Ryanair se enfrenta de nuevo a una reclamación GDPR por la verificación del escaneado facial

El Centro Europeo de Derechos Digitales (noyb) presentó el jueves 19 de diciembre una denuncia ante la autoridad italiana de protección de datos (DPA) contra la compañía aérea de bajo coste Ryanair, con sede en Irlanda, por su proceso de verificación, que utiliza el reconocimiento facial.

La denuncia significa que el proceso de verificación de Ryanair es ahora objeto de denuncias activas ante cuatro APD europeas, cada una de ellas por supuestas infracciones del Reglamento General de Protección de Datos (RGPD) de la UE.

«Ryanair empuja ilegalmente a sus usuarios hacia el tratamiento de sus datos biométricos altamente sensibles, haciendo caso omiso por completo de sus obligaciones legales», declaró el abogado de protección de datos de noyb, Felix Mikolasch, el jueves en un comunicado de prensa.

Aunque Ryanair «celebra[s] la queja de noyb», la compañía «llama[s] a noyb que justifique [su] intento de retroceso… para disminuir la eficacia de las salvaguardias de verfiricación», dijo un portavoz de Ryanair a Euractiv en un correo electrónico el jueves.

Según el demandante, Ryanair viola el principio de minimización de datos del GDPR, ya que obliga a los usuarios a crear una cuenta permanente cuando quieren reservar un vuelo en su sitio web. El principio de minimización de datos significa que las empresas deben tratar los datos limitándose a lo necesario.

Noyb también cree que Ryanair empuja a los usuarios a seleccionar un proceso de verificación que utiliza el reconocimiento facial biométrico.

Ryanair preselecciona el proceso de verificación por reconocimiento facial cuando un usuario quiere reservar un vuelo. Si los usuarios optan por no hacerlo, tienen que proporcionar a Ryanair una firma manuscrita y una copia de su documento nacional de identidad. Noyb cree que esto infringe el principio de consentimiento del RGPD.

Noyb también cita las directrices 2022 del Organismo Europeo de Protección de Datos (OEPD) para decir que el reconocimiento facial puede suponer un riesgo inaceptable para las personas.

En un dictamen de 2021, el EDPB pedía, en particular, que se prohibiera la inteligencia artificial para el reconocimiento facial automatizado.

Noyb ya presentó una denuncia contra las prácticas de Ryanair en virtud del Reglamento General de Protección de Datos (RGPD) ante la APD española en julio de 2023.

En mayo, eu travel tech, el grupo de presión de la UE para las empresas de alquiler a corto plazo, presentó otras dos denuncias contra el proceso de verificación de Ryanair ante las autoridades de protección de datos de Francia y Bélgica.

Siguiendo las normas de procedimiento del GDPR, se espera que las APD española (AEPD), francesa (CNIL), belga (APD-GBA) e italiana (Garante) participen en una decisión conjunta con su homóloga irlandesa (DPC), que dirigirá la investigación dado que Ryanair es una empresa con sede en Dublín.

Una disputa de mercado tras el escrutinio del RGPD

«Parece que el verdadero objetivo del proceso de verificación es evitar que las agencias de viajes online creen cuentas para comprar y posteriormente revender vuelos de Ryanair en sus sitios web», reza el comunicado de noyb.

Ryanair también mantiene una disputa con agencias de viajes online (OTA) como Opodo, eDrams o Booking.com por su proceso de verificación facial.

Las OTA creen que Ryanair creó su proceso de verificación por reconocimiento facial para impedir que los usuarios reserven billetes en sus mercados. Ryanair opina que las OTA actúan ilegalmente, y su consejero delegado, Michael O’Leary, ha calificado a estas empresas de «piratas»

Cuando algunas OTAs presentaron su queja GDPR en mayo, un portavoz de Ryanair dijo a Euractiv que las OTAs estaban «malvendiendo vuelos» y que los datos que estaban screenscraping de [la] página web de Ryanair fueron «obtenidos ilegalmente.»

[Editado por Owen Morgan]