VEDI ANCHE Comunicato stampa del 18 settembre 2025

[doc. web n. 10167745]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 489 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angela Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il parere n. 11/2024, adottato dal Comitato europeo per la protezione dei dati il 24 maggio 2024 e denominato “Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR)”;

TENUTO CONTO che il predetto parere (di seguito “Opinion n. 11/2024”), adottato a norma dell'articolo 64, paragrafo 3, del Regolamento, riporta, nel settore ivi individuato, la posizione del Comitato europeo per la protezione dei dati su una questione di applicazione generale del Regolamento, al fine di garantire l'applicazione coerente dello stesso nel SEE (v., in merito, l’art. 65, par. 1, lett. c), del Regolamento);

CONSIDERATO che l’Opinion n. 11/2024 esamina la legittimità, rispetto alle disposizioni di cui agli artt. 5, paragrafo 1, lettere e) e f), 25 e 32 del Regolamento, del trattamento dei dati biometrici dei passeggeri, posto in essere, mediante sistemi di riconoscimento facciale, con la finalità di facilitare le operazioni di accesso dei predetti passeggeri nelle aree aeroportuali;

PRESO ATTO che lo stesso individua alcuni scenari predefiniti, come descritti nella sez. 3.2 dell’Opinion n. 11/2024;

VISTO che il Comitato europeo per la protezione dei dati personali ha stabilito, con tale parere, la conformità del sopra menzionato trattamento, con esclusivo riferimento alle ipotesi denominate “Scenario 1 -conservazione del modello biometrico registrato solo nelle mani della persona ai fini dell'autenticazione” (v. sez. 3.2.1 dell’Opinion n. 11/2024) e “Scenario 2 - conservazione centralizzata del modello biometrico registrato in forma cifrata all'interno dell'aeroporto e con una chiave segreta nota esclusivamente ai passeggeri ai fini dell'autenticazione” (v. sez. 3.2.2 dell’Opinion n. 11/2024);

VISTO che la predetta Opinion n. 11/2024 rileva invece la non conformità, con il Regolamento, dei trattamenti effettuati nel contesto degli altri due scenari ivi contemplati, denominati rispettivamente “Scenario 3.1- conservazione centralizzata dei modelli biometrici in una banca dati all'interno dell'aeroporto, sotto il controllo del gestore aeroportuale” (v. sez. 3.2.3.1 dell’Opinion n. 11/2024) e “Scenario 3.2 - conservazione centralizzata dei modelli biometrici in un cloud sotto il controllo della compagnia aerea” (v. sez. 3.2.3.2 dell’Opinion n. 11/2024);

CONSIDERATO, in particolare, che, con specifico riferimento al sopra menzionato “Scenario 3.1”, l’Opinion n. 11/2024 evidenzia l’illiceità dei trattamenti di dati biometrici, posti in essere mediante sistemi di riconoscimento facciale che si basino sulla “conservazione centralizzata ai fini dell'identificazione dei modelli biometrici registrati dei passeggeri, laddove tali modelli non siano cifrati con una chiave segreta nota esclusivamente ai passeggeri” e “siano conservati in una banca dati all'interno dell'aeroporto sotto il controllo del gestore aeroportuale” (v. par. 62-78 dell’Opinion n. 11/2024);

VISTA la richiesta di informazioni del 16 dicembre 2024 trasmessa dal Garante, ex art. 157 del Codice, a Società per Azioni Esercizi Aeroportuali S.E.A. in ordine all’installazione e al relativo utilizzo di un sistema di riconoscimento facciale, denominato “FaceBoarding”, ai fini dell’identificazione dei passeggeri ai varchi di accesso all’area sterile e ai gate di imbarco presso l’aeroporto di Milano Linate;

TENUTO CONTO della nota della Società del 14 febbraio 2025, in riscontro alla sopra citata richiesta del Garante, e della successiva comunicazione di Società per Azioni Esercizi Aeroportuali S.E.A. del 14 aprile 2025;

VISTI gli accertamenti ispettivi effettuati dall’Autorità in data 7 e 8 luglio 2025 presso la sede della Società e la nota della Società del 31 luglio 2025 a scioglimento delle riserve ivi contenute;

CONSIDERATO che dalle verifiche in loco è emerso che:

il template (modello biometrico) è interamente conservato nel sistema centralizzato di SEA; ciò sia con riferimento all’ipotesi in cui la fase di adesione al sistema avvenga in aeroporto, per il tramite dei chioschi ivi situati, sia ove la stessa sia effettuata mediante l’Applicazione mobile all’uopo specificatamente dedicata (di seguito “App”). In particolare, rispetto a quest’ultima ipotesi, è stato verificato che, all’interno delle “Digital Travel Credential” presenti nell’App, sono memorizzate soltanto le informazioni presenti nel documento d’identità e “l’immagine del volto dell’interessato acquisita tramite selfie”, mentre “il template biometrico resta conservato esclusivamente nel sistema centralizzato della Società” (v. verbale dell’8 luglio 2025, pag. 2). La misura delle menzionate Digital Travel Credential, pertanto, nei termini sopra descritti, non consente di assicurare un controllo attivo, da parte dell’interessato, sui propri dati biometrici, che rimangono invece nell’esclusiva disponibilità del gestore aeroportuale (v. verbale del 8 luglio 2025, pag. 2). Ne consegue che la soluzione di FaceBoarding allo stato implementata dalla Società è pienamente riconducibile allo scenario 3 di cui al Parere dell’EDPB n. 11/2024, e che la stessa non è pertanto conforme all’art. 5, paragrafo 1, lett. f), e agli articoli 25 e 32 Regolamento;

l’informativa rilasciata da Società per Azioni Esercizi Aeroportuali S.E.A. agli interessati contiene indicazioni inesatte ove riporta che, rispetto alle modalità di adesione al sistema tramite l’App dedicata, “il modello biometrico (..) resta conservato esclusivamente [nello] smartphone” del passeggero (v. Informativa Privacy – FaceBoarding di SEA, punto 7.A., sezione “Registrazione per il singolo volo - tramite App”; cfr. anche verbale dell’8 luglio 2025, pag. 2); tale riferimento si pone in contrasto con l’art. 13 del Regolamento;

la Società non ha adottato misure di cifratura del template biometrico, all’atto della conservazione di quest’ultimo nei propri sistemi, con conseguenziale violazione dell’art. 32 del Regolamento (v. verbale del 7 luglio 2025, pag. 6);

il sistema FaceBoarding prevede tempi di conservazione dei template biometrici estesi fino a 12 mesi, nel caso di adesione del passeggero al “Programma a lungo termine” (v. verbale del 7 luglio 2025, pag. 6); tale opzione, considerata la particolare natura dei dati biometrici oggetto di trattamento e gli elevati rischi di violazione dei dati correlati alla conservazione centralizzata dei template biometrici dei passeggeri, si pone in contrasto con l’art. 5, par. 1, lett. e), e con l’art. 32 del Regolamento;

i varchi dedicati al FaceBoarding “sono di natura ibrida”, ovvero possono essere utilizzati anche da passeggeri che non hanno aderito al predetto sistema; in tale circostanza, viene comunque generato un template biometrico dell'interessato, sebbene quest’ultimo non abbia rilasciato il consenso al relativo trattamento (v. verbale del 7 luglio 2025, pag. 3). Il tutto in ragione del fatto che, al momento del passaggio al varco dedicato, è, ad ogni modo, acquisita l’immagine del volto del passeggero e viene generato il template dello stesso (v. verbale del 7 luglio 2025, pag. 4). Ne consegue la violazione dell’art. 6 del Regolamento;

RITENUTO pertanto che il sistema FaceBoarding così concepito comporti la memorizzazione dei template biometrici in un archivio centralizzato presso il gestore aeroportuale, senza garantire al contempo all’interessato un potere di controllo esclusivo sui propri dati biometrici (cfr. sez. 3.2.3.1 dell’Opinion n. 11/2024);

CONSIDERATO quindi che il predetto sistema FaceBoarding rientra nello scenario 3 ritenuto, dal Comitato europeo per la protezione dei dati, non conforme al Regolamento in quanto in contrasto con gli artt. 5, paragrafo 1, lett. f), 25 e 32 del Regolamento;

CONSIDERATO altresì che il trattamento posto in essere dalla Società risulta inoltre in violazione degli artt. 5, par. 1, lett. e), 6, 13 e 32 del Regolamento, stante l’inadeguatezza, per tutte le ulteriori ragioni sopra riportate, delle misure tecniche e organizzative implementate dalla Società;

PRESO ATTO che il menzionato trattamento di dati biometrici dei passeggeri, mediante il sistema FaceBoarding, come accertato nel corso delle verifiche in loco, è ancora in essere presso l’aeroporto di Milano Linate e che, alla data del 31 luglio 2025, ha riguardato 24.550 soggetti interessati;

RAVVISATA la necessità, in ragione dell’elevata gravità delle constatate violazioni, dell’elevato numero di interessati coinvolti e della particolare natura dei dati personali trattati nel caso di specie, di intervenire urgentemente per tutelare i diritti e le libertà degli interessati, adottando, nelle more degli accertamenti in corso, ogni possibile misura a tal fine;

RITENUTO, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, di dover adottare, in via d’urgenza -essendo la notifica di cui all'art. 166, comma 5, del Codice incompatibile con la natura e finalità del presente provvedimento- nei confronti di Società per Azioni Esercizi Aeroportuali S.E.A., la misura della limitazione provvisoria del trattamento;

RAVVISATA la necessità di disporre la predetta limitazione, con effetto immediato, a decorrere dalla data di notifica del presente provvedimento, riservandosi ogni altra determinazione, all’esito della definizione dell’istruttoria avviata sul caso;

TENUTO CONTO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento;

VISTA la documentazione in atti;

VISTI gli atti di ufficio e le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento dispone, nei confronti di Società per Azioni Esercizi Aeroportuali S.E.A., con sede in Segrate (MI), p. iva n. 00826040156, la misura della limitazione provvisoria del trattamento dei dati biometrici dei passeggeri posto in essere, per il tramite del sistema FaceBoarding, ai fini dell’identificazione di questi ultimi ai varchi di accesso all’area sterile e ai gate di imbarco presso l’aeroporto di Milano Linate;

b) detta limitazione è disposta, salva successiva ulteriore valutazione, per il tempo necessario a consentire a questa Autorità il completamento dell’istruttoria avviata nei confronti della predetta Società e ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento;

c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) ai sensi dell’art. 17 del Regolamento n. 1/2019, dispone l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza