A Agência Espanhola de Proteção de Dados (AEPD) multou a Aena em 10.043.002 euros pelo seu sistema de reconhecimento facial nos aeroportos espanhóis. O regulador ordenou ainda a suspensão temporária de todo o tratamento de dados biométricos por parte do gestor aeroportuário, concluindo que introduziu tecnologia de alto risco para os direitos dos cidadãos sem justificar que era verdadeiramente necessária ou proporcional à finalidade pretendida, que era agilizar o embarque.
A resolução desafia a premissa de que a “experiência do usuário” justifica qualquer implementação tecnológica. A AEPD acredita que a Aena recolheu e armazenou centralmente os dados biométricos de mais de 62.000 passageiros sem realizar uma avaliação de impacto válida, o que é um requisito obrigatório para a implementação deste tipo de tecnologia invasiva.
O órgão dirigido pela Mar España chama de “grave” a falta de diligência da empresa pública. De acordo com os materiais, a Aena sabia que seu programa de reconhecimento facial envolvia categoria especial e tratamento de alto risco. No entanto, a empresa continuou a implementação, apesar de ter recebido dois relatórios desfavoráveis anteriores da própria Agência durante a fase de consulta.
vigilância centralizada
A essência do hack não é o uso da biometria, mas a forma como a arquitetura do sistema foi projetada. Aena escolheu um modelo de identificação biométrica um-para-muitos com armazenamento centralizado. Tecnicamente, isto significa que o rosto do passageiro não só é verificado em relação à sua documentação no momento da segurança, mas também armazenado numa base de dados central controlada pela Aena.
A AEPD acredita que esta abordagem viola as leis de privacidade, que estipulam que o tratamento de dados deve cumprir o mínimo necessário. O regulador argumenta que para atingir o mesmo objetivo de segurança e suavidade, existiam alternativas muito menos intrusivas, como a autenticação biométrica local ou simplesmente o tradicional sistema visual de verificação de pessoas, que funciona há décadas.
A resolução afirma que o novo sistema envolverá “armazenar muito mais dados pessoais” (incluindo dados do cartão de embarque e identidade do viajante) nos servidores da Aena por até dois anos. Bases de dados que não eram necessárias para a AEPD utilizando métodos tradicionais ou arquiteturas biométricas que respeitam mais a privacidade.
Ena vai recorrer: “Isso é uma questão formal”
Aena disse que apelaria da sanção no tribunal, expressando “desacordo respeitoso”. Num comunicado divulgado após a revelação da multa, a empresa argumentou que a sanção se baseava numa “suposta violação de uma obrigação formal”, citando deficiências identificadas na sua avaliação de impacto.
O gestor do aeroporto afirma que os passageiros deram consentimento “voluntário” e informado para aceder ao embarque biométrico. No entanto, no domínio da proteção de dados, o consentimento “não endossa” o tratamento se este for “desproporcional ou desnecessário por conceção”, lembra a AEPD.
Aena também quis enfatizar que a segurança dos dados nunca foi comprometida: “Não ocorreram violações de segurança e, portanto, nenhum dado do usuário foi vazado”. A empresa afirma que o seu único objetivo era “proporcionar aos passageiros a melhor experiência possível” e afirma que fará todos os esforços para retomar o programa “o mais rapidamente possível”.
Suspensão imediata
Até que a Aena demonstre que pode gerir estes dados em estrita conformidade com o Regulamento Geral de Proteção de Dados (RGPD), o reconhecimento facial permanece em vigor. A suspensão, ditada pela AEPD, permanecerá em vigor até que a empresa realize uma avaliação de risco que tenha verdadeiramente em conta os riscos para os direitos e liberdades dos viajantes.
Esta medida corretiva não terá impacto nas operações de voo, uma vez que o sistema biométrico coexistiu com os controlos tradicionais em papel, que continuarão a funcionar normalmente.
A multa da Aena reforça uma tendência crescente entre os reguladores europeus de acabar com o uso indiscriminado de dados biométricos em espaços públicos, onde a eficiência operacional ou comercial muitas vezes tem precedência sobre a privacidade dos cidadãos. Tratando-se de uma infração gravíssima cometida por uma grande empresa com um volume de negócios superior a 5 mil milhões de euros, o valor da multa foi diferenciado em função da dimensão da organização e do número de pessoas afetadas.
