Il parere del Comitato europeo per la protezione dei dati?
L’Autorità di vigilanza francese ha chiesto al Comitato europeo per la protezione dei dati di esprimersi sull’uso del riconoscimento facciale negli aeroporti per autenticare o identificare i passeggeri.
L’obiettivo principale è migliorare i tempi di controllo e velocizzare il flusso dei viaggiatori.
Con l’Opinion n. 11/2024, il Comitato ha stabilito dei principi fondamentali per regolare questa tecnologia, tenendo conto della normativa GDPR e dei diritti dei passeggeri.
Assenza di normativa comune nell’UE
Attualmente, non esiste una normativa unica nell’Unione Europea che obblighi aeroporti e compagnie aeree a verificare l’identità dei passeggeri attraverso un controllo del documento d’identità.
Secondo il Comitato, l’uso di dati biometrici per questa verifica è eccessivo se non espressamente richiesto dalla legge. Tale pratica potrebbe comportare rischi per la privacy e violare le restrizioni del GDPR, in particolare l’art. 9, che tutela i dati sensibili.
I principi del GDPR e la liceità del trattamento
Il parere del Comitato ha valutato la conformità del riconoscimento facciale rispetto ai principi fondamentali del GDPR, tra cui:
- Limitazione della conservazione dei dati;
- Integrità e riservatezza;
- Privacy by design e by default;
- Sicurezza del trattamento.
Questi criteri servono a bilanciare l’innovazione con la tutela della privacy dei passeggeri.
Scenari di utilizzo e conformità
Il Comitato ha analizzato quattro possibili modalità di utilizzo del riconoscimento facciale negli aeroporti, stabilendo quali siano conformi alla normativa e quali no.
-
Memorizzazione su dispositivo personale
Un modello biometrico viene salvato sul dispositivo del passeggero, sotto il suo esclusivo controllo. Questa soluzione può essere accettabile, ma solo se non esistono alternative meno invasive.
-
Memorizzazione centralizzata criptata
Il modello biometrico viene conservato in forma criptata all’interno dell’aeroporto, con la password gestita solo dal passeggero. Il Comitato ritiene che questa opzione possa essere conforme, purché siano garantite misure di sicurezza adeguate.
-
Memorizzazione da parte dell’operatore aeroportuale
Il modello biometrico viene archiviato dall’operatore aeroportuale e utilizzato per identificare il passeggero ai check-point. I dati vengono conservati fino a 48 ore dopo il transito. Questo metodo è stato giudicato troppo rischioso e non conforme al GDPR.
-
Memorizzazione da parte della compagnia aerea
I dati biometrici vengono raccolti direttamente dalla compagnia aerea nella fase di imbarco e conservati in modo criptato. Anche questa soluzione è stata ritenuta non lecita ai sensi del GDPR.
Quali soluzioni sono ammesse?
Il Comitato ha riconosciuto che il riconoscimento facciale può essere utilizzato negli aeroporti, ma solo nel rispetto di rigide condizioni. In particolare, l’utente deve mantenere pieno controllo sui propri dati biometrici, evitando trattamenti centralizzati e prolungati nel tempo.
L’adozione di sistemi rispettosi della privacy può contribuire a modernizzare i controlli aeroportuali senza violare i diritti dei passeggeri.
