Il sistema FaceBoarding di Milano dimostra che l'efficienza non può scavalcare i diritti fondamentali

Nel mondo fisico, siamo abituati a mostrare il passaporto a un agente umano, un breve scambio in cui manteniamo il controllo dei nostri documenti d'identità. Online e nelle zone di transito automatizzate, tuttavia, questa dinamica si trasforma in qualcosa di molto più opaco. Spesso ci viene chiesto di scambiare i nostri dati più intimi — la geometria dei nostri volti — con la promessa di una coda più breve. Ma come rivela una recente decisione del Garante per la protezione dei dati personali, il prezzo di tale comodità è spesso più alto di quanto i passeggeri si rendano conto.

Presso l'aeroporto di Milano Linate, il sistema FaceBoarding è stato commercializzato come un salto senza soluzione di continuità nel futuro dei viaggi. Scansionando il proprio volto, i passeggeri potevano superare rapidamente i controlli di sicurezza e i gate d'imbarco senza dover cercare codici cartacei o digitali. Eppure, l'indagine del Garante su SEA (Società Esercizi Aeroportuali) ha sollevato il velo su un sistema che non ha rispettato le leggi stesse create per proteggerci. Dal punto di vista della conformità, la sentenza funge da duro monito: l'innovazione senza una base di privacy è semplicemente una forma sofisticata di rischio.

L'illusione del consenso

Uno dei risultati più significativi della decisione del Garante è stata la mancanza di un consenso valido. Nel mondo della protezione dei dati, il consenso è la chiave che apre la porta al trattamento delle informazioni sensibili. Per i dati biometrici — che il GDPR classifica come una categoria speciale perché sono legati in modo unico e permanente a un individuo — questa chiave deve essere girata dall'utente in modo libero ed esplicito.

In pratica, è emerso che SEA acquisiva le immagini facciali dei passeggeri senza ottenere il consenso granulare richiesto dalla legge. In altre parole, ai passeggeri non veniva offerta una scelta chiara e informata; venivano semplicemente incanalati in un sistema che trattava i loro tratti biologici come un qualsiasi altro bagaglio. Secondo il quadro del GDPR, non si può presumere che qualcuno accetti di far digitalizzare e memorizzare il proprio volto solo perché si dirige verso un gate specifico.

Fondamenta costruite sulla sabbia

La "privacy by design" è la fondamenta di una casa. Se si costruisce una struttura elegante e moderna su fondamenta deboli, l'intero edificio rimane precario. Il Garante ha riscontrato che SEA non ha implementato questo principio, violando l'Articolo 25 del GDPR. Invece di integrare la privacy nel software fin dalla prima riga di codice, il sistema ha trattato la protezione dei dati come un aspetto secondario.

Questa mancanza di integrità strutturale è stata evidente soprattutto nei fallimenti della sicurezza del sistema. L'indagine ha rivelato che SEA non ha criptato i template biometrici — le rappresentazioni matematiche dei volti dei passeggeri. Nelle mani di un attore malintenzionato, un database biometrico non criptato è un asset tossico. A differenza di una password, non puoi cambiare il tuo volto dopo una violazione dei dati. Di conseguenza, la conservazione di questi dati in uno stato vulnerabile ha creato un rischio inaccettabile di furto d'identità e tracciamento non autorizzato.

Il problema dell'accumulo digitale

La minimizzazione dei dati è un principio fondamentale dell'igiene digitale. Suggerisce che le organizzazioni dovrebbero raccogliere solo ciò di cui hanno bisogno e conservarlo solo per il tempo necessario. SEA, tuttavia, ha optato per una politica di conservazione eccessiva. Conservando i dati biometrici per un periodo superiore a quello richiesto dall'immediato processo d'imbarco, hanno trasformato una comodità temporanea in un'impronta digitale permanente.

Questa pratica contraddice direttamente il Parere 11/2024 dell'European Data Protection Board (EDPB). Questa recente guida chiarisce che, affinché i sistemi biometrici negli aeroporti siano considerati proporzionati, i dati dovrebbero idealmente rimanere sotto il controllo del passeggero o essere cancellati nel momento in cui lo scopo specifico (come l'imbarco su un volo) viene soddisfatto. Conservarli più a lungo trasforma uno strumento di sicurezza in un database di sorveglianza.

Perché questo è importante per il futuro dei viaggi

Questa sentenza non riguarda solo un aeroporto in Italia; è una bussola per qualsiasi organizzazione che intenda implementare il riconoscimento facciale. Il Garante ha chiarito che il "fattore novità" della tecnologia non concede una licenza per ignorare l'Articolo 32 (Sicurezza del trattamento) o l'Articolo 5 (Principi del trattamento).

In definitiva, la decisione rafforza l'idea che i nostri dati biometrici siano un diritto umano fondamentale, non una merce da raccogliere per l'efficienza operativa. Mentre ci muoviamo verso ambienti sempre più automatizzati, l'onere rimane a carico del titolare del trattamento nel dimostrare che i propri sistemi sono robusti, trasparenti e, soprattutto, rispettosi dell'individuo.

Passaggi pratici per organizzazioni e viaggiatori

Per le aziende che vogliono restare dalla parte giusta della legge e per i viaggiatori che desiderano proteggere la propria identità digitale, ecco gli spunti operativi derivanti dalla decisione su Linate:

• Audit dei flussi di lavoro biometrici: Se la vostra organizzazione utilizza il riconoscimento facciale, verificate che il consenso sia esplicito e granulare. Gli utenti devono poter rinunciare senza penalità.
• Imporre la crittografia: I template biometrici non dovrebbero mai essere memorizzati in testo semplice. Utilizzate una crittografia all'avanguardia per garantire che, anche in caso di violazione, i dati rimangano inutilizzabili per gli intrusi.
• Praticare la minimizzazione dei dati: Impostate protocolli rigorosi di cancellazione automatica. Se il passeggero è salito sull'aereo, raramente esiste un motivo lecito per conservare il suo template facciale.
• Revisionare le linee guida EDPB: Assicuratevi che i vostri sistemi siano in linea con il Parere 11/2024, che stabilisce l'attuale standard per il trattamento biometrico in spazi pubblici ad alto traffico.
• Suggerimento per il viaggiatore: Cercate sempre l'alternativa "analogica". Avete il diritto di scegliere i controlli documentali tradizionali rispetto alla scansione biometrica nella maggior parte delle giurisdizioni.

Fonti:

• Regolamento Generale sulla Protezione dei Dati (GDPR), Articoli 5, 25 e 32.
• Garante per la protezione dei dati personali - Decisione su SEA Milano Linate.
• European Data Protection Board (EDPB) Opinion 11/2024 sull'uso del riconoscimento facciale negli aeroporti.

Disclaimer: Questo articolo è solo a scopo informativo e giornalistico e non costituisce consulenza legale formale. Per requisiti specifici di conformità, consultare un professionista legale qualificato o il proprio Responsabile della Protezione dei Dati.