La reciente sanción de 10.043.002 € impuesta por la AEPD a AENA por la implantación de un sistema biométrico en ocho aeropuertos marca un antes y un después en la regulación del tratamiento de datos especialmente protegidos en España.
Más allá del importe, el expediente confirma algo que muchos profesionales venimos advirtiendo: la EIPD no es un trámite formal, sino una pieza nuclear de la arquitectura jurídica y técnica del tratamiento.
Y si se hace mal, el coste puede ser millonario.
✈️ ¿QUÉ SUCEDIÓ REALMENTE?
AENA consultó dos veces con la AEPD antes de implantar su sistema de identificación biométrica destinado a agilizar controles y embarques. Ambas consultas fueron resueltas desfavorablemente por no ajustarse a los requisitos del art. 35 RGPD.
Aun así, el sistema se desplegó en ocho aeropuertos, apoyado en tecnología de comparación biométrica 1:N y en una base de datos centralizada.
El problema: una EIPD insuficiente, incompleta y jurídicamente incorrecta.
⚖️ PRINCIPALES DEFICIENCIAS DETECTADAS POR LA AEPD
🔹 1. Falta de una descripción sistemática del tratamiento
La EIPD solo recogía la finalidad final del sistema, pero no detallaba las operaciones de tratamiento, los flujos de datos ni la lógica completa del sistema.
Esto implica incumplir:
- Art. 35.7 RGPD
- Principio de transparencia y responsabilidad proactiva (art. 5.2 RGPD)
🔹 2. Evaluación de riesgos defectuosa
Si no se describen bien las operaciones, no se pueden valorar adecuadamente los riesgos.
La AEPD destaca que la EIPD omite escenarios críticos asociados a la biometría, como:
- Suplantación
- Reutilización no autorizada
- Correlación entre sistemas
- Impacto en derechos fundamentales
🔹 3. Medidas de mitigación insuficientes
La EIPD no incluía todas las medidas exigibles en tratamientos de este nivel:
- Gobernanza del dato
- Estrategias de minimización
- Políticas de brechas
- Análisis de proporcionalidad y alternativas
- Diseño desde el origen (privacy by design & default)
AENA justificó el modelo en base al escenario 3.1 de las Directrices 11/2024 del EDPB, pero la AEPD concluye que dicho escenario es incompatible con el almacenamiento centralizado y la comparación 1:N, que implica pérdida de control de los interesados.
🔹 4. Falta de proporcionalidad
El tratamiento incorporaba más datos de los estrictamente necesarios:
- Identificativos
- Tarjeta de embarque
- Datos biométricos
Además, la EIPD no identificaba impactos negativos ni alternativas menos intrusivas.
Esto afecta directamente al principio de minimización (art. 5.1.c RGPD).
🧩 POR QUÉ ESTA SANCIÓN MARCA UN PRECEDENTE
La resolución es un mensaje claro para todo el sector:
👉 La biometría exige un estándar reforzado de diligencia
👉 Las EIPD deben ser técnicas, completas y rigurosas
👉 La responsabilidad final es del responsable del tratamiento