Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 10 043 002 euro mot Aena, S.M.E., S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AENA introducerat ett biometriskt system för ansiktsigenkänning vid passageraridentifiering och ombordstigning på flera spanska flygplatser, med syfte att effektivisera säkerhetskontroller, snabba upp passagerarflöden och minska köer. Systemet omfattade insamling, lagring och automatiserad behandling av biometriska mallar.
AEPD konstaterade att AENA inte fullgjort sina skyldigheter enligt artikel 35 GDPR om att genomföra en konsekvensbedömning avseende dataskydd innan systemet togs i bruk. Myndigheten gjorde bedömningen att behandling av biometriska data är hög risk för de registrerades rättigheter och friheter och att AENA:s konsekvensbedömning inte visat att behandlingen var nödvändig och proportionerlig, eller att mindre integritetskänsliga alternativ hade utretts tillräckligt. Även riskanalysen och dokumentation har enligt AEPD varit bristfällig.
Som följd av överträdelsen har AEPD meddelat en sanktionsavgift om 10 043 002 euro och stoppat all behandling av biometriska uppgifter, inklusive ansiktsigenkänning, tills en korrekt konsekvensbedömning är genomförd i enlighet med GDPR. AENA har offentliggjort att bolaget avser att överklaga beslutet och bestrider myndighetens bedömning, bland annat med hänvisning till att deltagandet i systemet varit frivilligt och att inga dataintrång har skett.
TechLaw tillhandahåller ledande juridisk rådgivning inom dataskydd och integritet för privata företag och offentliga verksamheter. Vi bistår med frågor om ansiktsigenkänning, konsekvensbedömningar, riskbedömningar, åtgärder för regelefterlevnad och tillsynsärenden. Kontakta oss gärna för vidare rådgivning.