Il sistema di riconoscimento facciale veniva utilizzato da SEA (Società per azioni esercizi aeroportuali), per consentire l’accesso all’area sterile e l’imbarco al gate dei passeggeri previa registrazione presso appositi chioschi o mediante app e successiva associazione del volto al documento di riconoscimento e alla carta d’imbarco.
L’Autorità Garante, nel corso dell’istruttoria avviata d’ufficio, ha accertato che il “FaceBoarding” vìola il GDPR ed è in contrasto, in particolare, con il parere dell’EDPB sull’uso del riconoscimento facciale in aeroporto. Il sistema, infatti, prevede che i dati biometrici acquisiti siano interamente conservati in maniera centralizzata nei server di SEA impedendo ai passeggeri di esercitare un controllo esclusivo sui propri dati.
Il Garante ha riscontrato, inoltre, che SEA non ha adottato misure di cifratura dei modelli biometrici; ha conservato i template per un periodo eccessivo (fino a 12 mesi), comportando così un aumento significativo dei rischi di violazioni dei dati personali, ed ha rilasciato un’informativa con indicazioni inesatte.
Per di più la società acquisiva, senza il loro consenso, le immagini del volto dei passeggeri che, pur non avendo aderito al “FaceBoarding”, utilizzavano i varchi ibridi.
