L’innovativa procedura di FaceBoarding, implementata dall’aeroporto di Milano Linate per accelerare i controlli di sicurezza e semplificare l’accesso dei passeggeri, si è temporaneamente fermata per decisione del Garante per la protezione dei dati personali.
Il provvedimento, comunicato l’11 settembre e precedentemente anticipato da Corriere.
it, solleva interrogativi significativi sulla compatibilità del sistema con il Regolamento Generale sulla Protezione dei Dati (GDPR) e con la giurisprudenza europea in materia di dati biometrici.
Il sistema, volto a eliminare l’esibizione del documento d’identità durante le operazioni di check-in, presuppone l’iscrizione annuale del passeggero, che implica la registrazione dei suoi dati personali.
Un’esperienza simile, seppur di breve durata, aveva già interessato l’aeroporto di Fiumicino, dove l’attivazione del sistema era stata sospesa proprio a seguito di prime contestazioni sulla privacy.
Il cuore della questione risiede nel trattamento dei dati biometrici.
Mentre il Comitato Europeo per la Protezione dei Dati (EDPB) ha espresso pareri favorevoli a scenari limitati, come la conservazione del modello biometrico esclusivamente nelle mani dell’individuo per l’autenticazione, o la cifratura dei dati accessibile solo al passeggero tramite una chiave segreta, la configurazione di FaceBoarding a Linate presenta criticità.
Il sistema prevede, infatti, l’archiviazione dei “template” biometrici – rappresentazioni matematiche del volto – in un archivio centralizzato gestito da Sea, la società che amministra l’aeroporto.
Questa centralizzazione compromette il diritto dell’interessato a esercitare un controllo effettivo e esclusivo sui propri dati, un principio cardine del GDPR.
Il Garante evidenzia, pertanto, un difetto nelle misure tecniche e organizzative adottate da Sea.
La normativa europea non vieta categoricamente il trattamento di dati biometrici, ma impone stringenti garanzie per la loro legalità, correttezza e trasparenza.
La centralizzazione dei dati, la mancanza di un controllo diretto da parte del soggetto interessato e l’assenza di adeguate misure di sicurezza per prevenire accessi non autorizzati o utilizzi impropri, configurano una violazione di tali principi.
La sospensione del servizio rappresenta un campanello d’allarme per tutti gli aeroporti che intendono implementare sistemi di riconoscimento facciale.
Dimostra come l’innovazione tecnologica, pur offrendo vantaggi in termini di efficienza e comodità, debba essere costantemente allineata con i diritti fondamentali dei cittadini e con le rigorose regole sulla protezione dei dati.
Sea dovrà ora procedere a una revisione completa della procedura, implementando soluzioni che garantiscano la conformità al GDPR e il rispetto della privacy dei passeggeri, prima di poter riattivare il servizio FaceBoarding. L’episodio sottolinea l’importanza di un dialogo proattivo tra operatori aeroportuali, autorità di controllo e esperti di protezione dei dati per trovare un equilibrio tra progresso tecnologico e tutela dei diritti individuali.
