Nel corso della sua ultima sessione plenaria, il Comitato europeo per la protezione dei dati (EDPB – European Data Protection Board) ha adottato un parere sull’uso delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali e delle compagnie aeree per razionalizzare il flusso di passeggeri negli aeroporti.
Il parere del Comitato europeo [Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR], adottato il 23 maggio 2024 ai sensi dell’articolo 64, paragrafo 2, del GDPR, su richiesta dell’autorità francese per la protezione dei dati, affronta una questione di portata generale e produce effetti in più di uno Stato membro.
Nel parere in esame viene analizza la compatibilità del trattamento dei dati con il principio di limitazione della conservazione (articolo 5, paragrafo 1, lettera e), GDPR), il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f), GDPR), la protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25, GDPR) e la sicurezza del trattamento (articolo 32, GDPR).
Nell’Unione Europea non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento d’identità, e ciò può essere soggetto alle leggi nazionali. Pertanto, qualora non sia richiesta alcuna verifica dell’identità dei passeggeri con un documento d’identità ufficiale, tale verifica con l’uso di dati biometrici non dovrebbe essere effettuata, in quanto ciò comporterebbe un trattamento eccessivo dei dati.
Nel suo parere l’EDPB ha preso in considerazione la conformità del trattamento dei dati biometrici dei passeggeri con quattro diversi tipi di soluzioni di archiviazione, che vanno da quelle che conservano i dati biometrici solo nelle mani della persona a quelle che si basano su un’architettura di archiviazione centralizzata con modalità diverse. In tutti i casi dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e acconsentono a partecipare.
Il Comitato europeo per la protezione dei dati personali ha rilevato che le uniche soluzioni di archiviazione che potrebbero essere compatibili con il principio di integrità e riservatezza, la protezione dei dati fin dalla progettazione e per impostazione predefinita e la sicurezza del trattamento, sono le soluzioni in base alle quali i dati biometrici sono conservati nelle mani dell’individuo o in una banca dati centrale, ma in ogni caso con la chiave di crittografia.
Queste soluzioni di archiviazione, se implementate con un elenco di garanzie minime raccomandate, sono le uniche modalità che controbilanciano adeguatamente l’intrusività del trattamento offrendo alle persone il massimo controllo.
L’EDPB ha evidenziato che le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza le chiavi di crittografia nelle mani dell’individuo, non possono essere compatibili con i requisiti di protezione dei dati fin dalla progettazione e per impostazione predefinita e, se il titolare del trattamento si limita alle misure descritte negli scenari analizzati, non sarebbero conformi ai requisiti di sicurezza del trattamento
Per quanto riguarda il principio della limitazione della conservazione, i titolari del trattamento devono assicurarsi di avere una giustificazione sufficiente per il periodo di conservazione previsto e limitarlo a quanto necessario per lo scopo proposto.
Il presidente dell’EDPB, Anu Talus, ha dichiarato nell’annunciare l’adozione del parere:
“Sempre più operatori aeroportuali e compagnie aeree di tutto il mondo stanno sperimentando sistemi di riconoscimento facciale che consentono ai passeggeri di passare più facilmente attraverso i vari punti di controllo. È importante essere consapevoli del fatto che i dati biometrici sono particolarmente sensibili e che il loro trattamento può creare rischi significativi per le persone. La tecnologia di riconoscimento facciale può portare a falsi negativi, pregiudizi e discriminazioni. L’uso improprio dei dati biometrici può anche avere gravi conseguenze, come la frode di identità o l’impersonificazione. Pertanto, esortiamo le compagnie aeree e gli operatori aeroportuali a optare per modi meno intrusivi per semplificare i flussi di passeggeri, quando possibile. Secondo l’EDPB, le persone fisiche dovrebbero avere il massimo controllo sui propri dati biometrici”.
Fonte: Juranews