La resolución de la Agencia Española de Protección de Datos (AEPD) contra AENA, que impuso una multa récord de 10 millones de euros, gira en torno al tratamiento de datos biométricos (reconocimiento facial) para el control de pasajeros, un tratamiento prohibido salvo en las excepciones establecidas por el Artículo 9 del RGPD por tratarse de una categoría especial de datos.
El caso se enmarca en un contexto de cierta inseguridad jurídica sobre la biometría, donde la propia AEPD ha limitado bases de licitud como el consentimiento o la obligación legal en el ámbito laboral y el CEPD ha recomendado sistemas de autenticación 1:1 señalando expresamente que el reconocimiento facial puede ser más intrusivo que la huella dactilar (Dictamen 11/2024- sobre el uso de reconocimiento facial para agilizar el flujo de pasajeros de aeropuertos).
Por otro lado, se han matizado por parte de la AEPD cuestiones técnicas relevantes para este tipo de tratamientos (biométricos), como en la consulta previa del 27 de marzo de 2025 efectuada por la Guardia Civil, donde se insta a emplear métodos que garanticen descentralización en el almacenamiento, por ejemplo, mediante almacenamiento local por parte del usuario. Por tanto, si bien se va arrojando cierta luz al respecto de este tipo de tratamientos, es un escenario propicio para sanciones como la de AENA.
Lecciones clave de la resolución
La citada sanción se debe a una serie de deficiencias graves que revelan fallos estructurales en la gestión de la privacidad de la entidad y que se reflejan notoriamente en la Evaluación de Impacto en la Protección de Datos (EIPD) efectuada, lo que supone el eje de la sanción (infracción del art. 35 RGPD). Así, aparecen carencias en la EIPD menos relevantes por no sancionarse, pero que es importante mencionar, tales como la falta de inclusión de sellos del tiempo, que garantizan la trazabilidad del documento.
1. Justificación de necesidad y proporcionalidad insuficiente
El RGPD exige probar en la EIPD con argumentos objetivos y contrastados que no existe una alternativa menos intrusiva que permita alcanzar la misma finalidad. AENA no logró acreditar:
- La insuficiencia de los métodos tradicionales (como el control visual de personal autorizado, sugerido por el CEPD).
- Por qué no se podían utilizar soluciones menos invasivas (como la autenticación 1:1).
Su análisis se limitó a mencionar ventajas operativas sin fundamentación técnica (no se acompañan con estadísticas de robos, suplantación, etc.) y no realizó una ponderación seria entre beneficios y perjuicios, ya que sólo se centró en los beneficios íntimamente relacionados con ventajas económicas para la entidad, ya que necesitaría menos personal para controlar el acceso de pasajeros mediante sistemas automatizados consistentes en el reconocimiento facial, algo que la AEPD se encarga de desacreditar como justificación válida en el juicio de proporcionalidad.
2. Análisis de riesgos incompleto
La evaluación del riesgo resulta fundamental para cumplir con el RGPD, más aún para este tipo de tratamientos de alto riesgo. Dicho análisis mostró deficiencias críticas:
La EIPD describió los riesgos de manera vaga, sin detallar la evaluación de la probabilidad e impacto de cada riesgo, ni establecer un nivel de riesgo global del tratamiento. Si las amenazas no se concretan, es imposible implementar medidas de seguridad adecuadas.
También se debería identificar el apetito del riesgo de la entidad y compararlo con el resultado del riesgo residual global del tratamiento, para determinar si el mismo es asumible.
3. Incumplimiento de privacidad desde el diseño y por defecto
Se observó que el sistema biométrico de AENA acababa tratando más datos que los manejados por el control tradicional, lo cual es incompatible con la privacidad desde el diseño y por defecto, que exige limitar la recogida de datos a lo estrictamente necesario y garantizar los principios del RGPD antes del tratamiento y durante el mismo.
4. Negligencia grave y ausencia de atenuantes
La Agencia considera que AENA actuó con negligencia grave, dada su experiencia como entidad que gestiona datos personales a gran escala. La consulta previa realizada por AENA no se aceptó como atenuante porque no fue un acto voluntario de diligencia, sino una obligación legal derivada de la naturaleza de alto riesgo del tratamiento.
5. Continuidad de la infracción
La AEPD negó la prescripción argumentando que la infracción era de carácter continuado en el tiempo, ya que el tratamiento no finalizó hasta octubre de 2024.
Conclusión
La resolución establece un claro precedente: la biometría es una tecnología que exige un rigor exhaustivo, donde la EIPD debe ser una herramienta crítica que determine si el tratamiento es necesario y proporcional asegurando el respeto a los principios rectores del RGPD, y no un mero trámite para justificar un resultado preestablecido.
Artículo escrito por:
Abogado especialista en privacidad y propiedad intelectual
Sobre Metricson
Metricson es una firma líder en servicios legales para empresas tecnológicas e innovadoras, con especialización en privacidad y GDPR y con una sólida proyección internacional, ha brindado asesoramiento desde 2009 a más de 1.400 clientes en 15 países. Entre ellos se encuentran startups, inversores, grandes compañías, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
