Publicado: noviembre 25, 2025, 12:02 pm
La Agencia Española de Protección de Datos (AEPD) ha impuesto a Aena una multa de más de 10 millones de euros por la implantación de sistemas de identificación biométrica (reconocimiento facial) de pasajeros en ocho aeropuertos españoles sin una Evaluación de Impacto en Protección de Datos (EIPD), necesaria de acuerdo con el reglamento. El documento, publicado este martes por la AEPD en su página web, concluye que el gestor aeroportuario realizó un tratamiento de datos biométricos «de alto riesgo» sin una justificación adecuado y sin cumplir con las obligaciones precisas antes de ponerlo en funcionamiento, tal y como ha adelantado ‘El Confidencial’ y ha confirmado ABC. « Aena ha realizado operaciones de tratamiento de datos personales biométricos (reconocimiento facial) con la finalidad de identificar unívocamente a los pasajeros al objeto de permitir su acceso a determinadas zonas de (…) aeropuertos sin haber justificado previamente que dicho tratamiento fuera necesario ni proporcional , al existir medios alternativos previos menos intrusivos capaces de cumplir la misma finalidad con eficacia y seguridad», sentencia en su documento la AEPD. En este sentido, la agencia reconoce que el tratamiento de los datos de los viajeros «podría cumplir con el requisito de ser idóneo» para verificar la identidad de los pasajeros y permitir su acceso a las zonas aeroportuarias, pero considera que ni el análisis previo ni el posterior justifican que fuera «proporcional» , un requisito «necesario y esencial» para continuar con la gestión de esta información personal. El texto también detalla que Aena empleaba en los ochos aeropuertos el sistema uno-a-varios (1:N) , que desde el punto de vista de protección de datos implica una búsqueda activa dentro de un conjunto de identidades preexistentes, lo cual puede comportar «mayores riesgos para los derechos fundamentales de las personas físicas» . Por todo ello, la AEPD ha impuesto la suspensión temporal de todo tratamiento de datos biométricos y, en especial, de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por Aena, hasta que lleve a cabo una EIPD en los términos recogidos en el Reglamento General de Protección de Datos. Esta sanción, de 10.043.002 euros es similar a la impuesta por la AEPD a Google en 2022 por dos infracciones «muy graves» del RGPD: cesión ilegal de datos personales y obstaculización del derecho de supresión (derecho al olvido). Cada una de estas infracciones fue multada con cinco millones de euros por la agencia, que pidió a la tecnológica que adaptara sus procedimientos para cumplir con la normativa y eliminara la información comunicada indebidamente al Proyecto Lumen. Por su parte, el gestor aeroportuario ha anunciado que recurrirá ante los tribunales la sanción al considerarla «desproporcionada». Asimismo, Aena argumenta que no se ha producido una brecha de seguridad «en ningún momento» ni ha habido ninguna filtración de datos de los usuarios de los distintos programas de biometría para embarque desplegados. Aena sostiene que las evaluaciones de impacto sí fueron realizadas antes del inicio de los programas de acceso biométrico, por lo que «discrepa respetuosamente» de la consideración de la AEPD de que no cumplían adecuadamente los requisitos.
