El cumplimiento de las reglas de protección de datos no es opcional
La adopción de tecnologías de reconocimiento facial para agilizar procesos como el embarque puede sonar como innovación, pero cuando se trata de datos biométricos —que son extremadamente sensibles— el cumplimiento de las reglas de protección de datos no es opcional. Recientemente, la Agencia Española de Protección de Datos (AEPD) sancionó a Aena, la entidad que gestiona los aeropuertos de España, con una multa de 10.043.002 euros por implantar sistemas de reconocimiento facial sin una Evaluación de Impacto en la Protección de Datos (EIPD) válida, como exige el Reglamento General de Protección de Datos (RGPD). Esta sanción se suma al orden de suspender temporalmente el uso de la tecnología hasta que se subsanen las deficiencias normativas.
¿Qué pasó exactamente con el reconocimiento facial en Aena?
Entre 2019 y 2024, Aena desplegó un programa de identificación biométrica basado en reconocimiento facial en hasta ocho aeropuertos españoles, incluyendo hubs importantes como Madrid-Barajas, Barcelona-El Prat, Alicante, Gran Canaria o Palma de Mallorca. El sistema permitía a los pasajeros acceder a controles de seguridad, puertas de embarque y mostradores de autoentrega de equipaje solo con su rostro, eliminando la necesidad de documentación física.
Según la AEPD, este tratamiento de datos biométricos —considerado de alto riesgo por su naturaleza sensible— se activó sin una evaluación de impacto previa que cumpliera con los estándares del RGPD, algo que la legislación exige cuando se procesan datos que pueden afectar derechos fundamentales como la privacidad, dignidad o libertad de las personas. Además, el regulador señaló que existían alternativas menos intrusivas para alcanzar objetivos similares, por lo que no se justificó adecuadamente la necesidad, proporcionalidad e idoneidad del uso de la tecnología.
¿Cuál fue la razón de la multa y las consecuencias?
Sanción millonaria
La AEPD impuso una multa de 10.043.002 euros, una de las más altas en su historia (comparada con sanciones previas de grandes empresas) y equivalente a la que recibió Google en 2022 por infracciones de privacidad.
Suspensión temporal del sistema
La sanción incluye también la suspensión temporal del tratamiento de datos biométricos relacionados con el reconocimiento facial en los aeropuertos afectados. Según el regulador, este tratamiento —activado sin una EIPD adecuada— debe paralizarse hasta que Aena presente una evaluación de impacto conforme al RGPD.
Defensa de Aena
Aena ha anunciado que va a recurrir la multa ante los tribunales, rechazando que se hayan vulnerado derechos de los pasajeros o que la tecnología haya comprometido su seguridad. La compañía sostiene que sí realizó evaluaciones de impacto antes de iniciar sus programas y que el uso del sistema fue voluntario para quienes optaron por él, además de afirmar que en ningún momento hubo brechas de seguridad o filtraciones de datos.
¿Por qué es tan relevante esta multa?
Este caso no se trata simplemente de una multa administrativa: es una señal clara de que las autoridades europeas están vigilando estrechamente cómo se manejan los datos sensibles —especialmente biométricos— y exigiendo el cumplimiento estricto de las obligaciones legales antes de implementar tecnologías que pueden impactar en gran medida la privacidad de las personas.
La Evaluación de Impacto en la Protección de Datos (EIPD) es un paso esencial cuando se planea procesar datos que podrían suponer un alto riesgo para derechos y libertades (como ocurre con los patrones faciales). No basta con realizar estudios internos: deben ser completos, documentados y demostrar que se han considerado alternativas menos intrusivas, así como los riesgos y las medidas para mitigarlos.
Lecciones para organizaciones que usan IA y biometría
Cumplir con las EIPD antes de iniciar cualquier sistema de alto riesgo: no hacerlo puede costar millones y paralizar proyectos.
Justificar necesidad y proporcionalidad: debe quedar claro que no existen medios menos intrusivos para lograr los mismos fines.
Revisar alternativas tecnológicas: frecuentemente hay formas menos invasivas de alcanzar objetivos de seguridad o eficiencia.
Documentar todo el proceso: decisiones, análisis de riesgos, consultas a autoridades y medidas de mitigación deben quedar registradas.
Este caso es especialmente importante para empresas y organismos que trabajan con tecnologías avanzadas como IA y biometría, pues recalca que la innovación no exime del cumplimiento de las normas de privacidad más estrictas del mundo.
Reflexión final
El caso de Aena y la sanción de la AEPD recuerda que la responsabilidad en el uso de tecnologías que procesan datos sensibles no es solo una cuestión técnica, sino legal y ética. Sistemas como el reconocimiento facial pueden agilizar procesos y mejorar la experiencia de los usuarios, pero solo si se implementan con una base sólida de protección de datos, análisis de riesgos y respeto por los derechos fundamentales. La innovación y la privacidad deben avanzar de la mano, y este caso pone de manifiesto que las autoridades europeas están dispuestas a actuar con firmeza cuando se perciben fallas en esa armonía.
Fuente: CiberSeguridad Latam – Multa récord de la AEPD a Aena: 10 millones de euros por reconocimiento facial sin evaluación de impacto válida.
URL: https://ciberseguridadlatam.com/multa-record-de-la-aepd-a-aena-10-millones-de-euros-por-reconocimiento-facial-sin-evaluacion-de-impacto-valida/