Garante per la protezione dei dati personali (Garante) har infört ett tillfälligt förbud mot Società per Azioni Esercizi Aeroportuali (S.E.A.) för FaceBoarding då myndigheten inte hade vidtagit tillräckliga säkerhetsåtgärder enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att S.E.A., som förvaltar två flygplatser i Milano, installerat systemet FaceBoarding vid ingångarna till den sterila zonen och vid gaterna på Linate-flygplatsen. FaceBoarding är ett ansiktsigenkänningssystem som används för att identifiera passagerare på flygplatser. I juli 2025 inledde Garante en utredning av systemet.
Undersökningen visade att passagerarnas biometriska mallar enbart lagrades i S.E.A.:s centraliserade system, vilket hindrade dem från att kontrollera sina egna uppgifter. Detta strider mot EDPB:s riktlinjer för ansiktsigenkänning och utgör ett brott mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, inbyggt dataskydd enligt artikel 25 GDPR och säkerhet vid behandling av personuppgifter enligt 32 GDPR.
Vidare innehöll S.E.A.:s integritetsmeddelande felaktig information. Meddelandet angav att den biometriska mallen enbart blir förblir lagrad på passagerarens smartphone när man ansluter via den särskilda appen, vilket inte stämde. Systemet saknade dessutom kryptering av de biometriska mallarna, vilket bryter mot artikel 32 GDPR. Det fanns även planer på att lagra mallarna upp till 12 månader, vilket strider mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR och 32 GDPR.
De gater som användes för FaceBoarding var hybrida och kunde även användas av passagerare som inte registrerat sig i systemet. Trots detta genereras biometriska mallar av alla, utan samtycke, vilket strider mot artikel 6.1 GDPR.
Mot denna bakgrund beslutade Garante att provisoriskt begränsa behandlingen av passagerarnas biometriska uppgifter i FaceBoarding-systemet, både vid ingångarna till säkerhetskontrollen och vid gaterna på Linate-flygplatsen, i enlighet med artikel 58.2(f) GDPR.