Per oltre un anno, all’aeroporto di Milano Linate, il nostro volto è stato trattato come un documento. Col sistema di FaceBoarding bastava registrarsi, farsi scansionare la faccia e attraversare i varchi senza mostrare carta d’identità, carta d’imbarco o altro. Un sistema pensato per rendere più fluido il flusso dei passeggeri, ma che oggi il Garante per la protezione dei dati personali definisce, senza ambiguità, illecito.Il provvedimento del 12 marzo 2026 chiude un’istruttoria avviata nel 2024 e arriva dopo la sospensione già disposta nel settembre 2025. Ma soprattutto segna un passaggio importante del modo in cui l’Europa sta cercando di governare l’uso della biometria negli spazi pubblici, un terreno dove innovazione tecnologica e diritti fondamentali si trovano sempre più spesso in contrasto.Come funzionava il FaceBoardingIl sistema FaceBoarding sviluppato da SEA, il gruppo che gestisce gli scali aeroportuali milanesi, si basava su un meccanismo apparentemente semplice. Il volto del passeggero veniva acquisito, trasformato in template biometrico e utilizzato per identificare la persona ai valichi di sicurezza e ai gate. L’obiettivo dichiarato era duplice, aumentare l’affidabilità dei controlli e velocizzare i flussi, riducendo attriti e tempi di attesa.Dietro questa promessa, però, si nascondeva un’architettura più complessa. Durante la fase di registrazione, infatti, i dati del documento di identità, della carta d’imbarco e del volto venivano collegati tra loro. Al momento del passaggio ai varchi, il sistema acquisiva una nuova immagine del volto e la confrontava con quelle già registrate.Qui emerge una distinzione che sembra puramente tecnica, ma non lo è. Nei sistemi di autenticazione, il confronto avviene tra due elementi, quello fornito dall’utente e quello già in suo possesso. Nei sistemi di identificazione, invece, il volto viene confrontato con un’intera banca dati. È un passaggio da un controllo puntuale a una ricerca generalizzata, che implica un diverso equilibrio tra efficienza e diritti.Il nodo centrale da sciogliere è capire dove stanno i datiIl punto decisivo per il Garante è proprio questo. I template biometrici dei passeggeri venivano conservati in un archivio sotto il controllo del gestore aeroportuale. Una scelta che colloca il sistema nello scenario che il Comitato europeo per la protezione dei dati ha definito incompatibile con il Gdpr, la celebre norma europea sulla privacy che disciplina il trattamento dei dati personali, nella sua Opinion 11/2024.In quel documento lo European data protection board (Edpb) costruisce una vera e propria mappa delle architetture possibili. Da un lato ci sono i modelli in cui il dato biometrico resta nelle mani dell’utente o è protetto da chiavi sotto il suo controllo. Dall’altro ci sono i modelli per centralizzare i dati gestiti da chi eroga il servizio.Il FaceBoarding di Linate rientrava in questo secondo scenario. E, secondo l’Edpb, è proprio qui che sorgono i rischi maggiori, ossia la perdita di controllo da parte degli interessati, maggiore esposizione a violazioni e la possibilità di utilizzi secondari dei dati. Si tratta di distribuzione di potere all’interno del sistema e non solo di una questione di sicurezza informatica.Come sottolinea Bianca Stella Bruschi, board member di Privacy Network, che ha lavorato sul tema attraverso l’Osservatorio amministrazione automatizzata, “accogliamo con favore il provvedimento del Garante, che conferma quanto Privacy Network denuncia da mesi: il FaceBoarding di Linate era un sistema strutturalmente incompatibile con il Gdpr, perché toglieva ai passeggeri ogni controllo effettivo sui propri dati biometrici.Sempre secondo Bruschi, “già nel lavoro dell’Osservatorio avevamo segnalato criticità poi accertate dall’Autorità, che di fatto privavano gli utenti di qualsiasi controllo sui propri dati”.Sicurezza e conservazione, quando le misure non bastanoSEA ha sostenuto di aver adottato misure di sicurezza adeguate, come la separazione dei database e la cifratura di alcune informazioni. Tuttavia, il Garante ha ritenuto che queste misure fossero insufficienti rispetto alla natura dei dati trattati. I template biometrici, per esempio, erano inizialmente conservati senza cifratura e solo in un secondo momento la società ha introdotto sistemi più robusti.Questo elemento è particolarmente rilevante perché i dati biometrici non sono semplici dati personali, sono identificatori permanenti. Una violazione, dunque, comporta l’esposizione di caratteristiche personali che non possono essere modificate o revocate.Anche i tempi di conservazione hanno pesato nella valutazione. Per chi aderiva al programma “lungo”, i dati potevano essere conservati fino a dodici mesi. Un periodo che, in un sistema centralizzato, aumenta in modo significativo la superficie di rischio e rende più difficile garantire un grado di sicurezza proporzionato.Il risultato è che l’intero impianto non rispettava i principi fondamentali del Gdpr, come la minimizzazione dei dati e la limitazione della conservazione, oltre agli obblighi di sicurezza previsti dal regolamento europeo.Informazioni sbagliate, consenso fragileA complicare il quadro c’è anche un problema di trasparenza. L’informativa fornita agli utenti indicava che, utilizzando l’app, il modello biometrico sarebbe rimasto sul dispositivo personale. Le verifiche ispettive hanno invece accertato che i template venivano conservati nei sistemi centralizzati di SEA.Questa discrepanza non è un dettaglio. Il Gdpr si basa sull’idea che le persone possano prendere decisioni informate sul trattamento dei propri dati. Se le informazioni fornite non corrispondono al funzionamento reale del sistema, viene meno uno degli elementi essenziali della liceità del trattamento.In questo caso, il consenso era discutibile sia nella forma che nella sostanza, perché fondato su una rappresentazione incompleta del funzionamento tecnologico.Anche chi non aderiva veniva comunque “letto”Uno degli aspetti più delicati riguarda i cosiddetti varchi ibridi. Anche i passeggeri che non avevano aderito al FaceBoarding potevano attraversarli, e durante il passaggio il sistema acquisiva comunque l’immagine del volto e generava un template biometrico, anche se per pochi istanti.Per il Garante questo è sufficiente a configurare un trattamento illecito. I dati biometrici, infatti, sono categorie particolari di dati personali e richiedono una base giuridica specifica, come il consenso esplicito. Il fatto che il template venisse cancellato dopo pochi secondi non elimina il problema, il trattamento avviene comunque. È un chiarimento importante perché mostra come, nel campo della biometria, anche operazioni tecnicamente minime possano avere rilevanza giuridica.Uno stop che non corrisponde a un divietoIl provvedimento non introduce nuove misure correttive perché, nel frattempo, SEA aveva già sospeso il servizio e cancellato i dati raccolti. Tuttavia, la dichiarazione di illiceità resta, ed è il punto più rilevante.Il Garante non afferma che il riconoscimento facciale sia sempre vietato negli aeroporti. Stabilisce piuttosto che, per essere compatibile con il Gdpr, deve essere progettato in modo da garantire un controllo effettivo agli utenti e un livello di sicurezza adeguato.In questo senso, la decisione si inserisce in una linea europea che non rifiuta la biometria, ma ne delimita le condizioni di utilizzo.