De Spaanse privacytoezichthouder AEPD heeft de Spaanse luchthavenbeheerder Aena een boete van 10 miljoen euro opgelegd wegens het overtreden van de AVG (pdf). Aena plaatste op verschillende luchthavens gezichtsherkenningssystemen die voor de beveiligingscontroles worden gebruikt. Volgens de AEPD had Aena voor de uitrol van het systeem geen adequate data protection impact assessment (DPIA) uitgevoerd, waarmee de risico's van de biometrische gegevensverwerking in kaart werden gebracht en het bedrijf liet zien dat dit noodzakelijk, rechtmatig en proportioneel was.

Volgens de AEPD heeft Aena nooit aangetoond dat de biometrische gegevensverwerking noodzakelijk was voor het identificeren van passagiers. Er waren ook minder vergaande alternatieven beschikbaar. Daarnaast hekelde de Spaanse privacytoezichthouder de centrale opslag van biometrische templates die Aena toepaste. Dit zou de kans op datalekken en ongeautoriseerde toegang vergroten. Ook zou het passagiers minder controle over hun data geven.

De AEPD concludeert dat het stroomlijnen van passagiersstromen op luchthavens op een minder indringende manier kan, en dat de negatieve gevolgen op de fundamentele rechten en vrijheden van betrokkenen als gevolg van een datalek in de centrale biometrische database zwaarder weegt dan de verwachte voordelen van de gegevensverwerking. Hoewel het gezichtsherkenningsprogramma vrijwillig is, was de manier waarop passagiers toestemming moesten geven niet goed gedocumenteerd en zijn passagiers mogelijk niet voldoende geïnformeerd om geinformeerde toestemming te geven, aldus de toezichthouder.

Naast de boete heeft de AEPD het bedrijf ook bevolen om de biometrische gegevensverwerking te staken totdat er een adequate DPIA is uitgevoerd. In een reactie op de boete zegt Aena dat het in beroep gaat, omdat de sanctie niet proportioneel zou zijn. Daarnaast claimt het bedrijf dat de data protection impact assessments die het uitvoerde wel aan de eisen van de AEPD voldoen.