Bruxelles maggio 2024

Durante la sua ultima sessione plenaria, l’European Data Protection Board ha adottato un parere sull’uso delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali e delle compagnie aeree per razionalizzare il flusso di passeggeri negli aeroporti.

Anu Talus (presidente dell’EDPB) ha dichiarato che, nonostante l’implementazione del riconoscimento facciale negli aeroporti rappresenti uno strumento efficace nella gestione dei flussi dei passeggeri, è fondamentale essere consapevoli dell’impatto che tale mezzo può comportare.

Il riconoscimento facciale, di fatti, può portare a falsi negativi, pregiudizi e discriminazioni, e l’uso improprio dei dati biometrici può anche avere gravi conseguenze, come la frode di identità o l’impersonificazione.

Nell’UE non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento d’identità: ciò può essere soggetto alla discrezione delle leggi nazionali.

Pertanto, qualora non sia richiesta alcuna corrispondenza tra carta d’imbarco e documento d’identità, una verifica con l’uso di dati biometrici non dovrebbe essere effettuata, in quanto ciò comporterebbe un trattamento eccessivo dei dati.

Nel suo parere l’EDPB ha preso in considerazione quattro tipologie di soluzioni di archiviazione dei dati biometrici, dalla conservazione nelle mani di singoli individui a strutture centralizzate con varie modalità, rilevando che le uniche soluzioni di archiviazione che potrebbero essere compatibili con il principio di integrità e riservatezza sono:

• La conservazione dei dati biometrici direttamente nelle mani dell’individuo;
• La conservazione dei dati presso una banca dati centrale ma con la chiave di crittografia esclusivamente nelle mani del soggetto interessato.

Conclusioni EDPB

Le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza le chiavi di crittografia nelle mani del soggetto direttamente interessato, non possono essere compatibili con i requisiti di protezione dei dati, non rispettando conseguentemente l’integrità e la riservatezza di essi.

Come porsi in merito alla questione?

L’indagine sull’uso di queste tecnologie non si limita a una mera valutazione della loro efficacia, ma si estende ai principi di proporzionalità e necessità.

Nonostante l’ente che si avvale del riconoscimento facciale dichiari che il suo modus operandi sia conforme alla normativa europea GDPR sulla protezione dei dati personali, il giurista deve considerare se le misure adottate siano adeguatamente proporzionali al rischio presentato e se realmente capaci di contrapporsi agli inevitabili rischi di sicurezza associati alla gestione di tali dati.