News & eventi

FaceBoarding e GDPR: il riconoscimento facciale in aeroporto supera davvero il test della protezione dei dati?

Negli aeroporti è sempre più frequente il ricorso a sistemi di FaceBoarding, soluzioni basate sul riconoscimento facciale che promettono di semplificare e velocizzare le procedure di identificazione dei passeggeri, migliorando l’efficienza delle attività di controllo.

Tuttavia, quando l’identificazione avviene attraverso caratteristiche biometriche, l’innovazione tecnologica deve confrontarsi con uno dei presidi più rigorosi del Regolamento (UE) 2016/679 (“GDPR”). I dati biometrici, infatti, quando trattati per identificare in modo univoco una persona fisica, rientrano tra le categorie particolari di dati personali di cui all’art. 9 GDPR e richiedono, pertanto, garanzie rafforzate sia sul piano della base giuridica sia su quello della sicurezza, della minimizzazione e del controllo effettivo da parte dell’interessato.

Su questo tema è intervenuto anche l’EDPB, che il 24 maggio 2024 ha adottato l’Opinion 11/2024 on the use of facial recognition to streamline airport passengers, con l’obiettivo di individuare gli scenari nei quali l’impiego del riconoscimento facciale negli aeroporti può ritenersi compatibile con il quadro europeo in materia di protezione dei dati personali.

In tale contesto si inserisce il caso dell’aeroporto di Milano Linate, nel quale il Garante per la protezione dei dati personali ha ritenuto illecito, sulla base del GDPR e alla luce dell’Opinion 11/2024, il trattamento dei dati biometrici effettuato tramite il sistema di FaceBoarding adottato dalla Società Esercizi Aeroportuali (SEA).

Con nota del 3 maggio 2024, la SEA aveva comunicato al Garante l’avvio di un’iniziativa volta a consentire l’identificazione dei passeggeri tramite FaceBoarding nell’area dei controlli di sicurezza, c.d. “area sterile”, e al gate di imbarco. Il sistema prevedeva una fase di registrazione dei dati biometrici del passeggero, c.d. enrollment, realizzabile sia attraverso chioschi dotati di dispositivi per il riconoscimento facciale, sia tramite un’applicazione scaricabile dall’interessato sul proprio dispositivo mobile.

L’acquisizione dei dati nella fase di enrollment comportava il rilevamento del documento d’identità, della carta d’imbarco e del template biometrico (un modello matematico ricavato dalle caratteristiche del volto e utilizzato per le successive operazioni di verifica dell’identità). Nel caso dei chioschi, tale processo generava un token elettronico; nel caso dell’applicazione, invece, venivano generate le cc.dd. Digital Travel Credentials (DTC).

Consapevole dei rischi connessi al trattamento di dati biometrici, SEA aveva prospettato tre principali categorie di misure volte ad assicurare la conformità del sistema al GDPR.

In primo luogo, la società prevedeva la conservazione separata dei dati anagrafici ricavati dal documento d’identità e del template biometrico, mediante chiavi di cifratura distinte e banche dati fisicamente separate. Secondo SEA, tale architettura avrebbe consentito di ridurre al minimo la probabilità di associazione tra dati anagrafici, template e connotati dei passeggeri.

In secondo luogo, il volto dei passeggeri rilevato tramite FaceBoarding non veniva memorizzato nei chioschi e, nel caso dell’applicazione, la fotografia scattata ai fini dell’identificazione rimaneva, secondo la società, nella disponibilità del solo dispositivo mobile del passeggero, protetta anche da PIN.

Infine, con riferimento alle Digital Travel Credentials, SEA sosteneva di limitarsi a metterle a disposizione dell’interessato, senza possibilità di accesso o modifica, così da garantire un maggiore controllo del dato da parte dell’utente.

A fronte delle misure prospettate, il Garante ha tuttavia avviato un’attività istruttoria, conclusasi con il provvedimento del 12 marzo 2026, in esito alla quale ha dichiarato illecito il trattamento dei dati biometrici effettuato da SEA tramite il sistema FaceBoarding. Le criticità rilevate riguardavano, in particolare, l’assenza di un controllo esclusivo ed effettivo dell’interessato sui propri dati biometrici, l’inadeguatezza delle misure di sicurezza, alcune carenze informative, il trattamento dei dati anche di passeggeri non aderenti al servizio e un periodo di conservazione ritenuto eccessivo.

La soluzione adottata da SEA prevedeva, infatti, la memorizzazione del template biometrico dei passeggeri in un sistema di archivio centralizzato presso il gestore aeroportuale. Il modello biometrico era dunque conservato nei server posti sotto il controllo di SEA, senza che l’interessato potesse esercitare un controllo esclusivo sui propri dati. Secondo il Garante, tale impostazione risultava incompatibile con i principi di liceità, correttezza e trasparenza sanciti dall’art. 5, par. 1, lett. a), GDPR, nonché con il principio di protezione dei dati fin dalla progettazione di cui all’art. 25 GDPR.

A differenza di quanto sostenuto dalla società, nemmeno il ricorso alle Digital Travel Credentials era idoneo ad assicurare un controllo effettivo dell’interessato sui propri dati biometrici. Pur essendo installate sul dispositivo mobile dell’utente, infatti, le DTC non garantivano una reale disponibilità esclusiva del dato in capo all’interessato, poiché il template biometrico restava comunque conservato in modo centralizzato nei sistemi del gestore aeroportuale.

Un ulteriore profilo critico riguardava il trattamento dei dati dei passeggeri non aderenti al servizio. Il sistema, infatti, comportava l’acquisizione dell’immagine del volto e la generazione del relativo template anche per coloro che transitavano presso varchi ibridi senza avere previamente aderito al FaceBoarding. Tale trattamento, sia pure temporalmente limitato, risultava privo di un’idonea base giuridica e non adeguatamente rappresentato agli interessati.

Quanto alle misure di sicurezza, le soluzioni adottate dalla società, tra cui la conservazione dei dati in banche dati distinte e i controlli di accesso, sono state ritenute insufficienti. In particolare, il Garante ha valorizzato l’assenza, almeno nella configurazione originaria del sistema, di adeguate misure di cifratura dei template biometrici, necessarie a prevenire rischi particolarmente gravi, quali furti di identità o utilizzi abusivi su larga scala.

È stata inoltre ritenuta eccessiva la conservazione dei template biometrici per un periodo di dodici mesi. Tale durata, secondo il Garante, non risultava coerente con il principio di limitazione della conservazione, sancito dall’art. 5, par. 1, lett. e), GDPR, in base al quale i dati personali devono essere conservati per un arco temporale non superiore a quello necessario rispetto alle finalità per le quali sono trattati.

Il caso FaceBoarding conferma, in ultima analisi, che l’impiego del riconoscimento facciale nei contesti aeroportuali non è di per sé incompatibile con il GDPR, ma richiede un’architettura tecnica e organizzativa particolarmente rigorosa. Non è sufficiente presentare il servizio come facoltativo, né separare formalmente alcune banche dati: occorre garantire che l’interessato mantenga un controllo effettivo sui propri dati biometrici, che il trattamento sia limitato allo stretto necessario, che la conservazione sia proporzionata e che le misure di sicurezza siano adeguate alla particolare sensibilità delle informazioni trattate.

In questa prospettiva, il FaceBoarding può rappresentare una frontiera dell’innovazione aeroportuale solo se progettato secondo un’effettiva logica di privacy by design e privacy by default. Diversamente, il rischio è che l’efficienza dei controlli venga perseguita a scapito della tutela dell’identità digitale dei passeggeri, trasformando una tecnologia di semplificazione in un trattamento non conforme ai principi fondamentali del GDPR.

Dott.ssa Cristina Alberini