A petición de la autoridad francesa de protección de datos, el EDPB ha emitido un Dictamen sobre el uso de tecnologías de reconocimiento facial en los aeropuertos por parte de los operadores aeroportuarios y las compañías aéreas. En él, el Comité Europeo de Protección de Datos subraya la sensibilidad de los datos biométricos y los riesgos asociados a su tratamiento, puesto que su uso indebido puede conducir a posibles sesgos, discriminación o la usurpación de identidad. Por ello, el EDPB aboga por métodos menos intrusivos a la hora de agilizar los flujos de pasajeros y subraya que las personas deben tener el máximo control sobre sus datos biométricos.
El Dictamen examina la compatibilidad del tratamiento de datos biométricos con los principios del RGPD, centrándose en la limitación del almacenamiento, la integridad y la confidencialidad, la protección de datos desde el diseño y por defecto y la seguridad del tratamiento.
Dado que no existe un requisito legal uniforme en la UE para que los operadores aeroportuarios y las compañías aéreas verifiquen que el nombre en la tarjeta de embarque del pasajero coincide con el nombre en su documento de identidad, cuando no se requiera la verificación de la identidad de los pasajeros con un documento de identidad oficial, el Comité considera que no debe realizarse dicha verificación con el uso de datos biométricos, ya que esto daría lugar a un tratamiento excesivo de datos.
De este modo, concluye que las únicas soluciones de almacenamiento compatibles con los principios del RGPD son aquellas mediante las cuales los datos biométricos se almacenan en manos de la persona o en una base de datos central, pero con la clave de cifrado únicamente en su poder. Por el contrario, aquellas soluciones en las que el almacenamiento centralizado sin claves de cifrado individuales en manos de la persona no pueden ser compatibles con los requisitos de protección de datos desde el diseño y por defecto ni cumplirían los requisitos de seguridad del tratamiento.