La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 10 millones de euros al gestor de aeropuertos Aena por la implementación de sistemas de identificación biométrica en varios terminales del país. La resolución, que ha caído como un jarro de agua fría en el sector, obliga a la empresa pública a suspender de forma inmediata el tratamiento de datos biométricos, especialmente aquellos relacionados con el reconocimiento facial para controlar el acceso de pasajeros a zonas restringidas.
La medida afecta a ocho instalaciones aeroportuarias: los grandes hubs de Madrid-Barajas y Barcelona-El Prat, junto con los aeropuertos de Alicante, Gran Canaria, Tenerife-Norte, Palma de Mallorca, Menorca e Ibiza. En todos ellos, Aena había desplegado una tecnología que permitía a los viajeros pasar los controles de seguridad y embarque mediante el simple escaneo de su rostro, sin necesidad de mostrar repetidamente su documentación.
La AEPD considera que este sistema supone un tratamiento de datos de alto riesgo que no ha sido debidamente justificado. En su informe, la agencia regulatoria subraya que el modelo empleado, conocido como "uno-a-varios" o 1:N, implica una búsqueda activa dentro de una base de datos preexistente, lo que incrementa exponencialmente los riesgos para los derechos fundamentales de las personas. Esta tecnología no solo verifica una identidad, sino que la compara contra múltiples perfiles almacenados, lo que la convierte en una herramienta de vigilancia masiva según los expertos en privacidad.
La respuesta de Aena no se ha hecho esperar. Apenas conocida la resolución, la empresa que preside Maurici Lucena ha anunciado que interpondrá recurso contencioso-administrativo ante la justicia ordinaria. En un comunicado oficial, el gestor aeroportuario ha calificado la sanción como "desproporcionada" y ha asegurado que la decisión de la AEPD no respeta el principio de proporcionalidad que rige el derecho administrativo sancionador.
La cuantía de la multa, que iguala la impuesta a Google en 2022 por ceder datos personales a terceros sin legitimación, ha sido uno de los puntos más controvertidos. Aena argumenta que comparar su caso con el gigante tecnológico estadounidense es un ejercicio de falseamiento, ya que no ha existido ninguna vulneración de seguridad ni filtración de información sensible. "La custodia de los datos no ha estado en riesgo en ningún momento", ha asegurado la compañía en su réplica institucional.
El núcleo del desencuentro legal radica en la Evaluación de Impacto en la Protección de Datos (EIPD), un documento obligatorio según el Reglamento General de Protección de Datos (RGPD) para aquellos tratamientos que pueden suponer un riesgo elevado para los derechos y libertades de los ciudadanos. La AEPD sostiene que Aena no elaboró correctamente este análisis previo, mientras que la empresa defiende que sí cumplió con esta "obligación formal" antes de poner en marcha los programas.
Desde su perspectiva, Aena insiste en que el paso por los sistemas de reconocimiento facial es totalmente voluntario y se realiza siempre con el consentimiento informado previo del viajero. Los pasajeros que no deseen usar esta tecnología pueden acudir a los canales tradicionales de control documental sin ningún tipo de discriminación o retraso adicional. Esta circunstancia, según el gestor, minimiza el impacto en la privacidad individual y justifica la proporcionalidad del sistema.
Sin embargo, la AEPD no comparte esta interpretación. Para la agencia, el mero hecho de que el tratamiento sea voluntario no exime de la obligación de realizar una evaluación de impacto rigurosa que analice todos los riesgos potenciales. La normativa europea es clara en este sentido: cuando se trata datos biométricos con fines de identificación, se activan las garantías más estrictas, independientemente de que el consentimiento sea libre.
El debate técnico se centra en la arquitectura del sistema. El modelo 1:N (uno-a-varios) es inherentemente más invasivo que el 1:1, donde una cara se compara con un único documento. En el sistema de Aena, cada rostro escaneado se cotejaba contra una base de datos de pasajeros esperados, lo que implica un procesamiento masivo de información biométrica en tiempo real. Esta característica es la que ha activado las alarmas del regulador.
La empresa, por su parte, defiende la robustez técnica y legal de su implementación. Subraya que los datos biométricos se almacenan de forma cifrada y se eliminan inmediatamente después de cada vuelo, sin que quede rastro permanente en los sistemas de Aena. Además, asegura que la tecnología ha sido auditada por expertos externos y cumple con los estándares de seguridad más exigentes del sector.
El conflicto llega en un momento de creciente sensibilidad social hacia la privacidad digital. La inteligencia artificial aplicada a la videovigilancia y el reconocimiento facial está generando debates intensos en toda Europa. Ciudades como San Francisco han prohibido su uso por parte de organismos públicos, mientras que la Unión Europea negocia la IA Act, que regulará estas tecnologías con mayor rigor.
En España, este caso puede sentar un precedente importante. La sanción a Aena es la más elevada jamás impuesta por la AEPD por un tratamiento de datos biométricos, y su resolución judicial marcará el camino para futuras implementaciones similares. El sector tecnológico y el transporte aéreo observan con lupa el desarrollo de este contencioso, ya que muchas compañías están explorando soluciones similares para agilizar los procesos de embarque.
La posición de Aena es que el reconocimiento facial representa el futuro de la experiencia del viajero, permitiendo procesos más ágiles, seguros y sin contacto. En un contexto postpandemia, donde la higiene y la minimización de interacciones físicas han ganado protagonismo, esta tecnología se presentaba como una solución moderna y eficiente.
No obstante, la AEPD advierte de que la eficiencia operativa no puede primar sobre los derechos fundamentales. La agencia recuerda que la biométrica es una categoría especial de datos que revela información única e irreversible sobre las personas, y su tratamiento requiere salvaguardas excepcionales. Una evaluación deficiente de riesgos puede abrir la puerta a usos indebidos o a vulneraciones de seguridad futuras.
El recurso que prepara Aena se centrará tanto en cuestiones de fondo como de forma. La empresa cuestionará la interpretación que hace la AEPD del concepto de "alto riesgo" y argumentará que su EIPD sí cumplía los requisitos legales. También pondrá el foco en la presunta falta de proporcionalidad de la sanción, dado que no ha habido daño efectivo a los derechos de los ciudadanos.
Mientras tanto, los ocho aeropuertos afectados deberán suspender el uso del reconocimiento facial hasta que se resuelva el contencioso. Esto supone un revés operativo importante, ya que muchos pasajeros ya se habían adaptado a este sistema y valoraban positivamente su rapidez. Las aerolíneas que operan en estos hubs también se verán afectadas, ya que tendrán que reforzar los controles manuales en puertas de embarque.
El caso Aena ilustra la tensión creciente entre innovación tecnológica y protección de datos. Mientras las empresas buscan soluciones digitales que mejoren la eficiencia y la experiencia de usuario, los reguladores europeos endurecen su postura para garantizar que estos avances no se construyan sobre la erosion de la privacidad individual.
La resolución judicial, que podría tardar meses o incluso años, será seguida con atención no solo en España, sino en toda la Unión Europea. Sentará un precedente sobre cómo interpretar el RGPD en materia de biométrica y definirá los límites dentro de los cuales los gestores de infraestructuras críticas pueden implementar estas tecnologías.
Para el viajero medio, la incertidumbre es la nota dominante. Muchos se preguntan si volverán a poder usar el embarque rápido con su rostro o si deberán recuperar el pasaporte y el DNI para cada control. La respuesta dependerá de quién gane esta batalla legal que enfrenta a dos pesos pesados del sector público español.
Mientras tanto, la AEPD ha dejado claro que no cejará en su labor de vigilancia. La agencia ha anunciado que intensificará las inspecciones en entidades que traten datos biométricos, especialmente en sectores como el transporte, la sanidad y la educación. El mensaje es inequívoco: el cumplimiento del RGPD no es negociable, y las sanciones serán contundentes cuando se detecten deficiencias graves.
Aena, por su parte, confía en que la justicia le dará la razón. La empresa argumenta que su compromiso con la privacidad es total y que ha invertido millones en garantizar la seguridad de los datos de los viajeros. El recurso judicial no es solo una cuestión económica, sino de principios: defender la capacidad de innovar dentro de un marco legal que, a su juicio, no está siendo interpretado correctamente.
El tiempo dirá quién tiene la razón legal. Lo que está claro es que este caso ha abierto un debate necesario sobre los límites de la tecnología biométrica en espacios públicos. En una sociedad cada vez más digitalizada, la balanza entre seguridad, eficiencia y privacidad será uno de los grandes retos del siglo XXI.