L'impiego di tecnologie biometriche-in particolare il riconoscimento facciale, ha subito un'accelerazione nei settori pubblici e privati di tutto il mondo. Gli aeroporti sono stati tra i più importanti adottatori di questi sistemi, spinti dalle promesse di una maggiore sicurezza, di una più snella elaborazione dei passeggeri e di una maggiore efficienza operativa. Tuttavia, la rapida integrazione di queste tecnologie ha sollevato notevoli problemi legali, etici e tecnici relativi alla privacy, alla protezione dei dati, alla correttezza degli algoritmi e alla trasparenza.
Un recente sviluppo degno di nota è la decisione del Garante italiano per la protezione dei dati personali (Garante per la Protezione dei Dati Personali(abbreviato GPDP) per sospendere l'attività di FaceBoarding. riconoscimento facciale presso i varchi automatizzati per il controllo di frontiera dell'aeroporto di Milano Linate. Questo saggio esamina il contesto, la tecnologia coinvolta, le motivazioni e la base giuridica del GPDP, le implicazioni per le parti interessate (compresi i passeggeri, gli operatori aeroportuali, le compagnie aeree e i fornitori di tecnologia) e il contesto più ampio della governance biometrica in Europa.
Sfondo: FaceBoarding e controllo automatizzato delle frontiere
FaceBoarding è un fornitore di soluzioni di verifica dell'identità biometrica che utilizza il riconoscimento facciale per autenticare i viaggiatori ai varchi di controllo automatizzato delle frontiere (ABC). La tecnologia confronta un'immagine dal vivo o un video del volto di un passeggero catturato al gate con un'immagine di riferimento memorizzata - tipicamente proveniente da un passaporto o da un database di identità governativo - per verificare l'identità e consentire il passaggio senza l'intervento umano degli agenti di frontiera. I sostenitori sostengono che questi sistemi possono accelerare le procedure, ridurre le code e mantenere o migliorare la sicurezza attraverso il controllo incrociato delle identità con le liste di controllo o gli indicatori di rischio.
L'aeroporto di Milano Linate, uno dei principali aeroporti nazionali e regionali italiani, ha implementato la soluzione FaceBoarding per snellire il flusso dei passeggeri ai varchi di frontiera automatizzati. Il sistema doveva consentire ai viaggiatori autorizzati di essere verificati biometricamente durante il controllo dei passaporti, migliorando apparentemente l'esperienza dei passeggeri e le prestazioni operative.
La decisione del GPDP: La sospensione e il suo fondamento
Il Garante italiano per la protezione dei dati personali ha emesso un ordine di sospensione del servizio di riconoscimento facciale FaceBoarding all'aeroporto di Milano Linate. La decisione del GPDP riflette le preoccupazioni sulla conformità al quadro normativo italiano in materia di protezione dei dati e al Regolamento generale sulla protezione dei dati (GDPR) dell'UE. Sebbene i dettagli del caso specifico e le motivazioni ufficiali siano molteplici, l'intervento del GPDP si basa tipicamente su alcuni punti centrali di natura legale e fattuale che vengono comunemente invocati quando le autorità esaminano i sistemi biometrici:
Liceità del trattamento: Ai sensi del GDPR, i dati biometrici che identificano in modo univoco una persona costituiscono una categoria di "categorie particolari di dati personali" (dati sensibili). Il trattamento di tali dati richiede una solida base giuridica e, spesso, un'esplicita autorizzazione legale. Il GPDP deve accertarsi che l'aeroporto e FaceBoarding avessero una base legale per raccogliere ed elaborare i dati biometrici per la verifica dell'identità.
Proporzionalità e necessità: Il trattamento dei dati deve essere necessario e proporzionato all'obiettivo dichiarato. L'Autorità ha probabilmente esaminato se mezzi meno intrusivi potessero raggiungere gli stessi obiettivi (ad esempio, controlli manuali, verifica dell'identità non biometrica) e se l'approccio biometrico fosse proporzionato in considerazione dei rischi per la privacy.
Trasparenza e consenso informato: Le persone devono essere adeguatamente informate sul trattamento dei dati biometrici e sui loro diritti. Il GPDP verifica spesso se i passeggeri hanno ricevuto informazioni chiare e comprensibili e se il consenso ottenuto è stato dato liberamente e in modo specifico, soprattutto se il rifiuto impedirebbe di fatto al passeggero di viaggiare o comporterebbe un disagio eccessivo.
Riduzione dei dati e limitazione dell'archiviazione: Il GDPR richiede che i dati raccolti siano adeguati, pertinenti e limitati a quanto necessario e che vengano conservati solo per il tempo necessario. Il GPDP ha probabilmente esaminato i tipi e la quantità di immagini acquisite, la durata della conservazione dei dati, l'eventuale archiviazione di modelli o immagini grezze e la giustificazione e l'attuazione delle politiche di conservazione.
Misure di sicurezza e protezione dei dati: L'Autorità esamina se sono state adottate misure tecniche e organizzative adeguate per proteggere i dati biometrici da accessi non autorizzati, violazioni o usi impropri. Ciò include la crittografia, i controlli di accesso, la trasmissione sicura e le garanzie contrattuali tra le parti coinvolte.
Diritti dell'interessato e ricorsi: Devono esistere meccanismi efficaci che consentano ai passeggeri di esercitare i propri diritti (accesso, rettifica, cancellazione, obiezione) e di ottenere un risarcimento significativo. Il GPDP potrebbe aver riscontrato che le procedure per l'esercizio di tali diritti erano insufficienti o poco chiare.
Valutazione del rischio e DPIA: Il GDPR richiede una valutazione d'impatto sulla protezione dei dati (DPIA) per i trattamenti ad alto rischio, come l'identificazione biometrica su larga scala. Il GPDP valuterà se la DPIA è stata condotta correttamente, se i rischi sono stati identificati e mitigati e se la consultazione dell'autorità di controllo è avvenuta quando i rischi residui sono rimasti elevati.
Sebbene il GPDP abbia sospeso il servizio piuttosto che ordinare un divieto permanente, la sospensione indica gravi preoccupazioni e la necessità di misure correttive prima che il trattamento possa riprendere legalmente.
Contesto legale e normativo
Per comprendere l'azione del GPDP è necessario collocarlo all'interno del più ampio quadro giuridico italiano ed europeo.
GDPR: Il GDPR dell'Unione Europea costituisce il principale regime giuridico per la protezione dei dati personali in tutti gli Stati membri. I dati biometrici utilizzati per identificare in modo univoco una persona sono trattati come dati di categoria speciale ai sensi dell'articolo 9 e sono soggetti a condizioni più severe. Il trattamento di tali dati è generalmente vietato a meno che non siano presenti garanzie e basi legali specifiche (ad esempio, consenso esplicito, interesse pubblico sostanziale ai sensi del diritto dell'Unione o degli Stati membri, o disposizioni specifiche per l'identificazione e la sicurezza).
Codice italiano sulla protezione dei dati: La legislazione nazionale italiana integra i requisiti del GDPR e contiene disposizioni relative alla sicurezza pubblica, al controllo delle frontiere e al trattamento dei dati biometrici e di identità. Laddove le leggi nazionali creano basi legali per il trattamento biometrico in determinati contesti di interesse pubblico (ad esempio, il controllo delle frontiere ai sensi delle leggi sull'immigrazione e sulla sicurezza), la compatibilità di tali norme nazionali con i principi del GDPR rimane critica.
Giurisprudenza e linee guida del SEE: Il Comitato europeo per la protezione dei dati (EDPB) e i tribunali nazionali emettono orientamenti e sentenze che riguardano i sistemi biometrici. Negli ultimi anni si è assistito a un maggiore controllo: alcune autorità di vigilanza europee hanno avviato indagini sui sistemi di riconoscimento facciale negli aeroporti; altre hanno richiesto rigorose DPIA o imposto limitazioni. Anche le sentenze dei tribunali dell'UE hanno rafforzato gli standard rigorosi per il trattamento dei dati biometrici, sottolineando la necessità, la proporzionalità e le forti garanzie.
Panorama della sorveglianza biometrica: L'UE ha proposto un quadro normativo per l'intelligenza artificiale (AI Act) che distingue tra applicazioni AI ad alto rischio e applicazioni vietate, con particolare attenzione al riconoscimento facciale per l'identificazione biometrica a distanza negli spazi pubblici. Sebbene l'AI Act si trovi in una fase legislativa diversa, segnala un cambiamento più ampio verso una governance più rigorosa delle tecnologie biometriche.
Problemi pratici e considerazioni tecniche
Al di là delle basi giuridiche, la sospensione riflette probabilmente carenze o incertezze pratiche e tecniche. Le principali preoccupazioni sollevate in casi simili includono:
Accuratezza e distorsione: Gli algoritmi di riconoscimento facciale possono mostrare un'accuratezza variabile tra i gruppi demografici, con tassi di false corrispondenze o false non corrispondenze più elevati per le donne, gli adulti più anziani e alcune etnie. Questo può portare a rifiuti errati, a controlli supplementari o a disparità di trattamento.
Scorrimento delle funzioni e usi secondari: In assenza di controlli rigorosi, i dati biometrici raccolti per il controllo delle frontiere potrebbero essere riutilizzati per altri usi (ad esempio, per l'applicazione della legge, per il marketing), sollevando rischi significativi per la privacy. Le autorità di vigilanza richiedono una limitazione delle finalità e controlli contrattuali/tecnici per evitare abusi.
Architettura di conservazione e archiviazione dei dati: Il fatto che le immagini vengano elaborate localmente e immediatamente scartate, archiviate come modelli o trasmesse a database centralizzati influisce sui profili di rischio. Il GPDP esaminerà i periodi di conservazione, l'eventuale archiviazione di immagini grezze e i soggetti che vi hanno accesso.
Elaborazione da parte di terzi e sub-elaboratori: FaceBoarding, operatori aeroportuali, compagnie aeree e agenzie governative potrebbero svolgere un ruolo. Gli accordi di trattamento, i ruoli di responsabile/incaricato del trattamento, l'attribuzione di responsabilità e i trasferimenti transfrontalieri di dati devono essere conformi alle norme del GDPR.
Consenso vs. interesse legittimo: Negli aeroporti, ottenere un consenso libero può essere problematico perché i viaggiatori possono sentirsi obbligati a rispettarlo. Molti operatori si basano su altre basi giuridiche, come l'esecuzione di un contratto o l'interesse pubblico, ma tali basi devono essere attentamente giustificate, soprattutto per i dati biometrici.
Trasparenza operativa e segnaletica: Avvisi visibili, chiare opzioni di opt-out e informazioni accessibili contribuiscono a soddisfare gli obblighi di trasparenza. Il GPDP ha probabilmente valutato se i passeggeri sono stati adeguatamente informati nei punti di ingresso, di prenotazione e nelle aree dei gate.
Implicazioni per le parti interessate
La sospensione del GPDP riguarda più parti interessate e ha implicazioni più ampie per l'uso della biometria nei trasporti e negli spazi pubblici.
Per i passeggeri: L'effetto immediato è che l'elaborazione biometrica ai gate sospesi non può essere utilizzata, proteggendo la privacy biometrica dei viaggiatori fino a quando non sarà dimostrata la conformità. Potrebbe anche significare il ritorno al controllo manuale dei passaporti, con potenziali ripercussioni sui tempi di attesa.
Per gli operatori aeroportuali e le compagnie aeree: La sospensione evidenzia i rischi operativi e di conformità insiti nell'impiego di sistemi biometrici. Gli operatori potrebbero dover investire in pratiche più rigorose di protezione dei dati, rivalutare i termini contrattuali e di approvvigionamento e prendere in considerazione soluzioni alternative, garantendo al contempo l'esperienza dei viaggiatori e la sicurezza.
Per i fornitori di tecnologia (ad esempio, FaceBoarding): I fornitori devono dimostrare la conformità attraverso il miglioramento delle salvaguardie tecniche, la trasparenza dei flussi di dati, una documentazione più chiara delle basi legali e solide DPIA. L'incidente può richiedere riprogettazioni, certificazioni aggiuntive o modifiche alle architetture di gestione dei dati.
Per le autorità di regolamentazione e i responsabili politici: La decisione sottolinea la necessità di regole e linee guida chiare e armonizzate sulle tecnologie biometriche. Le autorità di regolamentazione potrebbero intensificare l'esame di applicazioni simili in altri paesi e spingere per l'introduzione di standard industriali più severi.
Per la fiducia del pubblico: le sospensioni di alto profilo sensibilizzano l'opinione pubblica sui rischi per la privacy e possono erodere la fiducia nei sistemi biometrici. Per ripristinare la fiducia sono necessarie misure correttive trasparenti e una governance responsabile.
Possibili azioni correttive e percorso verso la conformità
Per rispondere alle preoccupazioni del GPDP e consentire una ripresa legittima delle operazioni, le parti interessate potrebbero adottare diverse misure concrete:
Condurre o aggiornare una DPIA completa che documenti in modo esaustivo i rischi, identifichi le mitigazioni e dimostri che gli eventuali rischi residui sono proporzionati e giustificati. Se permane un rischio residuo elevato, consultare l'autorità di vigilanza come richiesto dal GDPR.
Chiarire e documentare la base legale per il trattamento dei dati biometrici. Se ci si basa sul consenso, assicurarsi che sia esplicito, dato liberamente e granulare; se ci si basa sull'interesse pubblico o su altre basi, assicurarsi che esistano un'autorizzazione e una giustificazione legale adeguate ai sensi della legge nazionale.
Implementare una rigorosa minimizzazione dei dati: elaborare solo lo stretto necessario (ad esempio, modelli effimeri invece di immagini grezze), limitare la conservazione al minimo indispensabile e cancellare i dati tempestivamente dopo la verifica.
Migliorare le misure tecniche di sicurezza: crittografia robusta, pseudonimizzazione, controlli degli accessi, registrazione degli audit e architettura sicura di trasmissione e archiviazione.
Rafforzare la governance e i contratti: accordi chiari sul trattamento dei dati, limiti al sub-trattamento, ruoli e responsabilità definiti tra operatori, fornitori di tecnologia e autorità pubbliche.
Fornire informazioni chiare ai passeggeri e meccanismi di opt-out: segnaletica visibile, comunicazione prima del viaggio e facili alternative al trattamento biometrico senza penalità.
Condurre test indipendenti e verifiche dei pregiudizi per dimostrare l'equità e l'accuratezza degli algoritmi su popolazioni diverse e pubblicare i risultati o le sintesi per migliorare la trasparenza.
Stabilire meccanismi di ricorso e processi chiari per l'esercizio dei diritti degli interessati da parte dei passeggeri.
Significato più ampio e lezioni apprese
La sospensione del GPDP a Milano Linate è emblematica di una più ampia ricalibrazione in Europa per quanto riguarda le tecnologie biometriche, in particolare in applicazioni sensibili come il controllo delle frontiere. Si possono trarre diversi insegnamenti:
Le autorità di regolamentazione applicheranno le protezioni del GDPR per i dati biometrici e sono pronte a intervenire in caso di mancato rispetto dei requisiti legali.
Le implementazioni in contesti pubblici e ad alto traffico richiedono una governance anticipata: solide DPIA, coinvolgimento delle parti interessate, basi legali chiare e rigorose salvaguardie tecniche.
I fornitori e gli adottatori di tecnologie devono dare priorità alla privacy by design e by default, enfatizzando la minimizzazione, la trasparenza e la responsabilità fin dall'inizio.
L'accettazione da parte dell'opinione pubblica si basa sulla fiducia; la trasparenza, l'equità dimostrabile e le garanzie efficaci sono essenziali per garantire la licenza sociale per i sistemi biometrici.
Standard armonizzati e quadri giuridici più chiari a livello dell'UE - o legislazioni nazionali esplicite, ove consentito - potrebbero ridurre l'incertezza e migliorare la conformità, garantendo al contempo la tutela dei diritti fondamentali.
Conclusione
La sospensione del servizio di riconoscimento facciale di FaceBoarding all'aeroporto di Milano Linate da parte dell'Autorità italiana per la protezione dei dati personali sottolinea la tensione tra innovazione tecnologica e tutela dei diritti fondamentali. Se da un lato la biometria offre chiari vantaggi in termini di efficienza e sicurezza nelle operazioni di frontiera, dall'altro solleva gravi problemi di privacy, equità e governance. L'azione del GPDP riflette i severi requisiti del GDPR per il trattamento di categorie speciali di dati e sottolinea la necessità di una rigorosa giustificazione legale, di salvaguardie tecniche, di trasparenza e di responsabilità.
In futuro, un'implementazione efficace e legale del riconoscimento facciale negli aeroporti richiederà uno sforzo di collaborazione tra i fornitori di tecnologia, le autorità aeroportuali, le compagnie aeree, le autorità di regolamentazione e la società civile per garantire che i sistemi siano necessari, proporzionati, non discriminatori e rispettosi dei diritti dei viaggiatori. Il caso di Milano Linate è un esempio cautelativo e un'opportunità: affinare le pratiche, rafforzare le protezioni e sviluppare quadri di governance che consentano un'utile innovazione salvaguardando le libertà individuali.
Attacchi di iniezione biometrica
La biometria ha fatto progressi in questo campo al punto che la corrispondenza dei selfie e l'individuazione di semplici spoofing sono in gran parte considerati risolti.
Il MOSIP persegue la democratizzazione dell'identità digitale
Una visione democratica dell'identità digitale è al centro del mandato no-profit e open-source di MOSIP.
Il Congresso approfondisce l'investimento nella biometria del DHS
Presso la Transportation Security Administration (TSA), il Congresso continua a sostenere la verifica dell'identità biometrica come elemento centrale della sicurezza dell'aviazione, aggiungendo al contempo nuove aspettative di supervisione.
English 
Español 
Français 
Deutsch 
Italiano