Faceboarding: peggio di così non si poteva fare
Quando Noè costruì l’arca? Prima della pioggia!
Il tempismo è tutto nella vita e il mondo della protezione dei dati personali non fa eccezione.
L’inizio di settembre coincide, un po’ per tutti, con la ripresa delle attività. L’apertura delle scuole sancisce la fine delle vacanze per le famiglie e, con essa, la fine della stagione estiva: le città si riempiono, gli hotel si svuotano, gli aeroporti riprendono a lavorare ad un ritmo più sostenibile e meno frenetico.
Anche il Garante Privacy ha ripreso le attività con un interessante provvedimento volto a bloccare i varchi di accesso dotati di riconoscimento biometrico che, dal 2024, sono in funzione nello scalo di Milano Linate.
Il provvedimento, emanato d’urgenza l’11 settembre, non è riuscito ad arrivare prima del diluvio, vale a dire in tempo per impedire il funzionamento del sistema “FaceBoarding”, e il conseguente trattamento illecito di dati dei passeggeri, durante l’affollato mese di Agosto.
Il Garante ha lavorato in modo meticoloso e, come spesso accade, il provvedimento è un importante aiuto per comprendere le logiche e le regole alla base della normativa che regola il diritto alla protezione die dati personali, il GDPR.
Si potrebbe suddividere il provvedimento in due grandi capitoli: la “constatazione dell’evidenza”, da un lato, e la “caccia al tesoro” dall’altro.
L’evidenza è palese, il Garante si limita a citare i contenuti dell’opinione numero 11/2024 dell’EDPB (il Comitato Europeo per la Protezione dei Dati) che descrive 4 possibili scenari di utilizzo delle tecnologie di riconoscimento biometrico in ambito aeroportuale, definendo quali siano a norma e quali si pongano in contrasto con il GDPR. Il confronto di queste linee guida con la realtà osservabile a Linate è impietoso e permette al Garante di definire come “non conforme” il sistema. La valutazione si basa su una semplice caratteristica, non soggetta ad interpretazione e riassumibile con una semplice domanda: chi ha la disponibilità dei dati biometrici del passeggero?
Se questi dati fossero nella esclusiva disponibilità dei passeggeri stessi, non ci sarebbe stato alcun problema. Purtroppo, la SEA si è affidata ad un fornitore che, ignorando completamente le indicazioni dell’EDPB, ha realizzato un sistema che conserva i dati nella piena disponibilità del gestore. È stupefacente il fatto che S.E.A., l’azienda che gestisce lo scalo, per il solo fatto di avere la materiale disponibilità di dati personali inutili, che non serviranno a nulla e che non avrà modo di utilizzare, si trovi ora a dover rispondere di una grave violazione, per di più relativa a dati classificati come particolari (i c.d. dati sensibili). L’amara sorpresa, probabilmente, genererà qualche attrito tra SEA e l’azienda che ha progettato e, realizzato un sistema intrinsecamente “non a norma”, a fronte di nessun vantaggio rispetto ad un sistema dotato di cifratura dei dati e, quindi, rispettoso dei requisiti indicati dal EDPB.
Il Garante avrebbe probabilmente potuto terminare l’istruttoria dopo aver semplicemente constatato la mera disponibilità dei dati, registrati ed accessibili sui server di SEA, ma l’autorità non si è limitata a questo, ha scavato e ha trovato altri interessanti elementi destinati a trasformarsi in sanzioni.
Il primo “tesoro” scoperto dal Garante riguarda l’informativa che SEA ha predisposto per gli utenti dell’APP, all’interno della quale viene spiegato all’utente che i dati suoi biometrici resteranno conservati esclusivamente nel suo smartphone. Purtroppo, questa affermazione non corrisponde alla verità.
Il GDPR non è tenero con le bugie, anche perché dare informazioni errate comporta un vizio del consenso del passeggero che, se fosse consapevole del reale trattamento, avrebbe probabilmente scelto diversamente e avrebbe rinunciato all’uso del sistema FaceBoarding.
Il secondo “tesoro” scoperto è l’assenza di un’adeguata protezione dei dati biometrici archiviati presso SEA e che, senza cifratura, risulterebbero leggibili anche in caso di furto o incidente informatico.
Se fossi il consulente di SEA proverei a difendere l’azienda sostenendo che il “modello biometrico” ricavato dai dati dei passeggeri non è esso stesso un dato biometrico, ma qualcosa di simile ad un hash: il risultato di un calcolo asimmetrico che non permette di ricostruire i dati di partenza e che, quindi, protegge i dati biometrici del volto. Punterei anche sull’orientamento della Corte di Giustizia in materia di pseudonimizzazione del dato personale, ribadito di recente. Sarà interessante vedere ciò che seguirà ma il Garante ci fa già capire che, dal suo punto di vista, anche quel hash, quel “modello biometrico” è un dato personale e, come tale, deve essere protetto.
Il terzo “tesoro” riguarda il tempo di conservazione. Per il Garante, 12 mesi sono un tempo troppo lungo di conservazione dei dati, anche rispetto a chi ha intenzione di usare spesso il varco FaceBoarding.
Il quarto ed ultimo “tesoro” nascosto, riportato alla luce dal Garante, è decisamente il più interessante. I varchi FaceBoarding hanno dato l’informativa, chiesto il consenso e trattato i dati di chi era effettivamente intenzionato ad usare il sistema, ma anche di chi è passato di li per caso, senza alcuna intenzione di usare le funzioni biometriche del varco.
I varchi hanno acquisito ed elaborato l’immagine del volto anche di tutti gli altri passeggeri ai quali, non volendo usare il sistema, non è stata data alcuna informativa, non è stato chiesto alcun consenso e che, quindi, hanno subito un trattamento completamente illecito per mancanza di base di legittimazione. I dati di questi ignari passeggeri sono stati comunque acquisiti e registrati.
Il Garante, quindi, annuncia a SEA di voler contestare la violazione del GDPR rispetto all’obbligo di informativa, rispetto all’obbligo di protezione dei dati personali, rispetto ai tempi di conservazione dei dati e rispetto alla mancanza di base di legittimazione.
Ora è tutto fermo ma il Garante ci dice che non è finita… e non potrà finire bene.
Questo articolo è stato originariamente scritto per InOltreblog.it
