· Jonathan Izquierdo · Noticias seguridad ·
La AEPD multa a Aena con 10 millones de euros por reconocimiento facial en aeropuertos
La AEPD sanciona a Aena con 10.043.002€ por implantar reconocimiento facial biométrico en 8 aeropuertos sin una evaluación de impacto válida. Análisis forense y lecciones para empresas.
10.043.002 euros. Es la mayor multa que la Agencia Española de Protección de Datos (AEPD) ha impuesto jamás por tratamiento de datos biométricos. El 28 de noviembre de 2025, la AEPD resolvió el expediente EXP202304532 contra Aena S.M.E., S.A. por implantar un sistema de reconocimiento facial biométrico para embarque en varios aeropuertos españoles sin disponer de una evaluación de impacto en protección de datos (DPIA) que cumpliese los requisitos del artículo 35 del RGPD (Iberley, 28 Nov 2025).
Como perito informático forense, este caso me interesa especialmente porque demuestra un patrón que encuentro una y otra vez en mis investigaciones: organizaciones que despliegan tecnología de vigilancia biométrica a gran escala sin haber realizado un análisis técnico-legal previo riguroso. La sanción a Aena no es solo una cifra récord: es la señal definitiva de que la AEPD no tolerará evaluaciones de impacto superficiales cuando se procesan categorías especiales de datos que afectan a millones de personas.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Multa total: 10.043.002 euros a Aena (la mayor por biometría en la historia de la AEPD)
- Artículo RGPD infringido: Art. 35 (evaluación de impacto deficiente), específicamente Art. 35.7(a)
- Aeropuertos afectados: Madrid-Barajas, Barcelona-El Prat, Menorca, entre otros
- Expediente: EXP202304532, resolución de 28 de noviembre de 2025
- Precedente paralelo: VIU multada con 650.000 euros por reconocimiento facial en exámenes online
- Marco legal: Art. 9 y 35 RGPD, LOPDGDD, Reglamento Europeo de IA (AI Act), EDPB Opinion 11/2024
- Qué hacer si te afecta: auditoría técnica + DPIA rigurosa antes de implementar cualquier sistema biométrico
La mayor multa por biometría en la historia de la AEPD
La sanción de 10.043.002 euros a Aena no tiene precedentes en España en materia de datos biométricos. La AEPD determinó que Aena había infringido el artículo 35 del RGPD al implantar un sistema de reconocimiento facial para embarque biométrico en varios aeropuertos españoles sin disponer de una evaluación de impacto que cumpliese los requisitos mínimos que exige la normativa europea (Xataka, 2025).
Cronología del caso
| Fecha | Hecho |
|---|---|
| 2019-2022 | Aena desarrolla programas piloto de embarque biométrico en varios aeropuertos |
| 2021 | Aena presenta una primera DPIA ante la AEPD, que es considerada deficiente |
| 2023 | Aena presenta una segunda DPIA, también considerada insuficiente |
| 2023 | Fundación Éticas DataSociety presenta reclamación formal ante la AEPD |
| Apertura expediente | AEPD inicia el expediente EXP202304532 |
| 28 Nov 2025 | AEPD publica la resolución: multa de 10.043.002 euros por infracción del Art. 35 RGPD |
La resolución es contundente: Aena sometió dos evaluaciones de impacto —en 2021 y en 2023— y ambas fueron consideradas deficientes. No se trataba de que Aena no hubiese intentado cumplir, sino de que la calidad técnica y jurídica de sus evaluaciones era insuficiente para un tratamiento de datos de esta envergadura y sensibilidad.
Art. 35.7(a) RGPD: lo que Aena no cumplió
El artículo 35.7(a) del RGPD exige que toda evaluación de impacto incluya “una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento”. La AEPD concluyó que las DPIAs de Aena carecían de una descripción sistemática adecuada del tratamiento biométrico, sus flujos de datos, riesgos específicos y medidas de mitigación proporcionadas.
Cómo funcionaba el sistema biométrico de Aena
Aena, en colaboración con empresas tecnológicas como Thales, IECISA y Gunnebo, desplegó un sistema de embarque biométrico que permitía a los pasajeros pasar los controles de seguridad y la puerta de embarque utilizando reconocimiento facial, sin necesidad de mostrar la tarjeta de embarque ni el documento de identidad (Infobae, 2025).
Registro voluntario (enrollment): el pasajero se registraba en un punto específico del aeropuerto, proporcionando su documento de identidad y su tarjeta de embarque. El sistema capturaba una imagen facial y creaba una plantilla biométrica vinculada al itinerario de vuelo.
Captura facial en puntos de control: al llegar a los controles de seguridad y a la puerta de embarque, cámaras de alta resolución capturaban el rostro del pasajero sin necesidad de detenerse ni presentar documentación.
Matching biométrico: el sistema comparaba en tiempo real la imagen capturada con la plantilla biométrica almacenada, verificando la identidad del pasajero mediante algoritmos de reconocimiento facial.
Embarque automatizado: si la verificación era positiva, la puerta de embarque se abría automáticamente, eliminando la necesidad de interacción humana o presentación de documentos.
El sistema operaba en aeropuertos como Madrid-Barajas (Terminal T4, en colaboración directa con Thales), Barcelona-El Prat y Menorca, entre otros. Thales proporcionaba la tecnología de biometric boarding en Madrid-Barajas, mientras que otros socios tecnológicos como Mobbeel colaboraban con aerolíneas como Vueling en programas paralelos.
El problema del consentimiento “voluntario”
Aena defendió que el sistema era completamente voluntario: los pasajeros podían optar por el embarque biométrico o utilizar el proceso convencional. Sin embargo, el Comité Europeo de Protección de Datos (EDPB) ha expresado preocupaciones específicas sobre si el consentimiento puede considerarse verdaderamente “libre” en un contexto aeroportuario, donde la presión del tiempo, las largas colas y la dinámica de grupo pueden condicionar la decisión del pasajero.
Por qué la AEPD consideró la DPIA insuficiente
La clave de la sanción no fue que Aena usara reconocimiento facial, sino que lo hiciera sin una evaluación de impacto (DPIA) que cumpliese los estándares del RGPD. El artículo 35.7 del RGPD establece que toda evaluación de impacto debe contener, como mínimo:
| Requisito Art. 35.7 | Lo que exige | Lo que falló en el caso Aena |
|---|---|---|
| a) Descripción sistemática | Detalle de operaciones de tratamiento y fines | DPIAs de 2021 y 2023 consideradas insuficientes en la descripción del flujo de datos biométricos |
| b) Necesidad y proporcionalidad | Justificar que el tratamiento es necesario y proporcionado | Existencia de alternativas no biométricas no adecuadamente evaluadas |
| c) Evaluación de riesgos | Identificación de riesgos para derechos y libertades | Riesgos específicos del almacenamiento centralizado de plantillas biométricas no suficientemente analizados |
| d) Medidas de mitigación | Garantías y medidas de seguridad proporcionadas | Medidas técnicas documentadas pero consideradas insuficientes por la AEPD |
La investigación de la AEPD fue impulsada por la reclamación de la Fundación Éticas DataSociety, que alertó sobre la implantación del reconocimiento facial en aeropuertos sin las garantías adecuadas. La EDPB reforzó esta posición con su Opinion 11/2024, que aborda específicamente el uso de reconocimiento facial en aeropuertos y establece criterios estrictos para su implementación (EDPB, Opinion 11/2024).
Precedente paralelo: la VIU multada con 650.000 euros
La sanción a Aena no ocurre aislada. Apenas semanas después, la AEPD impuso una multa de 650.000 euros a la Universidad Internacional de Valencia (VIU) por obligar a sus alumnos a utilizar reconocimiento facial con inteligencia artificial para realizar exámenes online, sin ofrecer ninguna alternativa real.
El caso de la VIU presenta diferencias significativas pero comparte un patrón común: implementación de biometría sin cumplir los requisitos del RGPD.
Los hechos del caso VIU
La VIU desplegó un sistema de proctoring que combinaba reconocimiento facial con IA, doble cámara (frontal y de entorno) y monitorización del escritorio. Los alumnos que rechazaban el escaneo facial quedaban excluidos de los exámenes y, por extensión, de la universidad.
La AEPD impuso dos sanciones:
- 300.000 euros por infracción del artículo 9 del RGPD (tratamiento ilícito de categoría especial de datos)
- 350.000 euros por infracción del artículo 5.1.c del RGPD (violación del principio de minimización)
El consentimiento fue declarado inválido por la asimetría de poder entre universidad y estudiante: la AEPD dictaminó que “en ningún caso es admisible que, como consecuencia de negar el consentimiento, se deniegue la posibilidad de matricularse o ser evaluado”.
Tabla comparativa: sanciones por biometría en España
La escalada en las sanciones de la AEPD por tratamiento indebido de datos biométricos muestra una tendencia inequívoca:
| Entidad | Multa | Artículos RGPD | Sector | Año resolución |
|---|---|---|---|---|
| Aena | 10.043.002 euros | Art. 35 (DPIA) | Aeropuertos (embarque biométrico) | Nov 2025 |
| Mercadona | 2.500.000 euros | Art. 6 y 9 | Retail (verificación facial clientes) | 2021 |
| VIU | 650.000 euros | Art. 9 + Art. 5.1.c | Universidad (proctoring exámenes) | Feb 2026 |
| Cadena gimnasios | 96.000 euros | Art. 9 | Fitness (acceso instalaciones) | 2023 |
| UOC | 20.000 euros | Art. 9 | Universidad (proctoring) | 2022 |
El mensaje es claro: las multas se han multiplicado por 500 en cuatro anos, pasando de 20.000 euros (UOC, 2022) a 10 millones de euros (Aena, 2025). La AEPD está utilizando todo el rango sancionador disponible.
Marco legal: por qué el reconocimiento facial es un campo minado
El reconocimiento facial se encuentra en la intersección de múltiples normativas que, combinadas, crean un marco regulatorio extremadamente exigente para cualquier organización que quiera implementarlo.
Normativa aplicable
| Normativa | Relevancia para reconocimiento facial |
|---|---|
| Art. 9 RGPD | Los datos biométricos dirigidos a identificar de manera unívoca a una persona son categoría especial de datos: prohibido su tratamiento salvo excepciones tasadas |
| Art. 35 RGPD | DPIA obligatoria cuando el tratamiento entrañe alto riesgo, especialmente con uso de nuevas tecnologías y datos de categoría especial |
| LOPDGDD | Ley Orgánica 3/2018 que complementa el RGPD en España, con disposiciones adicionales sobre derechos digitales |
| Reglamento IA (AI Act) | Clasifica la identificación biométrica remota como sistema de IA de alto riesgo, con requisitos de conformidad, supervisión humana y transparencia |
| EDPB Guidelines | Directrices sobre tratamiento de datos biométricos y opiniones específicas (Opinion 11/2024 sobre aeropuertos) |
Doble capa de cumplimiento: RGPD + AI Act
Desde la entrada en vigor del Reglamento Europeo de IA, las organizaciones que utilicen reconocimiento facial deben cumplir simultáneamente con el RGPD (base legal, consentimiento, DPIA, minimización) y con el AI Act (registro de sistemas de alto riesgo, supervisión humana, evaluación de conformidad). La AEPD ha advertido que cumplir con el AI Act no exime del cumplimiento del RGPD: son normativas complementarias, no sustitutivas.
El artículo 9 del RGPD prohíbe con carácter general el tratamiento de datos biométricos dirigidos a la identificación unívoca de personas. Las excepciones son tasadas y requieren, entre otros requisitos, consentimiento explícito del interesado o una base legal en el Derecho nacional que establezca garantías específicas. La carga de la prueba recae íntegramente en el responsable del tratamiento.
Lecciones para empresas que procesan datos biométricos
El caso Aena y el caso VIU ofrecen un catálogo de lecciones que cualquier organización debería aplicar antes de implementar tecnología biométrica.
DPIA rigurosa antes de implementar: no basta con redactar un documento formal. La evaluación de impacto debe incluir una descripción técnica sistemática del tratamiento, análisis de necesidad y proporcionalidad, evaluación real de riesgos y medidas de mitigación concretas. Aena presentó dos DPIAs y ambas fueron rechazadas.
Alternativas reales no biométricas: la AEPD y el EDPB exigen que se evalúen y se ofrezcan alternativas que logren el mismo fin sin procesar datos de categoría especial. Si el objetivo puede alcanzarse sin biometría (como el embarque con tarjeta de embarque convencional), el principio de minimización obliga a optar por la alternativa menos invasiva.
Consentimiento específico y separado: cuando la base legal sea el consentimiento, este debe ser libre, específico, informado e inequívoco. En contextos con asimetría de poder (empleador-trabajador, universidad-alumno, aeropuerto-pasajero bajo presión), el consentimiento puede no considerarse libre. Debe ofrecerse siempre una alternativa genuina sin penalización.
Auditorías periódicas por expertos independientes: un perito informático forense puede evaluar la proporcionalidad técnica del sistema, verificar la destrucción efectiva de datos, analizar la seguridad del cifrado y documentar el cumplimiento. Esta auditoría preventiva cuesta una fraccion de lo que supone cualquier sancion de la AEPD.
Preguntas frecuentes
¿Qué es una evaluación de impacto (DPIA) y por qué es obligatoria?
Una evaluación de impacto en protección de datos (DPIA) es un análisis previo que el artículo 35 del RGPD exige cuando un tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas. Es obligatoria siempre que se utilicen nuevas tecnologías y se traten datos de categoría especial, como los datos biométricos. La DPIA debe documentar la descripción sistemática del tratamiento, su necesidad y proporcionalidad, la evaluación de riesgos concretos y las medidas de mitigación implementadas. No realizarla —o realizarla de forma deficiente, como en el caso de Aena— puede suponer multas de hasta 10 millones de euros o el 2% de la facturación anual global.
¿Puede una empresa usar reconocimiento facial con consentimiento?
Depende del contexto. El consentimiento para tratar datos biométricos debe ser explícito, libre, específico, informado e inequívoco. “Libre” significa que el interesado debe poder negarse sin sufrir ninguna consecuencia negativa. En contextos con asimetría de poder —como el laboral (empleador-trabajador), educativo (universidad-alumno) o aeroportuario (presión de tiempo)— la AEPD y el EDPB han cuestionado que el consentimiento pueda considerarse verdaderamente libre. Si no existe una alternativa real y sin penalización, el consentimiento es inválido. Antes de implementar cualquier sistema biométrico basado en consentimiento, es imprescindible realizar una DPIA y contar con asesoramiento técnico-legal especializado.
¿Qué hago si una empresa me obliga a usar reconocimiento facial?
Si una empresa, universidad o administración te obliga a someterte a reconocimiento facial sin ofrecerte una alternativa real, tienes derecho a presentar una reclamación ante la AEPD a través de su Sede Electrónica. Antes de hacerlo, documenta la situación: conserva comunicaciones, capturas de pantalla de la política de privacidad, constancia de que no existe alternativa y cualquier perjuicio derivado de la negativa. Un perito informático forense puede certificar técnicamente estas evidencias y elaborar un informe pericial que respalde tu reclamación ante la AEPD o ante un tribunal.
Cómo puede ayudarte un perito informático
La resolución contra Aena demuestra que el cumplimiento del RGPD en materia de biometría tiene un componente técnico fundamental. Un perito informático forense puede realizar auditorías técnicas de sistemas biométricos, evaluar la proporcionalidad del tratamiento, verificar que la destrucción de datos sea efectiva, analizar la seguridad del cifrado y las comunicaciones, y documentar alternativas técnicas menos invasivas. El informe pericial es válido tanto ante la AEPD en procedimientos sancionadores como en vía judicial.
¿Tu organización trata datos biométricos?
Auditoría técnico-legal de sistemas biométricos: evaluación de impacto, proporcionalidad, alternativas y cumplimiento RGPD. Informe pericial válido ante la AEPD y en procedimientos judiciales. Primera consulta gratuita.
Solicitar consulta gratuitaConclusión
La multa de 10.043.002 euros a Aena marca un antes y un después en la regulación del reconocimiento facial en España. Junto con la sanción de 650.000 euros a la VIU y los precedentes anteriores, la AEPD ha dejado claro que no tolerará evaluaciones de impacto superficiales ni implementaciones biométricas sin garantías reales.
Para las empresas que procesan o planean procesar datos biométricos, el mensaje es inequívoco: la DPIA no es un trámite burocrático, sino un requisito legal cuyo incumplimiento puede suponer sanciones millonarias. Y la mejor defensa es una auditoría técnico-legal rigurosa antes de desplegar cualquier sistema de reconocimiento facial.
Si tu organización utiliza o está evaluando implementar tecnología biométrica, contacta con un perito informático forense para una evaluación técnica independiente antes de que sea la AEPD quien la haga.
Fuentes y referencias
Iberley (2025). “La AEPD multa a Aena con más de 10 millones de euros por reconocimiento facial en aeropuertos”. 28 Nov 2025. https://www.iberley.es/noticias/aepd-multa-10-millones-aena-reconocimiento-facial-49384
Xataka (2025). “La AEPD multa a Aena con 10 millones de euros por reconocimiento facial en aeropuertos”. https://www.xataka.com/legislacion-y-derechos/aepd-multa-10-millones-aena-reconocimiento-facial-aeropuertos
AEPD (2025). Resolución expediente EXP202304532 contra Aena S.M.E., S.A. 28 Nov 2025. https://www.aepd.es/informes-y-resoluciones/resoluciones
Infobae (2025). “Aena, multada con 10 millones por reconocimiento facial en aeropuertos”. https://www.infobae.com/espana/2025/11/28/aena-multa-10-millones-reconocimiento-facial-aeropuertos/
Euronews (2025). “Spain’s AEPD fines airport operator Aena over biometric facial recognition”. https://www.euronews.com/next/2025/11/28/spain-aepd-fines-aena-facial-recognition
EDPB (2024). Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow. https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-112024-use-facial-recognition_en
Thales Group (2022). “Thales biometric boarding at Madrid-Barajas airport”. https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/airport-security
Fundación Éticas DataSociety (2023). Reclamación ante la AEPD sobre reconocimiento facial en aeropuertos españoles. https://eticasfoundation.org/
AEPD (2026). “La AEPD sanciona el tratamiento de datos biométricos con IA en la evaluación universitaria online”. https://www.aepd.es/informes-y-resoluciones/criterios-juridicos-aepd/aepd-sanciona-tratamiento-datos-biometricos-ia
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (Reglamento de Inteligencia Artificial / AI Act). https://eur-lex.europa.eu/eli/reg/2024/1689
Reglamento (UE) 2016/679 (RGPD). Artículos 9 y 35. https://eur-lex.europa.eu/eli/reg/2016/679/oj
Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis de evidencias digitales y protección de datos. Ex-CTO y 5x AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales.
Última actualización: Febrero 2026.
