hombre leyendo el Reglamento sancionador de la AEPD a Aena

LA AEPD sanciona a Aena con 10 millones por incumplir el RGPD

El reciente pronunciamiento de la AEPD, que impone a AENA una sanción superior a 10 millones de euros por su sistema de reconocimiento facial en aeropuertos, es un hito paradigmático en materia de protección de datos.

No se discute la tecnología, sino el cumplimiento del tratamiento: sin una evaluación de impacto válida, sin una justificación de necesidad y proporcionalidad y sin garantizar los derechos fundamentales de los pasajeros.

Para cualquier empresa o institución que piense desplegar sistemas de datos sensibles: este caso debe ser una llamada de atención. En entornos regulados, el éxito no reside solo en innovar, sino en gobernar con rigor.

Qué ha decidido la AEPD: los elementos clave de la resolución

  • Infracción del artículo 35 del RGPD

La AEPD concluye que AENA “no elaboró una Evaluación de Impacto en Protección de Datos (EIPD) ajustada a los requisitos normativos” antes de activar el tratamiento de datos biométricos en su red de aeropuertos. Este artículo exige un análisis previo cuando el tratamiento “pueda implicar un alto riesgo para los derechos y libertades de las personas”, como es el caso de datos biométricos.

  • Falta de adecuación en “necesidad, idoneidad y proporcionalidad”

Según la resolución, AENA no justificó por qué su sistema de reconocimiento facial era estrictamente necesario ni por qué no se podían usar alternativas menos intrusivas (por ejemplo, verificación con documento de identidad y billete). El modelo empleado era 1:N con base de datos centralizada, lo cual incrementa notablemente los riesgos de derechos fundamentales.

  • Consentimiento y derecho de los pasajeros insuficientes

Aunque AENA argumentó que los pasajeros aceptaban voluntariamente el sistema y podían optar por métodos tradicionales, la AEPD considera que la existencia de consentimiento informado no exime de evaluar riesgos ni de garantizar que la opción alternativa sea realista.

  • Datos sensibles: especial protección normativa

Los datos biométricos constituyen “categoría especial” según el Reglamento. Su tratamiento requiere niveles más altos de garantías, controles y evaluaciones previas. La AEPD subraya que la responsabilidad recae en el responsable del tratamiento; en este caso, AENA.

  • Suspensión del tratamiento y sanción millonaria

La multa impuesta asciende a 10.043.002 €, una de las más altas de la historia reciente en España. Además, la AEPD ha ordenado la suspensión del sistema biométrico hasta que AENA presente una EIPD conforme a la normativa.

Leer la resolución

Qué salió mal: fallos de diseño y gobernanza

qué salio mal resolución noticia AENA

Lecciones que nos aporta esta noticia

persona guardando un disco frente al ordenador protegiendo datos
  1. La tecnología no justifica la omisión normativa.
    Innovar no te exime de cumplir. Cualquier proyecto con datos sensibles debe comenzar con una EIPD bien elaborada y un análisis riguroso de riesgos.
  2. Consentimiento ≠ legalidad absoluta.
    Especialmente cuando se trata de datos sensibles. El consentimiento puede ser necesario, pero no basta para legitimar un tratamiento de alto riesgo si no hay mitigación adecuada.
  3. Alternativas menos invasivas siempre deben explorarse.
    Si puedes cumplir el mismo objetivo con métodos tradicionales o menos intrusivos, la biometría debe quedar solo para casos estrictamente justificados.
  4. Gobernanza + norma + técnica = clave.
    Un sistema de gestión basado en estándares como la ISO 27001 o ISO 42001 es, a día de hoy, una ventaja competitiva y defensiva. Porque protege datos… y evita multas millonarias.
  5. Documentación, trazabilidad y transparencia (internas y externas)
    Tener registrado el tratamiento, los análisis de riesgos, las decisiones, las alternativas descartadas, los consentimientos y los controles implementados puede marcar la diferencia ante una auditoría o sanción.

HELIGRÀFICS: 1ª EMPRESA ESPAÑOLA EN CERTIFICARSE EN ISO 42001 POR BUREAU VERITAS

Acompañamos a nuestro cliente desde el diseño, implementación y certificación del Sistema de Gestión de Inteligencia Artificial por Bureau Veritas, consiguiendo un hito en su sector.
Descubre más sobre el evento

Conclusión: La sanción a AENA pone en valor la gobernanza, no solo la innovación

El caso de AENA con la sanción de AEPD ya es un antes y después en el panorama español de protección de datos.

No se trata de demonizar la innovación o la tecnología; se trata de entender que, en el uso de datos sensibles, la protección y el cumplimiento legal cuentan tanto, o más, que la propia innovación.

Para las empresas que desarrollan proyectos similares, el mensaje es claro: “Innovar sin gobernanza no es riesgo calculado: es jugar a la ruleta regulatoria.”

Desde ComplianceCMS, instamos a responsables de protección de datos, compliance officers, responsables de sistemas de gestión y dirección a reforzar sus sistemas de gestión. Un buen diseño, una evaluación de riesgos rigurosa, una implementación sólida y un enfoque sistemático son hoy la mejor inversión para asegurar la protección de tus datos y de tu negocio. 

Solicita una primera reunión sin compromiso

OTROS ARTÍCULOS DE INTERÉS

Presupuesto