Oggi, noyb ha presentato un reclamo GDPR contro Ryanair. La prenotazione di un volo sul sito web della compagnia aerea non solo richiede un account obbligatorio. I nuovi clienti devono anche sottoporsi a un processo di verifica che, per molte persone, comporta una biometria invasiva. Non c'è alcuna ragionevole giustificazione per un tale sistema. Sembra invece che Ryanair stia volontariamente violando il diritto alla protezione dei dati dei propri clienti per aumentare il proprio potere di mercato. Questo è già il secondo noyb contro questa pratica. Nonostante un precedente reclamo, Ryanair ha deciso di costringere ancora più clienti a passare attraverso il suo sistema di verifica.
- Reclamo al Garante italiano per la protezione dei dati personali (EN)
- Reclamo all'Autorità Garante per la protezione dei dati personali (IT)
- Precedente noyb reclamo contro Ryanair
Ryanair introduce gli "account forzati". Chiunque voglia prenotare un volo sul sito o sull'app di Ryanair è ora costretto a creare un account permanente. Questo spesso significa che i dati vengono combinati e conservati fino alla cancellazione dell'account, che di solito non avviene mai. Tuttavia, un account non è chiaramente necessario per prenotare un volo. Né Lufthansa, né EasyJet, né Air France, né Norwegian, tra le tante, richiedono la creazione di un account per acquistare un volo. In realtà, gli "account forzati" di Ryanair violano il principio di minimizzazione dei dati del GDPR. L'articolo 5, paragrafo 1, lettera c), del GDPR prevede che i dati personali siano trattati solo se necessario. Ryanair non soddisfa questo requisito.
Verifica obbligatoria e confusa. Ma i conti forzati non sono sufficienti per Ryanair. Per poter volare con Ryanair, tutti i proprietari di nuovi account devono passare attraverso un processo di "verifica" obbligatorio. A questo punto, le persone possono teoricamente scegliere tra due opzioni. In realtà, Ryanair li spinge verso un processo di riconoscimento biometrico del viso preselezionato e altamente invasivo per verificare il loro account, nonostante i dati biometrici siano particolarmente protetti dalla legge dell'UE. Le autorità europee per la protezione dei dati affermano che il riconoscimento facciale può comportare "rischi inaccettabili" per le persone.
Felix Mikolasch, avvocato specializzato in protezione dei dati presso la noyb: "Sappiamo tutti che Ryanair è un maestro nel design di siti web fastidiosi e ingannevoli. Ma quando si tratta di utilizzare i dati personali delle persone, la compagnia aerea deve seguire la legge come tutti gli altri"
Niente scansione del volto - niente prenotazione rapida dei voli. Se i clienti non vogliono che i loro dati biometrici vengano elaborati, Ryanair chiede loro di inviare una firma scritta a mano e una copia del loro documento di identità. Questo crea un ulteriore onere per il rifiuto del consenso all'uso dei propri dati biometrici, che porta i clienti a essere derubati della loro libera scelta e Ryanair a non rispettare i requisiti di consenso del GDPR.
Felix Mikolasch, avvocato specializzato in protezione dei dati personali di noyb: "Ryanair spinge illegalmente i suoi utenti a trattare i loro dati biometrici altamente sensibili, ignorando completamente i suoi obblighi legali. Non sembrano esserci ragioni evidenti per cui Ryanair abbia bisogno di tale verifica, dato che altre compagnie aeree non richiedono la scansione del volto per acquistare un biglietto"
Caccia alla concorrenza a spese dei clienti. Sembra che il vero scopo del processo di verifica sia quello di impedire alle agenzie di viaggio online di creare account per acquistare e successivamente rivendere i voli Ryanair sui loro siti web. Se i clienti prenotano il loro volo altrove, non spenderanno denaro aggiuntivo per hotel, assicurazioni, trasferimenti aeroportuali o auto a noleggio con Ryanair, ma prenoteranno questi servizi extra con un'agenzia di viaggi. In questo senso, Ryanair e le agenzie di viaggio sono concorrenti. Richiedendo i dati biometrici e simili, Ryanair sembra cercare un vantaggio competitivo in una lotta tra aziende, gettando la privacy degli utenti sotto l'autobus.
Denuncia presentata in Italia. noyb ha presentato una denuncia al Garante italiano. Obbligando gli utenti a creare un account per acquistare un biglietto aereo, la compagnia aerea viola il principio di minimizzazione dei dati ai sensi dell'articolo 5, paragrafo 1, lettera c), del GDPR. Inoltre, la verifica obbligatoria viola il principio di limitazione delle finalità (articolo 5, paragrafo 1, lettera b), del GDPR). Infine, Ryanair non soddisfa i requisiti di consenso ai sensi degli articoli 6 e 9 del GDPR. Sulla base del fatturato di Ryanair ryanair di 10 miliardi di euro nel 2023l'autorità per la protezione dei dati potrebbe comminare una multa fino a 431 milioni di euro.
