Nel corso della sessione plenaria di quest’oggi, 23 maggio 2024, l’European Data Protection Board (EDPB) ha adottato il parere n. 11/2024 sull’uso delle tecnologie di riconoscimento facciale e la conservazione dei dati biometrici da parte degli operatori aeroportuali.
Questo parere, emesso ai sensi dell’art. 64, paragrafo 2, del GDPR, affronta una questione di rilevanza generale e ha effetti in più Stati membri.
Il parere esamina in particolare la compatibilità del trattamento dei dati biometrici con:
- il principio di limitazione della conservazione (art. 5, paragrafo 1, lettera e), GDPR);
- il principio di integrità e riservatezza (art. 5, paragrafo 1, lettera f), GDPR);
- la protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25, GDPR);
- la sicurezza del trattamento (art. 32, GDPR).
L’EDPB ha rilevato che nell’Unione Europea non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul documento d’identità. Questa verifica è regolata da leggi nazionali. Pertanto, in assenza di un obbligo di verifica dell’identità dei passeggeri tramite documento ufficiale, l’uso di dati biometrici per tale verifica non dovrebbe essere effettuato, poiché comporterebbe un trattamento eccessivo dei dati.
Il parere dell’EDPB ha esaminato la conformità del trattamento dei dati biometrici dei passeggeri con quattro diverse soluzioni di archiviazione e conservazione: dalle soluzioni che conservano i dati biometrici esclusivamente nelle mani dell’individuo a quelle che utilizzano un’architettura di archiviazione centralizzata con modalità diverse.
In tutti i casi, dovrebbero essere trattati solo i dati biometrici dei passeggeri che acconsentono volontariamente e attivamente a partecipare.
L’EDPB ha concluso che le uniche soluzioni di archiviazione compatibili con i principi del GDPR sono quelle in cui i dati biometrici sono conservati nelle mani dell’individuo o in una banca di dati centrale con una chiave di crittografia esclusivamente nelle loro mani. In altre parole, il modello biometrico registrato di ciascun passeggero dovrebbe essere memorizzato localmente sul dispositivo dell’individuo e sotto il suo esclusivo controllo.
Queste soluzioni di archiviazione, se implementate con un elenco di garanzie minime raccomandate, rappresentano le uniche modalità che bilanciano adeguatamente l’intrusività del trattamento, offrendo alle persone il massimo controllo.
Al contrario, le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza chiavi di crittografia nelle mani dell’individuo, non possono essere considerate compatibili con i principi del GDPR. Se il titolare del trattamento si limitasse alle misure descritte negli scenari analizzati, non sarebbe conforme ai requisiti di sicurezza del trattamento.
Relativamente al principio di limitazione della conservazione, i titolari del trattamento devono assicurarsi di avere una giustificazione sufficiente per il periodo di conservazione previsto e limitare la conservazione dei dati a quanto strettamente necessario per lo scopo proposto.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024
