Il trattamento dei dati biometrici attraverso sistemi di riconoscimento facciale, come quelli utilizzati in alcuni aeroporti, solleva importanti questioni giuridiche riguardo al rispetto del Regolamento UE 2016/679, noto come GDPR.

In tale contesto, l’Autorità Garante per la Protezione dei Dati Personali ha esaminato l’adozione di un sistema di riconoscimento facciale, riscontrando diverse violazioni delle norme sulla protezione dei dati personali.

Il GDPR stabilisce che i dati personali devono essere trattati con il massimo rispetto per la privacy degli individui, e conservati solo per il tempo necessario a perseguire la finalità specifica per cui sono raccolti secondo il principio di limitazione della conservazione (art. 5, par. 1, lett. e).

Tuttavia, nel caso in esame, i dati biometrici venivano conservati in modo centralizzato e senza cifratura, violando il principio di sicurezza del trattamento, previsto dall’art. 32 del GDPR e per periodi eccessivamente lunghi (fino a 12 mesi).

Un altro grave errore riscontrato riguarda l’informativa privacy fornita agli utenti.

Secondo il principio di trasparenza previsto dal GDPR, le informazioni relative al trattamento dei dati devono essere chiare e trasparenti.

Tuttavia, in violazione di tale principio, l’informativa fornita ai passeggeri dichiarava erroneamente che i dati biometrici fossero conservati solo nei dispositivi mobili degli utenti, mentre in realtà venivano archiviati nei sistemi del gestore aeroportuale.

A seguito delle violazioni riscontrate, il Garante ha disposto una limitazione provvisoria del trattamento dei dati biometrici, imponendone la sospensione fino al completamento dell’istruttoria e sono state previste sanzioni amministrative severe (fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dell’impresa, a seconda del caso) in caso di non conformità, come stabilito dall’art. 83 del GDPR.

È essenziale che i sistemi di riconoscimento facciale rispettino i principi fondamentali del GDPR, tra cui quello di minimizzazione dei dati; ciò significa che essi devono essere trattati solo per scopi strettamente necessari e non devono essere raccolti in eccesso rispetto alla finalità dichiarata.

Lo Studio rimane a disposizione per ogni eventuale chiarimento.