La Agencia Española de Protección de Datos (AEPD) ha impuesto a Aena una sanción de diez millones de euros por desplegar sistemas de reconocimiento facial en aeropuertos españoles sin haber realizado, previamente, una evaluación de impacto en protección de datos (EIPD) conforme a la normativa. Además, ha ordenado la suspensión inmediata y temporal de todos los tratamientos de datos biométricos relacionados con ese sistema.

Esta resolución representa un hito, tanto por la cuantía como por sus fundamentos: la AEPD considera que Aena implementó un tratamiento de “alto riesgo” (por tratar datos biométricos), sin justificar la necesidad ni la proporcionalidad, y sin adoptar las garantías requeridas. Por todo lo anterior, este caso sirve como un referente para cualquier empresa u organización que pretenda usar tecnologías que procesen datos personales biométricos, como la huella dactilar o el reconocimiento facial.

Falta de proporcionalidad y necesidad

El artículo 35 del Reglamento General de Protección de Datos (RGPD) exige una evaluación de impacto previa cuando se van a tratar datos que entrañan un alto riesgo para los derechos y libertades de las personas, como es el caso que nos ocupa. La AEPD señala que la evaluación presentada por Aena tenía graves deficiencias: no contenía un análisis realista de la necesidad o proporcionalidad del sistema, no evaluaba adecuadamente los riesgos, ni establecía medidas técnicas y organizativas suficientes para minimizar el riesgo.

El sistema biométrico de Aena utilizaba las imágenes captadas para identificar los rostros a través de un sistema de identificación “uno a varios”, es decir, las caras captadas se cotejaban con la totalidad de una base de datos, lo que se considera un método considerado especialmente intrusivo. Esa técnica es la contrapuesta al método de autenticación “uno a uno”, es decir, el interesado se identifica en un paso previo y el sistema, a través de la lectura biométrica, comprueba su identidad. En definitiva, existían alternativas menos intrusivas que no se estudiaron lo suficiente, según la AEPD.

Finalmente, la Agencia recalca que la proporcionalidad de la medida no estaba debidamente justificada en función de sus objetivos, que no eran otros que agilizar el embarque o mejorar experiencia de usuario, pues estos podrían haberse alcanzado con sistemas menos invasivos.

¿Cuáles son las claves del caso?

• Datos biométricos como tratamiento de alto riesgo.
  El RGPD califica los datos biométricos como categorías especiales de datos, que requieren medidas reforzadas.
  Cualquier tratamiento debe evaluarse con una evaluación de impacto, y su despliegue exige especial diligencia.
  La propia AEPD ofrece guías específicas sobre EIPD, disponibles en su portal de guías y herramientas oficiales.
• No es suficiente con el consentimiento de los interesados.
  Aunque Aena defiende que los pasajeros prestaron su consentimiento voluntario, la AEPD recuerda que el consentimiento no valida un tratamiento desproporcionado o innecesario.
  La biometría exige una base jurídica más robusta y un análisis riguroso del impacto en derechos fundamentales, conforme a las directrices del Comité Europeo de Protección de Datos (EDPB) sobre tratamiento de datos biométricos.
• Riesgo reputacional y económico.
  Con 10 millones de euros de multa, más la suspensión del sistema, esta resolución pone en relieve el coste de optar por tecnologías invasivas, más allá de los elevados costes de su implementación.
• Precedente doctrinal.
  Esta sanción consolida la doctrina de la AEPD y del Comité Europeo de Protección de Datos, cuyas directrices sobre proporcionalidad y necesidad pueden consultarse en sus guías oficiales,
  admitiendo el uso de biometría únicamente cuando se justifique rigurosamente su necesidad, proporcionalidad y la inexistencia de métodos alternativos menos intrusivos.

Qué hacer antes de implantar un sistema de lectura biométrica

Antes de instalar un sistema de lectura biométrica, será necesario que cualquier organización realice con carácter previo una evaluación de impacto rigurosa y documentada que analice la necesidad, proporcionalidad, riesgos y medidas de mitigación.
Para ello, puede resultar de utilidad la herramienta de evaluaciones de impacto de la AEPD disponible en sus recursos oficiales.

En cualquier caso, antes de acudir al tratamiento de datos biométricos las organizaciones siempre deben estudiar las alternativas menos intrusivas para los derechos y la intimidad de los interesados, debiendo de ser el tratamiento de datos biométricos la última opción viable para alcanzar el fin perseguido.

Permítenos guiarte para que la innovación tecnológica de tu empresa vaya siempre de la mano de la seguridad jurídica y la confianza de tus clientes.

No permitas que la falta de una Evaluación de Impacto adecuada frene tus proyectos o derive en la suspensión de tus servicios. Contáctanos y validaremos tus procesos para asegurar un tratamiento de datos ético, seguro y conforme a la ley.