Il Garante Privacy, con provvedimento dell’11 settembre 2025, n. 489 ha disposto ad una nota società di gestione dei servizi aeroportuali la misura della limitazione provvisoria del trattamento dei dati biometrici dei passeggeri ai fini della loro identificazione ai varchi di accesso ai gate di imbarco.
Contestualmente, il Garante ha colto l’occasione per precisare quali siano i corretti limiti e condizioni all’utilizzo dei sistemi di riconoscimento facciale e di conservazione dei dati biometrici degli interessati, per essere conformi al GDPR.
Il Garante ricorda preliminarmente che, nell’Opinion n. 11/2024, l’EDPB aveva già esaminato la legittimità, rispetto alle disposizioni di cui agli artt. 5, par. 1, lett. e) e f), 25 e 32 del GDPR, del trattamento dei dati biometrici dei passeggeri, posto in essere, mediante sistemi di riconoscimento facciale, con la finalità di facilitare le operazioni di accesso dei predetti passeggeri nelle aree aeroportuali.
L’EDPB aveva stabilito in particolare la non conformità, con il GDPR, dei trattamenti effettuati nel contesto di due dei quattro scenari contemplati nell’Opinion, ovvero:
- Scenario 3.1 – conservazione centralizzata dei modelli biometrici in una banca dati all’interno dell’aeroporto, sotto il controllo del gestore aeroportuale: l’Opinion evidenzia l’illiceità dei trattamenti di dati biometrici, posti in essere mediante sistemi di riconoscimento facciale che si basino sulla conservazione centralizzata ai fini dell’identificazione dei modelli biometrici registrati dei passeggeri, laddove tali modelli non siano cifrati con una chiave segreta nota esclusivamente ai passeggeri e siano conservati in una banca dati all’interno dell’aeroporto sotto il controllo del gestore aeroportuale
- Scenario 3.2 – conservazione centralizzata dei modelli biometrici in un cloud sotto il controllo della compagnia aerea
Dalle verifiche ispettive svolte dal Garante nel caso concreto, è emerso che:
- la soluzione di FaceBoarding della Società è riconducibile allo scenario 3 di cui al Parere dell’EDPB n. 11/2024, e che la stessa non è pertanto conforme all’art. 5, paragrafo 1, lett. f), all’art. 6 e agli artt. 25 e 32 del GDPR, in quanto:
- il template (modello biometrico) è interamente conservato nel sistema centralizzato: e ciò sia con riferimento all’ipotesi in cui la fase di adesione al sistema avvenga in aeroporto, per il tramite dei chioschi ivi situati, sia ove la stessa sia effettuata mediante l’Applicazione mobile all’uopo specificatamente dedicata (di seguito “App”)
- all’interno delle “Digital Travel Credential” presenti nell’App, sono memorizzate soltanto le informazioni presenti nel documento d’identità e l’immagine del volto dell’interessato acquisita tramite selfie, mentre il template biometrico resta conservato esclusivamente nel sistema centralizzato della Società
- la misura delle Digital Travel Credential non consente quindi di assicurare un controllo attivo, da parte dell’interessato, sui propri dati biometrici, che rimangono invece nell’esclusiva disponibilità del gestore aeroportuale
- la Società non ha adottato misure di cifratura del template biometrico, all’atto della conservazione di quest’ultimo nei propri sistemi, in violazione dell’art. 32 del GDPR
- il sistema FaceBoarding prevede la conservazione dei template biometrici sino a 12 mesi, nel caso di adesione del passeggero al “Programma a lungo termine”: considerata la particolare natura dei dati biometrici oggetto di trattamento e gli elevati rischi di violazione dei dati correlati alla conservazione centralizzata dei template biometrici dei passeggeri, si pone in contrasto con l’art. 5, par. 1, lett. e), e con l’art. 32 del GDPR
- i varchi dedicati al FaceBoarding sono di natura ibrida, ovvero possono essere utilizzati anche da passeggeri che non hanno aderito al predetto sistema: in tale circostanza, viene comunque generato un template biometrico dell’interessato, sebbene quest’ultimo non abbia rilasciato il consenso al relativo trattamento (al momento del passaggio al varco dedicato, è, ad ogni modo, acquisita l’immagine del volto del passeggero e viene generato il template dello stesso), in violazione dell’art. 6 del GDPR;
- l’informativa rilasciata dalla Società agli interessati contiene indicazioni inesatte: riporta infatti che, rispetto alle modalità di adesione al sistema tramite l’App dedicata, il modello biometrico resta conservato esclusivamente nello smartphone del passeggero; tale riferimento si pone in contrasto con l’art. 13 del GDPR.
