NIS2 in Italia: pubblicate le modalita per la categorizzazione delle attivita e dei servizi. Scadenza 30 giugno 2026
Aprile 24, 2026
Accesso email aziendale ex dipendente e GDPR: il Garante chiarisce i diritti
Maggio 6, 2026 Il riconoscimento facciale in aeroporto deve rispettare il GDPR. Il Garante Privacy lo ha ribadito con un provvedimento che ha dichiarato illecito il sistema FaceBoarding dell’aeroporto di Milano Linate. Il sistema era gestito da SEA – Societa per azioni esercizi aeroportuali. Permetteva ai passeggeri di accedere all’area sterile e imbarcarsi tramite scansione del volto.
Come funzionava il FaceBoarding: riconoscimento facciale in aeroporto
I passeggeri potevano registrarsi volontariamente attraverso appositi chioschi o tramite app. La registrazione associava il volto al documento di identita e alla carta d’imbarco. Tuttavia, dietro all’apparente semplicita del servizio si nascondevano gravi problemi di conformita GDPR. I dati biometrici venivano raccolti e conservati con modalita non conformi al Regolamento europeo.
Le violazioni GDPR del sistema di riconoscimento facciale
Il Garante ha riscontrato diverse violazioni. In primo luogo, i dati biometrici erano conservati in modo centralizzato sui server di SEA. In questo modo, i passeggeri non avevano alcun controllo esclusivo sui propri dati, in contrasto con il parere dell’EDPB sull’uso del riconoscimento facciale negli aeroporti.
Inoltre, SEA non aveva adottato misure di cifratura per i modelli biometrici. I template venivano conservati per periodi eccessivi, fino a 12 mesi. Allo stesso modo, l’informativa fornita ai passeggeri conteneva indicazioni inesatte. Infine, l’elemento piu grave: SEA acquisiva le immagini del volto anche dei passeggeri che non avevano aderito al FaceBoarding, ma che utilizzavano i varchi ibridi.
Il quadro normativo: GDPR e AI Act sul riconoscimento facciale
Il GDPR classifica i dati biometrici come categoria particolare di dati personali. Pertanto, il loro trattamento richiede basi giuridiche specifiche e misure di protezione rafforzate. L’AI Act europeo aggiunge ulteriori restrizioni. Di conseguenza, l’uso del riconoscimento facciale in spazi pubblici e soggetto a limiti molto precisi.
Cosa imparare dal caso FaceBoarding
Prima di adottare sistemi biometrici, le organizzazioni devono condurre una DPIA approfondita. E necessario garantire la cifratura dei dati biometrici e definire periodi di conservazione proporzionati. Inoltre, le informative devono essere accurate e trasparenti. Infine, il principio di privacy by design deve guidare ogni scelta tecnologica fin dalla progettazione.
GetSolution accompagna le aziende nella valutazione della conformita dei sistemi biometrici al GDPR e all’AI Act. Contattaci per una consulenza specializzata.