Contrariamente a quanto urlato dai titoli dei giornali, il Garante della Privacy non ha decretato un divieto generale per il riconoscimento facciale negli aeroporti. La realtà è più tecnica e molto più interessante: è stato bloccato un singolo sistema, quello della società SEA a Linate, perché la sua implementazione non rispettava i principi europei di protezione dei dati. Questa non è una crociata contro l’innovazione, ma una lezione fondamentale su come l’innovazione debba essere progettata: mettendo i diritti delle persone al centro, non come un fastidioso ripensamento.
“Il Garante blocca il riconoscimento facciale!”. L’ho letto ovunque. Un titolo perfetto: semplice, d’impatto, capace di generare quel misto di indignazione e rassegnazione verso la “solita burocrazia” che frena il futuro. Un titolo che, come spesso accade quando la tecnologia incontra il diritto, è tanto efficace quanto profondamente sbagliato. O, per essere più precisi, è una semplificazione così estrema da diventare una falsità.
Vediamo come smontare insieme questa narrazione. Perché la decisione del Garante Privacy sul face boarding non è la storia di un “no” al progresso, ma quella di un “sì” all’innovazione fatta con criterio. Ed è una differenza che cambia tutto.
Leggi anche: L’illusione del fossato, l’Intelligenza artificiale open-source demolisce il castello delle Big Tech
Il Diavolo è nel “Come”, non nel “Cosa”
Partiamo dal comunicato ufficiale del Garante, quel documento che pochi leggono ma che contiene la verità dei fatti. L’Autorità non ha mai detto: “il riconoscimento facciale in aeroporto è vietato”. Ha detto una cosa molto diversa: ha ordinato alla società SEA, che gestisce gli aeroporti milanesi, di sospendere la specifica soluzione tecnologica adottata. Perché? Perché era “incompatibile con la vigente disciplina europea sulla protezione dei dati personali”.
La distinzione è fondamentale: non si contesta l’idea di usare il nostro volto come un documento d’identità per velocizzare gli imbarchi (il “cosa”), ma l’architettura tecnica con cui questo processo è stato implementato (il “come”). I dati biometrici, come l’impronta del nostro viso, non sono dati qualunque. Il GDPR li classifica come “dati particolari”, meritevoli della massima tutela perché sono univocamente e permanentemente legati alla nostra persona. Se ti rubano una password, puoi cambiarla. Se ti rubano il volto, cosa fai?
Il problema sollevato dal Garante, e già anticipato in un parere del Comitato Europeo per la Protezione dei Dati (EDPB), è proprio questo: il sistema implementato da SEA lasciava i dati biometrici dei viaggiatori “nell’esclusiva disponibilità del gestore aeroportuale”. In pratica, tu, passeggero, fornivi il tuo volto e perdevi il controllo su di esso, affidandolo a un database centralizzato gestito da terzi. Questo approccio è l’antitesi del principio di Privacy by Design, un pilastro del GDPR che impone di progettare sistemi mettendo la protezione dei dati al primo posto, non come una verniciata finale.
Un Dialogo tra Sordi: Innovazione e Regole
Qui emerge il classico cortocircuito culturale tra chi sviluppa tecnologia e chi ne stabilisce le regole: l’approccio di SEA, probabilmente dettato da una logica di efficienza operativa, è sintomo di una visione che vede la privacy come un ostacolo da aggirare, piuttosto che un requisito fondamentale da integrare.
Eppure, le indicazioni c’erano tutte: il Garante stesso precisa di aver informato SEA dell’incompatibilità della soluzione sin dalla fine del 2023 (le date riportate dai giornali sono un po’ confuse, ma il concetto è chiaro), invitandola a considerare le alternative compatibili già indicate dall’EDPB a livello europeo. Non è stato un fulmine a ciel sereno, ma l’esito prevedibile di un dialogo in cui, evidentemente, una delle parti non ha ascoltato.
Questa non è la storia di un’autorità luddista sociale che si oppone al progresso, ma al contrario è la storia di un’autorità che agisce come un arbitro, fischiando un fallo a chi non rispetta le regole del gioco. Regole, peraltro, note da tempo e valide in tutta Europa. Il vero freno all’innovazione, in casi come questo, non è il regolatore, ma l’incapacità di alcune aziende di innovare all’interno del perimetro dei diritti fondamentali. Come spiego spesso ai miei studenti, la vera sfida ingegneristica e imprenditoriale oggi non è solo far funzionare una tecnologia, ma farla funzionare in modo etico e legale.
Le alternative esistono (e sono migliori)
La parte più interessante, che i titoli ovviamente ignorano, è che il Garante non si è limitato a dire “no”: ha implicitamente indicato anche la via giusta, rimandando alle soluzioni compatibili delineate dall’EDPB. Quali sono? Anche se il comunicato non entra nei dettagli tecnici, possiamo facilmente immaginarle.
Si tratta di sistemi decentralizzati, dove il dato biometrico non viene caricato su un server centrale. Pensiamo a soluzioni in cui il modello del nostro volto viene conservato in modo sicuro esclusivamente sul nostro smartphone. Quando arriviamo al gate, il nostro telefono comunica in modo crittografato con il sistema dell’aeroporto per la verifica, senza che il nostro dato biometrico lasci mai il nostro controllo. Oppure, sistemi “a cancellazione immediata”, dove il dato viene acquisito, usato per l’imbarco e immediatamente distrutto in modo verificabile, senza essere conservato.
Queste alternative non sono fantascienza. Sono architetture che rispettano i principi di data minimization (trattare solo i dati strettamente necessari) e purpose limitation (usarli solo per lo scopo dichiarato). Sono tecnicamente più complesse? Forse. Ma sono infinitamente più rispettose dei nostri diritti e, a lungo termine, costruiscono qualcosa di molto più prezioso della convenienza: la fiducia.
La prossima volta che leggete un titolo urlato su una tecnologia bloccata dalla “privacy”, fermatevi un istante. Andate oltre la superficie. Molto probabilmente, la storia vera non è quella di un “no” all’innovazione, ma di un fondamentale e necessario “sì” all’innovazione fatta come si deve. E questa, ammettiamolo, è una notizia molto, molto migliore.