Stop del Garante della privacy al riconoscimento facciale in aeroporto, le precisazioni dell'Autorità
Stop del Garante della privacy al servizio di riconoscimento facciale “FaceBoarding” attivo all’aeroporto di Milano Linate da maggio 2024: a rendere noto il provvedimento di blocco notificato dall’Autorità per la protezione dei dati personali, è lo stessa Sea, società che gestisce gli scali milanesi.
L’intervento del Garante arriva al termine di una serie di verifiche sul sistema aeroportuale ed è basato principalmente sul Parere 11/2024 del Comitato Europeo per la Protezione dei Dati Personali che era stato rilasciato dal board dei garanti dell'UE per valutare un caso ritenuto similare, sottolineando che “la tecnologia di riconoscimento facciale può portare a falsi negativi, pregiudizi e discriminazioni. L'uso improprio dei dati biometrici può anche avere gravi conseguenze, come la frode di identità o l'impersonificazione. Pertanto, esortiamo le compagnie aeree e gli operatori aeroportuali a optare per modi meno intrusivi per semplificare i flussi di passeggeri, quando possibile".
Riguardo la Sea, primo gestore in Italia a utilizzare questa tecnologia, il Garante ha disposto la misura della limitazione provvisoria del trattamento dei dati biometrici attraverso il sistema “FaceBoarding” nelle more della conclusione dell’istruttoria.
A seguito della sospensione del sistema di riconoscimento facciale nello scalo milanese e adesso anche in quello di Roma Fiumicino, la Sea Aeroporti Milano difende comunque la bontà del proprio operato: “Sea ha inteso fornire attraverso il FaceBoarding un servizio che rafforza la sicurezza negli aeroporti con un sistema che, rispettoso di tutte le norme in materia di privacy e disponibile solo per i maggiorenni che lo richiedano e si registrino al servizio, garantisce ed agevola i passeggeri offrendo loro un’esperienza di viaggio più sicura, più veloce e fluida, in linea con i servizi tecnologici innovativi. Ritenendo di essere compliant con le norme di riferimento, la nostra società collaborando attivamente con l’Autorità per chiarire tutti gli aspetti relativi al trattamento dei dati e per ottemperare alle richieste pervenute. L’obiettivo primario di SEA rimane quello di garantire la sicurezza e la privacy dei passeggeri, in linea con le normative vigenti. Sea auspica che la situazione si risolva quanto prima e di ripristinare il servizio FaceBoarding a beneficio di tutti i passeggeri”.
D’altra parte, per conformarsi effettivamente al GDPR, lo stesso EDPB nel suddetto parere aveva indicato chiaramente che per utilizzare il riconoscimento facciale negli aeroporti “le uniche soluzioni di archiviazione che potrebbero essere compatibili con il principio di integrità e riservatezza, la protezione dei dati fin dalla progettazione e per impostazione predefinita e la sicurezza del trattamento, sono le soluzioni in base alle quali i dati biometrici sono conservati nelle mani dell'individuo o in una banca dati centrale, ma con la chiave di crittografia esclusivamente nelle loro mani. Queste soluzioni di archiviazione, se implementate con un elenco di garanzie minime raccomandate, sono le uniche modalità che controbilanciano adeguatamente l'intrusività del trattamento offrendo alle persone il massimo controllo.”
In relazione alla suddetta notizia, un successivo comunicato del Garante Privacy precisa che, con il provvedimento adottato l’11 settembre scorso nei confronti di Società per Azioni Esercizi Aeroportuali SEA, ha ordinato a quest’ultima la sospensione dell’utilizzo della specifica soluzione tecnologica adottata, poiché incompatibile con la vigente disciplina europea sulla protezione dei dati personali, come già chiarito proprio dal Comitato europeo per la protezione dei dati con il parere n.11/ 2024.
L’Autorità, peraltro, prima di procedere all’adozione del provvedimento in questione aveva, sin dal dicembre 2024, informato SEA dell'incompatibilità della specifica soluzione adottata nell’ambito dell’istruttoria tuttora in corso, invitando la stessa società a considerare le diverse soluzioni individuate come compatibili secondo la citata disciplina europea.
Il Garante precisa inoltre che "il ricorso a tecnologie di riconoscimento facciale in aeroporto è, quindi, da considerarsi consentito ma ricorrendo a soluzioni tecnologiche diverse da quella adottata da SEA, idonee a bilanciare le esigenze di semplificazione nelle operazioni di imbarco con quelle di protezione dei dati personali nel rispetto della vigente disciplina europea, con particolare riferimento al trattamento dei dati biometrici. Tali soluzioni sono quelle specificatamente indicate nel citato parere dal Comitato."
