le ha sido prohibido hasta que no demuestre que puede gestionar esos datos bajo estricto cumplimiento del RGPD.
La cuantía de algo más de 10 millones de euros se ha calculado teniendo en cuenta la magnitud de la entidad y el número de afectados.
Fuentes: https://www.aepd.es/documento/ps-00431-2024.pdf
░ Imagen de Connor-Danylenko en Pexels
