Protección de Datos sanciona a Aena por su sistema de reconocimiento facial en ocho aeropuertos

MundoWin » General » Protección de Datos sanciona a Aena por su sistema de reconocimiento facial en ocho aeropuertos

La Agencia Española de Protección de Datos (AEPD) ha asestado un golpe histórico a Aena al imponerle una sanción millonaria por el despliegue de su sistema de embarque biométrico basado en reconocimiento facial en varios aeropuertos españoles. La resolución no solo fija una multa de algo más de diez millones de euros, sino que obliga a detener de forma inmediata el tratamiento de estos datos.

El conflicto gira en torno a la falta de una Evaluación de Impacto en Protección de Datos (EIPD) considerada adecuada antes de poner en marcha una tecnología que la propia AEPD califica como de “alto riesgo” para los derechos y libertades de los pasajeros. Aena, por su parte, rechaza la interpretación del regulador, defiende que sí realizó esas evaluaciones y ya ha anunciado que llevará el caso a los tribunales.

Una multa de más de diez millones por un tratamiento considerado de alto riesgo

La resolución de la AEPD impone a Aena una sanción de 10.043.002 euros por vulnerar el artículo 35 del Reglamento General de Protección de Datos (RGPD), precepto que exige una EIPD previa cuando el tratamiento “probablemente entrañe un alto riesgo” para las personas. La cuantía sitúa esta multa entre las más elevadas dictadas por el organismo, en un nivel similar a la que recibió Google en 2022.

Según el documento hecho público por la agencia, Aena implantó sistemas de reconocimiento facial en ocho aeropuertos españoles sin haber acreditado de forma suficiente que el tratamiento era necesario, proporcionado y ajustado a los principios del RGPD. Los aeropuertos afectados incluyen Madrid-Barajas, Barcelona-El Prat, Alicante, Gran Canaria, Tenerife Norte, Palma de Mallorca, Menorca e Ibiza.

La AEPD subraya que se trata de datos biométricos de categoría especial, utilizados para identificar de manera unívoca a los pasajeros a la hora de pasar los filtros de seguridad, acceder a puertas de embarque y, en algunos casos, utilizar servicios de self bag drop. En este contexto, el regulador entiende que la falta de una evaluación de impacto completa y ajustada a la normativa constituye una infracción grave.

Además de la sanción económica, el organismo confirma la suspensión temporal de todo tratamiento de datos biométricos por parte de Aena, con especial mención al reconocimiento facial para controlar el acceso de pasajeros a determinadas zonas restringidas de los aeropuertos que gestiona.

El sistema de reconocimiento facial: cómo funcionaba el embarque biométrico

El programa sancionado se enmarca en el plan de modernización de Aena, que incluía la implantación de un sistema de embarque basado en reconocimiento facial como alternativa a los controles tradicionales de documentación. La idea era que el pasajero, tras registrarse voluntariamente, pudiera moverse por el aeropuerto sin necesidad de mostrar su DNI o su tarjeta de embarque en cada control.

Para ello, se realizaba una captura biométrica del rostro del viajero, que se asociaba a sus datos personales y a la información del vuelo. Ese perfil quedaba almacenado y se utilizaba posteriormente en los distintos puntos habilitados: filtros de seguridad, puertas de embarque y, en algunos aeropuertos, máquinas de entrega automática de equipaje.

La clave técnica que preocupa a la AEPD es que Aena optó por un sistema de identificación “uno-a-varios” (1:N). En este tipo de arquitectura, la imagen del pasajero se compara con una base de datos de identidades ya registradas, en lugar de cotejarse únicamente de forma puntual con un documento concreto. Esta búsqueda activa dentro de un conjunto de plantillas biométricas incrementa, a juicio del regulador, los riesgos potenciales para la privacidad.

El expediente destaca también que el tratamiento implicaba conservar muchos más datos que los necesarios para una verificación manual, incluyendo la información contenida en los documentos de identidad y las tarjetas de embarque. Parte de estos datos, además, podían almacenarse durante un periodo prolongado, lo que aumentaba el impacto potencial en caso de incidente.

Según la AEPD, existían alternativas menos intrusivas para agilizar el tránsito de pasajeros, como sistemas biométricos con verificación local en el dispositivo o la simple mejora de los procesos tradicionales, que ya permitían verificar la identidad sin crear bases de datos centralizadas de rostros.

Las deficiencias en la Evaluación de Impacto señaladas por la AEPD

El núcleo jurídico de la sanción se encuentra en las carencias detectadas en la Evaluación de Impacto en Protección de Datos que Aena debía haber realizado antes de desplegar el sistema de reconocimiento facial a gran escala. Para la agencia, el análisis aportado por la empresa no cumplía con los requisitos esenciales del artículo 35 del RGPD.

En su resolución, el organismo recuerda que Aena ya había consultado a la AEPD en al menos dos ocasiones durante los proyectos piloto iniciados en 2019 en aeropuertos como Menorca y Madrid-Barajas. Pese a esas consultas y a la advertencia de que el tratamiento se consideraba de alto riesgo, la compañía siguió adelante con la extensión del sistema a más aeropuertos sin corregir las deficiencias detectadas.

Protección de Datos reprocha a Aena que no identificara de forma precisa los factores de riesgo asociados a las distintas operaciones de tratamiento, ni analizara adecuadamente la probabilidad y el impacto de esos riesgos sobre los derechos de los pasajeros. Tampoco habría llevado a cabo una evaluación global del nivel de riesgo ni descrito con suficiente detalle las medidas adoptadas para mitigarlo.

El documento señala que la evaluación presentada por la empresa se limitaba en buena medida a describir los objetivos generales del plan estratégico de Aena (mejorar la experiencia del usuario y agilizar procesos), pero no concretaba de forma sistemática las operaciones de tratamiento, las bases jurídicas, las garantías aplicadas ni el análisis de necesidad y proporcionalidad exigido por la normativa.

La AEPD alude además a los criterios del Comité Europeo de Protección de Datos sobre tecnologías biométricas en aeropuertos, que consideran especialmente problemáticas las soluciones basadas en identificación 1:N y almacenamiento centralizado cuando no se demuestra de forma sólida que no existen medios menos invasivos para cumplir la misma función.

Suspensión temporal del tratamiento de datos biométricos

Además de la multa económica, la AEPD adopta una medida correctiva contundente: la suspensión temporal de todo tratamiento de datos biométricos en la red de aeropuertos de Aena. La orden afecta especialmente al sistema de identificación por reconocimiento facial, que queda parado hasta que el gestor aeroportuario presente una EIPD ajustada a los requisitos del RGPD.

La resolución deja claro que esta medida no impide el uso de los controles documentales tradicionales, de modo que la operativa de los vuelos puede continuar con normalidad. El embarque y el acceso a zonas restringidas seguirán realizándose mediante la comprobación visual de la documentación, tal y como se ha venido haciendo durante años.

El regulador insiste en que su decisión responde al principio de “minimización de datos” y a la obligación de garantizar que cualquier uso de tecnologías especialmente intrusivas esté justificado y se limite a lo estrictamente necesario. En su criterio, la mejora de la “experiencia de usuario” o la agilización de colas no bastan por sí solas para legitimar un tratamiento de alto riesgo si no se demuestra que no hay otros medios menos intrusivos igualmente eficaces.

En el expediente también se menciona que Aena ya había paralizado el programa de reconocimiento facial en junio de 2024, procediendo a bloquear y suprimir los datos biométricos en los términos que comunicó a la agencia. Pese a ello, la AEPD mantiene la suspensión hasta que se complete una nueva evaluación de impacto conforma a la normativa.

La publicación de la resolución en el Boletín Oficial del Estado está prevista al superar la sanción el umbral del millón de euros, lo que añade un componente de publicidad y de ejemplo para otros operadores que se planteen iniciativas similares.

La respuesta de Aena: discrepancia respetuosa y recurso ante los tribunales

Desde el primer momento, la gestora aeroportuaria ha mostrado su desacuerdo con el criterio de la AEPD. En varios comunicados, Aena sostiene que la sanción se basa en “una supuesta infracción de una obligación formal” y asegura que llevó a cabo las evaluaciones de impacto antes de iniciar los programas de embarque biométrico.

La compañía, participada mayoritariamente por el Estado, afirma que “discrepa respetuosamente” de la consideración de la agencia de que esas evaluaciones no cumplían con los requisitos normativos. A su juicio, la resolución “no es acorde con el principio de proporcionalidad”, tanto por la cuantía económica como por la interpretación que se hace de las obligaciones del responsable del tratamiento.

Aena también ha querido remarcar que no se ha producido ninguna brecha de seguridad ni filtración de datos de los usuarios ni de terceros. La empresa insiste en que “la custodia de estos datos no ha estado en riesgo en ningún momento” y que el tratamiento se ha realizado siguiendo los mecanismos de conservación, bloqueo y supresión previstos en el RGPD y en la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Otro de los argumentos centrales de la compañía es que la participación de los pasajeros en el programa era voluntaria. Para acceder al embarque biométrico, los viajeros debían prestar un consentimiento informado y aceptar de manera expresa el tratamiento de sus datos biométricos, algo que, según subraya la empresa, se gestionó con la información exigida por la normativa.

En cualquier caso, Aena adelanta que recurrirá la sanción ante los tribunales y que su intención es seguir trabajando para poder reactivar el programa “tan pronto como sea posible”, siempre dentro del marco legal que finalmente se establezca.

Voluntariedad, experiencia del pasajero y límites legales

Uno de los puntos de fricción entre la AEPD y Aena tiene que ver con el papel del consentimiento y la mejora de la experiencia de los usuarios. La empresa defiende que el sistema se diseñó para agilizar los procesos de documentación y ofrecer un tránsito más cómodo por los aeropuertos, en colaboración con varias aerolíneas y empresas tecnológicas.

El objetivo declarado era que los pasajeros pudieran embarquear sin mostrar físicamente su documentación, utilizando únicamente su rostro como credencial. Este enfoque se presentó como un paso más en la digitalización del sector aéreo, alineado con las tendencias de automatización y autoservicio que ya se ven en otros ámbitos.

Sin embargo, desde la óptica de la protección de datos, la agencia recuerda que el consentimiento no legitima por sí solo tratamientos que se consideren desproporcionados o que no se ajusten a los principios de necesidad y minimización. Es decir, aunque el pasajero acepte participar, el responsable del tratamiento sigue obligado a demostrar que la solución es la menos intrusiva posible para lograr el fin perseguido.

La AEPD concluye que, en este caso, no se ha justificado de manera convincente por qué era imprescindible recurrir a un sistema 1:N con base de datos centralizada para agilizar el embarque, existiendo métodos alternativos que implican un menor volumen de datos y un impacto reducido en la privacidad.

En paralelo, el expediente deja constancia de que el número de pasajeros enrolados superaba las decenas de miles, lo que, unido a la condición de Aena como gran operador con una facturación de miles de millones, ha influido en el cálculo de la multa dentro de los márgenes que permite el RGPD para las infracciones muy graves.

Con esta decisión, el regulador español se alinea con la tendencia de las autoridades europeas a poner coto al uso indiscriminado de tecnologías biométricas en espacios públicos. La tensión entre innovación, eficiencia y garantías de privacidad queda así más visible que nunca en los aeropuertos, un entorno donde confluyen intereses comerciales, seguridad y derechos fundamentales.

El caso de Aena se convierte, de este modo, en un referente clave para el despliegue futuro de sistemas de reconocimiento facial en España y en la Unión Europea: marca hasta dónde está dispuesto a llegar el regulador cuando percibe que la balanza se inclina demasiado hacia la comodidad y la velocidad en detrimento de la protección de datos de los ciudadanos.