I dati biometrici, come le impronte digitali o il riconoscimento facciale, sono sempre più al centro del dibattito sulla privacy. Quest’ultima tecnologia, in particolare, ha fatto il suo ingresso negli aeroporti, promettendo di snellire i controlli di sicurezza. Tuttavia, l’utilizzo del riconoscimento facciale solleva importanti interrogativi sulla tutela della privacy, in quanto implica il trattamento di dati personali particolarmente sensibili.
L’EDPB (European data protection board), ovvero il Garante della privacy europeo, ha recentemente analizzato la compatibilità di questa pratica con il GDPR.
Dati biometrici cosa sono
Prima di entrare nel merito del parere espresso dall’EDPB cerchiamo di comprendere cos’è un dato biometrico.
L’art.4 del GDPR definisce i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici“.
Sono dati biometrici l’impronta digitale che utilizziamo, ad esempio, per sbloccare il nostro smartphone, la scansione dell’iride attraverso la quale possiamo avere accesso ad aree riservate, il riconoscimento facciale mediante il quale vengono controllati gli accessi nei luoghi di lavoro, il riconoscimento vocale grazie al quale è possibile ricevere l’assistenza come clienti.
Questi dati sono considerati particolarmente sensibili, poiché collegati direttamente all’identità fisica e unica di una persona.
Uso del riconoscimento facciale negli aeroporti
L’uso del riconoscimento facciale negli aeroporti è ormai una pratica molto diffusa. Un numero crescente di operatori aeroportuali e di compagnie aeree in tutto il mondo sta adottando questa tecnologia per semplificare i controlli dei passeggeri. Scansionando il volto dei viaggiatori, è possibile confrontarlo con la foto presente nei loro documenti, come il passaporto, per verificare rapidamente l’identità durante i controlli di sicurezza e l’imbarco. Questo processo riduce i tempi di attesa e migliora l’esperienza complessiva del passeggero.
Tuttavia, l’uso del riconoscimento facciale presenta pro e conto, sollevando importanti questioni legate alla tutela della privacy. L’elaborazione di dati biometrici espone i viaggiatori a potenziali rischi, come la sorveglianza indebita o le violazioni dei dati. Una delle principali preoccupazioni riguarda la trasparenza: spesso non è chiaro come vengano gestiti i dati raccolti e chi vi abbia accesso, generando incertezze sulla protezione della privacy.
Compatibilità del riconoscimento facciale con il GDPR privacy
Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), i dati biometrici rientrano nella categoria dei dati sensibili, il cui trattamento è soggetto a restrizioni particolarmente severe. L’articolo 9 del GDPR vieta, di norma, il trattamento di categorie particolari di dati personali, compresi quelli biometrici e, di conseguenza, il riconoscimento facciale, salvo specifiche eccezioni. Tra queste eccezioni vi è il consenso esplicito dell’interessato o il trattamento per motivi di interesse pubblico rilevante, come può essere la sicurezza nazionale.
Il caso esaminato dall’EDPB
L’EDPB è stato chiamato a esprimersi sull’impiego del riconoscimento facciale negli aeroporti a seguito di una richiesta formulata dall’autorità francese per la protezione dei dati. Il Comitato europeo ha analizzato diverse modalità di utilizzo di questa tecnologia nel contesto aeroportuale, valutando i potenziali impatti sulla privacy dei passeggeri.
Si tratta di una questione di portata generale, con ripercussioni potenziali su tutti gli Stati membri dell’UE, in quanto l’utilizzo del riconoscimento facciale negli aeroporti è una pratica in costante crescita a livello europeo.
L’obiettivo era quello di fornire indicazioni chiare sugli scenari in cui l’utilizzo del riconoscimento facciale può essere considerato compatibile con il quadro normativo europeo in materia di protezione dei dati.
Il parere espresso dall’EDPB
Nel suo parere, l’EDPB ha sottolineato la necessità di limitare l’utilizzo del riconoscimento facciale negli aeroporti.
L’EDPB ha evidenziato l’assenza di un obbligo normativo uniforme nell’UE che imponga agli operatori aeroportuali di verificare l’identità dei passeggeri tramite documenti. Di conseguenza, il Garante europeo ha sottolineato che l’utilizzo di dati biometrici per tale scopo, in assenza di un’analoga verifica documentale, costituirebbe un trattamento eccessivo dei dati.
Il parere ha poi analizzato diverse soluzioni di archiviazione dei dati biometrici, ritenendo compatibili con il GDPR solo quelle che prevedono la conservazione dei dati direttamente da parte dell’individuo o in una banca dati centrale accessibile esclusivamente tramite una chiave crittografica personale. Tali soluzioni, se accompagnate da adeguate garanzie di sicurezza, rappresentano l’unico modo per bilanciare la necessità di controllo con il diritto alla privacy dei passeggeri.
Limiti all’archiviazione centralizzata e conservazione dei dati
L‘EDPB ha espresso forti riserve riguardo alle soluzioni di archiviazione centralizzata dei dati biometrici, sia all’interno dell’aeroporto sia nel cloud, laddove le chiavi di crittografia non siano sotto il diretto controllo dell’individuo.
Questa modalità di conservazione, secondo il Garante europeo, contrasta con i principi di protezione dei dati by design e by default, in quanto non integra la protezione dei dati fin dalla progettazione e non adotta misure di sicurezza predefinite per minimizzare i rischi.
Per quanto concerne il principio di limitazione della conservazione, l’EDPB ha sottolineato che i dati biometrici devono essere conservati solo per il tempo strettamente necessario allo scopo per cui sono stati raccolti, richiedendo ai titolari del trattamento di fornire una giustificazione adeguata al periodo di conservazione previsto.
