La AEPD ha impuesto este 25 de noviembre de 2025 una sanción de 10.043.002 euros a Aena, la empresa que gestiona la red de aeropuertos en España, tras considerar que el sistema de embarque biométrico con reconocimiento facial fue implementado sin llevar previamente a cabo una evaluación de impacto en protección de datos conforme al reglamento vigente.
El organismo regulador concluyó que Aena vulneró el artículo 35 del Reglamento General de Protección de Datos (RGPD), ya que no proporcionó una Evaluación de Impacto de Protección de Datos (EIPD) válida y detallada antes de poner en marcha el sistema biométrico. De acuerdo con la resolución, no se justificó adecuadamente la necesidad, idoneidad y proporcionalidad del tratamiento de datos biométricos de alto riesgo, ni se consideraron alternativas menos intrusivas.
Además de la multa económica, la AEPD ordenó la suspensión temporal del tratamiento de datos biométricos en el marco del sistema de reconocimiento facial para embarque, hasta que Aena realice la evaluación de impacto correcta según lo exigido por la normativa.
Aena, por su parte, anunció que recurrirá la sanción, argumentando que sí había realizado las evaluaciones correspondientes antes de poner en marcha el programa, y que en ningún momento se ha producido filtración de datos ni vulneración de la seguridad. La compañía defiende que la participación de los pasajeros fue voluntaria, con consentimiento informado y que el sistema se diseñó para agilizar los procesos de embarque y mejorar la experiencia de los viajeros.
El foco normativo se centra ahora en la obligación de las empresas que utilizan tecnología de reconocimiento facial u otros sistemas biométricos de alto riesgo de cumplir rigurosamente con la evaluación de impacto para proteger los derechos fundamentales de las personas. Este caso marca un precedente, especialmente en el contexto de la creciente utilización de biometría en aeropuertos y espacios públicos.