Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 10 043 002 euro mot flygplatsförvaltningsföretaget AENA S.M.E. S.A. för överträdelser av dataskyddsförordningen (GDPR).
Enligt beslutet inledde AEPD en utredning mot AENA efter ett klagomål från en registrerad person, både för egen räkning och för Fundación Éticas Data Society, gällande ett pilotprojekt med ansiktsigenkänning vid Barcelonas flygplats El Prat. Klagomålet hävdade att AENA behandlade biometriska uppgifter för passageraridentifiering och flygplatssäkerhet utan att ha genomfört en adekvat konsekvensbedömning enligt artikel 35 GDPR.
AENA uppgav att pilotprojektet syftade till att validera passagerares identitet genom jämförelse av registreringsbilder med identitetshandlingar och boardingkort. Företaget betonade att deltagande var frivilligt, att grundläggande rättigheter inte begränsades och att behandlingen förbättrade både säkerhet och passagerarupplevelse. AENA tillhandahöll dessutom en tidigare konsekvensbedömning och bekräftade att inga känsliga uppgifter, såsom ras eller religion, behandlades. Företaget noterade att alla biometriska pilotprojekt från 2019 till 2022 hade slutförts och att de insamlade uppgifterna hade raderats. DPIA dokumenterade syften, rättsliga grunder, nödvändighet, proportionalitet, lagringsperioder, riskreducerande åtgärder och säkerhetsåtgärder.
Efter granskning av den dokumentation som AENA tillhandahållit – inklusive konsekvensbedömning, riskanalyser, samtyckesmekanismer, systemarkitektur, säkerhetsåtgärder och avtal med tredjepartsleverantörer – konstaterade AEPD att AENA inte genomfört en adekvat konsekvensbedömning enligt artikel 35 GDPR. Myndigheten fann även att AENA inte uppfyllde kraven i artikel 35.7(b) GDPR och principen om uppgiftsminimering enligt artikel 5.1(c) GDPR.
Trots systemets fördelar, såsom snabbare ombordstigning och förbättrad säkerhet, hade företaget inte identifierat eller utvärderat risker, nackdelar eller mindre ingripande alternativ till biometrisk behandling. AEPD underströk att behandling av biometriska identifierare, som utgör särskilda kategorier av personuppgifter, tillsammans med ny teknik, innebär hög risk. Systemet ledde dessutom till lagring av fler uppgifter än tidigare manuella identitetskontroller, inklusive biometriska ansiktsmönster och annan information från passagerares identitetshandlingar och boardingkort, vilket ökade riskerna för de registrerade. Konsekvensbedömningen dokumenterade heller inte nödvändighet eller proportionalitet i behandlingen.
Med hänsyn till intrångets art, allvar och varaktighet, antalet berörda registrerade, typen av uppgifter samt AENA:s omsättning på 5 021 501 000 euro år 2024, utfärdades sanktionsavgiften på 10 043 002 euro. AEPD beslutade dessutom om ett tillfälligt avbrott i all behandling av biometriska uppgifter, inklusive ansiktsigenkänningssystemet, tills AENA genomfört en konsekvensbedömning som uppfyller kraven i artikel 35 GDPR.