Protección de Datos impone una multa de 10 millones a AENA por sus sistemas biométricos

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de más de 10 millones de euros a AENA por desplegar sistemas de reconocimiento facial sin haber hecho previamente una evaluación de impacto válida que, entre otras cuestiones, examine la necesidad, idoneidad y proporcionalidad de la medida.

En total, la multa se eleva a 10.043.002 euros por una infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD). En una resolución a la que ha tenido acceso EFE, la agencia confirma además la suspensión temporal de todo tratamiento de datos biométricos.

En especial, agrega, de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por AENA, hasta que este operador lleve a cabo una evaluación de impacto en la protección de datos en los términos recogidos en el RGPD

AENA recurrirá la multa

El gestor aeroportuario español AENA recurrirá ante los tribunales la sanción impuesta por la AEPD por su programa de embarque biométrico, al considerarla «desproporcionada» asegurando que no se ha producido una brecha de seguridad «en ningún momento».

En un comunicado emitido este martes, AENA insiste que no ha habido ninguna filtración de datos de los usuarios de los distintos programas de biometría para embarque desplegados en los aeropuertos de la red en España, cuya custodia, afirma, «no ha estado en riesgo en ningún momento».

La multa de la AEPD se basa en el supuesto incumplimiento de requisitos formales en la Evaluación de Impacto de Protección de Datos (EIPD), si bien AENA discrepa de esta consideración y defiende que los usuarios prestaron su consentimiento informado. La sanción impuesta a AENA se fundamenta, según la empresa, en la supuesta infracción de una obligación formal: la de no haber cumplido debidamente con la elaboración de una Evaluación de Impacto de Protección de Datos (EIPD) que cumpliera con todos los requerimientos normativos.

AENA, sin embargo, sostiene que las Evaluaciones de Impacto sí fueron realizadas antes del inicio de los programas de acceso biométrico, por lo que «discrepa respetuosamente» de la consideración de la AEPD de que no cumplían adecuadamente los requisitos. Por este motivo, y por entender que la decisión no es acorde con el principio de proporcionalidad, la empresa aeroportuaria ha confirmado que recurrirá la resolución ante los tribunales.

Seguridad de los datos y futuro del programa

En su comunicado, AENA ha insistido en que su programa biométrico ha garantizado la privacidad y seguridad de los usuarios en todo momento. La compañía ha subrayado que no ha habido ninguna filtración de datos de los usuarios de los distintos programas de biometría desplegados en la red de aeropuertos en España ni de ningún tercero. «La custodia de estos datos no ha estado en riesgo en ningún momento», asegura el gestor aeroportuario.

Además, AENA recuerda que el tratamiento de los datos biométricos se realizó tras obtener el consentimiento informado y voluntario de los pasajeros, y que a dichos datos se les ha dado el tratamiento de conservación, bloqueo y supresión recogido en la normativa vigente. El gestor aeroportuario concluye que seguirá trabajando en la línea de agilizar los procesos de documentación de los pasajeros para reiniciar el programa de embarque biométrico «tan pronto como sea posible».