La Agencia Española de Protección de Datos (AEPD) ha impuesto a AENA una multa histórica de mas de 10 millones de euros por el uso de sistemas de reconocimiento facial en varios aeropuertos sin realizar previamente una evaluación de impacto válida, tal y como exige el Reglamento General de Protección de Datos (RGPD).
Es decir, la sanción no se ha impuesto en si por haber filtrado datos o algo similar, sino por haber desplegado una tecnología “de alto riesgo” para los derechos fundamentales sin poder demostrar que fuera realmente necesaria, es decir, no se respeta el principio de minimización de datos.
En el marco de un tratamiento, cualquiera de las distintas técnicas biométricas que se incluyan tienen que ser evaluadas de acuerdo con la adecuación, proporcionalidad y la necesidad, su finalidad, su el impacto en los derechos y libertades de las personas físicas y los riesgos que conllevan, tanto para el individuo como para la sociedad.
Utilización datos biométricos
El problema en si no es que se haya hecho uso de la biometría sino cómo se utilizó:
- Se optó por un modelo de “identificación uno-a-varios” con almacenamiento centralizado.
- Es decir, la cara del pasajero no se cotejaba únicamente contra su documentación en el momento de pasar el control, sino que se guardaban en una base de datos centrales durante años
- El regulador considera que existían alternativas mucho menos intrusivas para poder lograr el mismo objetivo y poder garantizar el embarque, como por ejemplo la autenticación biométrica local o simplemente el sistema tradicional de comprobación visual.
El sistema uno a varios, desde el punto de vista de protección de datos implica una búsqueda activa dentro de un conjunto de entidades preexistentes, lo cual comporta mayores riesgos para los Derechos fundamentales, especialmente en contextos de vigilancia masiva, control social o de seguridad. Se basa en confirmar que una persona es quien dice ser, comparando sus datos biométricos con una plantilla únicamente vinculada a su identidad.
En el marco de un tratamiento, cualquiera de las distintas técnicas biométricas que se incluyan tienen que ser evaluadas de acuerdo con la adecuación, proporcionalidad y la necesidad, su finalidad, su el impacto en los derechos y libertades de las personas físicas y los riesgos que conllevan, tanto para el individuo como para la sociedad.
Evaluación de impacto
En todo caso la evaluación de impacto es el instrumento imprescindible en el que el responsable pueda justificar la necesidad y la proporcionalidad del tratamiento que se pretende poner en marcha.
Sanción AENA uso sistemas biométricos
Es por ello, que la sanción se basa en el incumplimiento de las obligaciones contenidas en el artículo 35 RGPD relativo a la evaluación de impacto, según este precepto la evaluación debe realizarse antes del inicio del tratamiento y revisarse en caso de que se produzcan cambios en el diseño del tratamiento, análisis de riesgos o condiciones de necesidad, proporcionalidad e idoneidad. Por ello pasado en este artículo la AEPD basa su sanción en el incumplimiento de los requisitos mínimos del apartado 7:
- AENA no incluye una descripción sistemática de las operaciones del tratamiento previstas ni tampoco de los fines de este. La AEIPD debe detallar todas las fases del ciclo de vida del tratamiento, como captura, clasificación, almacenamiento, uso, cesión, bloqueo y supresión antes de especificar los fines últimos y específicos del tratamiento, estos fines deben ser medibles. Sin embargo, las versiones que AENA presento solo reflejaban en ellas el propósito estratégico general del tratamiento sin llegar a concretar ni individualizar las finalidades especificas ni las operaciones del tratamiento necesarias.
- Finalidades insuficientes definidas: AENA orientó la evaluación de impacto hacia dos finalidades basadas en la seguridad y la eficiencia en los procesos de embarque y acceso mediante un sistema biométrico de reconocimiento facial , la finalidad de este sistema era mejorar la calidad, seguridad y agilidad en el transito de pasajeros, sin embargo, la EIPD no detalla las finalidades específicas ni las operaciones concretas de tratamiento de datos personales necesarios para alcanzar dichos objetivos.
Conclusión
En conclusión, las versiones de la EIPD de AENA no cumplen con los requisitos del artículo 35 RGPD ya que no se describe de manera precisa y concreta los fines específicos ni las operaciones del tratamiento necesarias, únicamente se limita a reflejar objetivos estratégicos de carácter general.
Si tiene cualquier duda referente a Protección de Datos de Carácter Personal no dude en ponerse en contacto con nosotros en cualquiera de los medios disponibles.
