Con provvedimento adottato l’11 settembre 2025, il Garante per la protezione dei dati personali ha disposto la sospensione temporanea del sistema di riconoscimento “FaceBoarding” facciale, effettuato presso l’aeroporto di Milano Linate.
Il provvedimento rappresenta un momento di particolare rilievo nel processo di definizione delle regole giuridiche applicabili ai sistemi di riconoscimento facciale in ambito aeroportuale. L’intervento, infatti, segue il solco tracciato a livello europeo dal Comitato europeo per la protezione dei dati (EDPB), con l’Opinion n. 11/2024, documento che analizza, sotto il profilo della compatibilità con il Regolamento (UE) 2016/679 (GDPR), le modalità di impiego del riconoscimento facciale finalizzate a snellire il flusso dei passeggeri negli scali aeroportuali.
In particolare, l’EDPB ha individuato quattro distinti scenari, ciascuno connotato da un diverso grado di tutela dei diritti e delle libertà degli interessati, distinguendo, così, le situazioni compatibili con il GDPR da quelle invece da considerarsi illegittime. I primi due scenari, ritenuti conformi alla normativa comunitaria, prevedono modalità di trattamento che limitino fortemente il rischio di lesione dei diritti dei soggetti coinvolti. Il primo caso (i) si fonda sulla conservazione del modello biometrico da parte del solo interessato: il template rimane nel dispositivo personale del passeggero e non viene trasferito né trattato da terzi; l’autenticazione avviene localmente, in modo tale che il dato non esca mai dalla sfera di controllo dell’interessato (Opinion, Sec. 3.2.1). Il secondo scenario (ii), pur prevedendo la conservazione centralizzata del dato all’interno dell’aeroporto, richiede che il template sia cifrato con una chiave segreta nota esclusivamente al passeggero, che mantiene così un controllo esclusivo sul trattamento e sull’accesso al proprio dato biometrico (Opinion, Sec. 3.2.2). Diversamente, il Comitato ha ritenuto non conformi alla normativa comunitaria altri due scenari, che implicano modalità più invasive e meno trasparenti di raccolta e conservazione dei dati biometrici. La terza situazione (iii), infatti, prevede la conservazione centralizzata dei template biometrici in una banca dati ubicata all’interno dell’aeroporto e sotto il controllo del gestore aeroportuale, senza che il dato sia cifrato con una chiave personale dell’interessato (Opinion, Sec. 3.2.3.1). L’ultimo scenario (iv), infine, contempla la conservazione dei dati in un cloud accessibile dalla compagnia aerea, con rischi ancora più elevati in termini di localizzazione, controllo e sicurezza (Opinion, Sec. 3.2.3.2).
È proprio al terzo scenario (iii) che si riconduce, in modo inequivocabile, il sistema FaceBoarding implementato dalla società, come ha accertato il Garante a seguito di una serie di verifiche ispettive. Dalle risultanze documentali emerge infatti che il template biometrico dei passeggeri viene generato e conservato interamente nei sistemi centralizzati della società, sia nel caso in cui l’adesione al servizio avvenga tramite i chioschi fisici presenti in aeroporto, sia quando venga effettuata attraverso l’applicazione mobile predisposta dalla Società. In quest’ultima ipotesi, le Digital Travel Credential contenute nell’App si limitano a memorizzare l’immagine del volto acquisita tramite selfie e i dati identificativi del documento del passeggero, mentre il vero e proprio template biometrico è elaborato e conservato nei server aziendali, rimanendo così fuori dal controllo dell’interessato. Non solo: l’informativa fornita dalla società agli utenti è risultata inesatta, laddove dichiara che il modello biometrico sarebbe conservato esclusivamente nello smartphone del passeggero. Tale affermazione, smentita dai rilievi tecnici effettuati dall’Autorità, viola l’art. 13 del GDPR, che impone la trasparenza e l’accuratezza dell’informazione fornita agli interessati. A ciò si aggiunge un ulteriore profilo critico: il mancato impiego di tecniche di cifratura nella conservazione dei template biometrici nei sistemi della società, in violazione dell’art. 32 del Regolamento, che richiede l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento. Il quadro si aggrava considerando che, nei casi di adesione al “Programma a lungo termine”, i dati biometrici vengono conservati fino a dodici mesi: una durata eccessiva rispetto ai principi di minimizzazione e limitazione della conservazione, con conseguente violazione degli artt. 5 par. 1 lett. e), 32 GDPR. Particolarmente allarmante, infine, è il fatto che i varchi FaceBoarding siano stati utilizzabili anche da passeggeri non aderenti al sistema. In tali casi, secondo quanto accertato, viene comunque acquisita l’immagine del volto e generato il template biometrico, pur in assenza di un espresso consenso dell’interessato o di un’idonea base giuridica. Tale prassi integra una palese violazione dell’art. 6 GDPR, che condiziona la liceità del trattamento alla sussistenza di almeno una delle condizioni previste dal Regolamento.
In questo contesto, visto anche l’altissimo numero di soggetti coinvolti (24.550), il Garante ha ritenuto necessario adottare una misura d’urgenza, disponendo la limitazione provvisoria del trattamento dei dati biometrici presso l’aeroporto di Milano Linate tramite il sistema FaceBoarding. La misura ha efficacia immediata ed è finalizzata a impedire la prosecuzione di trattamenti potenzialmente lesivi dei diritti fondamentali degli interessati, nelle more della conclusione dell’istruttoria. È stata inoltre ordinata la pubblicazione del provvedimento sul sito dell’Autorità e la sua annotazione nel registro interno delle misure adottate.
Tale provvedimento del Garante, saldamente ancorata all’interpretazione offerta dal Comitato europeo, assume dunque una valenza sistemica: essa non si limita a sanzionare un trattamento illecito, ma riafferma, con forza, il primato della dignità e dei diritti fondamentali nel governo delle tecnologie emergenti – principio sistemico che deve guidare l’intero sviluppo normativo e applicativo dell’intelligenza artificiale.
