Nel corso della sua ultima sessione plenaria del 23 maggio 2024, l’EDPB ha adottato un parere (opinion n. 11/2024) sull’uso delle tecnologie di riconoscimento facciale e la conservazione dei dati biometrici, da parte degli operatori aeroportuali.
Il parere, reso ai sensi dell’art. 64, paragrafo 2, GDPR, affronta una questione di portata generale e produce effetti in più di uno Stato membro.
Il parere, in particolare, analizza la compatibilità del trattamento con:
- il principio di limitazione della conservazione (art. 5, paragrafo 1, lettera e), GDPR),
- il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f), GDPR)
- la protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR)
- la sicurezza del trattamento (articolo 32, GDPR).
L’EDPB osserva che nell’UE non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento d’identità: ciò è oggetto di leggi nazionali.
Pertanto, qualora non sia richiesta alcuna verifica dell’identità dei passeggeri con un documento d’identità ufficiale, tale verifica con l’uso di dati biometrici non dovrebbe essere effettuata, in quanto ciò comporterebbe un trattamento eccessivo dei dati.
Nel suo parere l’EDPB ha preso in considerazione la conformità del trattamento dei dati biometrici dei passeggeri con quattro diversi tipi di soluzioni di archiviazione e conservazione, che vanno da quelle che conservano i dati biometrici solo nelle mani della persona a quelle che si basano su un’architettura di archiviazione centralizzata, con modalità diverse.
In tutti i casi dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e acconsentono a partecipare.
L’EDPB ha rilevato che le uniche soluzioni di archiviazione che potrebbero essere compatibili con i principi sopra richiamati del GDPR, sono le soluzioni in base alle quali i dati biometrici sono conservati nelle mani dell’individuo o in una banca dati centrale, ma con una chiave di crittografia esclusivamente nelle loro mani.
In altri termini, il modello biometrico registrato di ciascun passeggero dovrebbe essere memorizzato localmente sul dispositivo individuale e sotto il suo esclusivo controllo.
Queste soluzioni di archiviazione, se implementate con un elenco di garanzie minime raccomandate, sono le uniche modalità che controbilanciano adeguatamente l’intrusività del trattamento offrendo alle persone il massimo controllo.
L’EDPB ha rilevato, a contrario, che le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza chiavi di crittografia nelle mani dell’individuo, non possono essere compatibili con i principi sopra richiamati e, se il titolare del trattamento si limita alle misure descritte negli scenari analizzati, non sarebbero conformi ai requisiti di sicurezza del trattamento.
Per quanto riguarda il principio della limitazione della conservazione, i titolari del trattamento devono assicurarsi di avere una giustificazione sufficiente per il periodo di conservazione previsto e limitarlo a quanto necessario per lo scopo proposto.
