Il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento dei dati biometrici dei passeggeri dell’aeroporto di Milano Linate effettuato tramite il sistema di riconoscimento facciale “FaceBoarding”. Il servizio era utilizzato da SEA – Società per azioni esercizi aeroportuali per consentire ai passeggeri l’accesso all’area sterile e l’imbarco ai gate, previa registrazione presso appositi chioschi o tramite applicazione. Inevitabile la conseguente associazione dell’immagine del volto al documento di identità e alla carta d’imbarco.
Tuttavia, è emerso che il sistema conservava i dati biometrici raccolti in maniera centralizzata sui server di SEA, senza consentire ai passeggeri un controllo esclusivo sui propri dati.
Per questo motivo l’Autorità ha ritenuto che il sistema “FaceBoarding” fosse in violazione del GDPR e risultasse in contrasto, in particolare, con il parere dell’EDPB in materia di utilizzo del riconoscimento facciale negli aeroporti.
L’Autorità ha inoltre rilevato l’assenza di adeguate misure di cifratura dei modelli biometrici, la conservazione dei template per un periodo eccessivo (fino a 12 mesi) con conseguente incremento dei rischi di violazione dei dati personali, nonché la diffusione di un’informativa contenente indicazioni inesatte.
Infine, è stato accertato che la società acquisiva le immagini del volto anche dei passeggeri che non avevano aderito al sistema “FaceBoarding”, nel caso di utilizzo dei varchi ibridi, in assenza del loro consenso.