Protección de Datos multa a Aena con más de 10 millones de dólares por su sistema de reconocimiento facial
La Agencia Española de Protección de Datos (AEPD) ha impuesto Aena multada con más de 10 millones de euros para la implantación de sistemas de identificación biométrica (reconocimiento facial) de pasajeros en ocho aeropuertos españoles sin Evaluación de Impacto de Protección … Tratamiento de Datos (EIPD), necesario de acuerdo con la normativa.
El documento, publicado este martes por la AEPD en su página web, concluye que el gestor del aeropuerto procesó datos biométricos «alto riesgo» sin la justificación adecuada y sin cumplir con las obligaciones precisas antes de ponerlo en funcionamiento, tal y como ha avanzado ‘El Confidencial’ y ha confirmado ABC.
«Aena ha realizado operaciones de tratamiento de datos personales biométricos (reconocimiento facial) con la finalidad de identificar de forma unívoca a los pasajeros con el fin de permitir su acceso a determinadas zonas de (…) aeropuertos sin haber justificado previamente que dicho tratamiento era necesario o proporcionalya que existen medios alternativos previos, menos intrusivos, capaces de cumplir el mismo fin de forma eficaz y segura», señala la AEPD en su documento.
En este sentido, el organismo reconoce que el tratamiento de datos de los viajeros «podría cumplir el requisito de ser adecuado» para verificar la identidad de los pasajeros y permitir su acceso a las zonas aeroportuarias, pero considera que ni el análisis anterior ni el posterior justifican que fuera «proporcional»un requisito “necesario e imprescindible” para seguir gestionando esta información personal.
Por todo ello, la AEPD ha impuesto la suspensión temporal de todo tratamiento de datos biométricos y, en particular, los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por Aena, hasta que se realice una EIPD en los términos establecidos en el Reglamento General de Protección de Datos.
Esta sanción, de 10.043.002 euros, es similar a la impuesta por la AEPD a Google en 2022 por dos infracciones «muy graves» del RGPD: transferencia ilegal de datos personales y obstrucción del derecho de supresión (derecho al olvido). Cada una de estas infracciones fue multada con cinco millones de euros por la agencia, que pidió a la tecnológica adaptar sus procedimientos para cumplir con la normativa y eliminar la información comunicada indebidamente al Proyecto Lumen.
Puedes consultar la fuente de este artículo aquí