Con il provvedimento adottato l’11 settembre scorso nei confronti di Società per Azioni Esercizi Aeroportuali SEA, il Garante privacy ha ordinato a quest’ultima la sospensione dell’utilizzo della specifica soluzione tecnologica adottata, poiché incompatibile con la vigente disciplina europea sulla protezione dei dati personali, come già chiarito dal Comitato europeo per la protezione dei dati con il proprio parere del 23 maggio 2024 n.11.
L’Autorità, peraltro, prima di procedere all’adozione del provvedimento in questione aveva, sin dal dicembre 2024, ha informato SEA dell'incompatibilità della specifica soluzione adottata nell’ambito dell’istruttoria tuttora in corso, invitando la stessa società a considerare le diverse soluzioni individuate come compatibili secondo la citata disciplina europea.
Il Garante ha precisato che il ricorso a tecnologie di riconoscimento facciale in aeroporto è, quindi, da considerarsi consentito ma ricorrendo a soluzioni tecnologiche diverse da quella adottata da SEA, idonee a bilanciare le esigenze di semplificazione nelle operazioni di imbarco con quelle di protezione dei dati personali nel rispetto della vigente disciplina europea, con particolare riferimento al trattamento dei dati biometrici. Tali soluzioni sono quelle specificatamente indicate nel citato parere dal Comitato.
Nel provvedimento del 2024, sull'uso del riconoscimento facciale per snellire il flusso dei passeggeri negli aeroporti (compatibilità con l'articolo 5, paragrafo 1, lettere e) e f), e gli articoli 25 e 32 GDPR), l’EDPB valuta la conformità del trattamento alle suddette disposizioni del GDPR nel contesto di quattro scenari specifici.
Il primo scenario prevede la conservazione di un modello biometrico registrato nelle mani della persona, ad esempio su un suo singolo dispositivo, sotto il suo esclusivo controllo, al fine di autenticare (confronto 1:1) il passeggero man mano che procede attraverso i suddetti punti di controllo aeroportuali.
Il Comitato conclude che le misure scelte potrebbero essere considerate conformi al principio di necessità se il titolare del trattamento può dimostrare che non esistono soluzioni alternative meno invasive in grado di conseguire lo stesso obiettivo in modo altrettanto efficace. Inoltre l'invasività del trattamento può essere controbilanciata dal coinvolgimento attivo dei passeggeri, in quanto il modello biometrico di questi ultimi è conservato solo nelle loro mani, ad esempio su un loro singolo dispositivo, sotto il loro esclusivo controllo e i loro dati sono cancellati poco dopo il completamento del confronto.
Su tale base il Comitato conclude che il trattamento previsto nel primo scenario potrebbe essere considerato in linea di principio compatibile con l'articolo 5, paragrafo 1, lettera f), e con gli articoli 25 e 32 GDPR, fatta salva l'attuazione di garanzie adeguate.
Il Comitato ha individuato le garanzie che, come minimo, dovrebbero essere attuate per una soluzione simile al primo scenario.
Il secondo scenario prevede la conservazione centralizzata all'interno dell'aeroporto di un modello biometrico registrato in forma cifrata con una chiave segreta nota esclusivamente al passeggero. Ciò consente l'autenticazione dei passeggeri (confronto 1:1) man mano che procedono attraverso I suddetti punti di controllo aeroportuali. La registrazione è valida per un determinato periodo che ad esempio potrebbe arrivare fino a un anno dopo l'ultimo volo effettuato fino alla data di scadenza del passaporto.
Il Comitato conclude che il trattamento possa essere ritenuto conforme al principio di necessità se il titolare del trattamento può dimostrare che non esistono soluzioni alternative meno invasive in grado di conseguire lo stesso obiettivo in modo altrettanto efficace. Inoltre l'invasività del trattamento può essere controbilanciata dal coinvolgimento attivo del passeggero, che detiene sotto il suo esclusivo controllo la chiave segreta dei suoi dati biometrici cifrati. Se il titolare del trattamento attua garanzie adeguate, i rischi per la sicurezza derivanti dall'utilizzo di una banca dati centralizzata in questo scenario potrebbero essere attenuati e l'impatto negativo sui diritti e sulle libertà fondamentali degli interessati potrebbe essere considerato proporzionato al vantaggio previsto. Per quanto riguarda il principio della limitazione della conservazione, al Comitato non è stata fornita alcuna informazione a sostegno del lungo periodo di conservazione. Al fine di conseguire la compatibilità con l'articolo 5, paragrafo 1, lettera e), GDPR in questo scenario, i titolari del trattamento dovrebbero essere in grado di giustificare il motivo per cui il periodo di conservazione previsto è necessario per la finalità in casi specifici.
Il Comitato raccomanda ai titolari del trattamento di prevedere un periodo di conservazione il più breve possibile, offrendo al contempo ai passeggeri la possibilità di stabilire il periodo di conservazione che preferiscono. Su tale base il Comitato conclude che il trattamento previsto nello
scenario 2 potrebbe essere considerato in linea di principio compatibile con l'articolo 5, paragrafo 1, lettere e) e f), e con gli articoli 25 e 32 GDPR, fatta salva l'attuazione di garanzie adeguate.
Il Comitato ha individuato le garanzie che, come minimo, dovrebbero essere attuate per una soluzione simile al secondo scenario
il terzo scenario prevede la conservazione centralizzata di un modello biometrico registrato in forma cifrata all'interno dell'aeroporto sotto il controllo del gestore aeroportuale. Ciò consente l'identificazione dei passeggeri (confronto 1:N) man mano che procedono attraverso i suddetti punti di controllo aeroportuali. Il periodo di conservazione in questo scenario è generalmente di 48 ore e I dati sono cancellati al decollo dell'aereo.
Dal momento che la conservazione dei dati identificativi e biometrici avviene in una banca dati centrale, se la riservatezza di quest'ultima è compromessa, ciò può successivamente comportare l'accesso all'intero insieme di dati e consentire l'identificazione non autorizzata o illecita dei passeggeri in altri ambienti. L'architettura di conservazione centralizzata sotto il controllo del gestore aeroportuale comporta altresì che il passeggero perda maggiormente il controllo dei suoi dati. Il Comitato ritiene che un risultato analogo per quanto riguarda lo snellimento del flusso dei passeggeri negli aeroporti possa essere conseguito in modo meno invasivo e che l'impatto negativo sui diritti e sulle libertà fondamentali degli interessati che risulterebbe da una violazione dei dati in una banca dati centralizzata di dati biometrici sembra superare il vantaggio previsto derivante dal trattamento.
Pertanto il trattamento non può soddisfare i principi di necessità e proporzionalità. Su tale base il
Comitato conclude che il trattamento previsto nel terzo scenario non può essere compatibile con l'articolo 25 GDPR. Inoltre non sarebbe conforme all'articolo 5, paragrafo 1), lettera f), e all'articolo 32 GDPR se un titolare del trattamento si limitasse alle misure descritte in questo scenario.
Il quarto scenario prevede la conservazione centralizzata di un modello biometrico registrato in forma cifrata nel cloud sotto il controllo della compagnia aerea o del suo fornitore di servizi cloud. Ciò consente l'identificazione dei passeggeri (confronto 1:N) man mano che procedono attraverso I suddetti punti di controllo aeroportuali. Il periodo di conservazione in questo scenario può potenzialmente durare fino a quando il cliente ha un account presso la compagnia aerea.
Dal momento che la conservazione dei dati identificativi e biometrici avviene in una banca dati centrale nel cloud, più soggetti potrebbero avere accesso a tali dati, compresi eventualmente fornitori di paesi non appartenenti al SEE. I dati del passeggero sono decifrati quando sono utilizzati e le chiavi sono sotto il controllo della compagnia aerea o dei suoi responsabili del trattamento, il che potrebbe aumentare la superficie di esposizione alla sicurezza. Tale architettura di conservazione centralizzata comporta altresì che il passeggero perda maggiormente il controllo dei suoi dati. I dati potrebbero anche essere conservati per un periodo di tempo significativo, il che li espone a rischi più elevati di violazione della sicurezza e sembra andare oltre quanto strettamente necessario e proporzionato ai fini del trattamento, a meno che non siano adottate ulteriori misure evidenti per attenuare i rischi per le persone.
Il Comitato ritiene che un risultato analogo per quanto riguarda lo snellimento del flusso dei passeggeri negli aeroporti possa essere conseguito in modo meno invasivo e che l'impatto negativo sui diritti e sulle libertà fondamentali degli interessati che potrebbe risultare da una violazione dei dati in una banca dati centralizzata di dati biometrici sembra superare il vantaggio previsto derivante dal trattamento. Pertanto il trattamento non può soddisfare i principi di necessità e proporzionalità.
Su tale base il Comitato conclude che il trattamento previsto nel quarto scenario non può essere compatibile con l'articolo 25 GDPR. Inoltre non sarebbe conforme all'articolo 5, paragrafo 1, lettera e), GDPR sulla base delle informazioni a disposizione del Comitato e non sarebbe conforme all'articolo 5, paragrafo 1), lettera f), e all'articolo 32 GDPR se un titolare del trattamento si limitasse alle misure descritte in questo scenario.
News archive