Le acaban de imponer una multa de 10 millones de euros. – Desde dentro

La Autoridad Española de Protección de Datos ha impuesto la mayor sanción tecnológica de España a Aena. No se trata de un problema de seguridad ni de fuga de datos, sino del uso de una tecnología de “alto riesgo” para los derechos fundamentales sin demostrar que era realmente necesaria.

El regulador también ha ordenado el cese inmediato de todas las medidas de reconocimiento facial en los aeropuertos hasta que se corrijan las deficiencias.

¿Qué pasó?. La multa de 10.043.002 euros castiga específicamente la falta de una evaluación de impacto válida antes del tratamiento de datos biométricos de más de 62.000 pasajeros.

La resolución del 6 de noviembre, ahora conocida, detalla que Aena continuó con el sistema a pesar de haber recibido ya dos informes negativos del propio organismo durante el periodo de consultas.

El núcleo de la violación. El problema no radica en el uso de datos biométricos, sino en cómo se diseñó la arquitectura del sistema:

• Aena eligió esto un modelo de “identificación uno a muchos” con almacenamiento central.
• Esto significa que el rostro del pasajero no sólo se cotejó con sus documentos en el momento del control, sino que también se almacenó en una base de datos central durante un máximo de dos años.
• El regulador cree que existen alternativas mucho menos intrusivas para lograr el mismo objetivo de acelerar el embarque. Por ejemplo, la autenticación biométrica local o simplemente el tradicional sistema de verificación visual que funciona desde hace décadas.

Entre líneas. La AEPD cuestiona la premisa de que la “experiencia de usuario” justifica cualquier despliegue tecnológico. En su resolución, el panel liderado por Lorenzo Cotino califica de «grave» la falta de diligencia debida de Aena y destaca que la compañía era plenamente consciente de que su programa implicaba un trato especial y de alto riesgo.

El sistema funcionó en ocho aeropuertos:

1. Madrid-Barajas.
2. Barcelona-El Prat.
3. Alicante.
4. Gran Canaria.
5. Tenerife Norte.
6. Palma de Mallorca.
7. Menorca.
8. Ibiza.

La implementación de controles biométricos fue voluntaria y se llevó a cabo en paralelo con los controles de documentos tradicionales, que continúan realizándose como hasta ahora.

La respuesta de Aena. el administrador del aeropuerto ha anunciado que recurrirá la sanción ante los tribunalesexpresando su “respetuoso desacuerdo”.

• Se afirma que los pasajeros dieron su consentimiento voluntariamente y que la seguridad de los datos nunca se vio comprometida.
• «No hubo ninguna violación de seguridad y, por tanto, ninguna filtración de datos», destacó la empresa.

Aena califica la sanción de «desproporcionada» y argumenta que se basa en un «presunto incumplimiento de una obligación formal». En el ámbito de la protección de datos, sin embargo, el consentimiento no autoriza el tratamiento si éste resulta desproporcionado o innecesario por su diseño.

si pero. La suspensión ordenada por la AEPD no tiene impacto en las operaciones de vuelo. Permanecerá vigente hasta que Aena realice una evaluación de riesgos que realmente tenga en cuenta las amenazas a los derechos y libertades de los viajeros. La empresa aseguró que trabajaría para reiniciar el programa “lo antes posible”.

En | “No lo hicimos bien”: La DGT supone que algo salió mal cuando llegó la baliza V-16

Imagen destacada | Aena