La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a Aena, S.M.E., S.A. (en adelante, “Aena”), por infringir el artículo 35 del Reglamento General de Protección de Datos (en adelante, “RGPD”) en relación con el proyecto piloto de reconocimiento facial implantado en un aeropuerto español.
La actuación se inicia tras una reclamación presentada en marzo de 2023, en la que se indicaba que el sistema aplicado a los procesos de acceso a filtros de seguridad, embarque y autoservicio trataba datos biométricos de los pasajeros. Durante la investigación, la AEPD verificó que el proyecto implicaba la captura de imágenes, datos identificativos y patrones biométricos para la identificación de los usuarios.
Aena alegó que el tratamiento se realizaba con el consentimiento de los interesados y que disponía de una Evaluación de Impacto en Protección de Datos (en adelante, “EIPD”) en la que se analizaban los riesgos del sistema. No obstante, la AEPD concluyó que dicha EIPD no acreditaba suficientemente la necesidad y proporcionalidad del uso de datos biométricos para los fines operativos del proyecto.
La AEPD fundamenta la sanción en los siguientes extremos:
- Incumplimiento del artículo 35 RGPD (EIPD): la documentación aportada no demuestra de forma suficiente que el tratamiento biométrico sea necesario para la finalidad prevista.
- Tratamiento de datos biométricos conforme a los artículos 9 y 10 RGPD: la base jurídica invocada requiere justificar la idoneidad del tratamiento, lo que no quedó plenamente acreditado.
- Ausencia de justificación de alternativas menos intrusivas: no se aportó información que acreditara la inexistencia de otros métodos que permitieran alcanzar el mismo fin.
- Riesgos asociados al uso de datos biométricos: la autoridad concluye que la evaluación presentada no abordaba con el nivel requerido determinados aspectos del análisis de impacto.
Por todo lo anterior, la AEPD declara la infracción del artículo 35 del RGPD e impone una sanción a Aena de 10.043.002 euros, requiriendo además la adopción de medidas destinadas a asegurar que cualquier tratamiento biométrico futuro cuente con una EIPD conforme a los requisitos establecidos en la normativa aplicable.
