Il Faceboarding di Milano Linate è illecito, l’avvocato Perino: “Tra le contestazioni, mancata cifratura del database”

Sono mesi frenetici per il mondo dei viaggi, tra la chiusura dello stretto di Hormuz che ha causato la crisi carburante, i voli cancellati e i ritardi dovuti alla recente introduzione del sistema digitale Ees. Ora è arrivata anche la notizia che il Faceboarding di Milano Linate, il sistema che consente il riconoscimento facciale negli aeroporti, è stato dichiarato illecito dal Garante della Privacy (GPDP), l'autorità amministrativa che tutela i diritti fondamentali delle persone in termini di trattamento dei dati personali. Il GPDP ha dichiarato che il trattamento dei dati da parte di Milano Linate, in particolare la loro conservazione, non avesse adottato misure di cifratura dei modelli biometrici, procedura invece fondamentale. Fanpage ha chiesto a Lorenzo Perino, avvocato di Lext Consulting, di spiegare come funziona il faceboarding e perché nel caso dell'aeroporto di Milano Linate è stato dichiarato illecito e quindi sospeso a seguito di controlli iniziati a settembre 2025.

Quali sono, dal punto di vista giuridico, le principali violazioni emerse nel caso del FaceBoarding a Linate?

Il Garante per la privacy aveva già analizzato nel corso del 2025 questo sistema, che si tratta di una tecnologia che consente ai passeggeri di accedere ai controlli e all’imbarco tramite riconoscimento facciale, quindi attraverso il trattamento di dati biometrici. Parliamo di dati particolari, disciplinati dall’articolo 9 del GDPR, che richiedono cautele e garanzie molto elevate. Il 12 marzo 2026 il Garante ha dichiarato illecito questo trattamento, alla luce delle modalità concrete con cui è stato implementato.

Come funzionava il sistema e perché è stato ritenuto problematico?

I passeggeri potevano aderire a questa modalità fisicamente in aeroporto oppure attraverso un’app, fornendo immagine del volto, documento d’identità e carta d’imbarco. Il problema è che queste modalità, soprattutto in relazione alle linee guida emesse nel 2024 dallo European Data Protection Board, comitato europeo di indirizzo sul trattamento dati personali, comportano un trattamento massivo di dati biometrici, rispetto al quale le autorità europee hanno sempre mantenuto un approccio molto prudente. Non è una tecnologia vietata in assoluto, ma può essere utilizzata solo garantendo standard di sicurezza e trasparenza molto elevati.

Uno dei punti critici riguarda la creazione di un database centralizzato. Perché è stato considerato un elemento problematico?

Il sistema prevedeva la creazione di un database gestito autonomamente dalla società aeroportuale, contenente dati biometrici associati ai documenti d’identità, conservati fino a 12 mesi. Il Garante ha ritenuto sproporzionata questa scelta, evidenziando i rischi legati a eventuali accessi abusivi o furti di dati. Quando si trattano dati così sensibili, è necessario limitare al minimo la conservazione e garantire livelli di sicurezza molto elevati.

Anche il tema della sicurezza infrastrutturale è stato centrale. Quali criticità sono emerse?

Una delle contestazioni più rilevanti riguarda l’assenza di adeguate misure di sicurezza, in particolare la mancata cifratura del database. Esistono modelli alternativi, meno invasivi, in cui il dato biometrico resta sul dispositivo dell’utente e non viene centralizzato; in quel caso il controllo dipende dall’interessato. Qui invece la gestione era affidata all’ente aeroportuale, con un aumento significativo dei rischi.

Ci sono state criticità anche sul fronte dell’informativa e del consenso?

Sì, l’informativa fornita agli utenti non descriveva in modo completo e trasparente il trattamento dei dati. Questo incide direttamente sulla validità del consenso, che per essere valido deve essere pienamente informato. Senza chiarezza sulle modalità e finalità del trattamento, il consenso non può considerarsi adeguato.

È vero che sono stati acquisiti dati anche di passeggeri che non avevano aderito al sistema?

Sì, dai rilievi emerge che i gate dotati di riconoscimento facciale venivano utilizzati anche da passeggeri non aderenti, e le loro immagini venivano comunque acquisite. Anche se poi cancellate in tempi brevi, si tratta di un’acquisizione non lecita, perché avviene in assenza di consenso e al di fuori di una base giuridica valida.

Questa decisione può costituire un precedente per l’uso del riconoscimento facciale in altri contesti?

Sì, conferma sicuramente un orientamento già molto restrittivo. Il principio di minimizzazione impone di utilizzare strumenti meno invasivi quando possibile. Anche tecnologie molto efficaci possono essere considerate sproporzionate rispetto alla finalità perseguita. Questo vale per aeroporti, ma anche per stadi, eventi o luoghi di lavoro.

Quali indicazioni emergono per aziende e pubbliche amministrazioni che vogliono adottare tecnologie simili?

È fondamentale affiancare alla valutazione tecnica una valutazione di impatto privacy, secondo il principio di privacy by design. L’uso di tecnologie avanzate, comprese quelle di intelligenza artificiale, non è vietato, ma comporta obblighi precisi in termini di sicurezza, organizzazione e trasparenza. Ignorare questi aspetti espone a sanzioni e rischi molto elevati, soprattutto quando si trattano dati sensibili come quelli biometrici.