Sanciones de protección de datos a sociedades mercantiles públicas: el caso AENA
Las sociedades mercantiles con participación pública mayoritaria integran el sector público institucional.
A estas entidades se les debe aplicar un régimen sancionador de protección de datos limitativo al apercibimiento.
La reciente multa de 10 millones de euros a AENA por el uso de biometría carece de motivación legal.
Especialistas advierten sobre resoluciones dispares y exigen mayor justificación a la autoridad de control.
La controversia del régimen sancionador dual
Un profundo análisis jurídico cuestiona la legalidad de las cuantiosas multas económicas impuestas a ciertas sociedades mercantiles estatales. El debate surge tras la histórica sanción de más de diez millones de euros a la gestora aeroportuaria nacional. Según los expertos en la materia, al estar bajo control administrativo, estas entidades deberían ampararse en el régimen sancionador blando.
La normativa española, concretamente la LOPDgdd, establece dos marcos sancionadores completamente diferenciados. Por un lado, el artículo 76 remite al régimen general para el sector privado, con multas de hasta 20 millones de euros. Por otro, el artículo 77.1.d delimita un régimen blando exclusivo para organismos públicos, limitando el castigo al mero apercibimiento.
El concepto clave de sociedad mercantil pública
Para comprender la magnitud de este debate, es vital definir qué constituye exactamente una sociedad mercantil pública. Según la Ley 40/2015 de Régimen Jurídico del Sector Público, el factor determinante es el control efectivo de la administración. Este control existe cuando la participación pública, ya sea directa o indirecta, supera el 50 por ciento del capital social.
La Ley de Patrimonio de las Administraciones Públicas refuerza esta misma idea organizativa. Si la participación estatal no alcanza la mitad, la corporación se regirá plenamente por normas privadas convencionales. Sin embargo, al superar este porcentaje, su misión se vincula de manera intrínseca al ejercicio de competencias de titularidad pública.
En el ámbito local, la Ley Reguladora de las Bases del Régimen Local sigue una filosofía jurídica idéntica. Las sociedades mercantiles locales actúan como formas de gestión directa de los servicios públicos, rigiéndose parcialmente por derecho privado. Basta con que la administración ostente una participación mayoritaria para que la sociedad se integre en el sector público.
Resoluciones titubeantes de la autoridad de control
La Agencia Española de Protección de Datos ha mostrado posturas vacilantes al juzgar a este tipo de corporaciones. En casos recientes, la autoridad aplicó correctamente el régimen blando a diversas empresas municipales y entidades supramunicipales. Son los casos de la Empresa Municipal de Transportes Urbanos de Gijón o Servicios de la Comarca de Pamplona.
En el caso de Pamplona, la sociedad local gestionaba los residuos actuando como encargada del tratamiento de datos. La competencia y titularidad correspondían a la Mancomunidad de Municipios, quien actuaba como responsable principal del servicio. En ambos expedientes, la agencia reconoció la naturaleza pública de las entidades y las sancionó únicamente con un apercibimiento formal.
La autoridad de control no tuvo en cuenta la gravedad de la infracción en estas entidades locales. Se aplicó estrictamente la exclusión de multas económicas para el sector público que dicta la ley de protección de datos. Todo ello sin importar el volumen de negocio o si existió algún tipo de negligencia evidente en el tratamiento.
La excepción injustificada de la gestora aeroportuaria
Sin embargo, a finales de 2025, la misma autoridad emitió una dura resolución sancionadora contra la entidad AENA. La empresa fue multada con 10.043.002 euros por deficiencias en su sistema de reconocimiento facial de pasajeros. Se buscaba implantar este sistema biométrico de forma gradual en los diferentes aeropuertos de la geografía española.
Detalles del tratamiento biométrico sancionado
El expediente revela que la entidad diseñó este sistema dentro de su Plan Estratégico 2022-2026. La intención era implementarlo en filtros de seguridad, puertas de embarque y zonas de self bag drop. A pesar de ser un método de acceso voluntario y alternativo al tradicional con documentación, fue duramente sancionado.
La infracción señala el incumplimiento de los principios de minimización sobre categorías especiales de datos. Además, la agencia reprochó la inexistencia de un verdadero juicio de necesidad en la Evaluación de Impacto de Privacidad. A pesar de la extrema gravedad de estos hechos, el análisis jurídico advierte de un error grave en la tipificación.
La colisión con las directrices europeas
El RGPD y el Comité Europeo de Protección de Datos prevén modular las multas económicas según el volumen de negocio. No obstante, la normativa española es clara al excluir directamente de este cálculo sancionador a las entidades del sector público. El único criterio válido para aplicar el régimen blando es la pertenencia o no a la administración del Estado.
La empresa sancionada está participada en un 51 por ciento por la entidad pública empresarial ENAIRE. Por tanto, al pertenecer mayoritariamente a la Administración General del Estado, cumple el requisito para ser considerada sector público. El hecho de cotizar en el IBEX-35 y tener un 49 por ciento de capital privado no altera esta condición.
Criterios propuestos para una regulación coherente
Para evitar discriminaciones legales, los especialistas proponen tres criterios claros al enjuiciar a estas grandes corporaciones. El primero es la estricta comprobación de la participación pública; si supera el 50 por ciento, pertenece al sector público. El volumen de negocio o la gravedad nunca deben excluir a una entidad de su régimen legal de apercibimiento.
El segundo criterio radica en el objeto social de la corporación y su vinculación directa con el interés general. Si la empresa cumple una función pública, como gestionar aeropuertos de interés general, su integración administrativa es innegable. Quedarían fuera de este paraguas aquellas empresas públicas creadas para fines puramente mercantiles sin servicio al ciudadano.
La necesidad de una motivación jurídica exhaustiva
El tercer criterio apela a la libre competencia en el mercado frente a otros operadores puramente privados. Si una entidad pública opera en un mercado muy liberalizado, podría justificarse excepcionalmente la imposición de una sanción económica. No obstante, apartar a una sociedad mercantil pública de su régimen legal exige una motivación jurídica impecable.
La resolución dictada contra la gestora aeroportuaria carece de justificación sobre su exclusión del sector público institucional. La falta de motivación en una decisión discrecional que implica una multa millonaria podría viciar de nulidad todo el procedimiento. Se espera que los tribunales contencioso-administrativos deban pronunciarse pronto sobre esta aparente discriminación jurídica.
Fuente de la foto: Revista General de Derecho Administrativo (Iustel) Fuente de la noticia: Revista General de Derecho Administrativo (Iustel)
