Il provvedimento riguarda il servizio “FaceBoarding”, utilizzato da SEA per agevolare l’accesso all’area sterile e l’imbarco al gate. Il sistema consentiva ai viaggiatori di registrarsi tramite appositi chioschi oppure attraverso l’app dedicata, associando poi il volto al documento di riconoscimento e alla carta d’imbarco.
L’Autorità era già intervenuta in via provvisoria nel settembre 2025 e, al termine dell’istruttoria avviata d’ufficio, ha stabilito che il trattamento non è conforme al GDPR. Il punto centrale della valutazione riguarda la conservazione centralizzata dei dati biometrici sui server di SEA, una modalità che non garantisce ai passeggeri il controllo esclusivo sulle proprie informazioni più sensibili.
Secondo il Garante, il sistema presenta criticità anche sul piano della sicurezza:
 | I template biometrici non risultavano adeguatamente cifrati; |
 | Le informazioni venivano conservate per un periodo troppo lungo, fino a 12 mesi; una durata così estesa, osserva l’Autorità, aumenta in modo significativo il rischio di accessi non autorizzati e di possibili violazioni dei dati personali; |
 | A ciò si aggiunge una informativa ritenuta inesatta, dunque non pienamente trasparente nei confronti degli utenti. |
Ulteriore profilo contestato riguarda la raccolta, senza consenso, delle immagini del volto anche dei passeggeri che non avevano aderito al servizio, ma che utilizzavano i varchi ibridi. Per il Garante, questo elemento rafforza il quadro di un trattamento non adeguatamente delimitato né sufficientemente rispettoso dei principi di proporzionalità e minimizzazione.
L’indicazione conferma un orientamento preciso: innovazione e semplificazione dei servizi non possono prevalere sulla tutela dei diritti fondamentali. L’impiego di dati biometrici, per loro natura estremamente delicati, richiede standard elevatissimi di sicurezza, trasparenza e proporzionalità. In assenza di queste garanzie, anche soluzioni tecnologicamente avanzate rischiano di diventare strumenti invasivi. Il caso di Linate rappresenta quindi un richiamo concreto per tutto il settore: l’evoluzione digitale deve procedere entro confini chiari, in cui la protezione dei dati personali resti un principio non negoziabile.
Leggi anche: Eliminare efficacmente i dati personali dai supporti informatici
