Lo nuevo en datos biométricos: 10 millones de euros por su uso indebido a los viajeros a Aena

La Agencia Española de Protección de Datos sanciona a la empresa Aena por el uso de datos biométricos en ocho aeropuertos españoles

Ya lo llevábamos teniendo en nuestros móviles desde hace años y había sustituido a la moderna identificación mediante huella digital. Ahora, los teléfonos se desbloquean con la cara de una forma casi inmediata, y todos gracias a nuestros datos biométricos nuestras características físicas identificables como personas: el iris del ojo, la forma de la cara, la nariz, entre otros. Tecnología que ha trascendido más allá de la de un simple aparato y que se comienza a utilizar en el ámbito doméstico, empresas o incluso en lugares públicos, como podrían ser los aeropuertos. Lo que nadie se esperaba es que esta inofensiva tecnología terminara convirtiéndose en una vulneración de la protección de datos personales de los usuarios.  

La Agencia Española de Protección de Datos publicó el 25 de noviembre una resolución en la que condena a la gestora de aerolíneas Aena por utilizar datos biométricos de los viajeros en ocho aeropuertos españoles. Según la agencia, denuncia que no ha mediado una correcta Evaluación de Impacto en la Protección de Datos, tal y como exige la normativa, especialmente el Reglamento General de Protección de Datos (en adelante, RGPD). La sanción de más de 10 millones de euros se equipara a la de Google del año 2022 por infringir el derecho al olvido, cediendo datos de usuarios a terceros sin legitimación y obstaculizando el derecho de supresión. 

La consecuencia de tal sanción lleva acarreada otro “castigo” complementario: “la suspensión temporal de todo tratamiento de datos biométricos y en especial de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por Aena”. Esto implica que la gestora deberá paralizar completamente cualquier uso de esta tecnología hasta acreditar que cumple con las garantías legales requeridas.

El procedimiento sancionador se inició tras la reclamación de una usuaria, donde ésta misma declaró que Aena trató sus datos biométricos sin cumplir adecuadamente las garantías del RGPD. Tras un análisis exhaustivo de más de 80 páginas, la AEPD concluye con que principalmente se vulneró el artículo 35 del RGPD, que exige realizar una Evaluación de Impacto de Protección de Datos (en adelante, EIPD) completa, rigurosa y previa cuando se tratan datos de alto riesgo como los biométricos. Así, el hecho de no hacer la EIPD, requisito habilitante para comenzar cualquier tratamiento de este nivel de riesgo, suponía no evaluar correctamente cuál podría ser el riesgo real de dicho tratamiento. 

Por otro lado, el RGPD exige superar un triple juicio: idoneidad, necesidad y proporcionalidad estricta. La AEPD señala que, aunque el sistema podía ser idóneo para agilizar procesos, no se puedo justificar que fuera estrictamente necesario ni que no existieran alternativas eficaces menos intrusivas. Por último, el consentimiento, según la AEPD, no era válido porque se daba en un entorno desequilibrado; no era tampoco realmente libre, ya que la alternativa no biométrica no siempre era accesible en iguales condiciones y, finalmente no estaba adecuadamente informado: lo que se facilitaba era incompleta o poco transparente. 

En suma, se vio una vulneración clara del precepto número 35 del RGPD sobre la evaluación de impacto en protección de datos. Ligado a este artículo se podría decir que también se incumplieron los principios establecidos en el artículo 5 RGPD sobre: minimización, limitación de finalidad, licitud del tratamiento y responsabilidad proactiva. Por último, otros preceptos implicados indirectamente podrían ser el 6, 9, 13 o 24, que hablan de la licitud del tratamiento, del tratamiento en categorías especiales, la información que se ha de facilitar o la responsabilidad del responsable.

A estos efectos, la sanción a Aena marca un precedente importante. En un contexto en el que comienzan a proliferar sistemas biométricos en el transporte, la seguridad pública o en eventos multitudinarios, la AEPD enfatiza en varios aspectos: primeramente, la comodidad no puede justificar el uso de datos extremadamente sensibles; el consentimiento no basta cuando existen otras alternativas y, por último, toda entidad debe demostrar de manera activa que un sistema de reconocimiento facial es estrictamente necesario, no meramente conveniente. Así las cosas, recomendamos a las empresas seguir los siguientes pasos para que se protejan y pùedan cumplir adecuadamente con la normativa:

1. Realizar una EIPD completa, previa y actualizada, especialmente si hay cambios en el sistema para verificar si se está cumpliendo con el tratamiento de datos biométricos
2. Justificar documentalmente por qué el tratamiento es necesario y por qué no existen alternativas menos intrusivas
3. Diseñar el sistema bajo el principio de minimización, recogiendo solamente lo imprescindible.
4. Aplicar privacidad en el diseño y por defecto.
5. Acreditar la validez del consentimiento cuando se utilice, asegurando plena libertad del usuario.
6. Revisar continuamente criterios del CEPD y las guías de la AEPD, especialmente de biometría de 2023. También examinar si cumple con las garantías establecidas en el RGPD.

Si necesitas ayuda sobre cómo implementar el tratamiento de datos biométricos en tu empresa asegurándote de que cumpla con la normativa, no dudes en contactar con nosotros