Hoy, noyb ha presentado una denuncia contra Ryanair en virtud del GDPR. Reservar un vuelo en el sitio web de la aerolínea no solo requiere una cuenta obligatoria. Los nuevos clientes también deben pasar por un proceso de verificación que, para muchas personas, implica datos biométricos invasivos. No hay justificación razonable para tal sistema. Por el contrario, parece que Ryanair está violando voluntariamente el derecho de sus clientes a la protección de datos para aumentar su poder de mercado. Este es ya el segundo noyb contra esta práctica. A pesar de una denuncia anterior, Ryanair ha decidido obligar aún a más clientes a pasar por su sistema de verificación.
- Denuncia ante la Autoridad Italiana de Protección de Datos (EN)
- Denuncia ante la Autoridad Italiana de Protección de Datos (IT)
- Anterior noyb denuncia contra Ryanair
Ryanair introduce las "cuentas obligatorias". Quien quiera reservar un vuelo en la web o la app de Ryanair se ve ahora obligado a crear una cuenta permanente. Esto a menudo significa que los datos se combinan y se conservan hasta que se elimina la cuenta, lo que normalmente nunca ocurre. Sin embargo, está claro que una cuenta no es necesaria para reservar un vuelo. Ni Lufthansa, ni EasyJet, ni Air France, ni Norwegian, entre muchas otras, exigen crear una cuenta para comprar un vuelo. En realidad, las "cuentas obligatorias" de Ryanair violan el principio de minimización de datos del RGPD. El artículo 5, apartado 1, letra c), del RGPD exige que los datos personales sólo se traten si es necesario. Ryanair no cumple este requisito.
Verificación obligatoria y confusa. Pero las cuentas obligatorias no son suficientes para Ryanair. Para poder volar con ellos, todos los nuevos propietarios de cuentas deben pasar por un proceso de "verificación" obligatorio. En este punto, la gente puede elegir teóricamente entre dos opciones. En realidad, Ryanair les empuja hacia un proceso de reconocimiento facial biométrico preseleccionado y muy invasivo para verificar su cuenta, a pesar de que los datos biométricos están especialmente protegidos por la legislación de la UE. Las autoridades europeas de protección de datos afirman incluso que el reconocimiento facial puede plantear "riesgos inaceptablemente elevados" para las personas.
Felix Mikolasch, abogado especializado en protección de datos de noyb: "Todos sabemos que Ryanair es un maestro del diseño de páginas web molestas y engañosas. Pero cuando se trata de utilizar los datos personales de la gente, la aerolínea tiene que cumplir la ley como todos los demás."
Sin escáner facial no hay reserva rápida de vuelos. Si los clientes no quieren que se procesen sus datos biométricos, Ryanair les exige que les envíen una firma manuscrita y una copia de su documento de identidad oficial. Esto crea una carga adicional por negar el consentimiento al uso de sus datos biométricos, lo que lleva a los clientes a ser robados de su libre elección - y Ryanair no cumple con los requisitos de consentimiento del GDPR.
Felix Mikolasch, abogado especializado en protección de datos de noyb: "Ryanair empuja ilegalmente a sus usuarios hacia el tratamiento de sus datos biométricos altamente sensibles, ignorando por completo sus obligaciones legales. No parece haber razones obvias por las que Ryanair necesite tal verificación, dado que otras aerolíneas no exigen un escáner facial para comprar un billete."
Cazar la competencia a costa de los clientes. Parece que el verdadero objetivo del proceso de verificación es impedir que las agencias de viajes en línea creen cuentas para comprar y posteriormente revender vuelos de Ryanair en sus sitios web. Si los clientes reservan su vuelo en otro sitio, no gastarán dinero adicional en hoteles, seguros, traslados al aeropuerto o coches de alquiler con Ryanair, sino que reservarán estos servicios adicionales con una agencia de viajes. En este sentido, Ryanair y las agencias de viajes son competidores. Al exigir datos biométricos y similares, Ryanair parece buscar una ventaja competitiva en una lucha entre empresas arrojando la privacidad del usuario bajo el autobús.
Denuncia presentada en Italia. noyb ha presentado una denuncia ante el Garante italiano. Al obligar a los usuarios a crear una cuenta para comprar un billete de avión, la aerolínea viola el principio de minimización de datos de conformidad con el artículo 5, apartado 1, letra c) del GDPR. Además, la verificación obligatoria viola el principio de limitación de la finalidad (artículo 5, apartado 1, letra b) del RGPD). Por último, Ryanair incumple los requisitos de consentimiento de conformidad con los artículos 6 y 9 del RGPD. Sobre la base del un volumen de negocios de 10 000 millones de euros en 2023la autoridad de protección de datos podría imponer una multa de hasta 431 millones de euros.
