Il Garante per la protezione dei dati personali ha dichiarato illecito il sistema FaceBoarding adottato da SEA nell’aeroporto di Milano Linate, accertando violazioni del GDPR nel trattamento dei dati biometrici dei passeggeri. L’Autorità aveva già disposto una limitazione provvisoria nel settembre 2025, al termine della quale ha avviato un’istruttoria d’ufficio che ha confermato le irregolarità.
Come funzionava il sistema di imbarco con riconoscimento facciale
Il FaceBoarding permetteva ai passeggeri di registrarsi presso appositi chioschi o tramite app, associando il proprio volto al documento di identità e alla carta d’imbarco. Una volta completata la procedura, l’accesso all’area sterile e al gate avveniva attraverso il riconoscimento facciale, senza ulteriori controlli manuali. SEA aveva presentato il servizio come uno strumento pensato per rendere più fluido e rapido il processo di imbarco, riducendo i tempi di attesa e semplificando i passaggi operativi per i viaggiatori frequenti.
Il Garante ha accertato che il sistema si poneva in contrasto con il GDPR e, in modo specifico, con il parere emesso dall’European Data Protection Board sull’uso del riconoscimento facciale negli scali aeroportuali. L’EDPB aveva già indicato con chiarezza che i sistemi biometrici in contesti ad alto afflusso di persone devono garantire agli interessati un controllo esclusivo sui propri dati, escludendo soluzioni che centralizzino i template presso il gestore dell’infrastruttura. SEA, al contrario, archiviava tutti i dati biometrici acquisiti sui propri server, rendendo di fatto impossibile per i passeggeri limitare o gestire autonomamente le informazioni sul proprio volto.
Le violazioni accertate dal Garante su cifratura, conservazione e consenso
Tra le criticità rilevate dall’istruttoria, quella relativa alla mancata cifratura dei modelli biometrici risulta tra le più gravi sotto il profilo della sicurezza informatica. I template, che rappresentano la traduzione matematica dei tratti del volto, erano accessibili senza protezioni crittografiche adeguate, esponendo i dati a rischi concreti in caso di violazione dei sistemi. A questo si aggiungeva una durata di conservazione fino a dodici mesi, ritenuta dal Garante sproporzionata rispetto alle finalità dichiarate del servizio.
L’informativa resa ai passeggeri conteneva indicazioni inesatte, compromettendo la possibilità di esprimere un consenso realmente informato.
I varchi ibridi e la raccolta di dati senza consenso
L’aspetto forse più rilevante sul piano della gravità giuridica riguarda i cosiddetti varchi ibridi, attraverso i quali SEA acquisiva le immagini del volto anche dei passeggeri che non avevano aderito al FaceBoarding. Questi soggetti non avevano fornito alcun consenso al trattamento dei propri dati biometrici, eppure il sistema li identificava e ne registrava i tratti durante il transito ordinario verso il gate. Una circostanza che trasforma il perimetro della violazione: il problema non riguardava solo chi aveva scelto di usare il servizio, ma anche chi aveva consapevolmente deciso di non farlo.
Il caso di Linate si inserisce in una stagione di attenzione regolatoria crescente verso le tecnologie biometriche applicate alla mobilità. In tutta Europa, autorità di controllo e istituzioni comunitarie stanno definendo con maggiore precisione le condizioni di liceità di questi sistemi, con una tendenza sempre più marcata a escludere architetture centralizzate in favore di soluzioni che mantengano i dati sotto il controllo diretto dell’interessato. Il provvedimento del Garante su SEA si aggiunge a una serie di interventi analoghi che stanno ridisegnando i margini entro cui le imprese possono adottare strumenti di riconoscimento facciale in spazi ad accesso di massa, imponendo una riflessione più profonda sulla compatibilità tra automazione dei processi e rispetto dei diritti fondamentali delle persone.
L’istruttoria era stata avviata d’ufficio, senza che fosse necessaria una segnalazione esterna, a conferma di un approccio proattivo da parte del Garante nel monitoraggio dei sistemi biometrici ad alto impatto.
