Multa de 10 millones a AENA

Multa de 10 millones a AENA

La Agencia Española de Protección de Datos (AEPD) ha impuesto la mayor sanción hasta el momento conocida en nuestro país, siendo la cantidad a pagar nada más y nada menos que 10 millones de euros.

Esta sanción millonaria (PS/00431/2024) tiene un destinatario y es AENA, S.M.E. S.A., como consecuencia de haber utilizado un sistema de reconocimiento facial (datos biométricos) para el control de acceso de pasajeros a los aeropuertos españoles sin las debidas garantías en materia de protección de datos, en específico lo referente a la Evaluación de Impacto (EIPD).

Punto de partida

El artículo 35 del RGPD establece los supuestos y requisitos que deberá reunir una EIPD, siendo necesario que la misma se realice con carácter previo al inicio del tratamiento y de manera obligatoria en los casos especificados en el art. 35.3 del RGPD.

Para que una EIPD sea válida, tiene que poderse demostrar que ha superado de manera positiva el triple juicio de necesidad, idoneidad y proporcionalidad. Aunado a ello, y en atención al principio de responsabilidad proactiva del artículo 5.2 RGPD, el Responsable del tratamiento tendrá que poder sustentar dicha superación aportando toda la documentación generada a consecuencia de la elaboración de la EIPD, así como las medidas organizativas, técnicas y jurídicas, adoptadas al respecto.

Estudio del caso

AENA implementó un “proyecto piloto” en diferentes aeropuertos españoles (Menorca y Madrid), el cual consistía en llevar a cabo un reconocimiento facial de los viajeros, con la finalidad de mejorar los servicios aeroportuarios para que fuesen de mayor calidad y agilizaran el tránsito del pasajero por el aeropuerto. Para ello, se elaboraron las EIPD correspondientes y se elevó la consulta a la Agencia, obteniendo respuestas por parte de esta última, señalando que no cumplían con lo dispuesto en la normativa de protección de datos, por falta del análisis del riesgo y las medidas de seguridad necesarias.

Posteriormente, AENA puso en funcionamiento este proyecto piloto en Barcelona y en un total de 8 aeropuertos en todo el territorio nacional.

Los datos tratados por AENA a través de las técnicas de reconocimiento facial fueron los siguientes, según  la información que consta en su Registro de Actividades de Tratamiento (RAT): Datos identificativos, datos de contacto, datos de tarjeta de embarque y datos biométricos (reconocimiento facial).

La finalidad del tratamiento versaba sobre la identificación unívoca de pasajeros que tenían derecho de acceso, tránsito y embarque en el aeropuerto, con el propósito de mejorar el tránsito de pasajeros por el recinto aeroportuario, logrando mayores niveles de calidad, agilidad y eficiencia que los demostrados a través del método tradicional de acceso de pasajeros con la exhibición de documentos al personal del aeropuerto.

Por otro lado, el almacenamiento de estos datos se haría en los servidores de AENA y el plazo de conservación sería de 2 años.

Cabe señalar que los proyectos pilotos se establecieron en los diferentes aeropuertos españoles desde 2019 hasta 2023.

Análisis de la AEPD

Sobre la obligación incumplida del art. 35 RGPD, la AEPD señala que AENA, a pesar de haber elaborado varias EIPD y haberlas sometido a revisión de la Autoridad de control, mediante consulta, éstas no superaron los requisitos del artículo 35.2 y 7 del RGPD, y así se les notificó, señalando la necesidad de realizar un análisis más profundo respecto del tratamiento. Al respecto, en la resolución se señala que AENA presentó dos EIPD fechadas en 2021 y 2023, sin que ambas contaran con firma y sello de tiempo que acreditara su formalización.

Aunado a ello, las EIPD no contaban con una descripción a detalle de las operaciones de tratamiento de los datos a lo largo de su ciclo de vida, así como de sus finalidades, incumpliéndose así también lo dispuesto en el art. 35 RGPD.

Respecto del análisis del riesgo, en relación con la necesidad y proporcionalidad del tratamiento, se advierte por parte de la AEPD que AENA, al no haber definido correctamente las finalidades específicas del tratamiento, es imposible determinar los riesgos derivados de esos fines, así como si resulta necesario asumir o no tales riesgos para la consecución de los fines establecidos.

La AEPD ha sido muy clara en señalar en esta resolución que es necesario aplicar a cada riesgo identificado las medidas de control que reduzcan su probabilidad o impacto. El Responsable del tratamiento (AENA en este caso), debe garantizar que dichas medidas son adecuadas y proporcionales, gestionando los riesgos de forma conjunta y considerando su interrelación, con el fin de mitigar el nivel global de riesgo del tratamiento. Circunstancias que en el presente caso no ocurrieron.

Por lo tanto, la EIPD no superaba el triple juicio de necesidad, idoneidad y proporcionalidad, por las siguientes razones:

Idoneidad:

Sí, para cumplir con la finalidad pretendida (identificación unívoca de los pasajeros con derecho a acceso, tránsito, y embarque en las zonas señaladas). Es importante resaltar que la AEPD señala en este punto que la necesidad no debe confundirse con la utilidad del sistema.

Necesidad y Proporcionalidad:

No. Por dos razones:

1. No se respeta el principio de minimización de datos, ya que se conservan muchos más datos que los necesarios para la identificación de los pasajeros que se utilizaban en el método tradicional (visualización de los documentos de identificación y tarjeta de embarque).
2. Se almacenan en servidores del propio gestor del aeropuerto (centralización de las plantillas biométricas): según el Dictamen 11/2024 del CEPD, esta situación actualizaría la hipótesis tercera de su análisis en el tratamiento de datos biométricos, en donde no se cumpliría con los juicios de necesidad y proporcionalidad: “Dado que el almacenamiento de los datos de identidad y biométricos se encuentra en una base de datos central, si la confidencialidad de la base de datos se ve comprometida, puede implicar posteriormente el acceso a todo el conjunto de datos y permitir la identificación no autorizada o ilícita de los pasajeros en otros entornos. La arquitectura centralizada de almacenamiento bajo el control del gestor del aeropuerto también hace que el pasajero pierde en mayor medida el control de sus datos. El Comité considera que un resultado similar a la racionalización del flujo de pasajeros en los aeropuertos puede lograrse de manera menos intrusiva y que el impacto negativo en los derechos y libertades fundamentales de los interesados que resultaría de una violación de la seguridad de los datos en una base de datos centralizada de datos biométricos parece ser superior al beneficio previsto derivado del tratamiento. Por lo tanto, el tratamiento no puede cumplir los principios de necesidad y proporcionalidad.”

Imposición de multa millonaria

La multa asciende a más 10 millones de euros (10.043.002,00 €), como consecuencia de la naturaleza propiamente de la empresa infractora (empresa grande con un alto volumen de negocio) y la gravedad de la infracción (tanto formal como material), número de afectados (62.054 personas), tipos de datos afectados (categoría especial), así como la duración del tratamiento (desde 2019 hasta junio de 2024).

Business Adapter® a tu servicio 

Si tienes dudas sobre la necesidad de realizar una EIPD o la que dispongas cumple con los requisitos legalmente establecidos en el RGPD, hayas elaborado EIPD que has realizado cuenta con los requisitos y fundamentos legales, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: