- La AEPD sanciona a Aena con 10.043.002 euros por su programa de embarque biométrico en ocho aeropuertos españoles.
- El regulador concluye que no hubo una Evaluación de Impacto en Protección de Datos válida ni una justificación de necesidad y proporcionalidad.
- Se ordena la suspensión temporal de todo tratamiento de datos biométricos hasta que Aena presente una EIPD conforme al RGPD.
- Aena recurrirá la multa, defiende que sí realizó evaluaciones y sostiene que no ha habido brechas de seguridad ni filtraciones de datos.
La Agencia Española de Protección de Datos ha asestado un importante golpe al gestor aeroportuario Aena al imponerle una sanción millonaria por su programa de embarque mediante reconocimiento facial. La resolución considera que el sistema biométrico implantado en varios aeropuertos españoles se desplegó sin cumplir las exigencias clave de la normativa de privacidad europea.
La multa, de 10.043.002 euros, va acompañada de la suspensión temporal de todo tratamiento de datos biométricos vinculado a este proyecto, lo que deja en pausa el uso del reconocimiento facial en los aeropuertos afectados hasta que Aena realice una Evaluación de Impacto en la Protección de Datos adecuada y conforme al Reglamento General de Protección de Datos (RGPD).
Una sanción histórica por un tratamiento de alto riesgo
La AEPD concluye que Aena llevó a cabo un tratamiento de datos biométricos de alto riesgo sin justificar debidamente su necesidad ni su proporcionalidad. Se trata de una sanción de calado, de cuantía similar a la impuesta a Google en 2022 por cesiones ilegítimas de datos personales y trabas al derecho de supresión, y que se suma a otras multas millonarias como las que recibió Vodafone España por prácticas comerciales ilícitas.
Según el expediente, el gestor aeroportuario implantó sistemas de identificación mediante reconocimiento facial en ocho aeropuertos españoles: Madrid-Barajas, Barcelona-El Prat, Alicante, Gran Canaria, Tenerife Norte, Palma de Mallorca, Menorca e Ibiza. Estos dispositivos permitían al pasajero acceder a filtros de seguridad, puertas de embarque y puntos de self bag drop sin presentar documentación física, utilizando únicamente su rostro como credencial.
Para la AEPD, Aena trató datos biométricos con la finalidad de identificar de forma unívoca a los pasajeros y permitirles el acceso a determinadas zonas de los aeropuertos “sin haber justificado previamente” que ese tratamiento fuera imprescindible ni proporcionado. El regulador destaca que existían medios alternativos menos intrusivos que habrían permitido alcanzar los mismos objetivos operativos y de seguridad.
El documento señala además que Aena ya reconocía desde 2020 que este tipo de proyectos suponían un tratamiento de alto riesgo, y que llegó a consultar a la propia agencia en al menos dos ocasiones durante los programas piloto. Pese a ello, la empresa continuó extendiendo el sistema a otros aeropuertos, a juicio de la AEPD, sin haber corregido las deficiencias detectadas en materia de análisis de riesgos y garantías para los pasajeros.
Reconocimiento facial 1:N y almacenamiento centralizado
Uno de los puntos que más preocupan al organismo regulador es el modelo técnico adoptado por Aena, basado en un sistema de identificación uno-a-varios (1:N). Este esquema implica que la imagen facial del pasajero se compara con un conjunto de identidades preexistentes alojadas en una base de datos central, en lugar de limitarse a una verificación puntual uno-a-uno frente a su documento.
La AEPD subraya que este tipo de identificación masiva incrementa los riesgos para los derechos y libertades de las personas, por su carácter intrusivo y por la cantidad de información que se llega a acumular. El sistema no solo registraba patrones biométricos del rostro, sino que también trataba los datos contenidos en la documentación de identidad y en las tarjetas de embarque, almacenando “muchos más datos personales” que los que exige el control tradicional.
Según la resolución, estos datos podían conservarse durante periodos prolongados, llegando hasta los dos años en algunos casos, algo que la agencia considera incompatible con el principio de minimización de datos que exige tanto el RGPD como la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El dictamen cita, además, el Dictamen 11/2024 del Comité Europeo de Protección de Datos sobre tecnologías biométricas en aeropuertos, en el que se advierte de que este tipo de usos difícilmente cumplen los principios de necesidad y proporcionalidad.
El texto deja claro que, para el regulador, la cuestión no es el uso de la biometría en sí, sino cómo se diseñó la arquitectura del sistema y bajo qué condiciones jurídicas y técnicas se trató la información. AEPD considera que Aena optó por la opción más intrusiva cuando existían alternativas más respetuosas con la privacidad, como sistemas de autenticación local sin bases de datos centralizadas o el mantenimiento exclusivo del control documental tradicional.
La Evaluación de Impacto, eje del conflicto
El núcleo jurídico de la sanción es la supuesta infracción del artículo 35 del RGPD, que obliga a realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de poner en marcha tratamientos que probablemente entrañen un alto riesgo para los derechos de las personas, especialmente cuando se emplean nuevas tecnologías y datos biométricos.
Según la AEPD, las EIPD elaboradas por Aena no cumplen con lo que la normativa exige. El regulador denuncia que no se hizo un análisis de riesgos adecuado, que no se identificaron de forma precisa los factores de riesgo de las distintas operaciones de tratamiento, ni se evaluó su impacto o probabilidad, ni se calculó el nivel global de riesgo asociado al sistema de embarque biométrico.
La agencia reprocha igualmente que el documento presentado por la compañía no ofreciese una descripción detallada de las operaciones de tratamiento ni de los objetivos específicos, más allá de la mención genérica a la mejora de la “experiencia del pasajero” y la agilización de la documentación. Tampoco se habrían descrito con suficiente claridad las medidas de seguridad, garantías y mecanismos previstos para mitigar los riesgos detectados.
La resolución sostiene que Aena contaba con todas las herramientas jurídicas y técnicas necesarias para llevar a cabo un análisis de riesgos adecuado, y que había sido informada y asesorada por la propia AEPD en varias ocasiones. Pese a ello, la agencia considera que la empresa no corrigió las carencias de sus evaluaciones, lo que ha terminado derivando en la sanción actual.
En este contexto, la multa de algo más de diez millones de euros se impone por una única infracción grave del artículo 35, pero la AEPD recalca la relevancia de la falta, dadas las características del tratamiento y el elevado número de viajeros afectados por el sistema de embarque biométrico en la red de aeropuertos españoles.
Suspensión del sistema y continuidad de los controles tradicionales
Más allá de la sanción económica, la AEPD ha ordenado la paralización inmediata de todo tratamiento de datos biométricos vinculado al programa de reconocimiento facial de Aena. La medida afecta de forma especial al sistema de identificación para el acceso a filtros de seguridad, puertas de embarque y otras zonas restringidas de los aeropuertos donde funcionaba el proyecto.
La suspensión se mantendrá hasta que Aena lleve a cabo una Evaluación de Impacto en Protección de Datos conforme al RGPD y acredite que el tratamiento cumple los principios de licitud, necesidad, proporcionalidad y minimización de datos. Solo entonces podría valorarse un eventual restablecimiento del servicio biométrico, previsiblemente con cambios relevantes en su diseño.
La resolución aclara, no obstante, que esta medida no afecta a la operativa diaria de los vuelos. El sistema biométrico convivía con el método clásico de verificación documental, por lo que los aeropuertos pueden seguir funcionando con normalidad mediante la comprobación visual de identidad y tarjetas de embarque por parte del personal de seguridad y de las aerolíneas.
En la práctica, el proyecto de reconocimiento facial ya estaba paralizado desde junio de 2024, cuando Aena bloqueó y ordenó la supresión de los datos en los términos comunicados a la Agencia. La sanción consolida y formaliza esa suspensión, añadiendo la obligación de no reactivar el sistema sin una EIPD válida y sin introducir las garantías adicionales que exija el regulador.
Aena se defiende y anuncia recurso ante los tribunales
El gestor aeroportuario ha reaccionado con rapidez a la resolución y ha anunciado que recurrirá la multa ante los tribunales. En varios comunicados, la compañía asegura que discrepa “respetuosamente” del criterio de la AEPD, tanto en el fondo como en la forma, y considera que la sanción “no es acorde con el principio de proporcionalidad”.
La empresa sostiene que la infracción que se le atribuye es de carácter principalmente formal, al cuestionarse la calidad y suficiencia de las evaluaciones de impacto elaboradas. Aena afirma que las EIPD se realizaron antes del inicio de los programas de acceso biométrico y que se ajustan a los requerimientos normativos aplicables, por lo que rechaza que su actuación haya vulnerado la legislación de protección de datos.
Uno de los puntos en los que Aena pone más énfasis es en que no se ha producido ninguna brecha de seguridad. La compañía asegura que “la custodia de estos datos no ha estado en riesgo en ningún momento” y que no hay constancia de filtraciones ni accesos indebidos a la información de los usuarios de los distintos programas de biometría.
El gestor también subraya que la participación en el sistema de reconocimiento facial era totalmente voluntaria y alternativa al embarque tradicional. Los pasajeros que se enrolaban en el programa lo hacían, según la empresa, tras ofrecer un consentimiento informado y con la posibilidad de seguir utilizando los controles documentales de siempre. Aena insiste asimismo en que la conservación, bloqueo y supresión de los datos se ha realizado de acuerdo con el RGPD y la LOPDGDD.
En todo caso, la compañía remarca que el objetivo del proyecto era agilizar el paso por los procesos de documentación y ofrecer una experiencia más cómoda a los viajeros, reduciendo colas y tiempos de espera en los aeropuertos españoles. A pesar del frenazo, Aena ha dejado claro que seguirá trabajando para reactivar el programa de embarque biométrico “tan pronto como sea posible”, previsiblemente adaptándolo a las exigencias que marque la AEPD y el marco europeo de protección de datos.
El enfrentamiento entre el regulador y el gestor aeroportuario abre ahora un nuevo capítulo en los tribunales, donde se dilucidará si la evaluación de impacto de Aena fue realmente insuficiente o si, como sostiene la empresa, la sanción se ha basado en una interpretación excesivamente estricta de sus obligaciones formales.
Con esta decisión, la Agencia Española de Protección de Datos refuerza su línea de actuación frente a proyectos tecnológicos que, en nombre de la eficiencia y la comodidad, implican un uso intensivo de datos biométricos en espacios públicos. La cuantía de la multa, similar a otras grandes sanciones europeas, lanza un mensaje claro al sector: cualquier despliegue de reconocimiento facial en aeropuertos u otros entornos sensibles deberá demostrar, con transparencia y rigor, que respeta al máximo la privacidad de los ciudadanos y que no se sacrifica este derecho a cambio de una mera mejora de la “experiencia de usuario”.
