La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de más de 10 millones de euros a Aenapor desplegar sistemas de reconocimiento facial sin haber hecho previamente una evaluación de impacto válida que, entre otras cuestiones, examine la necesidad, idoneidad y proporcionalidad de la medida.

En total, la multa se eleva a 10.043.002 euros por una infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD). En una resolución a la que ha tenido acceso ‘EFE’, la agencia confirma además la suspensión temporal de todo tratamiento de datos biométricos.

En especial, agrega el texto, de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por Aena, hasta que este operador lleve a cabo una evaluación de impacto en la protección de datos (EIPD) en los términos recogidos en el artículo 35 del RGPD.

Según el citado artículo, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías (…), entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable -este caso Aena- realizará, antes del tratamiento, una evaluación del impacto de las operaciones en la protección de datos personales.

Esta evaluación deberá incluir como mínimo una serie de cosas, entre ellas una descripción sistemática de las operaciones de tratamiento previstas y de los fines del mismo, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

Además de una descripción de la necesidad y proporcionalidad de la medida, la citada evaluación deberá integrar las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Aena recurrirá

Ante esta decisión de la agencia, adelantada por ‘El Confidencial’ y confirmada por ‘EFE’, cabe recurso; Aena ya ha anunciado que recurrirá ante los tribunales la sanción.

El gestor aeroportuario español entiende, en un comunicado difundido este martes, que la resolución no es acorde con el principio de proporcionalidad.

La sanción se fundamenta en la supuesta infracción de una obligación formal, al considerar la AEPD que Aena no cumplió debidamente con su obligación formal de elaborar una evaluación de impacto de protección de datos que cumpliera con los requerimientos que establece la normativa, con carácter previo al inicio de los programas en los que se habilitó el acceso biométrico a los pasajeros que así lo solicitaron.

Habiéndose elaborado tales evaluaciones antes del inicio de los programas, Aena «discrepa respetuosamente» de la consideración de la AEPD de que las evaluaciones realizadas no cumplían adecuadamente los requerimientos normativos aplicables.

Aena garantiza que no se ha producido ninguna brecha de seguridad y que, por tanto, no ha habido ninguna filtración de datos de los usuarios de los distintos programas de biometría para embarque, desplegados en los aeropuertos de la red en España, ni de ningún tercero.

Ha añadido que los titulares de los datos «prestaron voluntariamente su consentimiento informado al tratamiento necesario para disfrutar del acceso biométrico».

Asimismo, ha explicado que puso en marcha el embarque biométrico, junto con las compañías aéreas que participaron en el programa, con el fin de proporcionar a los pasajeros una mejor experiencia en los aeropuertos, al agilizar el paso por los procesos de documentación.

El gestor aeroportuario «seguirá trabajando en esta línea, para reiniciar el programa tan pronto como sea posible».

Otras multas millonarias

La alta cuantía de la multa se asemeja a otras anteriormente declaradas por la AEPD. Así, en 2022 anunció una de diez millones de euros a Google LLC por vulnerar los artículos 6 y 17 del RGPD que regulan el derecho al olvido.

La AEPD declaraba la existencia de dos infracciones «muy graves» por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho a la supresión de los ciudadanos.

El año anterior, en 2021, la AEPD impuso a Vodafone España varias sanciones que sumaban más de ocho millones de euros por incumplir varios artículos de la legislación española; en ese momento se convertía en la multa más alta que había decretado este organismo.

La mayoría de las reclamaciones contra Vodafone España denunciaban la realización de acciones de mercadotecnia y de prospección comercial a través de llamadas telefónicas y mediante el envío de comunicaciones comerciales electrónicas, tanto de correos como de mensajes SMS, acciones que según la agencia vulneran la legalidad.

Esas comunicaciones no habían sido solicitadas o expresamente autorizadas por las personas que las han recibido. En enero de 2025, la Audiencia Nacional rebajó de 8 a 4,5 millones la sanción.

*Sigue a laSexta en Google. Toda la actualidad y el mejor contenido aquí.

Hacia los PGE


El Gobierno aprueba un techo de gasto récord de 212.026 millones para 2026, un 8,5% más

¿Por qué es importante? La aprobación del límite de gasto no financiero y de la senda de estabilidad es un paso previo a la presentación de los Presupuestos Generales del Estado. Montero insiste en que el Ejecutivo va a presentar las cuentas.