System FaceBoarding w Mediolanie dowodzi, że efektywność nie może omijać praw podstawowych

W świecie fizycznym jesteśmy przyzwyczajeni do pokazywania paszportu ludzkiemu urzędnikowi – to krótka wymiana, podczas której zachowujemy kontrolę nad naszymi dokumentami tożsamości. Jednak w internecie i w zautomatyzowanych strefach tranzytowych ta dynamika zmienia się w coś znacznie bardziej nieprzejrzystego. Często prosi się nas o wymianę naszych najbardziej intymnych danych – geometrii naszych twarzy – w zamian za obietnicę krótszej kolejki. Jednak, jak ujawnia niedawna decyzja włoskiego organu ochrony danych (Garante), cena tej wygody jest często wyższa, niż zdają sobie sprawę pasażerowie.

Na lotnisku Mediolan-Linate system FaceBoarding był reklamowany jako płynny skok w przyszłość podróżowania. Dzięki skanowaniu twarzy pasażerowie mogli błyskawicznie przechodzić przez kontrolę bezpieczeństwa i bramki do wejścia na pokład, bez konieczności szukania papierowych lub cyfrowych kodów. Jednak dochodzenie Garante w sprawie SEA (Società Esercizi Aeroportuali) uchyliło rąbka tajemnicy nad systemem, który nie przestrzegał samych przepisów mających nas chronić. Z punktu widzenia zgodności z przepisami, orzeczenie to służy jako surowe przypomnienie: innowacja bez fundamentu prywatności jest jedynie wyrafinowaną formą ryzyka.

Iluzja zgody

Jednym z najistotniejszych ustaleń w decyzji Garante był brak ważnej zgody. W świecie ochrony danych zgoda jest kluczem, który otwiera drzwi do przetwarzania wrażliwych informacji. W przypadku danych biometrycznych – które RODO klasyfikuje jako specjalną kategorię, ponieważ są one unikalnie i na stałe powiązane z jednostką – klucz ten musi zostać przekręcony przez użytkownika dobrowolnie i wyraźnie.

W praktyce ustalono, że SEA pozyskiwała wizerunki twarzy pasażerów bez uzyskania szczegółowej zgody wymaganej przez prawo. Innymi słowy, pasażerowie nie otrzymali jasnego, świadomego wyboru; zostali po prostu skierowani do systemu, który traktował ich cechy biologiczne jak kolejną sztukę bagażu. W ramach RODO nie można zakładać, że ktoś zgadza się na cyfryzację i przechowywanie swojej twarzy tylko dlatego, że podchodzi do konkretnej bramki.

Fundament zbudowany na piasku

Prywatność w fazie projektowania (privacy by design) jest fundamentem domu. Jeśli zbudujesz elegancką, nowoczesną konstrukcję na słabym fundamencie, cały budynek pozostanie niestabilny. Garante stwierdził, że SEA nie wdrożyła tej zasady, naruszając art. 25 RODO. Zamiast wbudowywać ochronę prywatności w oprogramowanie od pierwszej linii kodu, system traktował ochronę danych jako sprawę drugorzędną.

Ten brak integralności strukturalnej był najbardziej widoczny w awariach bezpieczeństwa systemu. Dochodzenie ujawniło, że SEA nie zaszyfrowała wzorców biometrycznych – matematycznych reprezentacji twarzy pasażerów. W rękach złośliwego aktora niezaszyfrowana baza danych biometrycznych jest toksycznym aktywem. W przeciwieństwie do hasła, twarzy nie można zmienić po wycieku danych. W konsekwencji przechowywanie tych danych w stanie podatnym na ataki stworzyło niedopuszczalne ryzyko kradzieży tożsamości i nieautoryzowanego śledzenia.

Problem cyfrowego zbieractwa

Minimalizacja danych to podstawowa zasada cyfrowej higieny. Sugeruje ona, że organizacje powinny zbierać tylko to, czego potrzebują, i przechowywać to tylko tak długo, jak jest to konieczne. SEA zdecydowała się jednak na politykę nadmiernego zatrzymywania danych. Przechowując dane biometryczne dłużej, niż wymagał tego bezpośredni proces wejścia na pokład, zamienili tymczasową wygodę w trwały cyfrowy ślad.

Praktyka ta jest bezpośrednio sprzeczna z opinią Europejskiej Rady Ochrony Danych (EROD) nr 11/2024. Te najnowsze wytyczne wyjaśniają, że aby systemy biometryczne na lotniskach uznano za proporcjonalne, dane powinny idealnie pozostawać pod kontrolą pasażera lub zostać usunięte w momencie zrealizowania konkretnego celu (takiego jak wejście na pokład samolotu). Przechowywanie ich dłużej przekształca narzędzie bezpieczeństwa w bazę danych do inwigilacji.

Dlaczego ma to znaczenie dla przyszłości podróży

To orzeczenie nie dotyczy tylko jednego lotniska we Włoszech; jest to drogowskaz dla każdej organizacji chcącej wdrożyć rozpoznawanie twarzy. Garante jasno dał do zrozumienia, że „czynnik nowoczesności” nowej technologii nie daje licencji na ignorowanie art. 32 (bezpieczeństwo przetwarzania) lub art. 5 (zasady przetwarzania).

Ostatecznie decyzja ta wzmacnia ideę, że nasze dane biometryczne są podstawowym prawem człowieka, a nie towarem, który można gromadzić w celu zwiększenia wydajności operacyjnej. W miarę jak zmierzamy w stronę bardziej zautomatyzowanych środowisk, na administratorze danych spoczywa obowiązek udowodnienia, że jego systemy są solidne, przejrzyste i przede wszystkim szanują jednostkę.

Praktyczne kroki dla organizacji i podróżnych

Dla firm chcących pozostać po właściwej stronie prawa oraz dla podróżnych chcących chronić swoją cyfrową tożsamość, oto wnioski z decyzji dotyczącej Linate:

• Audyt procesów biometrycznych: Jeśli Twoja organizacja korzysta z rozpoznawania twarzy, zweryfikuj, czy zgoda jest wyraźna i szczegółowa. Użytkownicy muszą mieć możliwość rezygnacji bez żadnych sankcji.
• Wymuś szyfrowanie: Wzorce biometryczne nigdy nie powinny być przechowywane w formie otwartego tekstu. Stosuj najnowocześniejsze szyfrowanie, aby zapewnić, że nawet w przypadku naruszenia dane pozostaną bezużyteczne dla intruzów.
• Stosuj minimalizację danych: Ustaw rygorystyczne protokoły automatycznego usuwania. Jeśli pasażer wszedł na pokład samolotu, rzadko istnieje zgodny z prawem powód, aby zachować wzorzec jego twarzy.
• Przejrzyj wytyczne EROD: Upewnij się, że Twoje systemy są zgodne z opinią 11/2024, która wyznacza obecny standard przetwarzania danych biometrycznych w miejscach publicznych o dużym natężeniu ruchu.
• Wskazówka dla podróżnych: Zawsze szukaj „analogowej” alternatywy. W większości jurysdykcji masz prawo wybrać tradycyjną kontrolę dokumentów zamiast skanowania biometrycznego.

Źródła:

• Ogólne rozporządzenie o ochronie danych (RODO), artykuły 5, 25 i 32.
• Włoski Organ Ochrony Danych (Garante per la protezione dei dati personali) – Decyzja w sprawie SEA Milan Linate.
• Europejska Rada Ochrony Danych (EROD) Opinia 11/2024 w sprawie wykorzystania rozpoznawania twarzy na lotniskach.

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i dziennikarskim i nie stanowi formalnej porady prawnej. W celu uzyskania konkretnych wymagań dotyczących zgodności należy skonsultować się z wykwalifikowanym prawnikiem lub Inspektorem Ochrony Danych.