Aena multada con 10 millones por reconocimiento facial: claves RGPD

La multa Aena reconocimiento facial impuesta por la Agencia Española de Protección de Datos (AEPD), por un total de 10.043.002 euros, ha marcado un antes y un después en la gestión de datos biométricos en España. Este caso abre un debate fundamental sobre cómo deben las empresas tratar información sensible y qué exige realmente el RGPD cuando se utilizan tecnologías de reconocimiento facial.

Qué ocurrió en el caso Aena

La multa Aena reconocimiento facial se originó cuando la compañía implantó un sistema biométrico para agilizar embarques en varios aeropuertos sin cumplir con los requisitos exigidos por el RGPD.

La AEPD determinó que:

• No se realizó una Evaluación de Impacto (EIPD) adecuada.

• No se justificó la necesidad y proporcionalidad del tratamiento biométrico.

• El sistema funcionaba bajo un modelo 1:N, comparando rostros contra una base de datos interna.

• Existían alternativas menos intrusivas que cumplían el mismo objetivo.

Debido a estas deficiencias, el tratamiento se consideró de alto riesgo.

Por qué la AEPD impone una sanción millonaria

Los motivos principales de la multa Aena reconocimiento facial están relacionados con incumplimientos esenciales del RGPD.

La AEPD sostiene que los tratamientos biométricos requieren una justificación reforzada y una EIPD exhaustiva.

Puedes consultar las directrices oficiales de la AEPD sobre tratamientos biométricos aquí:👉 https://www.aepd.es/

Falta de una evaluación de impacto sólida

La EIPD no demostraba de forma suficiente los riesgos ni las salvaguardas necesarias para un tratamiento tan intrusivo.

Necesidad y proporcionalidad no justificadas

La normativa exige que el tratamiento biométrico sea estrictamente necesario y que no exista una alternativa menos invasiva. Según la AEPD, Aena no cumplió estos criterios.

Uso de identificación 1:N

El sistema comparaba cada rostro con múltiples registros, aumentando considerablemente los riesgos para la privacidad.

¿Qué es una EIPD y por qué era obligatoria en el caso Aena?

La Evaluación de Impacto en Protección de Datos (EIPD) es un análisis exhaustivo que exige el RGPD cuando un tratamiento puede generar alto riesgo para los derechos y libertades de las personas.

En el caso de la multa Aena reconocimiento facial, la EIPD no era una opción: era una obligación legal.

El reconocimiento facial utiliza datos biométricos que identifican de forma única a una persona, por lo que requieren medidas reforzadas y una justificación muy clara.medidas reforzadas y una justificación muy clara.

¿Qué debe incluir una EIPD?

Descripción del tratamiento: qué datos se recogen, cómo se procesan, dónde se almacenan y quién tiene acceso.

• Análisis de necesidad y proporcionalidad: demostrar que no existe una alternativa menos invasiva para alcanzar el mismo objetivo.

• Identificación de riesgos: desde accesos no autorizados hasta discriminación o suplantación.

• Medidas para mitigar riesgos: cifrado, controles de acceso, minimización, segmentación de bases de datos o anonimización.

• Conclusión: determinar si el tratamiento puede realizarse o si deben aplicarse medidas adicionales.

¿Por qué era obligatoria en el caso Aena?

El reconocimiento facial es un tratamiento de alto riesgo, especialmente cuando se realiza:

• a gran escala,

• en infraestructuras críticas como aeropuertos,

• con bases de datos amplias,

• mediante sistemas 1:N.

La AEPD concluyó que la EIPD realizada por Aena no era suficiente, lo que contribuyó directamente a la sanción. tanto en profundidad como en justificación, lo que contribuyó directamente a la sanción.

Qué implica la resolución para Aena

La AEPD dictaminó:

• 🚫 Suspensión temporal del uso del reconocimiento facial.

• 📄 Revisión completa de la EIPD y análisis de riesgos.

• ⚖️ Aena recurrirá la sanción, aunque el precedente normativo ya está establecido.

Los riesgos del reconocimiento facial según el RGPD

El reconocimiento facial utiliza datos biométricos, una categoría especialmente protegida por el RGPD. Estos datos:

• Identifican de manera única a una persona.

• No pueden cambiarse si se filtran.

• Requieren medidas de seguridad extremas.

• Necesitan justificación reforzada.

• No pueden usarse solo con el consentimiento.

Una mala implementación puede convertirse en una vulneración grave de los derechos fundamentales.

Lecciones para pymes, asesorías y administradores de fincas

El caso de la multa Aena reconocimiento facial deja enseñanzas clave para cualquier organización:

• No todo lo tecnológicamente posible es legal.

• La biometría exige una justificación reforzada.

• La documentación es tan importante como la tecnología.

• La falta de proporcionalidad puede generar sanciones muy elevadas.

• Las pymes deben aplicar los mismos estándares que las grandes empresas.

Cómo deben las empresas tratar datos biométricos

Antes de utilizar biometría, IA o videovigilancia avanzada, cualquier empresa debería:

• Realizar una Evaluación de Impacto completa.

• Justificar la necesidad frente a alternativas menos intrusivas.

• Documentar riesgos, medidas y decisiones.

• Implementar cifrado y controles de acceso estrictos.

• Seleccionar proveedores que cumplan el RGPD.

• Contar con asesoramiento especializado.

En Lexdatos Solutions acompañamos a empresas en todo este proceso para evitar riesgos y sanciones.

Innovar sí, pero con responsabilidad

La sanción a Aena es un recordatorio claro: las tecnologías de alto impacto requieren un cumplimiento legal de alto nivel.

La innovación debe ir de la mano de la privacidad, la seguridad y el respeto por los derechos fundamentales.

En un mundo donde la inteligencia artificial y la biometría avanzan rápido, la vigilancia normativa también lo hace.Las empresas que tomen decisiones informadas serán las que construyan confianza, el activo más valioso en el entorno digital.

➡️ “Descubre cómo adaptamos tu empresa al RGPD”