Τεχνολογίες αναγνώρισης προσώπου στα αεροδρόμια (ΕΣΠΔ Γνώμη 11/2024)

Δημοσιεύτηκε η υπ’ αριθμ. 11/2024 Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σχετικά με τη χρήση της αναγνώρισης προσώπου για την ομαλότερη ροή επιβατών στα αεροδρόμια, με πλήρη πρωτότυπο τίτλο “Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR”.

H Γνώμη του ΕΣΠΔ εκδόθηκε κατόπιν σχετικού αιτήματος που υποβλήθηκε από την γαλλική αρχή προστασίας δεδομένων CNIL, σύμφωνα με τη δυνατότητα που της δίνει το άρθρο 64 παρ.2 ΓΚΠΔ.

Το άρθρο 64 παρ.2 προβλέπει ότι: «2. Κάθε εποπτική αρχή, ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ή η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορφώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62».

Η CNIL αξιοποίησε τη δυνατότητα αυτή και ζήτησε από το ΕΣΠΔ να αξιολογήσει τη συμβατότητα των άρθρων 5 παρ.1ε-στ, 25 και 32 ΓΚΠΔ με την πρακτική της χρήσης τεχνολογιών αναγνώρισης προσώπου από φορείς διαχείρισης αεροδρομίων και αεροπορικές εταιρείες για την αυθεντικοποίηση ή την ταυτοποίηση των επιβατών, προς τον σκοπό της διευκόλυνσης της ροής των επιβατών. Σύμφωνα με την CNIL, η παρέμβαση του Συμβουλίου κρίθηκε αναγκαία, καθώς παρατηρήθηκε πως τα μοντέλα που βρίσκονται σε διαδικασία δοκιμαστικής λειτουργίας σε διάφορα αεροδρόμια της Ένωσης εμφανίζουν σημαντικές διαφορές, με αποτέλεσμα την πιθανή  απόκλιση μεταξύ των ερμηνειών των εποπτικών αρχών και τον κίνδυνο διαφορετικών αποτελεσμάτων για τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων στην ΕΕ.

Στο πλαίσιο αυτό, το ΕΣΠΔ εξέτασε τέσσερα διαφορετικά σενάρια χρήσης τεχνολογιών αναγνώρισης προσώπου, αναλύοντας τις απαιτήσεις νομιμότητας και τη συμβατότητα με το νομοθετικό πλαίσιο για κάθε ένα εξ αυτών.

Όπως εξηγείται στην εισαγωγή του κειμένου:

Η γαλλική εποπτική αρχή ζήτησε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδώσει γνώμη σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου από τους φορείς εκμετάλλευσης αεροδρομίων και τις αεροπορικές εταιρείες για τον έλεγχο ταυτότητας ή την ταυτοποίηση των επιβατών με βιομετρικά χαρακτηριστικά για τον εξορθολογισμό της ροής των επιβατών στα αεροδρόμια.

Ως προκαταρκτική παρατήρηση, το Συμβούλιο υπενθυμίζει ότι η χρήση βιομετρικών δεδομένων και ιδίως της τεχνολογίας αναγνώρισης προσώπου ενέχει αυξημένους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πρόκειται για την επεξεργασία βιομετρικών δεδομένων στα οποία παρέχεται ειδική προστασία βάσει του άρθρου 9 ΓΚΠΔ. Πριν από τη χρήση τέτοιων τεχνολογιών, ακόμη και αν θεωρηθούν ιδιαίτερα αποτελεσματικές, οι υπεύθυνοι επεξεργασίας θα πρέπει να αξιολογούν τον αντίκτυπο στα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και να εξετάζουν κατά πόσον λιγότερο παρεμβατικά μέσα μπορούν να επιτύχουν τον νόμιμο σκοπό της επεξεργασίας.

Το πεδίο εφαρμογής της παρούσας γνώμης, σύμφωνα με το αίτημα, περιορίζεται στη συμβατότητα της επεξεργασίας με το άρθρο 5 παράγραφος 1 στοιχεία ε) και στ) και τα άρθρα 25 και 32 ΓΚΠΔ για τον ειδικό σκοπό του εξορθολογισμού της ροής των επιβατών στους αερολιμένες σε τέσσερα συγκεκριμένα σημεία ελέγχου, δηλαδή στα σημεία ελέγχου ασφαλείας, στην παράδοση των αποσκευών, στην επιβίβαση και στην πρόσβαση στην αίθουσα αναμονής επιβατών. Η παρούσα γνωμοδότηση δεν περιλαμβάνει πλήρη και ολοκληρωμένη ανάλυση της συμμόρφωσης με τον ΓΚΠΔ από τους αρμόδιους υπεύθυνους επεξεργασίας σε κάθε περίπτωση, καθώς και από τους εκτελούντες την επεξεργασία, κατά περίπτωση. Ως εκ τούτου, η παρούσα γνώμη δεν θίγει την κατά περίπτωση νομική και τεχνική ανάλυση με βάση τη συγκεκριμένη προβλεπόμενη επεξεργασία και τις περιστάσεις ενός υπευθύνου επεξεργασίας. Επιπλέον, η ανάλυση της εφαρμοστέας νομικής βάσης δεν εμπίπτει στο πεδίο εφαρμογής των ερωτημάτων που υποβλήθηκαν στο ΕΣΠΔ, ως εκ τούτου, η εγκυρότητα της συγκατάθεσης για την εν λόγω επεξεργασία, σύμφωνα με τα άρθρα 6, 7 και 9 ΓΚΠΔ, δεν εξετάζεται στην παρούσα γνώμη. Επιπλέον, η παρούσα γνώμη δεν θίγει τους περιορισμούς στη χρήση βιομετρικών δεδομένων που προβλέπονται από το δίκαιο των κρατών μελών.

Στην παρούσα γνώμη, το ΕΣΠΔ αξιολογεί τη συμμόρφωση της επεξεργασίας με τις προαναφερθείσες διατάξεις του ΓΚΠΔ στο πλαίσιο τεσσάρων συγκεκριμένων σεναρίων:

Το πρώτο σενάριο περιλαμβάνει την αποθήκευση εγγεγραμμένου βιομετρικού προτύπου στα χέρια του ατόμου, για παράδειγμα, στην ατομική του συσκευή, υπό τον αποκλειστικό του έλεγχο, προκειμένου να πιστοποιηθεί (σύγκριση 1:1) ο επιβάτης κατά τη διέλευσή του από τα προαναφερθέντα σημεία ελέγχου του αεροδρομίου.

Το Συμβούλιο καταλήγει στο συμπέρασμα ότι τα μέτρα που επιλέχθηκαν θα μπορούσαν να θεωρηθούν ότι πληρούν την αρχή της αναγκαιότητας, εάν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν υπάρχουν λιγότερο παρεμβατικές εναλλακτικές λύσεις που θα μπορούσαν να επιτύχουν τον ίδιο στόχο εξίσου αποτελεσματικά. Επιπλέον, η παρεμβατικότητα της επεξεργασίας μπορεί να αντισταθμιστεί από την ενεργό συμμετοχή των επιβατών, καθώς το βιομετρικό τους πρότυπο αποθηκεύεται μόνο στην κατοχή τους, για παράδειγμα, στην ατομική τους συσκευή, υπό τον αποκλειστικό τους έλεγχο και τα δεδομένα τους διαγράφονται αμέσως μετά την ολοκλήρωση της αντιστοίχισης. Βάσει αυτών, το Συμβούλιο καταλήγει στο συμπέρασμα ότι η επεξεργασία που προβλέπεται στο πρώτο σενάριο θα μπορούσε να θεωρηθεί κατ' αρχήν συμβατή με το άρθρο 5 παράγραφος 1 στοιχείο στ), το άρθρο 25 και το άρθρο 32 ΓΚΠΔ, με την επιφύλαξη της εφαρμογής των κατάλληλων εγγυήσεων.

Το Συμβούλιο Προστασίας Δεδομένων προσδιόρισε τις διασφαλίσεις που πρέπει κατ' ελάχιστον να εφαρμοστούν για μια λύση παρόμοια με το πρώτο σενάριο.

Διαβάστε επίσης: Πρόστιμο 120.000 ευρώ στο αεροδρόμιο Heathrow για παραβίαση δεδομένων από χαμένο USB stick

Το δεύτερο σενάριο περιλαμβάνει την κεντρική αποθήκευση, εντός του αερολιμένα, ενός εγγεγραμμένου βιομετρικού προτύπου σε κρυπτογραφημένη μορφή με κλειδί/μυστικό αποκλειστικά στα χέρια του επιβάτη. Αυτό επιτρέπει την αυθεντικοποίηση των επιβατών (σύγκριση 1:1) καθώς αυτοί διέρχονται από τα προαναφερθέντα σημεία ελέγχου του αεροδρομίου. Η εγγραφή ισχύει για δεδομένο χρονικό διάστημα, το οποίο, για παράδειγμα, μπορεί να είναι έως και ένα έτος μετά την τελευταία πτήση μέχρι την ημερομηνία λήξης του διαβατηρίου.

Το Συμβούλιο καταλήγει στο συμπέρασμα ότι η επεξεργασία θα μπορούσε να θεωρηθεί ότι πληροί την αρχή της αναγκαιότητας, εάν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν υπάρχουν λιγότερο παρεμβατικές εναλλακτικές λύσεις που θα μπορούσαν να επιτύχουν τον ίδιο στόχο εξίσου αποτελεσματικά. Επιπλέον, η παρεμβατικότητα της επεξεργασίας μπορεί να αντισταθμιστεί από την ενεργό συμμετοχή του επιβάτη, καθώς αυτός έχει υπό τον αποκλειστικό του έλεγχο το κλειδί/μυστικό των κρυπτογραφημένων βιομετρικών δεδομένων του. Υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας εφαρμόζει τις κατάλληλες διασφαλίσεις, οι κίνδυνοι ασφαλείας από τη χρήση κεντρικής βάσης δεδομένων στο σενάριο αυτό θα μπορούσαν να μετριαστούν και ο αρνητικός αντίκτυπος στα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων θα μπορούσε να θεωρηθεί ανάλογος προς το αναμενόμενο όφελος. Όσον αφορά την αρχή του περιορισμού της αποθήκευσης, δεν έχουν παρασχεθεί στο Συμβούλιο πληροφορίες που να τεκμηριώνουν τη μακρά περίοδο αποθήκευσης. Προκειμένου να επιτευχθεί συμβατότητα με το άρθρο 5 παράγραφος 1 στοιχείο ε) ΓΚΠΔ σε αυτό το σενάριο, οι υπεύθυνοι επεξεργασίας θα πρέπει να είναι σε θέση να αιτιολογήσουν γιατί η προβλεπόμενη περίοδος διατήρησης είναι απαραίτητη για τον σκοπό σε συγκεκριμένες περιπτώσεις. Το Συμβούλιο συνιστά στους υπευθύνους επεξεργασίας να προβλέπουν τη συντομότερη δυνατή περίοδο αποθήκευσης, προσφέροντας παράλληλα στους επιβάτες τη δυνατότητα να ορίσουν την προτιμώμενη περίοδο αποθήκευσης. Σε αυτή τη βάση, το Συμβούλιο καταλήγει στο συμπέρασμα ότι η επεξεργασία που προβλέπεται στο σενάριο 2 θα μπορούσε να θεωρηθεί κατ' αρχήν συμβατή με τα άρθρα 5 παράγραφος 1 στοιχείο ε), 5 παράγραφος 1 στοιχείο στ), 25 και 32 ΓΚΠΔ, υπό την προϋπόθεση της εφαρμογής των κατάλληλων εγγυήσεων.

Το Συμβούλιο Προστασίας Δεδομένων προσδιόρισε τις εγγυήσεις που πρέπει κατ' ελάχιστον να εφαρμοστούν για μια λύση παρόμοια με το δεύτερο σενάριο.

Το τρίτο σενάριο περιλαμβάνει την κεντρική αποθήκευση ενός εγγεγραμμένου βιομετρικού προτύπου σε κρυπτογραφημένη μορφή εντός του αερολιμένα υπό τον έλεγχο του φορέα εκμετάλλευσης του αερολιμένα. Αυτό επιτρέπει την ταυτοποίηση των επιβατών (σύγκριση 1:N), καθώς αυτοί διέρχονται από τα προαναφερθέντα σημεία ελέγχου του αεροδρομίου. Η περίοδος αποθήκευσης σε αυτό το σενάριο είναι συνήθως 48 ώρες και τα δεδομένα διαγράφονται μόλις απογειωθεί το αεροπλάνο.

Καθώς η αποθήκευση των δεδομένων ταυτότητας και των βιομετρικών δεδομένων γίνεται σε μια κεντρική βάση δεδομένων, εάν παραβιαστεί η εμπιστευτικότητα της βάσης δεδομένων, αυτό μπορεί στη συνέχεια να συνεπάγεται πρόσβαση σε όλο το σύνολο των δεδομένων και θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη ή παράνομη ταυτοποίηση επιβατών σε άλλα περιβάλλοντα. Η αρχιτεκτονική κεντρικής αποθήκευσης υπό τον έλεγχο του φορέα εκμετάλλευσης του αερολιμένα οδηγεί επίσης στο να χάνει ο επιβάτης σε μεγαλύτερο βαθμό τον έλεγχο των δεδομένων του. Το Συμβούλιο θεωρεί ότι παρόμοιο αποτέλεσμα με τον εξορθολογισμό της ροής των επιβατών στους αερολιμένες μπορεί να επιτευχθεί με λιγότερο παρεμβατικό τρόπο και ότι ο αρνητικός αντίκτυπος στα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που θα προέκυπτε από παραβίαση των δεδομένων σε κεντρική βάση δεδομένων βιομετρικών δεδομένων φαίνεται να υπερτερεί του αναμενόμενου οφέλους που προκύπτει από την επεξεργασία. Ως εκ τούτου, η επεξεργασία δεν μπορεί να ανταποκριθεί στις αρχές της αναγκαιότητας και της αναλογικότητας. Με βάση τα παραπάνω, το Συμβούλιο καταλήγει στο συμπέρασμα ότι η επεξεργασία που προβλέπεται στο τρίτο σενάριο δεν μπορεί να είναι συμβατή με το άρθρο 25 ΓΚΠΔ. Επίσης, δεν θα ήταν σύμφωνη με το άρθρο 5 παράγραφος 1 στοιχείο στ) και το άρθρο 32 ΓΚΠΔ, εάν ένας υπεύθυνος επεξεργασίας περιοριζόταν στα μέτρα που περιγράφονται σε αυτό το σενάριο.

Το τέταρτο σενάριο περιλαμβάνει την κεντρική αποθήκευση ενός εγγεγραμμένου βιομετρικού προτύπου σε κρυπτογραφημένη μορφή στο νέφος υπό τον έλεγχο της αεροπορικής εταιρείας ή του παρόχου υπηρεσιών νέφους της. Αυτό επιτρέπει την ταυτοποίηση των επιβατών (σύγκριση 1:N) καθώς αυτοί διέρχονται από τα προαναφερθέντα σημεία ελέγχου του αεροδρομίου. Η περίοδος αποθήκευσης σε αυτό το σενάριο μπορεί δυνητικά να είναι για όσο χρονικό διάστημα ο πελάτης διατηρεί λογαριασμό στην αεροπορική εταιρεία.

Καθώς η αποθήκευση των αναγνωριστικών και βιομετρικών δεδομένων γίνεται σε κεντρική βάση δεδομένων στο νέφος, πολλαπλές οντότητες θα μπορούσαν να έχουν πρόσβαση στα δεδομένα αυτά, συμπεριλαμβανομένων ενδεχομένως παρόχων εκτός ΕΟΧ. Τα δεδομένα του επιβάτη αποκρυπτογραφούνται όταν χρησιμοποιούνται και τα κλειδιά βρίσκονται υπό τον έλεγχο της αεροπορικής εταιρείας ή των επεξεργαστών της, γεγονός που θα μπορούσε να αυξήσει την επιφάνεια έκθεσης στην ασφάλεια. Μια τέτοια αρχιτεκτονική κεντρικής αποθήκευσης οδηγεί επίσης στο να χάνει ο επιβάτης σε μεγαλύτερο βαθμό τον έλεγχο των δεδομένων του. Τα δεδομένα θα μπορούσαν επίσης να αποθηκεύονται για σημαντικό χρονικό διάστημα, γεγονός που εκθέτει τα δεδομένα σε υψηλότερους κινδύνους παραβίασης της ασφάλειας και φαίνεται να υπερβαίνει το απολύτως αναγκαίο και αναλογικό για τους σκοπούς της επεξεργασίας, εκτός εάν ληφθούν περαιτέρω προφανή μέτρα για τον μετριασμό των κινδύνων για τα άτομα.

Το Συμβούλιο θεωρεί ότι ένα παρόμοιο αποτέλεσμα με τον εξορθολογισμό της ροής των επιβατών στα αεροδρόμια μπορεί να επιτευχθεί με λιγότερο παρεμβατικό τρόπο και ο αρνητικός αντίκτυπος στα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που θα μπορούσε να προκύψει από παραβίαση των δεδομένων σε μια κεντρική βάση δεδομένων βιομετρικών δεδομένων φαίνεται να αντισταθμίζει το αναμενόμενο όφελος που προκύπτει από την επεξεργασία. Ως εκ τούτου, η επεξεργασία δεν μπορεί να ανταποκριθεί στις αρχές της αναγκαιότητας και της αναλογικότητας. Με βάση τα παραπάνω, το Συμβούλιο Προστασίας Δεδομένων καταλήγει στο συμπέρασμα ότι η επεξεργασία που προβλέπεται στο τέταρτο σενάριο δεν μπορεί να είναι συμβατή με το άρθρο 25 ΓΚΠΔ. Επίσης, δεν θα συμμορφωνόταν με το άρθρο 5 παράγραφος 1 στοιχείο ε) ΓΚΠΔ με βάση τις πληροφορίες που διαθέτει το Συμβούλιο Προστασίας Δεδομένων και δεν θα συμμορφωνόταν με το άρθρο 5 παράγραφος 1 στοιχείο στ) και το άρθρο 32 ΓΚΠΔ, εάν ένας υπεύθυνος επεξεργασίας περιοριζόταν στα μέτρα που περιγράφονται σε αυτό το σενάριο.

Η Γνώμη ΕΣΠΔ 11/2024 είναι διαθέσιμη στα αγγλικά.