La seguridad y la normativa van de la mano.
Tecnología biométrica en las empresas y sus implicaciones normativas
En el mundo actual, el avance de las tecnologías ha permitido agilizar determinados procesos en las empresas, así como ofrecer soluciones eficaces contra problemas reales. Una de las cuestiones en las que se ha producido un avance considerable es en el ámbito de la seguridad, permitiendo, por ejemplo, a través de sistemas de reconocimiento biométrico, identificar a las personas de manera precisa, lo cual puede ser utilizado como medida para limitar el acceso a determinadas instalaciones.
No obstante, la utilización de este tipo de sistemas es considerado de alto riesgo según la normativa, dada la alta sensibilidad de los datos biométricos, como identificadores únicos de las personas, lo cual va acompañado igualmente de cuestiones normativas que se deben observar para poder implementar este tipo de sistemas, cuyo incumplimiento, puede llevar a sanciones muy cuantiosas.
La AEPD sanciona con 10.000.000€ a AENA por utilizar un sistema de reconocimiento facial para la gestión del embarque de pasajeros
La AEPD ha sancionado a AENA con 10 millones de euros por incumplir gravemente la normativa de protección de datos en el uso de sistemas de reconocimiento facial, un tratamiento que implica datos biométricos, considerados categoría especial según el RGPD.
Deficiencias y tratamiento de datos
La Agencia concluye que la Evaluación de Impacto en Protección de Datos (EIPD) realizada por AENA era deficiente: carecía de firma y trazabilidad, no describía adecuadamente las operaciones de tratamiento ni sus finalidades, no analizaba de forma sistemática la necesidad y proporcionalidad del reconocimiento facial, ni identificaba ni evaluaba correctamente los riesgos para los derechos de los usuarios.
Además, la AEPD subraya que AENA continuó tratando datos biométricos pese a haber recibido informes desfavorables en consultas previas, sin corregir las deficiencias señaladas. También destaca que AENA no justificó por qué el sistema biométrico era necesario frente a alternativas menos intrusivas y que el almacenamiento centralizado aumentaba los riesgos para la privacidad sin garantías suficientes.
Vulneración del RGPD y consecuencias
Por estos motivos, la AEPD considera vulnerado el artículo 35 del RGPD (obligación de realizar una EIPD válida antes de tratar datos de alto riesgo) e impone la sanción, junto con la suspensión temporal del tratamiento biométrico hasta que AENA presente una EIPD conforme a la normativa.
AENA ha anunciado que recurrirá la resolución al considerar que la sanción no respeta el principio de proporcionalidad.
