dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 11-10-2023

Di recente, l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha avviato un’istruttoria nei confronti di Ryanair per possibile abuso di posizione dominante. La lente dell’Antitrust si concentra su alcune politiche commerciali che la compagnia irlandese (largamente prima in Europa come fatturato e numero di passeggeri) dispiegherebbe a supposto detrimento del mercato. Ciò che qui interessa è che le condotte di Ryanair volte ottenere un ingiusto vantaggio competitivo sembrano comportare anche un’ingiustificata violazione della privacy di un numero considerevole di passeggeri. Per capire di cosa si tratta, partiamo da quanto concretamente sperimentato da un’acquirente di nostra conoscenza.

UNA PROCEDURA ASTRUSA

Durante l’estate appena trascorsa abbiamo ricevuto un messaggio da un caro amico italiano che vive in Oriente. L’amico, intenzionato a spendere qualche giorno in Sardegna, ci spiegava di aver comprato un biglietto Ryanair Milano-Cagliari sul sito web di un noto OTA (Online Travel Agent) di Hong Kong che dopo qualche giorno gli inviava questa email che lo lasciava basito:

Greetings from ***Trip, hope you are all well. Currently, your booking has been ticketed and the PNR of Ryanair is **** (…). Since airlines need to ensure the safety of passengers’ orders, they must complete facial recognition verification on the official website in advance. Please complete the verification as soon as possible and notify us.

Verification URL: https://onlineform.ryanair.com/ie/en/customer-verification?from=refund-hub

The verification steps are as follows

Step 1: Open the link and click the “Continue” button -> Enter Booking reference and Passenger name  -> Check Terms of use and continue -> Click Signup -> Enter your email address and password -> >Enter the verification code in the email—>Continue to click Quick Verification:

Step 2: Choose Quick verification:

  1. Access your bookings in less than 2 minutes.
  2. Verify your identity by taking a selfie and uploading a photo of your ID.
  3. The cost of providing this service is £/€0.59. Ryanair does not receive a commercial benefit from the verification fee.
  4. The verification check is done by our trusted partner GetID.

After the verification is completed, you can manage the reservation and check in in advance or notify us to assist in the check-in after verification. Please note that Ryanair needs to check in on the website in advance. After the facial recognition is completed, we will assist you to check in and obtain an electronic boarding pass. Avoid paying at the airport.

Ricevuta questa email, l’acquirente replicava all’OTA domandando, stupito, come mai per effettuare un semplice online check-in dovesse sottoporsi ad una procedura di riconoscimento biometrico, peraltro a pagamento nella sua versione rapida. L’OTA rispondeva che la procedura di verifica è imposta da Ryanair e che l’unica alternativa proposta dal vettore irlandese è recarsi in aeroporto più di due 2 ore prima del volo per effettuare check-in al banco al costo di 55 Euro. L’amico, percependo come assurda la vicenda, dapprima veniva assalito dal dubbio di essere incappato in una cyber-truffa poi ci contattava chiedendo se la pratica fosse corretta e se ci fosse un’alternativa alla schedatura biometrica o all’eccessivo onere del check-in aeroportuale. Purtroppo gli abbiamo dovuto rispondere che è tutto vero e che non paiono esserci alternative: o sacrifichi la tua privacy o sacrifichi il tuo tempo e denaro in aeroporto. Sono mesi che Ryanair attua questa politica.

Quando si compra un biglietto da un OTA, Ryanair applica la politica specificata in questa pagina del proprio sito: “This booking was made through a third party travel agent who has no commercial relationship with Ryanair to sell our flights. You need to verify this booking in order to be able to manage it by yourself. If you do not complete verification and check-in online, you will need to attend the Ryanair desk at least 2-hours pre-departure and check-in at the airport for a fee. Please see our Table of Fees here”. E la Table of Fees conferma che il costo del check-in aeroportuale in Italia è di 55 Euro. Nella medesima pagina, Ryanair rende disponibile qualche spiegazione con il pop-up “Why do you need to verify?”:

Third party travel agents often:

  • Prevent Ryanair from ensuring passengers are notified of our safety, security and public health protocols.
  • Pass on incorrect contact details. This makes it difficult for us to contact you directly with important updates.
  • Use their own credit cards which makes it difficult for us to refund you in the unlikely event that you need reimbursement due to flight disruption.

Remember: The cheapest bookings are direct bookings with Ryanair. Avoid unnecessary commissions by booking on Ryanair.com or through the Ryanair app.

Dunque la richiesta di riconoscimento facciale in fase di online check-in nascerebbe dall’esigenza di verificare l’identità dei passeggeri che hanno prenotato tramite OTA, ossia intermediari che per Ryanair impediscono alla compagnia aerea la certezza del contatto con il passeggero in tema di comunicazioni di sicurezza, informazioni di viaggio o nella gestione dei rimborsi. Sono, queste, esigenze che possono giustificare una schedatura biometrica? Non stiamo parlando di controlli transfrontalieri (che, quand’anche in base ad una specifica legislazione comportassero riconoscimento facciale, competono alle autorità doganali e che comunque non potrebbero riguardare un cittadino UE che vola in tratta infra UE) né di misure emergenziali delegate alle compagnie aeree per questioni di pubblica sicurezza (ad es., antiterrorismo o crisi epidemiologiche). In altre parole, qui non c’è un interesse pubblico ma solo l’interesse privato di Ryanair: tant’è che ad un siffatto processo di Customer Verification non sono assoggettati i clienti che acquistano il volo direttamente tramite sito o app di Ryanair.

PASSEGGERI VITTIME DI UNA GUERRA COMMERCIALE

La reale esigenza, sottesa quanto piuttosto malcelata, di Ryanair è un’altra: rendere più farraginoso, invasivo e fastidioso l’acquisto online dei propri voli tramite OTA di modo che l’acquirente sia indotto – questa o la prossima volta – a comprare direttamente dal sito della compagnia che avrà così la possibilità di vendere o intermediare tutta una serie di servizi aggiuntivi (assicurazioni, taxi e navette, noleggio auto, hotel, etc.) che altrimenti potranno essere rivenduti/intermediati dall’OTA.

Ryanair sta da tempo cercando di penalizzare gli OTA con cui non ha stretto accordi commerciali – ossia, che non rechino il sigillo Ryanair Verified Seal – chiedendo che sia impedito loro di vendere i suoi voli (di recente, ha ottenuto sentenza favorevole in Spagna). E dal canto loro le OTA non solo difendono la loro posizione, ma accusano Ryianair di aggravare l’acquisto sui loro portali: vedasi, in proposito, una recente ordinanza del Tribunale di Milano che ha rigettato il ricorso cautelare di Kiwi che voleva eliminare le pesanti procedure di check-in imposte dalla compagnia irlandese ai clienti della propria piattaforma viaggi. Mentre la guerra commerciale prosegue, Ryanair mantiene la politica di disincentivazione degli acquisti indiretti.

Quando a marzo scorso gli fu chiesto da una testata giornalistica spagnola perché avesse introdotto il processo di verifica biometrica, il CEO di Ryanair Eddie Wilson rispose che la compagnia irlandese non ha rapporti commerciali con nessuna grande agenzia viaggio online “né queste sono autorizzate a vendere i nostri voli. Le OTA estrapolano dall’operativo di Ryanair e in molti casi vendono i nostri voli e servizi accessori con ricarichi nascosti e forniscono informazioni di contatto del cliente/dettagli di pagamento errati”. Il manager aggiunse che “di conseguenza, e al fine di proteggere i clienti, chi ha già prenotato tramite OTA è invitato a completare un semplice processo di verifica per garantire che ciascun passeggero faccia le necessarie dichiarazioni di sicurezza ed è possibile scegliere la verifica biometrica o, in alternativa, compilare un modulo di verifica digitale, entrambi pienamente conformi a tutte le normative GDPR. Questo per garantire che ogni passeggero sia informato direttamente di tutti i protocolli di sicurezza e normativi previsti durante il viaggio, come richiesto dalla legge”.

Le OTA non si preoccupano del passeggero. Quando il passeggero viene a chiedere un rimborso, chiama il call center e gli chiediamo il nome, l’e-mail e il riferimento della prenotazione, il nostro sistema non lo riconosce“, ha insistito Wilson per poi chiosare: “È come andare da Zara, comprare i vestiti e poi rivenderli fuori a un prezzo più alto. Se il cliente ha un problema con i vestiti (perché non gli stanno bene) e va in negozio a lamentarsi, Zara chiederà lo scontrino e voi direte: “Non ce l’ho, ho comprato i vestiti da un uomo fuori dal negozio”. Non possono aiutarti senza lo scontrino“. Peccato che l’intervistatore spagnolo non ebbe al prontezza di controbattere: “Ok, ma se Zara volesse aiutarti difficilmente chiederebbe le tue impronte digitali o lo scan dell’iride. Lei è sicuro che per verificare i dati identificativi di un acquirente lo si debba sottoporre a riconoscimento biometrico?”.

IL RICONOSCIMENTO FACCIALE ALLA LUCE DEL GDPR

Il riconoscimento facciale può definirsi quella tecnologia con la quale è possibile analizzare, mediante un processo automatizzato, l’immagine di un volto, compararla con un’altra immagine di un volto, e riconoscere se i due corrispondono alla stessa persona.

L’immagine utilizzata in una procedura di riconoscimento facciale costituisce un dato biometrico. Il GDPR (art. 4, par. 14) definisce “«dati biometrici» i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. L’art 9 del GDPR dispone il divieto generale di trattare i dati biometrici a causa dell’elevato rischio di pregiudizi ai diritti e alle libertà delle persone fisiche; tale divieto è superabile (v. eccezioni al par.2 dell’art.9) laddove si disponga del consenso informato dell’interessato o il trattamento sia eseguito ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento (v. anche Considerando n.51 del GDPR). Ryanair, conscia di non poter invocare le esimenti legate alla necessità di osservare un obbligo legale o di esercitare un interesse o poter pubblico, ricorre al consenso dell’interessato come forma di legittimazione del trattamento biometrico di Customer Verification. Il suo problema è che il consenso, per come richiesto e reperito dalla compagnia, non sembra debitamente informato né genuino. E se così fosse, il consenso è invalido e, dunque, il trattamento – privato della sua base giuridica – diventa illecito con tutte le conseguenze del caso (la raccolta dei dati potrebbe essere vietata e il vettore rischierebbe una multa che – secondo i parametri sanzionatori del GDPR – potrebbe arrivare a 192 milioni di Euro).

Ci sarebbe poi un altro aspetto da considerare che, a prescindere dalla validità della base giuridica, attiene all’opportunità di svolgere un trattamento che la normativa di privacy considera comunque rischioso per i diritti e le libertà delle persone. Prima di implementare un sistema di facial recognition si dovrebbero effettuare rigorosi test di necessità e proporzionalità tenendo sempre a mente il principio generale di data protection secondo cui se una determinata finalità può essere perseguita senza ricorrere a strumenti invasivi il ricorso a tali strumenti è ingiustificabile.

Nel 2021 Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale. Adottando le proprie linee guida in materia, il Consiglio ha sottolineato che “Le aziende e le pubbliche amministrazioni che intendano avvalersi di tecniche di riconoscimento facciale, da parte loro, hanno l’obbligo di garantire il rispetto dei principi di protezione dati, compresa la necessità di effettuare una valutazione dei rischi che il ricorso a tali tecniche può avere sui diritti delle persone, nonché dei profili etici che ne derivano, anche attraverso l’ausilio di comitati di esperti indipendenti”. Il Consiglio ha, dunque, ricordato a tutti che l’esecuzione di valutazione dei rischi è un obbligo. E tale obbligo è scolpito nell’art. 35 del GDPR: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. Al par.3, l’art. 35, lett. b) chiarisce che il trattamento su larga scala di dati biometrici è sicuramente da assoggettarsi ad un data protection impact assessment.

Ora, non è dato sapere se Ryanair abbia eseguito una valutazione di impatto in relazione al processo di riconoscimento facciale. Ma ci si domanda come, in sede di bilanciamento, simile processo potrebbe superare un test di necessità e proporzionalità, specie tenuto conto che le motivazioni con cui è rappresentata al consumatore l’esigenza di Customer Verification non sembrano davvero poter soverchiare la tutela di privacy. Tutto ciò, tenendo anche a mente la posizione dell’European Data Protection Board che, nell’emanare il 17 maggio 2023 le Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, ha sottolineato come, laddove non indispensabile, il ricorso a tali sistemi possa costituire un rischio inaccettabile: “There are certain use cases of facial recognition technologies, which pose unacceptably high risks to individuals and society”. Se questa considerazione è valida in ambito di pubblica sicurezza tanto più dovrà esserlo in ambito commerciale.

CONTESTAZIONI DI PRIVACY E DI ANTITRUST

A fine dello scorso luglio, l’associazione None Of Your Business – NOYB ha presentato un reclamo per violazione del GDPR all’AEPD (Agencia Española de Protección de Datos) sostenendo le lagnanze di un passeggero iberico che dopo aver prenotato un volo su eDreams era incappato nelle richieste di Customer Verification. La contestazione di NOYB si fonda in particolar modo sui vizi del consenso dell’utente sostenendo che sebbene Ryanair affermi che la base legale per il suo utilizzo del riconoscimento facciale sia il consenso, essa non ha fornito informazioni comprensibili sullo scopo di questo processo. Secondo Felix Mikolasch di NYOB “le informazioni fornite da Ryanair sono così confuse che i viaggiatori potrebbero persino pensare che la loro prenotazione non sia valida. Spingendo i clienti a passare attraverso il suo intrusivo processo di riconoscimento facciale, la compagnia aerea riesce sia a violare la privacy dei propri clienti sia a garantire che non prenotino tramite fornitori esterni un’altra volta”. L’esponente dell’associazione ha aggiunto: ““hanno già i tuoi dati di contatto per inviarti il link al processo di ‘verifica’. Anche una verifica dei dettagli di contatto tramite biometria non ha molto senso: il tuo indirizzo e-mail non è stampato sul tuo viso o sul tuo passaporto. Il processo di verifica di Ryanair sembra un altro tentativo di rendere la vita dei viaggiatori e dei concorrenti più complicata per aumentare i profitti”. NYOB ha anche censurato il flusso cui sono sottoposti i dati biometrici: “La compagnia aerea esternalizza questo processo alla società GetID. Ciò significa che i clienti devono affidare i propri dati biometrici a un’azienda di cui non hanno mai sentito parlare o con cui comunque non avevano un contratto”.

In attesa di conoscere la decisione dell’autorità di privacy spagnola, Ryanair deve fronteggiare contestazioni in materia anti-concorrenziale concernenti le medesime politiche di disincentivazione agli acquisti indiretti. Ad inizio luglio 2023 è stato notificato al tribunale di Milano un atto di citazione, un’azione collettiva di concorrenza sleale, a nome della Fiavet, Federazione italiana associazioni imprese viaggi e turismo, associazione di categoria che aderisce a Confcommercio e riunisce circa 1400 tra agenzie e tour operator. Il legale di Fiavet spiegava che Ryanair “prima vende il biglietto, e poi cerca in tutti i modi di ostacolare la procedura di check in online, ad esempio chiedendo il riconoscimento facciale di ogni viaggiatore, in una procedura complessa e da concludere in tempi limitati”. E nella medesima nota chiariva: “Immaginiamo una gita scolastica con oltre 50 tra ragazzi e docenti: per un’agenzia diventa difficilissimo, a volte impossibile adempiere a questi obblighi». Oltretutto, “il controllo prevede la firma del passeggero per verificarne la sua autenticità, una pratica che richiede al massimo 7 giorni e per la quale è comunque necessaria la copia del documento del passeggero e un dispositivo dotato di fotocamera. Chiediamo che il giudice ci riconosca il diritto di fare il nostro mestiere: vendere biglietti aerei per i nostri clienti senza essere discriminati. Ricordiamo che l’attività di intermediazione è prevista dalle leggi italiane”.

Da ultimo, l’avvio di istruttoria dell’Antitrust che nel proprio provvedimento sottolinea (v. par. 37) come non “appaiono sussistere oggettive motivazioni di sicurezza che giustifichino il diverso trattamento dei passeggeri che si avvalgano di un’agenzia rispetto a quelli che acquistino sul sito Ryanair, eventualmente anche tramite un conoscente. Infatti, l’accertamento dell’identità solo rispetto ad alcuni viaggiatori e non a tutti non preserverebbe l’insieme dell’equipaggio e dei passeggeri da situazioni di rischio, né potrebbe trovare alcuna spiegazione in una qualche intrinseca pericolosità del viaggiatore che si rivolge alle agenzie rispetto a quello che acquista in autonomia dal sito”.

La posizione dell’AGCM conferma, indirettamente, come il rilascio di dati biometrici a cui sono di fatto spinti gli acquirenti OTA espone costoro, in modo ingiustificato, a quello che il GDPR considera un rischio elevato per i diritti e le libertà delle persone. In tal senso, ad avviso di chi scrive, il trattamento di dati biometrici eseguito da Ryanair è censurabile non solo sotto il profilo del vizio di consenso informato (dovuto alla violazione del principio di trasparenza) come sostenuto da NYOB, ma anche in riferimento al:

  • principio di correttezza – art. 5, par.1, lett. a) del GDPR – sia perché gli interessati sono “forzati” (pena gravosi oneri di tempo e denaro per identificarsi in aeroporto) a sottoporsi ad un procedimento di riconoscimento facciale, sia perché medesimo trattamento non è riservato agli acquirenti diretti;
  • principio di necessità – art. 5, par.1, lett. b) del GDPR – perché i dati biometrici non appaiono in alcun modo “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Il fatto che gli acquirenti diretti non siano sottoposti alle procedure di Customer Verification dimostra che il riconoscimento facciale non è un passaggio essenziale rispetto all’acquisto del biglietto. Un’oggettiva valutazione di impatto da eseguirsi ai sensi dell’art. 35 GDPR dimostrerebbe che, rispetto alle finalità propugnate da Ryanair, il trattamento riservato agli acquirenti indiretti risulta non necessario e non proporzionato a fronte dei palesi rischi per i diritti e le libertà degli interessati.