La AEPD sanciona a Aena con 10 millones de euros por incumplir el RGPD

La AEPD ha resuelto el expediente sancionador n.º  EXP202304532 abierto contra AENA con la imposición de una multa de 10 millones de euros por el incumplimiento de las obligaciones contenidas en el art. 35 del RGPD relativo a la evaluación de impacto relativa al tratamiento de datos personales.

La Evaluación de Impacto en la Protección de Datos (EIPD) es una herramienta exigida por el Reglamento General de Protección de Datos (RGPD) para los responsables del tratamiento cuando este se considera de «alto riesgo» para los derechos y libertades de las personas físicas. 

Así, según el artículo 35 del RGPD, esta evaluación debe realizarse antes de iniciar el tratamiento y revisarse en caso de cambios en el diseño del tratamiento, análisis de riesgos o condiciones de necesidad, proporcionalidad e idoneidad.

En el caso de AENA, se identificó la obligación de realizar una EIPD debido al uso de tecnologías biométricas en proyectos piloto en aeropuertos españoles. AENA solicitó asesoramiento a la Agencia Española de Protección de Datos en dos ocasiones, pero no cumplió con los requisitos establecidos en el artículo 35 del RGPD. Los informes emitidos por la AEPD concluyeron que las evaluaciones presentadas por AENA no eran válidas y requerían un análisis más completo.

AENA implementó proyectos piloto biométricos entre 2019 y 2022, y aunque presentó versiones de la EIPD en 2021 y 2023, estas carecían de firma y sello de tiempo, lo que dificultaba acreditar su formalización. La AEPD señaló que las evaluaciones no cumplían con los requisitos normativos, lo que implica que AENA no había cumplido con sus obligaciones legales en materia de protección de datos hasta la fecha indicada.

La AEPD entiende que las EIPD elaboradas por AENA no cumplen con los requisitos mínimos establecidos en el apdo. 7 del artículo 35 del RGPD.  

Se identifican las siguientes deficiencias:

• Incumplimiento del apdo. 7. a) del artículo 35 del RGPD : AENA no incluye una descripción sistemática de las operaciones de tratamiento previstas ni de los fines del tratamiento. La EIPD debe detallar todas las fases del ciclo de vida del tratamiento de datos, como captura, clasificación, almacenamiento, uso, cesión, bloqueo y supresión, además de especificar los fines últimos y específicos del tratamiento. Estos fines deben ser medibles y definir un estado futuro deseable en términos cualitativos. Sin embargo, las versiones de la EIPD presentadas por AENA solo reflejan el propósito estratégico general del tratamiento, sin concretar ni individualizar las finalidades específicas ni las operaciones de tratamiento necesarias.
• Finalidades insuficientemente definidas: AENA orientó la evaluación de impacto hacia dos finalidades generales relacionadas con la seguridad y eficiencia en los procesos de embarque y acceso mediante un sistema biométrico de reconocimiento facial. Este sistema busca mejorar la calidad, seguridad y agilidad en el tránsito de pasajeros. No obstante, la EIPD no detalla las finalidades específicas ni las operaciones concretas de tratamiento de datos personales necesarias para alcanzar dichos objetivos.

En conclusión, las versiones de la EIPD de AENA no cumplen con los requisitos del artículo 35 del RGPD, ya que no describen de manera precisa y concreta los fines específicos ni las operaciones de tratamiento necesarias, limitándose a reflejar objetivos estratégicos generales.

Por su parte, AENA ante esta resolución de la AEPD ha emitido un comunicado donde asegura que las EIPD fueron elaboradas antes del inicio de los programas de embarque biométrico y discrepa de la decisión de la AEPD. 

Además, AENA garantiza que no ha habido brechas de seguridad ni filtraciones de datos de los usuarios, y que los datos biométricos han sido tratados conforme al RGPD y la LOPDGDD. Además, asegura que los pasajeros dieron su consentimiento informado para el tratamiento de sus datos biométricos.

Este programa de embarque biométrico, desarrollado en colaboración con aerolíneas, busca mejorar la experiencia de los pasajeros al agilizar los procesos de documentación en los aeropuertos. 

AENA recurrirá la sanción ante los tribunales, argumentando que la sanción impuesta no es proporcional.