L’Autorità Garante per la protezione dei dati personali ha recentemente affrontato il tema della legittimità del trattamento dei dati biometrici dei passeggeri tramite sistemi di riconoscimento facciale, utilizzati per facilitare l’accesso alle aree aeroportuali, in relazione agli articoli 5, paragrafo 1, lettere e) e f), 25 e 32 del Regolamento UE 2016/679.
Il recente provvedimento si innesta nel solco dell’applicazione uniforme della normativa europea, richiamando il parere n. 11/2024 del Comitato europeo per la protezione dei dati personali che approfondisce la compatibilità del trattamento già menzionato con gli articoli 5, paragrafo 1, lettere e) e f), e 25 e 32 del GDPR per la specifica finalità di razionalizzare il flusso di passeggeri negli aeroporti. Nel suddetto Parere, l’EDPB ha ritenuto conforme il trattamento dei dati biometrici dei passeggeri tramite sistemi di riconoscimento facciale solo in due ipotesi : conservazione del modello biometrico registrato esclusivamente nelle mani della persona ai fini dell’autenticazione (c.d. Scenario 1); conservazione centralizzata del modello biometrico registrato in forma cifrata all'interno dell'aeroporto , ma con una chiave segreta nota esclusivamente ai passeggeri ai fini dell'autenticazione (c.d. Scenario 2). Di contro, l’EDPB ha rilevato la non conformità al GDPR negli scenari che prevedono la conservazione centralizzata sotto il controllo del gestore o della compagnia aerea . Nello specifico, la conservazione centralizzata dei modelli biometrici in una banca dati all’interno dell’aeroporto, sotto il controllo del gestore aeroportuale (c.d. Scenario 3), è stata ritenuta illecita, specialmente se i modelli non sono cifrati con chiave nota unicamente ai passeggeri. Oggetto del provvedimento Il provvedimento trae origine da una richiesta di informazioni del 16 dicembre 2024 ( ex articolo 157 del Codice Privacy) inviata dal Garante Privacy alla Società per Azioni Esercizi Aeroportuali S.E.A. (“SEA”), riguardante l’installazione e l’uso del sistema di riconoscimento facciale “ FaceBoarding ” presso l’aeroporto di Milano Linate . Tale sistema è finalizzato all’identificazione dei passeggeri ai varchi di accesso all’area sterile e ai gate di imbarco. Gli accertamenti ispettivi effettuati dal Garante Privacy il 7 e 8 luglio 2025 hanno evidenziato una serie di violazioni sistemiche , confermando che la soluzione implementata da SEA era pienamente riconducibile allo Scenario 3, ritenuto non conforme, dall’EDPB. Violazioni Le verifiche in loco condotte dal Garante Privacy hanno rivelato molteplici non conformità , che hanno determinato la violazione degli articoli 5, 6, 13, 25 e 32 del GDPR: violazione dei principi di limitazione delle finalità e sicurezza (articolo 5, par. 1, lett. f), articolo 25 e 32 GDPR): è emerso che il template biometrico è conservato interamente nel sistema centralizzato di SEA, sia ove l’adesione avvenga tramite chioschi aeroportuali sia tramite l’applicazione mobile dedicata (“App”). Nonostante l’App memorizzi le informazioni del documento d’identità e l’immagine del volto, il template biometrico rimane nell’esclusiva disponibilità del gestore aeroportuale. Pertanto, le “Digital Travel Credential” implementate non assicurano un controllo attivo da parte dell’interessato sui propri dati biometrici, che invece rimangono a disposizione del gestore aeroportuale. Il sistema FaceBoarding, così concepito, rientra nello Scenario 3, descritto nel Parere e quindi non è conforme al GDPR; violazione dell’articolo 32 GDPR : SEA non ha adottato misure di cifratura del template biometrico al momento della conservazione nei propri sistemi; violazione dell’articolo 5, par. 1, lett. e) e articolo 32 GDPR : il sistema prevede tempi di conservazione dei template estesi fino a 12 mesi per gli aderenti al “Programma a lungo termine”. Tali tempi di conservazione sono stati ritenuti in contrasto con il principio di limitazione della conservazione, data la natura sensibile dei dati biometrici e gli elevati rischi di data breach legati alla conservazione centralizzata; violazione dell’articolo 6 GDPR : i varchi FaceBoarding sono di natura ibrida . È stato accertato che, anche per i passeggeri che non hanno aderito al sistema né rilasciato il consenso al trattamento, viene comunque generato un template biometrico al momento del passaggio, in quanto l’immagine del volto è in ogni caso acquisita; violazione dell’articolo 13 GDPR : informativa privacy inesatta. L’informativa privacy fornita da SEA contiene indicazioni inesatte, riportando che, per la registrazione tramite App, « il modello biometrico (..) resta conservato esclusivamente [nello] smartphone del passeggero » . Tale affermazione è in contrasto con la realtà dei fatti e costituisce violazione dell’obbligo di trasparenza nei confronti dei soggetti interessati. Decisione Considerata l’elevata gravità delle violazioni constatate, l’elevato numero di interessati coinvolti (24.550 soggetti al 31 luglio 2025) e la particolare natura dei dati trattati, il Garante Privacy ha ritenuto necessario intervenire d’urgenza . Ai sensi dell’articolo 58, par. 2, lett. f) del GDPR, il Garante Privacy ha disposto la limitazione provvisoria del trattamento nei confronti di SEA , con effetto immediato a decorrere dalla data di ricezione del provvedimento. Ai sensi dell’articolo 18 del GDPR, la limitazione del trattamento implica che i dati personali non possano essere in alcun modo trattati salvo che per la conservazione , soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro. La limitazione del trattamento sarà mantenuta per il tempo necessario al completamento dell’istruttoria avviata sul caso . Il mancato rispetto della misura disposta dal Garante Privacy comporta l’applicazione della sanzione amministrativa pecuniaria prevista dall’articolo 83, par. 5, lett. e) del GDPR, i.e. fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Conclusioni Avverso il provvedimento è ammessa opposizione all’autorità giudiziaria ordinaria (Tribunale ordinario) entro trenta giorni (o sessanta giorni per i ricorrenti residenti all’estero), ai sensi dell'articolo 78 del GDPR. A seguito di numerose inesattezze da parte dei media, il Garante Privacy ha altresì precisato che il ricorso a strumenti di riconoscimento facciale in aeroporto è consentito solo ove si tratti di tecnologie diverse da quella adottata da SEA , e ritenute conformi alla normativa europea in quanto «idonee a bilanciare le esigenze di semplificazione nelle operazioni di imbarco” con quelle di protezione dei dati personali».
Provvedimento dell'11 settembre 2025, n. 489